Como consecuencia del nuevo paradigma normativo, la Agencia Española de Protección de Datos (en adelante, AEPD), ha publicado este pasado 8 de noviembre una nueva Guía sobre el uso de las cookies, con el fin de ofrecer las orientaciones oportunas para poder cumplir correctamente con la legislación en materia de protección de datos, a raíz de la plena aplicación del Reglamento General de Protección de Datos (en adelante, RGPD), y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos y garantía de los derechos digitales, así como con el artículo 22.2 de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (LSSI).

El apartado segundo del artículo 22 de la LSSI establece que se debe facilitar a los usuarios información clara y completa sobre la utilización de los dispositivos de almacenamiento y recuperación de datos y, en particular, sobre los fines del tratamiento de los datos.

La información sobre las cookies facilitada en el momento de solicitar el consentimiento debe ser suficientemente completa para permitir a los usuarios entender sus finalidades y el uso que se les dará.

Esta primera información se facilitará antes del uso de las cookies, incluida, en su caso, su instalación, a través de un formato que sea visible para el usuario y que deberá mantenerse hasta que el usuario realice la acción requerida para la obtención del consentimiento o su rechazo.

Uno de los mecanismos de información es acudir a la información por niveles o capas de forma que se muestre la información esencial en una primera capa, cuando se accede a la página o aplicación, y completarla en una segunda capa mediante una página en la que se ofrezca información más detallada y específica sobre las cookies.

Es importante señalar las MODALIDADES PARA LA OBTENCIÓN DEL CONSENTIMIENTO PARA EL USO DE LAS COOKIES que recoge la Guía, a fin de determinar aquellos métodos más apropiados para cumplir con la normativa, y que serían los siguientes:

  • Cuando se solicite el alta en un servicio, siempre y cuando el consentimiento se encuentre de manera separada y no se encuentre junto con el resto de las cláusulas legales de la web.
  • Durante el proceso de configuración del funcionamiento de la web o aplicación.
  • A través de plataformas de gestión del consentimiento, siempre y cuando éstas cumplan los requisitos y garantías necesarias, tales como:
    1. Informar previamente al usuario de una manera clara, cumpliendo así con los requisitos de transparencia.
    2. Obtener el consentimiento válido de los usuarios, mediante una clara acción afirmativa por parte de éstos.
    3. Respetar la solicitud del usuario en cuanto al consentimiento, así como proporcionarles los mecanismos necesarios y atender a su derecho de revocación del consentimiento.
  • Antes de proceder a la descarga de un servicio o aplicación en la web, salvo en el supuesto de que una web ofrezca contenidos audiovisuales, al entenderse que, en tal supuesto, el propio usuario ha sido quien ha solicitado expresamente el servicio, supuesto en el cual no sería necesario requerirle su consentimiento.
  • A través de la información en dos capas, debiendo incluirse en la primera capa la petición del consentimiento para el uso de las cookies.

Este mecanismo de información por capas es uno de los métodos más habituales empleados parte de los prestadores de servicios de la sociedad de la información a la hora de solicitar el consentimiento a los usuarios para la aceptación de las cookies, así como para informar acerca de la información básica (recogida en la primera capa) y la información adicional requerida (recogida en la segunda capa).

¿Qué deberá contener la primera capa?

Publicado en Blog

En las últimas semanas, las Cookies han sido un tema de tendencia a raíz de la sentencia del Tribunal de Justicia de la Unión Europea (TJUE) en el Asunto C-673/17 Bundesverband der Verbraucherzentralen und Verbraucherverbände — Verbraucherzentrale Bundesverband Ev Y Planet49 GmbH. En este asunto, la sociedad alemana Planet 49, en el marco de juegos con fines promocionales organizados en línea, procedió a la configuración de una casilla marcada por defecto con la que los internautas que deseaban participar en dicho juego expresaban su consentimiento para la colocación de cookies, con el fin de recabar información con fines publicitarios para los productos de las empresas colaboradoras de Planet49.

En esta resolución, el TJUE declara que el consentimiento que el usuario de un sitio de Internet debe dar para la instalación de cookies en su equipo y la consulta de éstas no se presta de manera válida mediante una casilla marcada por defecto, requiriendo la intervención del interesado para evitar esta aceptación.

