En las últimas semanas se ha publicado una sentencia del Tribunal de Justicia de la Unión Europea así como varias resoluciones de la Agencia Española de Protección de Datos en las que se interpreta la normativa vigente en materia de cookies y se fijan algunos criterios comunes que deberemos tener en cuenta para configurar de manera correcta nuestras webs.
No a las casillas premarcadas
El pasado 1 de octubre, el Tribunal de Justicia de la Unión Europea dictó sentencia en el asunto C-673/171 en la que manifiesta que no es posible determinar objetivamente si el usuario ha prestado su consentimiento de forma efectiva mediante casillas premarcadas. Es decir, el comportamiento del usuario debe ser “activo y no pasivo” y no puede presumirse. Por ello, el consentimiento deberá ser prestado de forma separada y específica, por lo que, para considerar que el usuario ha consentido la instalación de cookies, no es suficiente la marcación de una casilla mediante la cual el usuario accede a participar en un sorteo, como en el supuesto de hecho, teniendo que estar ambas cuestiones en casillas separadas.
Criterios a tener en cuenta
Por su parte, la Agencia Española de Protección de Datos establece unos criterios a través de algunas resoluciones recientes en relación a cómo se deberá obtener el consentimiento previo e informado para la instalación de cookies. Los aspectos más relevantes que debemos destacar son:
- Información a proporcionar en la primera capa
En esta fase, normalmente mediante la utilización de un POP UP, el Responsable deberá informar de sus datos de Identificación, indicación sobre si las cookies son propias y/o de terceros, finalidades de las mismas y forma en que el usuario puede prestar el consentimiento o rechazar la instalación de cookies. - En una segunda fase
El usuario debe poder, por sí mismo, habilitar o rechazar las cookies. En este sentido, deberá incluirse un mecanismo que permita rechazar todas las cookies, habilitarlas todas, y habilitar o rechazarlas por tipología. El mecanismo para rechazar las cookies deberá permitir al usuario rechazar las cookies con la misma facilidad con la que las puede aceptar. - El consentimiento deberá ser previo a la instalación
No se podrán instalar cookies antes de haber ofrecido la información necesaria al usuario, así como su consentimiento. - Cookies de terceros
Si no es posible rechazar la instalación de cookies de terceros a través del sistema de configuración ofrecido, se deberá informar al usuario de tal circunstancia y de la forma en que podrá hacerlo desde su navegador o la página del tercero.
Ejemplo de sanción
Un ejemplo de la aplicación de estos criterios por parte de la Agencia Española de Protección de Datos lo encontramos en el procedimiento sancionador llevado a cabo recientemente contra la compañía Vueling, a quién se le impone una sanción de 30.000€ por considerar que, en la segunda capa de información, el consentimiento a que se cedan datos a terceros a través de cookies es implícito, ya que en ningún momento da la opción de poder oponerse a la instalación de estas, sino que remite a la configuración de los navegadores para eliminarlas o bloquearlas, no ofreciendo la posibilidad de denegar el consentimiento para el uso de cookies o de retirar el prestado. También señala que es necesario facilitar un sistema de gestión o panel de configuración de cookies que permita al usuario eliminarlas de forma granular.
Recuerde, por tanto, la importancia de revisar la utilización de cookies en su web, la configuración que se está realizando y proceder a actualizar la obtención del consentimiento según las nuevas directrices. Estamos a su disposición para asesorarle.
