La Agencia Española de Protección de Datos acaba de actualizar nuevamente el documento informativo Guía sobre el uso de las cookies a partir de lo establecido por el Comité Europeo de Protección de Datos en sus Directrices 3/2022 sobre patrones oscuros en las interfaces de las plataformas de redes sociales: cómo reconocerlos y evitarlos. A continuación, se detallan las principales novedades de la Guía a partir de su más reciente actualización.
En primer lugar, cabe destacar la reiteración por parte de la Autoridad de control de ofrecer una información utilizando un lenguaje claro y sencillo sobre los siguientes aspectos relativos a las cookies:
- Definición de cookies y las funciones principales de carácter genérico a través de la interacción del usuario con el sitio web;
- Tipología de cookies que se utilizan y la finalidad específica de cada una de ellas, así como las consecuencias de su activación para la privacidad y seguridad del usuario
- Información sobre la identidad del titular del sitio web o del tercero proveedor (nombre o marca comercial de la entidad) responsable de la utilización de cada cookies en el dispositivo del usuario;
- Información sobre las opciones del usuario para mostrar expresamente su aceptación, rechazo u opciones de configuración personalizada a través de un cuadro informativo y de gestión de cookies emergente;
- Mención a la existencia de transferencias internacionales a terceros proveedores o responsables de la titularidad del sitio web involucrados en la utilización de cookies, en su caso;
- Plazos de conservación a partir de una fecha concreta de caducidad o criterio específico de limitación para cada tipo de cookie.
- Información sobre protección de datos conforme al art. 13 Reglamento General de Protección de Datos.
Sin perjuicio del cumplimiento de los criterios anteriores, conviene recordar que debe ofrecerse al usuario del sitio web un cuadro informativo emergente en un lenguaje claro y sencillo para todos los públicos, evitando tanto un lenguaje técnico que requiera de conocimientos especializados previos para su comprensión, así como evitando concepto ambiguos o engañosos que generen confusión en los usuarios. En todo caso, el usuario tiene la potestad para decidir la tipología de cookies y su funcionamiento que desea que estén activas a partir de la información anterior, salvo la tipología de cookies técnicas necesarias para el funcionamiento del sitio web. El usuario de la página web deberá tener acceso a la información anterior para determinar a través de una clara acción afirmativa (marcado de casilla o barra horizontal para deslizar a través de un clic, por ejemplo) entre todas las opciones referidas claramente diferenciadas (aceptación, rechazo o configuración para la personalización de las cookies).
Más concretamente, las opciones de configuración de cookies deberán constar en igualdad jerárquica en la información facilitada al usuario, no pudiendo prevalecer ni predeterminar por defecto la aceptación de las cookies por el usuario, así como evitando la remisión a una diapositiva ulterior del sitio web para el rechazo o configuración de las cookies. En el mismo cuadro informativo emergente inicial el usuario deberá contar con las tres opciones sin la prevalencia de ninguna de las tres opciones y contando con la opción de dar o retirar su consentimiento para todas las tipologías que resultaran de aplicación en la página web.
Sin perjuicio de lo anterior, la tipología de cookies relativas a la personalización del servicio web, esto es, aquellas que permiten recordar determinada información para que el usuario acceda al servicio con determinadas características que pueden diferenciar su experiencia de la de otros usuarios (idioma, tamaño o tipo de fuente, resultados anteriores, preselección de preferencias de producto…) se encuadran dentro de la tipología de cookies técnicas necesarias para el correcto funcionamiento del servicio ofertado al usuario a través de la página web, por lo que su funcionamiento no se supedita a la obtención previa del consentimiento del usuario y podrán estar en uso en próximas entradas del usuario al sitio web.
Ahora bien, con independencia de la tipología de cookies técnicas o estrictamente necesarias para el funcionamiento del sitio web, conviene recordar que, en el momento en que se utilice la información obtenida a través de esta tipología de cookies para una finalidad ulterior distinta de la inicial, deberá obtenerse el consentimiento previo y específico del usuario, previa información sobre el funcionamiento y finalidad de la cookie técnica para un fin ulterior.
En línea con lo anterior, en aquellos portales de alto volumen de cookies que puedan resultar operativas, y a efecto de favorecer la operativa del usuario en el sitio web, existe la posibilidad de incluir la opción de aceptación o rechazo genérico de las cookies (aceptar/rechazar todas las cookies), salvo las cookies técnicas para el correcto funcionamiento del sitio web. No obstante, no se permite la obstaculización del servicio de la página web y la interacción del usuario a través de la misma a través del cuadro informativo emergente anterior a modo de efecto pantalla o “muro” que obstaculice la visualización del servicio esencial de la página web. A este respecto, la Guía recuerda que podrán existir determinados supuestos en los que la no aceptación impida el acceso o la utilización total o parcial del servicio siempre que se informe al respecto y se ofrezca una alternativa (tanto gratuita como sujeta al coste del servicio).
En otro orden, cabe recordar que, de conformidad con el art. 8.2 RGPD: “el responsable del tratamiento hará esfuerzos razonables para verificar (…) que el consentimiento fue dado o autorizado por el titular de la patria potestad o tutela sobre el niño”, ello es especialmente necesario en los supuesto en los que en el sitio web se incluya la oferta directa de servicios de la sociedad de la información a menores de 14 años de edad. En estos casos, conviene remarcar que habrá de tenerse en cuenta el estado de la tecnología disponible y corresponde al responsable del tratamiento la implementación de un sistema de verificación de identidad con garantías suficientes para la obtención del consentimiento y su ulterior demostración en caso fuera requerido (art. 7.1 RGPD y art. 7 Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de derechos digitales).