La Agencia Española de Protección de Datos actualizó el pasado 28 de Julio su Guía sobre el uso de cookies, estableciendo cambios importantes que afectan sobre todo a la manera de prestar el consentimiento al uso de cookies por parte de los usuarios, y que deben estar aplicados en toda página Web antes del 31 de octubre de este año.
Desde Visualit queremos ayudarte a interpretar y adaptar el uso y aviso de cookies de tu Web, resumiendo los aspectos más importantes de la misma, y dejando a tu disposición toda la documentación oficial de la AEPD, para que puedas despejar cualquier duda.
Un poco de historia – Guías previas sobre cookies
La nueva versión de la Guía sobre el uso de cookies que la Agencia Española de Protección de Datos actualizó el pasado 28 de Julio, y que puedes descargar aquí: https://www.aepd.es/sites/default/files/2020-07/guia-cookies.pdf, es una actualización sobre la anterior guía, publicada el 8 de noviembre de 2019. El objetivo de esta guía, ahora actualizada, elaborada por la AEPD en colaboración con Adigital, Anunciantes, Autocontrol e IAB Spain, es recoger las obligaciones para utilizar tanto cookies como tecnologías similares, cumpliendo la legislación vigente de acuerdo con el Reglamento General de Protección de Datos (RGPD).
Antes de publicarse esta guía, los profesionales de Internet, así como las distintas asociaciones, nos basábamos a la hora de cumplir con la normativa sobre cookies, en la guía anterior de la AEPD, y posteriormente, en la documentación y guías al respecto del (nuevo) Reglamento General de Protección de Datos (cómo la “Guía RGPD para responsables de tratamiento” de Mayo de 2018). Recordar que el RGPD, que podéis descargar en el BOE, está en vigor desde Mayo de 2016, y comenzó a aplicarse a partir del 25 de mayo de 2018.
Con anterioridad a la entrada en vigor del RGPD, también existía una Guía sobre el Uso de las Cookies publicada igualmente por la Agencia Española de Protección de Datos (AEPD) el 29 de abril de 2013, y que podéis consultar haciendo clic aquí.
Al grano. ¿Qué cambia con la nueva Guía?
Principalmente: la manera de obtener el consentimiento por parte del usuario para el uso de cookies y la obligación de ofrecer al usuario una alternativa al consentimiento.
Obtención del consentimiento para el uso de cookies
La anterior Guía sobre el uso de las cookies de Noviembre de 2019, permitía la aceptación implícita como mecanismo de obtención del consentimiento para el uso de cookies, mediante una conducta de los usuarios distinta de la pulsación de un botón de aceptación, basada en acciones de navegación como hacer scroll, cambiar de página o cerrar el propio aviso de las cookies.
Pero ahora… la nueva Guía sobre el uso de las cookies del 28 de julio de 2020 (https://www.aepd.es/sites/default/files/2020-07/guia-cookies.pdf), se adapta a las nuevas indicaciones del Comité Europeo de Protección de Datos, que revisó en mayo de 2020 las directrices 05/2020 sobre consentimiento, estableciendo claramente que estos supuestos de aceptación implícita por acciones de navegación no son válidos, y dice (textualmente):
«La obtención del consentimiento mediante una conducta de los usuarios distinta de un botón de aceptación, pero que consista en una clara acción afirmativa, será admisible siempre que las condiciones en que se produzca la conducta ofrezcan suficiente certeza de que se presta un consentimiento informado e inequívoco y pueda probarse que dicha conducta se ha realizado. En cualquier caso, el mero hecho de permanecer visualizando la pantalla, hacer scroll o navegar por el sitio web no se considerará una clara acción afirmativa bajo ninguna circunstancia.«
Con lo cual, la AEPD cierra totalmente esa vía de obtención del consentimiento. Esa es la razón por la que en las últimas semanas estaréis viendo cambios en la manera de obtener el consentimiento para las cookies por parte de periódicos online y casi cualquier tipo de web y eCommerce, con banners ahora más visibles (incluso molestos) que nos dan la opción de aceptar las cookies o configurarlas a través de un panel de control de cookies para seguir navegando.
