La Agencia Española de Protección de Datos (AEPD) ha introducido nuevas obligaciones respecto al uso de cookies en páginas web y aplicaciones, que los responsables del tratamiento deberán cumplir en los próximos meses. En este artículo repasamos y explicamos los principales cambios en la ley de cookies.
En este artículo hablamos de:
La conocida como ley de cookies vino a regular de manera más específica que el RGPD el uso de las cookies en páginas web, aplicaciones y servicios online. En España, además, hablar de esta regulación es hablar de la LSSI y las cookies. Durante los últimos años esta ley ha ido cambiando y evolucionando para adaptarse a los tiempos y el uso que las empresas hacen de las cookies, especialmente de las cookies de terceros y de las cookies de seguimiento, mucho más invasivas con la privacidad de los usuarios que las cookies técnicas.
Ahora, la guía de cookies de la AEPD se actualiza para introducir nuevos cambios y obligaciones para el uso de estos pequeños archivos de código capaces de recabar y registrar una gran cantidad de información personal mientras navegamos, lo que nos lleva a hablar de importantes novedades en la ley de cookies 2023, que afectan especialmente al banner o muro de cookies y a la política de cookies.
Botón de rechazar todo
La nueva guía de cookies introduce un nuevo requisito para el banner de cookies, el aviso que salta siempre que accedemos por primera vez a una página web o aplicación y que nos informa sobre el uso de cookies (o cuando accedemos a ellas tras borrar las cookies). Ahora este banner de cookies debe incluir específicamente un botón para rechazar todas las cookies.
Es decir, ya no basta con tener solo un botón de aceptar todo y otro de configuración, ahora el banner o mensaje de cookies debe contar obligatoriamente con un botón para que los usuarios puedan rechazar todas las cookies de manera sencilla.
Asimismo, el botón de rechazar todas las cookies no puede estar configurado de forma que resulte menos atractivo o visible (por ejemplo, usando otro color o un contraste diferente para dificultar la lectura del texto).
En la imagen que os dejamos a continuación podéis ver que la figura 1 no cumple con este nuevo requisito del botón de rechazar las cookies, puesto que el de aceptar resalta más. Para cumplir esta nueva obligación de la ley de cookies, nuestro banner de cookies debe ser similar al de la figura 2.
Ejemplos de banners de cookies
Siempre que se cumpla con estos nuevos requisitos, las empresas tienen cierta libertad para diseñar su banner o mensaje de cookies y la configuración directamente desde este del uso de cookies de manera individual.
Más transparencia
La nueva guía de cookies de la AEPD también nos recuerda que los responsables del tratamiento deben ser más transparentes con el uso de las cookies, es decir, deben informar mejor sobre la presencia de cookies a los usuarios y utilizar para ello un lenguaje claro y sencillo, evitando tecnicismos o redacciones ambiguas, que impidan que los usuarios sepan con claridad qué cookies usa el sitio web o la aplicación y qué finalidad tienen.
Por lo tanto, la política de cookies deberá complementar al banner de cookies y detallar:
- Qué son las cookies y su función genérica.
- Qué cookies se utilizan, indicando su tipo (técnicas, de seguimiento, de inicio de sesión, comerciales, etc.).
- Su finalidad.
- Quién está detrás de cada cookie, es decir, su titular, y si los datos recabados serán tratados por el responsable del tratamiento o por un tercero.
- Instrucciones sobre cómo aceptar y rechazar las cookies, así como sobre cómo revocar el consentimiento.
- Si se producirán transferencias internacionales de datos.
- Si las cookies se usarán para elaborar perfiles y tomar decisiones automatizadas, informando sobre la lógica utilizada y las consecuencias de las mismas.
Pero, sin duda, uno de los cambios en la ley de cookies más importante es que se introduce la posibilidad de cobrar por no aceptar las cookies, si el usuario quiere acceder a un servicio online. En concreto, la AEPD dice en la nueva guía de cookies 2023:
«Podrán existir determinados supuestos en los que la no aceptación de la utilización de cookies impida el acceso al sitio web o la utilización total o parcial del servicio, siempre que se informe adecuadamente al respecto al usuario y se ofrezca una alternativa, no necesariamente gratuita, de acceso al servicio sin necesidad de aceptar el uso de cookies».
Y matiza que los servicios a los que se acceda a través de aceptar las cookies o la alternativa propuesta en su lugar para quienes no quieran aceptar el uso de cookies, deben ser equivalentes, no siendo válido que el servicio equivalente lo ofrezca una entidad ajena al responsable del tratamiento.
Es decir, parece que la AEPD se suma a la corriente de otras autoridades de control a la hora de permitir los llamados paywalls para el acceso a determinados servicios online, que en vez de usar como moneda de cambio nuestros datos personales usando cookies, podrán cobrar un precio por dicho acceso.
Estos cambios en la ley de cookies vienen promovidos tanto por la Directiva sobre el uso de patrones oscuros de las empresas que publicó el CEPD (Comité Europeo de Protección de Datos) a mediados de 2022, especialmente en lo que respecta a la aceptación de las cookies por parte de los usuarios, como por el borrador de un informe sobre las malas prácticas más habituales cometidas por las empresas para esquivar las obligaciones respecto al uso de cookies, también publicado por el CEPD a principios de 2023.
Tras la publicación de ambos documentos, la AEPD decidió actualizar su guía de cookies en 2023, para introducir las obligaciones que hemos visto más arriba.
De esta forma se regula aún más la forma en que se debe avisar del uso de cookies y sobre cómo debe recabarse el consentimiento para el uso de las mismas.
Estas nuevas obligaciones para el uso de cookies deberán adoptarse antes de enero de 2024, que es la fecha límite para que los responsables del tratamiento (editores de los webs o aplicaciones que usen cookies) adapten sus banners y políticas de cookies a estos nuevos cambios.
No cumplir con estas nuevas obligaciones de la ley de cookies o con cualquier otra obligación sobre el uso de cookies y RGPD tiene como consecuencia multas que van de los 3.000 a los 300.000 euros en España, por lo que ignorar estos cambios de obligado cumplimiento, pueden suponer un serio coste económico para cualquier tipo de empresa o negocio.
Si no tienes claro cómo aplicar estos nuevos cambios de la ley de cookies o cómo redactar de manera adecuada la política de cookies, Grupo Atico34 puede ayudarte a cumplir con la normativa de protección de datos respecto al uso de cookies y resto de obligaciones que como responsable del tratamiento estás obligado a cumplir. Ponte en contacto con nosotros para informarte sobre cómo podemos ayudarte.