Proceso de adaptación de las cookies tras el nuevo Reglamento General de Protección de Datos (RGPD)

La política de cookies a la luz del RGPD

Tribuna

Ya han pasado varios meses desde la efectiva aplicación del Reglamento UE 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos y por el que se deroga la Directiva 95/16 CE (en adelante RGPD) y aún son muchas las empresas que están en proceso de regularización o incluso sorprendentemente las habrá que no se han enterado del cambio normativo, cosa que extrañaría después de la vorágine de correos electrónicos enviados durante el mes de mayo, generando en muchas ocasiones una elevada confusión a los interesados.

Entre las nuevas obligaciones que impone la norma europea y su afectación en los distintos tratamientos, en mi opinión, debemos destacar un tratamiento bastante olvidado en el proceso de adaptación como son las cookies, quizás debido al desconocimiento o falta de entendimiento de lo que realmente son.

Las cookies son pequeños archivos que los sitios webs o las aplicaciones instalan en el navegador o en el dispositivo del usuario con la finalidad de hacer que los sitios webs funcionen y, en su caso, almacenar y obtener datos sobre su visita.

I.- Regulación de las cookies

Con carácter general las cookies se regulan en la Directiva 2002/58/ CE, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas y en España con la Ley 34/2002, de 11 de julio, de Ley de Servicios de la Sociedad de la Información y Comercio Electrónico, ello sin perjuicio de la inminente aprobación del Reglamento de ePrivacy por la Comisión Europea.

Asimismo, en caso de que las cookies constituyan datos personales debemos de tener en consideración la aplicación del RGPD. En principio, el artículo 95 del RGPD no establece obligaciones adicionales respecto a las que estén previstas en la citada Directiva, pero ante la ausencia de regulación especial debemos acudir a lo dispuesto en el RGPD en cuanto a las reglas del consentimiento informado como norma transversal, tal y como veníamos haciendo con la LOPD.

Mide la implantación del RGPD con el Compliance Data Evaluator

II.- La postura de la AEPD

La AEPD, en su Décima Sesión Anual celebrada en junio de 2018, estableció una serie soluciones prácticas para la actualización de las Políticas de Cookies dando luz a la aplicación del RGPD.

¿Qué información debemos suministrar?

El artículo 13 del RGPD establece una extensa lista de información que debe facilitarse a los interesados, sin embargo, en materia de cookies las soluciones que propone la AEPD son las siguientes:

-Información de Primera capa:

En relación a la identificación del responsable, la AEPD no exige una identificación exhaustiva por cuanto que lo habitual es que el usuario ya conozca esta información o incluso pueda consultar otros textos en la web para conocerla. En cuanto a la descripción de los terceros, se recomienda incluir una identificación con su nombre en la información de segunda capa, sin necesidad de incluir razón social.

Respecto a la finalidad del tratamiento de las cookies, la AEPD ha sido tajante ya que exige una descripción clara y concreta, bien sea con fines analíticos, publicitarios o para la elaboración de perfiles. No se permite ya la inclusión de mensajes que puedan generar confusión a los usuarios, como se venía haciendo hasta ahora tipo “usamos cookies para personalizar su contenido” o “para mejorar su navegación” o similares.

- Información de segunda capa:

Entrando a analizar la información ampliada que debe facilitarse a los usuarios a través de la segunda capa, la AEPD no se ha pronunciado respecto a todos y cada uno de los apartados del artículo 13 RGPD, pero sí sobre los siguientes extremos:

  • En caso de que hubiera una transferencia internacional de datos, se debe informar si hay riesgo por ser un país de destino sin nivel de adecuación o no se cuenta con las garantías adecuadas.
  • En relación a la obligación de informar sobre la existencia de decisiones automatizadas, la AEPD ha considerado que se entendería incluida en el caso de la elaboración de perfiles.
  • A diferencia de lo que se ha venido haciendo, la AEPD no recomienda realizar una descripción exhaustiva de tipología de cookies ya que el exceso de información puede dificultar la toma de decisiones al usuario. No obstante, en mi opinión, incluir un listado de la tipología de cookies mediante una tabla es útil a fin de poder informar al usuario de forma concreta respecto a los plazos de conservación.

Sobre la recogida del consentimiento para el tratamiento de cookies:

La AEPD ha establecido que para que el usuario pueda decidir y otorgar su consentimiento debe tener la posibilidad de habilitar las cookies, configurarlas o rechazarlas habiendo obtenido previamente la información descrita en el apartado anterior, de forma que la negativa a la utilización de las cookies sea tan sencilla como la aceptación.

Con objeto facilitar la decisión de los usuarios es por lo que la AEPD recomienda la utilización de un panel de configuración siempre y cuando el acceso a este panel sea directo desde la primera capa de forma que el usuario no tenga que navegar dentro de la segunda capa para localizarlo.

Por último, es importante destacar que la AEPD ha considerado incompatible la práctica de incluir un botón de aceptación y la opción de seguir navegando, puesto que puede inducir a error al consumidor.

III.- Conclusión

Por todo lo expuesto, habida cuenta la postura de la AEPD, se obliga a los prestadores de servicios adaptar las Políticas de cookies conforme al RGPD a fin de reforzar el consentimiento informado de los usuarios, como por ejemplo a través de la inclusión de un panel de configuración.  Por ello, ya tenemos motivos para incluir en el listado de tareas la revisión y, en su caso, actualización de las políticas de cookies sin relajarnos demasiado a la espera de la aprobación del Reglamento de ePrivacy.