La Agencia Española de Protección de Datos (AEPD) ha actualizado su Guía sobre el uso de las cookies en Internet incidiendo en la necesidad de que el usuario pueda gestionarlas «sin que sea más complicado rechazarlas que aceptarlas», así como detallando cómo se han de mostrar estas opciones y el lugar en el que deben aparecer.
En este sentido, este manual se ha renovado adaptándose a las nuevas directrices adoptadas por el Comité Europeo de Protección de Datos, que se publicaron en el mes de febrero en el documento Directrices 03/2022 sobre patrones de diseño engañosos en las interfaces de las plataformas de redes sociales.
Así, tal y como ha explicado la AEPD en un comunicado, lo recogido en la Guía deberá implementarse en un periodo transitorio de seis meses, que comienza este mes de julio y tiene como límite el 11 de enero de 2024.
Entre las nuevas directrices incluidas, se hace hincapié en las acciones relativas a aceptar o rechazar las cookies. Según ha detallado la AEPD, las opciones de ‘Aceptar’ o ‘Rechazar’ se han de mostrar en un lugar concreto y con un formato destacado, dentro de la interfaz de la página web en la que se esté navegando.
Para ello, la Guía también incluye ejemplos sobre cómo deben mostrarse las opciones, con especificaciones sobre el color de la notificación y el tamaño. Por ejemplo, el color y contraste del texto con los botones «no podrá ser engañoso para los usuarios». Es decir, no será válido que la opción para rechazar las ‘cookies’ sea un botón con un texto que no contraste lo suficiente con el color del botón y, por tanto, no se pueda leer.
En concreto, la AEPD señala que la información debe ser concisa, transparente e inteligente. Esto es, utilizar un lenguaje claro y sencillo, de forma que pueda ser entendido por un usuario medio. Por ejemplo, cuanto menor sea el nivel técnico del usuario medio de esa web, más sencillo deberá ser el lenguaje utilizado.
En este marco, no serían válidas frases como ‘usamos cookies para personalizar su contenido y crear una mejor experiencia para usted» o ‘podemos utilizar sus datos personales para ofrecer servicios personalizados’. De hecho, la Guía detalla que se deben evitar los términos que hagan dudar como «puede», «podría», «algún», «a menudo» y «posible».
Por otra parte, la información necesaria para que los usuarios comprendan la función de las cookies en cada página ha de ser de fácil acceso. «El usuario no debe buscar la información, sino que debe ser evidente el dónde y cómo puede acceder», aclara la AEPD. Por ejemplo, se puede proporcionar un enlace «claramente visible» que dirija a la información bajo el término cookies o política de cookies.
En este sentido, la información tiene que continuar siendo accesible incluso si el usuario decide dar su consentimiento para el uso de sus cookies y, de hecho, su acceso no debe suponer más de dos clics. Además, esta se facilitará antes del uso de las cookies y deberá mantenerse hasta que se lleve a cabo la opción del consentimiento o su rechazo.
Botones para aceptar o rechazar
En cuanto al modo en el que el usuario puede aceptar, configurar o rechazar el uso de ‘cookies’, la AEPD subraya que la acción de escoger una opción u otra tiene que tener la misma complejidad, de forma que no puede resultar más fácil aceptar las ‘cookies’ que rechazarlas y viceversa.
Para facilitar esta acción, la AEPD indica que se debe utilizar un botón (o un mecanismo equivalente) ‘fácilmente visible’ y que incluya palabras del estilo de ‘Aceptar cookies’, ‘Aceptar’ o ‘Consentir’ para hacer uso de todas las ‘cookies’. Igualmente, este mecanismo se ha de repetir con el mismo formato para la opción de rechazar el uso de ‘cookies’, con el indicativo ‘Rechazar cookies’.
Finalmente, en caso de que el sitio web utilice las ‘cookies’ para distintas finalidades, también se ha de repetir este diseño para la opción de configurar el uso de cookies. Este botón deberá desplegar o llevar a un panel de configuración que permita aceptar o rechazar las cookies de forma «granular». Es decir, que el usuario pueda elegir qué acciones desea aceptar como su uso para análisis o personalización.
‘Cookies’ de personalización
Por otra parte, la AEPD también ha realizado otras modificaciones. En cuanto a las ‘cookies’ de personalización, la guía señala que cuando el usuario toma decisiones sobre ellas, con opciones como la elección del idioma de la web, se trata de «cookies técnicas que no requieren de consentimiento». Esto significa que no pueden ser utilizadas para otras finalidades.
En este marco, también se especifica que cuando es la propia web la que adopta este tipo decisiones sobre las cookies de personalización, basándose en la información que obtiene previamente del usuario, «se deberá notificar ofreciendo de forma destacada la opción de aceptarlas o rechazarlas». Además, en este caso, tampoco se podrían utilizar para otras finalidades.
Muros de ‘cookies’
Finalmente, en cuanto a los muros de ‘cookies’, la nueva versión de la Guía dispone que la alternativa a un sitio web sin necesidad de aceptar las cookies «no tiene porqué ser necesariamente gratuita».
Las páginas web pueden hacer uso de cookies como muro y por tanto podrían darse situaciones en las que al no aceptar el uso de cookies se le impidiese al usuario el acceso al sitio web. Esto puede condicionar a que el usuario tenga que aceptar las cookies.
En este sentido, anteriormente la Guía ya precisaba que, para que el consentimiento pudiera considerarse como «otorgado libremente», el acceso al servicio y a sus funcionalidades no podía estar sujeto a que el usuario consintiese el uso de ‘cookies’.
De cara a solucionar este supuesto, se impuso que el usuario siempre debía estar informado y que se le debía ofrecer por parte de la web una alternativa de acceso sin necesidad de aceptar el uso de cookies. Ahora, la nueva versión de la guía aclara que dicha alternativa «no tendrá por qué ser necesariamente gratuita».
