Aclaraciones del CEPD sobre el uso de las cookies

Publicado el miércoles, 15 febrero 2023

Ivan Roda, Departamento de IT & IP de DS Durán-Sindreu

Ivan Roda

Transcurrido más de un año desde la creación por parte del Comité Europeo de Protección de Datos (“CEPD”) de un grupo de trabajo con el fin de coordinar las respuestas que debían dar las autoridades de control ante diversas reclamaciones en relación con el uso de cookies, el pasado 17 de enero del corriente el citado CEPD ha aprobado un informe sobre las tareas que ha estado llevando a cabo el grupo de trabajo indicado y en el que se analizan diversos supuestos relacionados con uso de las cookies y el banner informativo.

Recordemos que las indicadas reclamaciones habían sido presentadas por la organización sin ánimo de lucro “NOYB”, fundada por Max Schrems, conocido por las resoluciones emitidas por el Tribunal de Justicia de la Unión Europea en relación con las transferencias de datos a Estados Unidos mediante el Privacy Shield.

Destacamos los principales supuestos recogidos en el citado informe por parte del CEPD:

  • Supuesto 1: Ausencia de un botón de rechazar en la primera capa informativa

A raíz de las reclamaciones presentadas, el CEPD ha detectado que algunos responsables del tratamiento incluyen en los banners de cookies un botón para aceptarlas todas y otro botón para ver más opciones, sin incluir un banner para rechazar todas las cookies.

Al respecto, la mayoría de las autoridades de control que participaron en el grupo de trabajo consideraron que la ausencia de un botón para rechazar o no consentir el uso de cookies en la misma capa informativa en la que se encuentra el botón de aceptar constituye una infracción de la normativa aplicable.

Sin embargo, algunas autoridades consideraron que no podía entenderse como una infracción ya que el artículo 5.3. de la Directiva ePrivacy no menciona explícitamente la necesidad de incorporar una opción de “rechazar” para instalar y hacer uso de cookies.

  • Supuesto 2: Uso de casillas preseleccionadas

Otra de las situaciones más comunes que ha detectado el grupo de trabajo es en relación con el uso de casillas preseleccionadas en la segunda capa informativa que aparece tras presionar el botón de “Configurar” o similar.

Sobre este tipo de prácticas, todos los miembros del grupo de trabajo han acordado que las casillas preseleccionadas no constituyen una forma válida de recogida del consentimiento, teniendo en cuenta lo establecido tanto por el RGPD como por la Directiva ePrivacy.

  • Supuesto 3: Diseño engañoso mediante el uso de enlaces

En algunos diseños de banners de cookies el grupo de trabajo detectó que, si bien existía un botón para aceptar todas las cookies, para poder rechazarlas se incluía un enlace directo o un enlace a la segunda capa.

En cuanto a este tipo de prácticas, todos los miembros consideraron que, para que el consentimiento sea válido, debe ser igual de fácil y visual no consentir que otorgar el consentimiento. Por ello, si para aceptar las cookies existe un botón o cualquier elemento visual, para rechazarlas también deberá existir ese mismo elemento visual.

  • Supuesto 4: Uso de colores y contrastes engañosos

El cuarto supuesto que analiza el grupo de trabajo está relacionado con el uso de determinados colores o contrastes de colores que hacen destacar de forma visual la opción de otorgar el consentimiento respecto al resto, ya sea “configurar las cookies” o “rechazarlas”.

Según el grupo de trabajo, estas prácticas deben ser analizadas caso por caso, ya que no puede imponerse un estándar en relación con el uso de determinados colores y contrastes. No obstante lo anterior, en el informe del CEPD se hace mención a una práctica manifiestamente engañosa consistente en el uso de un color tan similar o un contraste tan mínimo que el texto de los botones puede llegar a ser ininteligible y, por lo tanto, se estaría induciendo al usuario a seleccionar una determinada opción.

  • Supuesto 5: Cookies “esenciales” clasificadas incorrectamente

En sexto lugar, el grupo de trabajo ha detectado que algunos responsables del tratamiento han clasificado como “esenciales” o “estrictamente necesarias” algunas cookies con finalidades que no se consideran esenciales o necesarias. En relación con este punto, los miembros han manifestado la dificultad de determinar qué cookies son esenciales, por lo que deberá seguirse lo dispuesto en el Dictamen 4/2012 sobre la exención del requisito de consentimiento de cookies para su clasificación.

  • Supuesto 6: Ausencia de icono de retirada del consentimiento

Por último, el grupo de trabajo ha descubierto que, en algunos casos, una vez el usuario ha otorgado el consentimiento, resulta muy difícil retirarlo ya que el banner de cookies desaparece y no pueden realizarse nuevos ajustes.

En estos casos ha de tenerse en cuenta que la Directiva ePrivacy, para considerar el consentimiento como válido, exige (i) que el consentimiento se pueda retirar; (ii) que pueda hacerse en cualquier momento; y (iii) que sea igual de fácil retirarlo que otorgarlo. Por ello, deberán establecerse mecanismos accesibles para poder retirar el consentimiento para el uso de las cookies en cualquier momento.

Si bien los criterios anteriores no constituyen recomendaciones de las autoridades de control, sí reflejan los criterios interpretativos que podrán seguir dichos organismos, como la Agencia Española de Protección de Datos, con el fin de sancionar determinadas prácticas con relación al uso de cookies por parte de las empresas y que pueden ir en contra de lo establecido en la normativa de protección de datos.

Sobre el autor
Redacción

La redacción de Lawyerpress NOTICIAS la componen periodistas de reconocido prestigio y experiencia profesional. Encabezado por Hans A. Böck como Editor y codirigido por Núria Ribas. Nos puede contactar en redaccion@lawyerpress.com y seguirnos en Twitter en @newsjuridicas

Comenta el articulo