Adiós a los muros de cookies
Pero ojo, la Agencia advierte también sobre la utilización de los llamados “muros de cookies”, limitando el acceso a determinados servicios o contenidos sólo a los usuarios que acepten el uso de cookies. Respecto a ello, el Comité ha precisado que, para que el consentimiento pueda considerarse otorgado libremente, el acceso al servicio y a sus funcionalidades no debe estar condicionado a que el usuario consienta el uso de cookies, por eso, la Guía explicita que no podrán utilizarse los denominados “muros de cookies» que no ofrezcan una alternativa al consentimiento.
Hay de plazo hasta el 31 de octubre de este año para adecuar las políticas de consentimiento (https://www.aepd.es/es/prensa-y-comunicacion/notas-de-prensa/aepd-actualiza-guia-cookies), por lo que cómo editores web no hay más remedio que aplicarlo, y pensar en la manera más adecuada para cada sitio web de conseguir la aceptación de las cookies por parte del usuario, esta vez de manera totalmente explícita.
¿Tengo que modificar también el contenido de mi página de política de cookies?
Si ya habías adecuado tu web y política de cookies a la anterior versión de la guía sobre el uso de cookies del 8 de noviembre de 2019, y ya optaste por un mecanismo de aceptación explícita, es probable que no tengas que hacer ningún cambio en la política de cookies.
Pero en otro caso, si considerabas aceptadas las cookies por una acción de navegación mediante una conducta de los usuarios distinta de un botón de aceptación (por ejemplo la de navegar por nuestro sitio web, o realizar determinadas acciones como deslizar la barra de desplazamiento, cerrar el aviso de cookies o pulsar sobre algún contenido de la página), y en la política de cookies se hace referencia a la obtención del consentimiento de las cookies de esa manera, habrá que, además de revisar y adecuar el método de obtención del consentimiento, modificar ese punto de la política de cookies.
A este respecto y para establecer la información que hay que mostrar y cómo hay que mostrarla en la política de cookies, la Guía establece claramente unas obligaciones legales impuestas por la normativa, que necesitamos cumplir y que son dos: la obligación de obtención del consentimiento, que tal y cómo os acabamos de exponer, ahora tiene que ser de manera explícita, y por otro lado, y no menos importante: la obligación de transparencia.
Obligación de transparencia
La guía incide, en base al apartado segundo del artículo 22 de la LSSI, en el deber de “facilitar a los usuarios información clara y completa sobre la utilización de los dispositivos de almacenamiento y recuperación de datos y, en particular, sobre los fines del tratamiento de los datos”, además esta información debe facilitarse con arreglo a lo dispuesto el RGPD, que requiere que el tratamiento de los datos de los usuarios se realice de forma transparente para ellos.
Por tanto, en el momento de solicitar el consentimiento, debemos de aportar información sobre las cookies suficientemente completa para permitir a los usuarios entender sus finalidades y el uso que se les dará. Así, en la política de cookies deberá incluirse la siguiente información:
- Definición y función genérica de las cookies.
- Información sobre el tipo de cookies que se utilizan y su finalidad.
- Identificación de quién utiliza las cookies.
- Información sobre la forma de aceptar, denegar, revocar el consentimiento o eliminar las cookies.
- En su caso, información sobre las transferencias de datos a terceros países realizadas por el editor.
- Cuando la elaboración de perfiles implique la toma de decisiones automatizadas con efectos jurídicos para el usuario o que le afecten significativamente de modo similar será necesario que se informe sobre la lógica utilizada, así como la importancia y las consecuencias previstas de dicho tratamiento para el usuario en los términos establecidos en el artículo 13.2 f) del RGPD.
