fbpx

¿Cómo debe ser un banner de cookies para cumplir con la normativa?

Fernando Sánchez Vázquez
El Comité Europeo de Protección de Datos ha publicado un informe sobre el banner de cookies, valorando las reclamaciones recibidas al respecto
El banner de cookies debe expresar con claridad los derechos del usuario


Vamos a empezar por el principio: ¿Qué es un banner de cookies?

Estamos cansados de verlo cuando accedemos a un sitio web. El banner de cookies es ese aviso inicial (renglón en la parte inferior o que aparece como una animación – pop-up -) que nos informa de las cookies que, desde ese momento, utiliza esa página web y solicita nuestro «consentimiento» para llevar a cabo ese tratamiento.

Legalmente, los requisitos de ese banner de cookies consisten en informar sobre:

  • Las finalidades del uso de las cookies.
  • El tipo de datos que se van a recopilar
  • La forma en que el usuario puede aceptar, configurar o rechazar el uso de las cookies.

Y, por último, incluir un enlace a la política de cookies. Bien a la política completa, o bien a la información de segunda capa.

1. ¿Qué es la segunda capa?

En el banner de cookies podemos diferencia dos «capas» o esferas de información:

  1. Una primera capa, que es la información que vemos en el primer momento en el propio banner de cookies.
  2. Una «segunda capa» que habitualmente se constituye en lo que se conoce como política de cookies.

El objetivo de esta obligación es recabar el consentimiento expreso del usuario, después de haber sido informado, respetando la navegación en los casos en que se rechacen (o no acepten) las cookies no necesarias o indispensables para el correcto funcionamiento.

2. Novedades del informe sobre el banner de cookies del Comité Europeo de Protección de Datos

El Comité Europeo de Protección de Datos (EDPB) ha publicado un informe sobre el banner de cookies, recopilando y valorando las reclamaciones que ha recibido sobre esta cuestión.

Así, ha analizado las miles de reclamaciones que efectúan los usuarios y las malas prácticas que se siguen produciendo.

Como fruto de este trabajo, el informe (de carácter no vinculante) que recopila los incumplimientos y reclamaciones más habituales recibidas por el NOYB (Centro Europeo de Derechos Digitales), sobre la información y opciones que lo sitos web deben poner a disposición del usuario se refiere. Y ha emitido aclaraciones sobre los requisitos que se deben cumplir en lo que respecta al banner de cookies:

  1. Parte, en primer lugar, de la aclaración respecto de la normativa aplicable en España. Confirmando lo que, desde el Área de Startups y Protección de datos de Vento ya hemos comentado, al sostener que las cookies están reguladas por la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (LSSI). Entrando en juego el RGPD en lo que al tratamiento de datos se refiere.
  2. Y, en segundo lugar, de la confirmación lógica conforme al principio de minimización. Esto es, ninguna cookie no necesaria e indispensable puede instalarse por defecto, sin consentimiento del usuario.
El banner de cookies debe facilitar la posibilidad de que los usuarios retiren su consentimiento al tratamiento

3. Prácticas habituales que incumplen la normativa sobre el banner de cookies

En este sentido, el informe plantea una serie de escenarios que se encuentran con mayor o menor habitualidad en los sitios web que visitamos a diario y que, no estando conforme a derecho, suponen un incumplimiento de la legalidad vigente respecto del banner de cookies.

A continuación, reseñamos brevemente estos supuestos:

3.1. No existe la opción rechazar

La primera de las practicas habituales, que no cumplen con la normativa, son los supuestos en que en la «primera capa» se informa de las cookies. Pero junto con la opción de aceptar el tratamiento no se recoge una opción de «rechazar».

A sensu contrario, queda claro que el banner de cookies debe incluir, a parte de la información suficiente sobre los tratamientos que se llevarán a cabo durante la navegación, tanto la opción de Aceptar como de Rechazar el tratamiento. «El consentimiento debe ser expresado con una acción positiva por parte del usuario» y, como ya decíamos, ninguna cookie no necesaria puede instalarse sin este consentimiento informado y expreso.

3.2. Casillas premarcadas

Otra opción no válida que se destaca en el informe son los supuestos en que la primera capa especifica las distintas cookies utilizadas (incluyendo las indispensables y las que no lo son) con casillas premarcadas. De forma que puede dar pie a equívocos aceptándolas todas y, por tanto, no se puede considerar un consentimiento válido.

