Tras el inicio de la plena aplicación del Reglamento General de Protección de Datos (en adelante RGPD), el pasado 25 de mayo, mucho se ha hablado del consentimiento, del deber de información, pero,

 ¿Y LAS COOKIES? ¿LES AFECTA EL CAMBIO DE LA NUEVA NORMATIVA?

Pues bien, en materia de Cookies, el Art. 22.2 de la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico (en adelante LSSI) remite a lo estipulado en la LOPD, remisión que a partir del 25 de mayo deberá entenderse hecha al RGPD. En este mismo sentido, el Art. 9 del REGLAMENTO DEL PARLAMENTO EUROPEO Y DEL CONSEJO sobre el respeto de la vida privada y la protección de los datos personales en el sector de las comunicaciones electrónicas y por el que se deroga la Directiva 2002/58/CE (Reglamento sobre la privacidad y las comunicaciones electrónicas) remite a lo establecido en el RGPD en materia de consentimiento.

En este sentido, guiándonos por lo recogido en el Art. 13 RGPD y el informe “Principales aspectos de las directrices sobre el consentimiento en virtud del Reglamento General de Protección de Datos, de las autoridades europeas de protección de datos y  del Grupo de Trabajo del Artículo 29 (refrendado por la CEPD), podemos establecer los siguientes puntos:

1.)  Las normas que se detallan a continuación son de aplicación para todos los tipos de cookies, salvo las:

• Cookies de “entrada del usuario”
• Cookies de autenticación o identificación de usuario (únicamente de sesión)
• Cookies de seguridad del usuario
• Cookies de sesión de reproductor multimedia
• Cookies de sesión para equilibrar la carga
• Cookies de personalización de la interfaz de usuario
• Cookies de complemento (plug-in) para intercambiar contenidos sociales

 2.)  Las cookies deben descargarse en el ordenador después de que el usuario preste su consentimiento y no antes.

 3.)  El contenido mínimo de la información a mostrar al usuario se refuerza y detalla, debiendo especificar al menos:

• Identidad del responsable: identidad del editor y de terceros;
• Finalidad: analíticas, publicitarias y elaboración de perfiles (si hubiera otras finalidades debería incluirse la información);
• Tipo de datos: especificar claramente si se monitorizan los hábitos de navegación y si se elaboran perfiles.
• Posibilidad de retirada del consentimiento: en cualquier momento y con tanta facilidad como para prestar el consentimiento.
• Decisiones automatizadas: la información está implícita al hacer referencia a la elaboración de perfiles basados en los hábitos de navegación.
• Riesgo de realizar Transferencias Internacionales de Datos sin nivel de adecuación o de garantías apropiadas:

4.)  En cuanto a las posibles fórmulas de presentar esta información al usuario, la Agencia Española de Protección de Datos (en adelante AEPD) planteaba en su 10ª Sesión Anual Abierta del pasado mes de junio:

• Inclusión en la primera capa de: un botón (o mecanismo semejante) para aceptar todas las cookies, otro para rechazarlas y un tercero para configurarlas (este último botón podría ser también un enlace dentro del texto de la primera capa, que permitiría acceder a un panel de configuración en el que el usuario podría optar entre habilitar o no las cookies de forma granular).
• Un botón para aceptar todas las cookies y otro para configurarlas, especificándose ya en esta primera capa que la opción de configurar las cookies sirve también para rechazarlas.

5.)  Por último, en cuando al panel de configuración, podrá integrarse en la segunda capa informativa siempre y cuando el acceso al panel sea directo desde la primera capa, sin que el usuario tenga que navegar dentro de esta segunda capa para localizarlo. Para facilitar la selección, deberá implementarse un botón para habilitar las cookies y, otro para rechazarlas todas, siendo esta opción recomendable cuanto mayor sea el número distinto de cookies que se utilicen.

En conclusión, siempre que las cookies que se utilicen no sean para alguna de las siguientes finalidades:

• Permitir únicamente la comunicación entre el equipo del usuario y la red.
• Estrictamente prestar un servicio expresamente solicitado por el usuario.

Se deberá cumplir con los requisitos de información y consentimiento expuestos anteriormente.

Ana María Ozunu, Consultora GRC Auren