La AEPD actualiza su Guía sobre el uso de cookies para alinearse con las últimas directrices del Comité Europeo de Protección de Datos.
La revisión incluye nuevos ejemplos sobre la presentación de opciones, detallando aspectos como el color, tamaño y ubicación.
La Guía sobre el uso de cookies de la Agencia Española de Protección de Datos (AEPD) ha sido actualizada para adecuarse a las modificaciones de las Directrices sobre consentimiento introducidas en mayo de 2020 por el Comité Europeo de Protección de Datos (CEPD). En este proceso de actualización, se contó con la colaboración de sectores involucrados, como las asociaciones ADIGITAL, la Asociación Española de Anunciantes, Autocontrol e IAB Spain, como ha ocurrido en versiones anteriores.
El CEPD emitió en febrero de 2023 las Directrices 03/2022 sobre patrones engañosos en redes sociales, y la AEPD ha incorporado estos criterios a la nueva edición de la guía. Se destaca la importancia de presentar las opciones de aceptar o rechazar cookies en un lugar y formato destacados, asegurando que ambas acciones estén al mismo nivel.
¿Cuáles son las modificaciones realizadas que influyen en la protección de datos?
De acuerdo con la nueva guía, algunos de los cambios incluyen:
En el caso de cookies de personalización, cuando el usuario toma decisiones (como elegir el idioma o la moneda), se consideran cookies técnicas sin necesidad de consentimiento.
Si la empresa toma decisiones sobre cookies de personalización basándose en la información del usuario, debe informar y destacar la opción de aceptar o rechazar, sin utilizarlas para otras finalidades.
Respecto a las cookies, se recalca que el acceso a servicios online no debe condicionarse a la aceptación de cookies, y se subraya la necesidad de ofrecer una alternativa de acceso, que no necesariamente será gratuita.
¿Cuándo entrarán en vigor estos cambios de la AEPD?
La actualización de la guía representa un avance significativo en la protección de la privacidad en línea, según la AEPD, y se espera que estas directrices se implementen antes del 11 de enero de 2024.
¿Es obligatorio para todas las empresas con presencia online incluir la opción de aceptación o rechazo de cookies?
Sí, todas las empresas con sitios web que utilizan cookies, más allá de las técnicas, deben cumplir con los deberes de información y consentimiento. La guía destaca la necesidad de que los usuarios tengan la opción de aceptar o rechazar las cookies, permitiéndoles elegir qué cookies aceptar.
La AEPD tiene la competencia sancionadora en esta materia y puede actuar de oficio o a instancia de parte. Además, puede llevar a cabo inspecciones sectoriales para verificar el cumplimiento de las normas en aspectos específicos.
¿Cómo adaptar su sitio web al crear un aviso de cookies?
La actualización destaca la importancia de presentar opciones de aceptación o rechazo de cookies de manera equitativa y accesible. Se proporcionan pautas sobre elementos visuales, como color, tamaño y ubicación, para garantizar que los usuarios comprendan claramente sus opciones.
Se refuerza la idea de que el acceso a servicios en línea no debe condicionarse a la aceptación de cookies, y se insiste en ofrecer una alternativa de acceso sin necesidad de aceptar cookies, que no necesariamente será gratuita.
¿Qué aspectos legales aborda esta nueva guía que la anterior no contemplaba?
Principalmente, la nueva guía destaca que las acciones de aceptar o rechazar cookies deben presentarse de manera prominente y equitativa. Además, se incluyen nuevos ejemplos sobre cómo mostrar estas opciones, proporcionando indicaciones sobre el color, tamaño y ubicación de los avisos legales en las páginas web.
¿Cuáles podrían ser las implicaciones legales para quienes utilicen la información de cookies sin consentimiento?
La AEPD no impone «penas», sino «multas por infracciones». El uso de cookies sin consentimiento se considera una infracción muy grave según la Ley Orgánica 3/2018. Las conductas infractoras pueden incluir el tratamiento de datos personales sin cumplir con principios y garantías establecidos, así como la omisión del deber de informar al afectado sobre el tratamiento de sus datos personales. Desde Jokkar, ofrecemos asesoramiento para evitar este tipo de sanciones.