- Periodo de conservación de los datos para los diferentes fines en los términos establecidos en el artículo 13.2 a) del RGPD.
En relación con el resto de información exigida por el artículo 13 del RGPD que no se refiera de forma específica a las cookies (por ejemplo, los derechos de los interesados), el editor podrá remitirse a la política de privacidad.
¿Cómo debe mostrarse esa información?
De acuerdo al RGPD, esta información debe de mostrarse atendiendo a los siguientes requisitos:
- La información o la comunicación debe ser concisa, transparente e inteligible: la información “debe resultar comprensible al integrante medio de la audiencia objetivo”
- Se ha de utilizar un lenguaje claro y sencillo, evitando el uso de frases que induzcan a confusión o desvirtúen la claridad del mensaje. No serían válidas, por ejemplo, frases como “usamos cookies para personalizar su contenido y crear una mejor experiencia para usted” o “para mejorar su navegación”, o frases cómo “podemos utilizar sus datos personales para ofrecer servicios personalizados” para referirse a cookies publicitarias comportamentales. También deben evitarse términos como “puede”, “podría”, “algún”, “a menudo”, y “posible”.
- La información ha de ser de fácil acceso. El usuario no debe buscar la información, sino que debe ser evidente para él dónde y cómo puede acceder a ella, como cuando se proporciona un enlace claramente visible que dirige directamente a la información bajo un término de uso común como “política de cookies” o “cookies”. Es aconsejable que la información relativa a la forma a través de la cual gestionar las cookies (incluyendo cómo revocar el consentimiento y eliminar las cookies) esté a su disposición de forma accesible y permanente en todo momento a través de la página web, aplicación o servicio en línea de que se trate. A estos efectos, y sin perjuicio de otras soluciones que puedan adoptarse, se considerará que se cumple dicho requisito cuando el sistema de gestión de las cookies (panel de configuración, CMP, etc.) esté integrado en la propia política de cookies o cuando se incluya en esta política un enlace que lleve directamente al sistema de gestión.
¿Va a afectar todo esto al Marketing Digital?
Sí, sin duda. Con la anterior Guía sobre el uso de las cookies de Noviembre de 2019, se tuvieron que adoptar cambios importantes con respecto a las cookies en todas las webs, para adecuarse al RGPD, pero como dicha guía permitía la aceptación implícita como mecanismo de obtención del consentimiento para el uso de cookies (se permitían cargar las cookies tras acciones de navegación como hacer scroll o cambiar de página), la afectación final sobre la carga de las cookies ha sido mínima.
Pero ahora, con la necesidad de conseguir un consentimiento totalmente explícito, todo cambia, y si no conseguimos que los usuarios de nuestros sitios webs acepten las cookies, no podremos analizar su tráfico en Google Analytics, ni realizar posteriores acciones de remarketing para que compren nuestros productos o servicios, ni utilizar segmentaciones de públicos similares para orientar nuestras campañas de Marketing de pago en Redes sociales, por citar 3 de los ejemplos más comunes.
¿Cómo podemos minimizar esta afectación? Analizando desde el punto de vista de la experiencia de usuario, tanto la colocación y el texto para el banner, como el color y los botones para pedir y gestionar la aceptación de cookies (de entre los permitidos por la nueva Guía), que mejor se adapte a nuestro sitio Web o eCommerce y a nuestro perfil de usuario.
En Visualit ya hemos adecuado nuestra web a la nueva guía, con una afectación de momento limitada sobre la carga de cookies, y estamos trabajando con muchos clientes para ver la mejor manera de implementar la mejor solución para cada site antes del 31 de Octubre.
Hasta aquí nuestro resumen y consideraciones sobre este tema siempre delicado de las cookies. Esperamos que os haya sido de ayuda. Recordar que tenéis hasta el 31 de Octubre de 2020 para adecuar vuestra Web a las directrices sobre consentimiento del Comité Europeo de Protección de Datos, recogidas en la nueva Guía.
Compartir: