La Agencia Española de Protección de Datos (AEPD) ha actualizado la Guía sobre el uso de las cookies para adaptarla a las Directrices sobre consentimiento modificadas en mayo de 2020 por el Comité Europeo de Protección de Datos (CEPD), destacando las siguientes conclusiones:
- No podrá utilizarse la opción “seguir navegando” como forma de prestar el consentimiento por parte de los usuarios.
- No podrán utilizarse los denominados “muros de cookies” que no ofrezcan una alternativa al consentimiento.
No obstante, tal y como se indica por la AEPD “Podrán existir determinados supuestos en los que la no aceptación de la utilización de cookies impida el acceso al sitio web o la utilización total o parcial del servicio, siempre que se informe adecuadamente al respecto al usuario y se ofrezca una alternativa de acceso al servicio sin necesidad de aceptar el uso de cookies. Conforme establecen las Directrices 05/2020 sobre el consentimiento del CEPD, los servicios de ambas alternativas deberán ser genuinamente equivalentes, y además no será válido que el servicio equivalente lo ofrezca una entidad ajena al editor”.
Para dar cumplimiento a las obligaciones impuestas en la LSSICE respecto a la utilización de cookies, esto es, el deber de información y la obtención del consentimiento oportuno por capas, deberá procederse conforme al siguiente esquema. Cuando se acceda a la página en una primera capa se mostrará la información esencial, que quedará completada, en una segunda capa, mediante un hipervínculo en el que se ofrezca información adicional sobre las cookies. Las cookies, ya sean propias o de terceros, no se cargarán hasta que no sean aceptadas por los usuarios en la primera capa.
- Primera capa, en formato visible para el usuario que deberá mantenerse hasta que realice la acción requerida para la obtención del consentimiento, con la siguiente información:
- Advertencia del uso de cookies que se instalan al navegar por la web o al utilizar el servicio solicitado.
- Determinación de las finalidades de las cookies que se instalan, informando si son propias y/o de terceros.
- Inclusión de casillas de aceptación/rechazo/configuración de cookies, se implementarán tres botones: uno para aceptar todas las cookies, otro para rechazarlas y otro para configurarlas, disponiendo en este último caso en el panel de configuración de un botón que dé la posibilidad de “rechazar todas las cookies” e implementarse siguiendo cualquiera de los ejemplos detallados por la Agencia Española de Protección de Datos en la Guía de Cookies, recientemente publicada, debiendo observarse, entre otros, los siguientes aspectos:
- Procedimiento operativo para aceptar o denegar la carga de cookies en base a la decisión tomada por el usuario, en el que se determine de manera concisa y transparente la elección del usuario.
- Procedimiento de aceptación granular de cookies, donde se habiliten una serie de casillas para que el usuario acepte o no acepte la carga de las cookies de la web, agrupadas por finalidades. En ningún caso son admisibles las casillas premarcadas a favor de aceptar cookies. Habría un botón para aceptar las cookies y otro para configurarlas, teniendo en cuenta que en el panel de configuración deberá haber un botón que dé la posibilidad de “rechazar todas las cookies”.
- La información se facilitará antes del uso de las cookies, a través de un formato que sea visible para el usuario y que deberá mantenerse hasta que el usuario realice la acción requerida para la obtención del consentimiento o su rechazo.
- Enlace a la segunda capa con información adicional.
- Por otro lado, respecto a la “actualización del consentimiento”, se destaca como buena práctica que la validez del mismo para el uso de una determinada cookie no tenga una duración superior a 24 meses y que, durante este tiempo, se conserve la selección realizada por el usuario sobre sus preferencias, sin que se le solicite un nuevo consentimiento cada vez que visite la página en cuestión.
- Segunda capa, con la siguiente información (Política de cookies):
- Definición y función de las cookies.
- Tipo de cookies que utiliza la web y su finalidad.
- Identificación de quién utiliza las cookies, ya sean propias o de terceros.
- Información sobre cómo desactivar o eliminar las cookies, así como la forma de revocar el consentimiento prestado.
- En caso de que cambien las características o los fines de uso de las cookies, tras haber obtenido el consentimiento oportuno, deberá informarse a los usuarios sobre los cambios permitiéndoles tomar una nueva decisión.
