Las Cookies con el RGPD
Una cookie es un pequeño archivo que envía una página web al disco duro del usuario que lo visita y que permite a la página web recordar sus preferencias y pautas de navegación. Esto permite a la página web por ejemplo personalizar su contenido en función de las preferencias de cada usuario o presentar publicidad relevante para el usuario. Existen diversos tipos de cookies en función de su duración y finalidad.
El RGPD que entró en vigor el 25 de mayo de este año, menciona las cookies en su recital 30:
“Las personas físicas pueden ser asociadas a identificadores en línea facilitados por sus dispositivos, aplicaciones, herramientas y protocolos, como direcciones de los protocolos de internet, identificadores de sesión en forma de «cookies» u otros identificadores, como etiquetas de identificación por radiofrecuencia. Esto puede dejar huellas que, en particular, al ser combinadas con identificadores únicos y otros datos recibidos por los servidores, pueden ser utilizadas para elaborar perfiles de las personas físicas e identificarlas.”
En la medida en que las cookies pueden permitir la identificación de personas físicas, la información que las cookies obtienen del usuario, debe de ser tratada como datos personales a efectos del RGPD.
Para ello, las empresas que utilizan cookies necesitan una base legal que les permita tratar estos datos personales. La base legal comúnmente utilizada para el uso de cookies es el consentimiento.
Consentimiento según el RGPD
El RGPD define el consentimiento como: “la manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen.”
Posibles incumplimientos del consentimiento detectados en páginas web
- Casillas de cookies pre-marcadas con un “si”
Para que el consentimiento sea válido según el RGPD, el interesado debe realizar una manifestación inequívoca a través de una declaración o acción afirmativa.
Esto significa por ejemplo que cuando el usuario quiere configurar en una página web concreta la política de privacidad de las cookies para decidir si da su consentimiento o no para su uso, si las casillas del “si doy mi consentimiento” aparecen automáticamente pre-marcadas, no habría por parte del usuario una clara acción afirmativa y por tanto el consentimiento no debería ser válido.
A día de hoy, con el RGPD ya en vigor, todavía se ven muchas páginas web en las que, al intentar configurar el uso de cookies, estas aparecen con todas las casillas automáticamente pre-marcadas con un “Si doy mi consentimiento” o “Doy Permiso”.
- Presunción de consentimiento por acceder a una pagina web
Como se menciona en el punto anterior, el consentimiento del interesado debe consistir en una manifestación inequívoca a través de una declaración o acción afirmativa.
Sin embargo, hace una semana, me encontré una página web con una ventana emergente que bloqueaba casi la totalidad de la página web y que decía literalmente lo siguiente: “Utilizamos cookies para analítica, anuncios, y mejoras de nuestra página. Muestra su conformidad al uso de cookies al cerrar esta ventana, o al continuar a nuestra página. Para más información lea nuestra Política de Privacidad.”
En este caso, cerrar una ventana emergente que obstaculiza cualquier movimiento en la página web no parece una acción afirmativa suficiente para poder asumir de forma inequívoca el consentimiento del usuario.
- Imposibilidad de retirar el consentimiento
El artículo 7.3 del RGPD establece que: “El interesado tendrá derecho a retirar su consentimiento en cualquier momento.… Será tan fácil retirar el consentimiento como darlo.”
Todas las paginas web que he visitado, al solicitar el consentimiento para el uso de sus cookies lo hacen a través de una ventana emergente que aparece en la página solicitando mi consentimiento.
No obstante, una vez otorgado mi consentimiento, no he podido encontrar la forma de retirarlo. Con el RGPD en la mano, las páginas web deberían ofrecer otra ventana emergente ofreciendo la opción de retirar mi consentimiento.
Conclusión
El RGPD lleva en vigor poco más de dos meses, por lo que en la práctica nos encontramos todavía en un momento de relativa incertidumbre en cuanto a la rapidez, contundencia y sanciones más frecuentes que traerá consigo el incumplimiento del RGPD.
No obstante, en relación con las cookies, en la fecha actual todavía hay muchas páginas web que, si bien han hecho esfuerzos para acomodar su política de cookies al RGPD, todavía les falta camino por recorrer. Con el tiempo veremos qué opinan las agencias de protección de datos europeas al respecto.
______
Gonzalo Sanchez-Jara Garralda, autor de este post es socio fundador de Anti-Bribery and Corruption Compliance S.L. (“abc Compliance”), que se dedica a la formación digital de empleados en materia de compliance penal y protección de datos personales a través de su plataforma online.
Para más información sobre abc Compliance, pulse aquí.
Comentarios