También subraya que el consentimiento debe ser específico, de modo que el hecho de que un usuario active el botón de participación en el juego organizado por Planet49 con fines promocionales, no basta para considerar que este ha dado de manera válida su consentimiento para la instalación de cookies.

Es cierto que esta sentencia ha gozado de mucha difusión y se ha presentado como una resolución muy novedosa, tal vez porque el TJUE ha entrado de lleno en uno de los aspectos más polémicos que afecta de manera directa a los usuarios cuando hacen uso de la navegación online. Sin embargo, al fin y al cabo el Tribunal ha aplicado el Reglamento Europeo de Protección de Datos (RGPD), y en concreto ha tenido en cuenta los requisitos que la norma europea establece para recabar de forma válida el consentimiento de los interesados (art. 8 y Considerando 32).

Asimismo, el Grupo de Trabajo del artículo 29 (GT29), configurado actualmente como Comité Europeo de Protección de Datos, en sus Directrices sobre el consentimiento conforme a RGPD (puedes ver un artículo sobre su análisis aquí), ya dejaba claro que no son válidas las construcciones de exclusión voluntaria (opt-out boxes). Es decir, que requieren una intervención del interesado para evitar el tratamiento.

De igual modo, manifestaba que deben evitarse prácticas tales como incorporar casillas pre-marcadas en los procedimientos de gestión del consentimiento, pues el RGPD exige que el consentimiento debe otorgarse mediante una clara acción afirmativa que refleje una manifestación de voluntad libre, específica, informada, e inequívoca del interesado.

Y si esta Sentencia del TJUE se convertía en noticia en los medios de comunicación hace unas semanas, estos días hemos podido ver las redes sociales inundadas con publicaciones acerca de la resolución de la AEPD en el Procedimiento Nº: PS/00300/2019 sancionando a la conocida aerolínea Vueling, por no recabar el consentimiento de los usuarios de manera correcta para la instalación de cookies en su página web.  

¿En qué fundamenta la AEPD su decisión?

Publicado en Blog

Nuestros Servicios

lopd

Protección de Datos

ver más +
Adec. web

Web, Apps, e-commerce

ver más +
compliance

Compliance

ver más +
mantenimiento

Seguridad de la información

ver más +
formacion

Formación

ver más +
play

prodat securityperson

DPD/DPO EXTERNALIZADO PRODAT EXTERNALIZACION DE LA FIGURA DEL DELEGADO DE PROTECIÓN DE DATOS

Prodat pone a su disposición el servicio de “DPO externalizado”. Prodat DPO realiza todas las funciones de obligado cumplimiento en algunas organizaciones públicas y privadas para que puedan concentrase en su negocio , con la tranquilidad de un servicio especializado...

prodatnou

NUEVA PLATAFORMA DE GESTION DE LA PRIVACIDAD PRODAT PRIVACY COREBOS

Como evolución natural de su anterior plataforma software de privacidad , surge para cumplir con las nuevas exigencias del RGPD Europeo
Con tecnología CoreBos y adaptada a las ventajas de los servicios en la nube. Esta herramienta constituye desde hace más de una década el corazón tecnológico de Prodat...

prodat securityformation

FORMACIÓN LA MEJOR HERRAMIENTA DE CUMPLIMIENTO RGPD

La finalidad esencial de la FORMACIÓN RGPD-PRODAT es difundir entre el personal de su organización la puesta en práctica de las reglas y procedimientos necesarios para el cumplimiento de lo establecido por la legislación vigente en materia de protección de datos principalmente adaptado a su sector de actividad...

Delegación  Galicia Delegación  Asturias Delegación Cantabria Delegación Euskadi Delegación Navarra Delegación  La Rioja Delegación Aragon Delegación Cataluña Delegación  Valencia Delegación Alicante Delegación Baleares Delegación Murcia Delegación  Castilla y León Delegación  Madrid Delegación  Castilla la Mancha Delegación  Extremadura Delegación Huelva Delegación  Cádiz Delegación Sevilla Delegación Málaga Delegación de Tenerife Delegación Las Palmas Delegación Portugal