La política de cookies deberá ser clara y estar siempre visible y permanente, dando la opción al usuario de aceptarla o no. Asimismo, además de lo anterior, deberá incorporarse en la web un link que incluya el texto que conste en la segunda capa, pudiendo colocarse en el marco inferior de la página junto al aviso legal y la política de privacidad, permaneciendo visible durante todo el proceso de navegación. De esta forma, siempre podrá ser consultada, aunque se haya aceptado. La política de cookies deberá estar siempre actualizada (uso de nuevas cookies, finalidades de uso…). Asimismo, los enlaces que se incluyan en la política de cookies deberán ser actualizados ante cualquier cambio que pueda tener lugar.
La política de cookies estará formada por dos capas, procedimiento que deberá ajustarse a las directrices contenidas en la Guía de cookies elaborada por la Agencia Española de Protección de Datos. Se habilitará, por tanto, una primera capa para que el usuario pueda manifestarse en torno a su aceptación/rechazo/configuración previamente a que se carguen las cookies y en la segunda capa incorporar toda la información correspondiente a la política de cookies, siguiendo las indicaciones expuestas en el resumen de la Guía de cookies anteriormente indicada, denominado “Resumen-guia-cookies-con-ejemplos-Prodat”. Asimismo, habrá que habilitar un enlace permanente con la información de la política de cookies, cuyo fin es que el usuario pueda consultarla en cualquier momento.
En la web, tal y como puede comprobarse en la siguiente impresión de pantalla, se ha habilitado un enlace permanente denominado “Política de cookies” cuyo contenido deberá ser completado con la información propuesta en el documento denominado “Resumen-guia-cookies-con-ejemplos-Prodat” en el que se incluye un ejemplo de política de cookies, que deberá adaptarse conforme a las cookies incorporadas en la web de Ari Maquinaria Córdoba, S.L.
Respecto al análisis de las cookies detectadas conforme a la revisión técnica realizada, se indica lo siguiente:
- Método utilizado: consola de Google Chrome en sesión modo incógnito.
Al comienzo de la navegación por el portal, no se observan cookies en el dominio.
Fig. 1. – Reporte de cookies inicio de navegación (Consola de Chrome).
Tras revisar el resto de las páginas del dominio, se han cargado una serie de cookies, concretamente, dos de sesión y dos permanentes. Será necesario determinar si las cookies que no son de sesión cumplen lo dispuesto en la guía de la Agencia Española de Protección de Datos para la gestión de cookies o de lo contrario será necesario solicitar el consentimiento previo antes de la carga en la página web. Para ello sería necesario un primer banner informativo, según lo indicado por la AEPD, que enlace a la política de cookies. Asimismo, en su caso, será necesario insertar los botones para poder prestar o denegar el consentimiento de instalación de cookies (configuración granular) en esta primera capa de información y que realicen la función determinada.
Fig. 2. – Reporte de cookies durante la navegación.
Procedimiento:
- Implementar un procedimiento de aceptación o denegación de instalación de cookies y su configuración granular para seleccionar, aceptar o rechazar las cookies antes de que el usuario siga navegando por el portal web, de forma que esté habilitado y sea operativo, ya que no basta con mostrar los mensajes informativos. En este sentido, tal y como indica la Agencia Española de Protección de Datos, en el aviso de cookies debe aparecer como mínimo “información sobre las cookies que se instalan y un mecanismo que permita habilitar o rechazar todas las cookies y otro para habilitar las cookies de forma granular para poder administrar las preferencias del usuario”.
- Completar la primera y segunda capa de cookies con la información pendiente.
- En el link a pie de la página denominado “Política de Cookies” deberá incorporarse el texto definitivo que conste en la segunda capa de información tras las modificaciones oportunas.
Para la adaptación del aviso de cookies y su segunda capa de información podrá consultarse el documento denominado “Resumen-guia-cookies-con-ejemplos-Prodat” que contiene un resumen de la Guía de cookies publicada por la Agencia Española de Protección de Datos. En dicho documento, se detallan varios ejemplos para la primera capa o aviso de cookies, además de la estructura a seguir para la redacción de la segunda capa.