Descarga el PDF con una tabla de contenidos como resumen.

La Agencia Española de Protección de Datos (“AEPD”) publicó el pasado viernes, 8 de noviembre de 2019, la nueva Guía sobre el uso de cookies, con el objetivo de actualizar sus criterios para el uso adecuado de las cookies a raíz de las exigencias del RGPD.

Este artículo ha sido redactado con el fin de resumir las obligaciones derivadas de la Guía sobre el uso de cookies y debe ser interpretado de forma adicional a la reciente jurisprudencia judicial y administrativa que establece consejos y criterios para un uso adecuado de las cookies que ya ha sido analizado en la Nota Informativa divulgada por ECIJA el 14 de octubre de 2019.

(I) Cookies exentas del requisito del consentimiento informado

En primer lugar, la AEPD establece el alcance exacto del artículo 22.2 de la Ley de Servicios de la Sociedad de la Información (“LSSI”), derivado del artículo 5.3 de la Directiva 2002/58/CE, según el cual las cookies sólo pueden ser utilizadas con el consentimiento informado del usuario. La AEPD referencia el dictamen 04/2012 del Grupo de Trabajo del artículo 29 sobre la exención del consentimiento de las cookies para determinar que únicamente las cookies (i) utilizadas con el único fin de llevar a cabo la transmisión de una comunicación a través de una red de comunicaciones electrónicas o (ii) estrictamente necesarias para prestar un servicio que haya sido solicitado explícitamente por el usuario no entran en el ámbito de aplicación del artículo 22, apartado 2, y que, por tanto, pueden utilizarse sin informar al usuario ni obtener su consentimiento.

(II) Información que debe facilitarse

El artículo 22.2 de la LSSI especifica que, antes de solicitar su consentimiento, el usuario debe obtener información clara y completa sobre el uso de cookies y, en su caso, sobre el tratamiento de sus datos personales de conformidad con la normativa sobre protección de datos personales. El usuario debe ser capaz de comprender el mecanismo y las finalidades de las cookies utilizadas a través de un sitio web.
Dado que la información debe facilitarse en una primera fase para que el consentimiento sea válido, la AEPD recomienda su visualización en dos capas, de forma que los datos esenciales sobre el uso de cookies aparezcan automáticamente en un banner o en una plataforma de gestión de consentimientos (“CMP”) desde el momento en que el usuario acceda a la página web, mientras que en una segunda capa (“política de cookies”) se puede encontrar más información a la que el usuario puede acceder de forma voluntaria.

La primera capa incluirá los siguientes detalles:

  1. Identidad del editor del sitio web (sólo un nombre o marca comercial; no será necesario un nombre de empresa registrado, ya que esta información estará disponible en la segunda capa);
  2. Los fines para los que se utilizarán las cookies;
  3. Indicación de si las cookies serán utilizadas únicamente por el editor (cookies propias) o también por terceros (cookies de terceros).
  4. Información genérica sobre el tipo de datos utilizados con fines publicitarios, en su caso;
  5. La forma en que el usuario podrá consentir o rechazar el uso de cookies (a continuación, se explican las condiciones para la obtención del consentimiento);
  6. Un enlace claramente visible a la política de cookies.

En cuanto a la segunda capa o política de cookies, debe ser fácil y permanentemente accesible desde cualquier sección del sitio web y reunir la información necesaria para que el usuario medio del sitio web comprenda cómo funcionan las cookies y para qué se instalarán, junto con toda la información requerida por el artículo 13 del Reglamento (UE) 2016/679 (Reglamento General de Protección de Datos o “GDPR”) en el caso de que se recojan datos personales.

(III) Condiciones para el consentimiento

La AEPD recuerda que, en virtud del artículo 4 del GDPR, debe darse un consentimiento válido para cada finalidad específica por medio de una acción afirmativa claramente realizada por el usuario con plena conciencia de las consecuencias de dicha acción. Además, debe ser tan fácil de retirar como de dar su consentimiento. De igual manera, no se deberá proceder a la instalación de ninguna cookie si el usuario no ha dado previamente su consentimiento.
De este modo, el usuario debe tener la posibilidad de aceptar o rechazar todas las cookies o de seleccionar las finalidades concretas para las que pueden instalarse las cookies.
Asimismo, el usuario puede ser informado de que puede aceptar las cookies con sólo seguir navegando por el sitio web, siempre que pueda revocar su consentimiento con la misma facilidad con la que lo ha consentido a través de un consentimiento granular. En ningún caso el acceso a la segunda capa puede considerarse como una aceptación del uso de cookies.

(IV) Plataformas de gestión de consentimientos

La Guía recomienda encarecidamente el uso de los CMP para demostrar el cumplimiento del deber de obtención del consentimiento informado válido del usuario.
Un CMP permite al usuario seleccionar las finalidades para las que se instalan las cookies, así como acceder a través de enlaces a información adicional facilitada directamente por los gestores de las distintas cookies.

(V) Condiciones aplicables al consentimiento del niño

Para los sitios web en los que el usuario medio es menor de catorce años, se exigirá a los editores que realicen un esfuerzo adicional para verificar que el consentimiento del usuario es dado por sus padres o tutores legales. Además, tendrá en cuenta la necesidad de reforzar las garantías de protección de datos de los usuarios, especialmente en relación con el principio de minimización de datos.

Por ejemplo, la AEPD indica que, si un sitio web obtiene datos únicamente con fines analíticos, puede obtenerse un consentimiento válido mediante la instalación de una advertencia previa que informe al usuario de la necesidad de pedir a sus padres o tutores que den su consentimiento en su nombre.

(VI) Posibilidad de denegar el acceso si no se da el consentimiento

El acceso a un sitio web podría ser denegado a un usuario que no consienta el uso de cookies (incluidas las cookies publicitarias) siempre que la denegación no impida el ejercicio de un derecho.

(VII) Responsabilidad

La AEPD considera que el artículo 22.2 de la LSSI no define quién será responsable de informar y obtener el consentimiento. Por ello, considera que tanto el editor como los terceros que gestionan las cookies como responsables del tratamiento se coordinarán para el cumplimiento de estas tareas.

No obstante, si un editor utiliza un CMP que permite a dichos terceros informar directamente a los usuarios y registrar los consentimientos, entonces los terceros serán individualmente responsables de informar y obtener el consentimiento.

La AEPD recuerda que algunas entidades que crean y gestionan sus propias cookies, como las agencias de medios de comunicación, suelen utilizar sus cookies en nombre de varios anunciantes como encargados de tratamientos, por lo que el uso indebido de cookies por parte de dicho encargado dará lugar a responsabilidades independientes de estos anunciantes. Según esto, no se puede transferir esa responsabilidad del responsable del tratamiento al encargado del tratamiento, aunque se pueden exigir garantías y obligaciones contractuales para obligar al encargado a indemnizar al responsable del tratamiento por las sanciones, daños y perjuicios o medidas cautelares que se deriven de un uso indebido de dichas cookies.

Descarga el PDF con una tabla de contenidos como resumen.