Uso de cookies, nuevos criterios a aplicar antes de 2024

La Agencia Española de Protección de Datos (AEPD) ha actualizado sus valoraciones respecto del uso de cookies, a raíz de la publicación, en febrero de este año 2023, de las Directrices 03/2022 sobre patrones engañosos en redes sociales por parte del Comité Europeo de Protección de Datos (EPDB).

En este sentido, en un artículo anterior, hicimos una valoración de las directrices marcadas por la European Data Protection Board (EPDB) en enero de este mismo año, respecto del banner de cookies, y los puntos de atención en cuanto a forma y diseño de la obtención del consentimiento de los usuarios para el tratamiento online de sus datos.

Por lo que respecta al uso de cookies, antes de analizar cuál es su correcto manejo conforme a la Agencia Española de Protección de Datos, debemos partir de una mínima definición y reseña de los tipos de estas.

Tipos de cookies

Como definición, podríamos decir que una cookie es cualquier tipo de dispositivo de almacenamiento y recuperación de datos que se utilice en el equipo terminal de un usuario con la finalidad de almacenar información, y recuperar la ya almacenada.

Tras esta definición, en la práctica encontramos varios tipos de cookie que, generalmente, se clasifican como veremos a continuación.

Según quién las gestione

1. Propias: el responsable es el propio editor del sitio,
2. De terceros: el responsable es una entidad distinta y, generalmente, se envían al equipo del usuario desde un equipo o dominio no gestionado por el editor.

Según su finalidad

1. Técnicas (o necesarias): permiten la navegación del usuario por el sitio web.
2. De personalización: permiten recordar información para que el usuario acceda al servicio con ciertas características que diferencien su experiencia de la de otros usuarios (idioma, número de resultado que se muestran en una búsqueda, el aspecto del contenido del sitio…).
3. Analíticas: permiten el seguimiento y análisis del comportamiento de los usuarios en el sitio web.
4. Publicitarias: almacenan información del comportamiento de los usuarios a través de la observación continuada de sus hábitos de navegación.

Según el plazo que permanecen activas

1. De sesión: diseñadas para recabar y almacenar datos mientras el usuario accede a un sitio web. Desaparecen al terminar la sesión.
2. Persistentes: los datos siguen almacenados en el terminal y pueden ser accedidos y tratados durante un período definido por el responsable de la cookie, y que puede ir de unos minutos a varios años.

Toda esta información debe ser facilitada de manera clara, concisa, transparente e inteligible al usuario por medio de:

• Banner de cookies, en una primera capa.
• Política de cookies, en una segunda.

Además, debe facilitarse al máximo que esté informado sobre la definición, tipos de cookies utilizados en nuestro sitio web y su finalidad, forma de aceptar, denegar o revocar el consentimiento para el uso de cookies, posibles transferencias de datos a terceros países, etc.

Modificación del criterio de la AEPD sobre el uso de cookies

Teniendo ahora claro de qué estamos hablando, la Agencia Española de Protección de Datos centra la modificación de su criterio en torno al uso de cookies en tres puntos clave que, a continuación, reseñaremos.

Aceptar o rechazar cookies

En primer lugar, nos habla de las acciones de «ACEPTAR» o «RECHAZAR» cookies. Este punto ya fue aclarado en su día por la EPDB, cuando se determinó que ambas opciones debían mostrarse al mismo nivel, tanto técnico como de formato. Es decir, garantizar que no sea más complicado rechazar que aceptar, o que no resalte por tamaño, color o forma una opción sobre la otra.

Uso de cookies de personalización

En segundo lugar, se centra en las cookies de personalización y diferencia dos supuestos claros:

1. Un primero en que sea el usuario que tome decisiones sobre ellas. En este caso hablaríamos de cuando accedemos a una página web y tenemos la posibilidad de elegir el idioma, o la moneda en que se nos muestran los precios si hablamos de un e-commerce. Estos supuestos se encuadran dentro de las cookies técnicas y, por tanto, necesarias para la navegación, por lo que no requiere de consentimiento del usuario.
2. Un segundo supuesto, en el que es el editor (del sitio) el que adopta decisiones sobre este tipo de cookies, basándose en la información que obtiene del usuario. En este caso sí deberá informar de ello, incluyendo información suficiente y clara, y ofreciendo la opción de aceptarlas o rechazarlas.

Muros de cookies

Por último, respecto de los muros de cookies, ya se reconocía anteriormente que era necesario dar la opción de otorgar el consentimiento libremente, en el sentido de que esta acción no debía ser requisito para el acceso al servicio y sus funcionalidades.

Alternativa no gratuita de acceso

Conforme a lo anterior, podrían darse supuestos en que la no aceptación de las cookies impidiese el acceso a todas las funcionalidades del sitio web, siempre que el usuario fuese debidamente informado al respecto y se ofreciese una alternativa de acceso sin que hubiese mediado dicha aceptación.

La novedad se establece respecto de la posibilidad de que esa opción alternativa no sea gratuita para el usuario, siempre que sean «genuinamente equivalentes» y que la alternativa sea prestada por el editor, y no por un tercero ajeno.

Todo esto es relevante ya que estos criterios de uso de cookies, declarados por la AEPD en esta guía, deben estar implementados antes del 11 de enero de 2024.

Cada vez queda mas claro que debemos prestar atención a los criterios bajo los que prestamos, o incluso presentamos, nuestros servicios o nuestros datos online.

Desde el Área de Servicios de protección de datos de Vento Abogados & Asesores ofrecemos el asesoramiento necesario para cumplir con estos requerimientos sobre el uso de cookies.