3.3. Dar la impresión de que es necesario aceptar el tratamiento para entrar en la web

La tercera práctica no admitida se refiere, en primer lugar, al diseño del banner de cookies en el sentido de que este no puede dar la impresión al usuario (en el primer vistazo) de que tiene que dar su consentimiento para poder acceder al contenido del sitio web.

Esta situación nos la podemos encontrar con diseños que destacan sobremanera la opción de Aceptar, por tamaño de letra, color, ubicación, etc.

3.4. Hacer referencia al interés del responsable

En la segunda capa, no puede hacerse referencia al interés, supuestamente legítimo, del responsable. Dado que puede llevar a confusión al usuario, una vez más entendiendo que debe aceptar.

Hablamos de estos supuestos cuando nos encontramos con referencias al uso de determinadas cookies con fines como «crear contenido personalizado según el perfil del usuario» o «seleccionar y mostrar anuncios personalizados durante la navegación».

3.5. Falta de precisión en la clasificación de las cookies

A la hora de diseñar el banner de cookies, se debe ser preciso con la clasificación de las cookies. En términos de diferenciar las necesarias o estrictamente necesarias de las que no lo son.

El comité ha apreciado supuestos en que se disfrazan como necesarias cookies que en realidad no lo son, y esto no es acorde a la regulación.

3.6. Trabas para retirar el consentimiento

Por último, el informe reseña un aspecto que, si bien se incluye en la política de cookies, no es tan habitual como debería en los banners que nos encontramos cuando navegamos por internet.

En este sentido, hablamos de establecer soluciones sencillas, dinámicas y accesibles que permitan que los usuarios retiren su consentimiento (si así lo desean) en cualquier momento.

Esta solución debe aportarse en dos esferas:

  1. Informativa. Dejando claro que todo usuario cuenta con este derecho, y cuándo y cómo puede ejercerlo.
  2. Diseño en el banner de cookies. Por medio de icono de click o enlace ubicado de forma clara y visible.

4. Una sanción de 5 millones de euros a TikTok

Un ejemplo claro y reciente de los problemas que derivan de los incumplimientos hasta aquí expuestos sería la sanción de 5 millones de euros que ha recaído sobre TikTok en el procedimiento dirigido por La Comisión Nacional de Informática y Libertades de Francia (CNIL).

La Autoridad francesa basa la sanción en dos cuestiones:

  1. La dificultad para el rechazo del tratamiento (como comentábamos en el primero de los supuestos que reseñábamos anteriormente). Fundamentalmente reconoce la Autoridad que, si bien ofrecía la aceptación de cookies en un solo click, no implementaba una solución equivalente para el rechazo de las mismas, y reconoce que «fueron necesarios varios clicks para rechazar todas las cookies, contra uno solo para aceptarlas».
  2. Información insuficientemente clara respecto del fin y usos del tratamiento de datos. En este sentido, se considera que el usuario no es debida y suficientemente informado en relación con los tipos y usos de las cookies utilizadas por la plataforma. Comentábamos esta cuestión en los supuestos tres, cuatro y cinco, al hablar de información suficiente, de equiparar las opciones de aceptación y rechazo, y justificar de manera evidente la legitimación del responsable para el tratamiento que pretende llevar a cabo.

También cabe apuntar que la cuantía de la sanción deriva asimismo de que la CNIL había comunicado en repetidas ocasiones a TikTok la necesidad de modificar y adaptar su procedimiento para recabar consentimiento ya que no se adecuaba a la normativa en protección de datos.

5. Conclusiones sobre cómo deben ser los banners de cookies

Habida cuenta de lo que hemos expuesto a lo largo de este artículo, podemos sostener que es tan importante la elaboración de unos textos legales (política de cookies, privacidad y aviso legal) acordes a la regulación, como la creación de un banner de cookies que se ajuste a la norma en términos de:

  • Información.
  • Claridad.
  • Respeto a los derechos que puede ejercer el usuario.
  • Diseño.

Todo ello tanto desde el punto de vista de la empresa (intentando evitar posibles sanciones) como del usuario (ya que estamos hablando de una puerta de entrada al tratamiento de sus datos personales).

Autor