Cómo decíamos el pasado julio (ver post), la Agencia Española de Protección de Datos (AEPD), dio un plazo para implementar los nuevos criterios en cuanto a las cookies (pequeñas informaciones que nos envían los sitios web para, entre otros, darnos servicio y rastrear nuestra actividad en Internet). Este plazo se acaba mañana 31/10/2020.
Cómo es natural, este seguimiento que permiten las cookies tiene muchas implicaciones en materia de protección de datos. A todos nos ha pasado ir a ver unos zapatos a un tienda online y, a partir de aquel momento, los anuncios de zapatos nos persiguen por toda la web, vayas donde vayas. Y esta es una de las funciones más inocuas de las cookies. Estamos inmersos, cada día más, en una economía de los datos. Y nosotros somos esto: datos. Datos de comportamiento, de preferencias, de hábitos, etc. Y cuando navegamos vamos dejando un rastro que es una mina para las empresas que tratan datos y, en general, para todas que los aprovechan. Google o Facebook son los paradigmas más conocidos pero hay otras miles.
El Comité Europeo de Protección de Datos (CEPD) el pasado mayo modificó las Directrices sobre la prestación del consentimiento por parte del usuario en materia de cookies. Las nuevas directrices se basan en la interpretación de los principios de transparencia en la información y la libre prestación del consentimiento del usuario.
En este sentido, las modificaciones principales fueron:
- Es necesaria una clara afirmación afirmativa por parte del usuario. La opción “seguir navegando” ya no es válida. No se podrá activar ninguna cookie (excepto las técnicas) si no hay aceptación exprés.
- No se podrán usar los “muros de cookies” que condicionan el acceso del usuario a la aceptación de cookies, salvo que se le informe y ofrezca una alternativa.
- El usuario tiene que poder aceptar o no las cookies, de manera sencilla y de forma granular. Por ejemplo, agrupadas por finalidad (analíticas, publicitarias, etc.)
- Si se incluyen cookies de terceros, hay que detallar como se ofrecerá la información, la obtención del consentimiento y los medios para revocarlo.
Y para acabar, dos cosas: los titulares de las páginas web que no se hayan adaptado a las nuevas exigencias se exponen a ser sancionados con multas de hasta 30.000 € por incumplimiento leve de la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSICE).
Y dos, sin perjuicio de que, en la medida que la instalación de cookies afecte al tratamiento de datos personales de los usuarios, el RGPD contempla sanciones que pueden ser elevadas para las infracciones más graves.
