Las Cookies con el RGPD

12/10/2018 Gonzalo Sánchez-Jara No hay comentarios

Una cookie es un pequeño archivo que envía una página web al disco duro del usuario que lo visita y que permite a la página web recordar sus preferencias y pautas de navegación. Esto permite a la página web por ejemplo personalizar su contenido en función de las preferencias de cada usuario o presentar publicidad relevante para el usuario. Existen diversos tipos de cookies en función de su duración y finalidad.

El RGPD que entró en vigor el 25 de mayo de este año, menciona las cookies en su recital 30:

“Las personas físicas pueden ser asociadas a identificadores en línea facilitados por sus dispositivos, aplicaciones, herramientas y protocolos, como direcciones de los protocolos de internet, identificadores de sesión en forma de «cookies» u otros identificadores, como etiquetas de identificación por radiofrecuencia. Esto puede dejar huellas que, en particular, al ser combinadas con identificadores únicos y otros datos recibidos por los servidores, pueden ser utilizadas para elaborar perfiles de las personas físicas e identificarlas.”

En la medida en que las cookies pueden permitir la identificación de personas físicas, la información que las cookies obtienen del usuario, debe de ser tratada como datos personales a efectos del RGPD.

Para ello, las empresas que utilizan cookies necesitan una base legal que les permita tratar estos datos personales. La base legal comúnmente utilizada para el uso de cookies es el consentimiento.

Consentimiento según el RGPD

El RGPD define el consentimiento como: “la manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen.”

Posibles incumplimientos del consentimiento detectados en páginas web

Casillas de cookies pre-marcadas con un “si”

Para que el consentimiento sea válido según el RGPD, el interesado debe realizar una manifestación inequívoca a través de una declaración o acción afirmativa.

Esto significa por ejemplo que cuando el usuario quiere configurar en una página web concreta la política de privacidad de las cookies para decidir si da su consentimiento o no para su uso, si las casillas del “si doy mi consentimiento” aparecen automáticamente pre-marcadas, no habría por parte del usuario una clara acción afirmativa y por tanto el consentimiento no debería ser válido.

A día de hoy, con el RGPD ya en vigor, todavía se ven muchas páginas web en las que, al intentar configurar el uso de cookies, estas aparecen con todas las casillas automáticamente pre-marcadas con un “Si doy mi consentimiento” o “Doy Permiso”.

Presunción de consentimiento por acceder a una pagina web

Como se menciona en el punto anterior, el consentimiento del interesado debe consistir en una manifestación inequívoca a través de una declaración o acción afirmativa.

Sin embargo, hace una semana, me encontré una página web con una ventana emergente que bloqueaba casi la totalidad de la página web y que decía literalmente lo siguiente: “Utilizamos cookies para analítica, anuncios, y mejoras de nuestra página. Muestra su conformidad al uso de cookies al cerrar esta ventana, o al continuar a nuestra página. Para más información lea nuestra Política de Privacidad.”

En este caso, cerrar una ventana emergente que obstaculiza cualquier movimiento en la página web no parece una acción afirmativa suficiente para poder asumir de forma inequívoca el consentimiento del usuario.

Imposibilidad de retirar el consentimiento

El artículo 7.3 del RGPD establece que: “El interesado tendrá derecho a retirar su consentimiento en cualquier momento.… Será tan fácil retirar el consentimiento como darlo.”

Todas las paginas web que he visitado, al solicitar el consentimiento para el uso de sus cookies lo hacen a través de una ventana emergente que aparece en la página solicitando mi consentimiento.

No obstante, una vez otorgado mi consentimiento, no he podido encontrar la forma de retirarlo. Con el RGPD en la mano, las páginas web deberían ofrecer otra ventana emergente ofreciendo la opción de retirar mi consentimiento.

Conclusión

El RGPD lleva en vigor poco más de dos meses, por lo que en la práctica nos encontramos todavía en un momento de relativa incertidumbre en cuanto a la rapidez, contundencia y sanciones más frecuentes que traerá consigo el incumplimiento del RGPD.

No obstante, en relación con las cookies, en la fecha actual todavía hay muchas páginas web que, si bien han hecho esfuerzos para acomodar su política de cookies al RGPD, todavía les falta camino por recorrer. Con el tiempo veremos qué opinan las agencias de protección de datos europeas al respecto.

______

Gonzalo Sanchez-Jara Garralda, autor de este post es socio fundador de Anti-Bribery and Corruption Compliance S.L. (“abc Compliance”), que se dedica a la formación digital de empleados en materia de compliance penal y protección de datos personales a través de su plataforma online.

Para más información sobre abc Compliance, pulse aquí.

Las Cookies con el RGPD

Artículos relacionados

Comentarios

Podría interesarle

La Agencia Española de Protección de Datos (AEPD) multa a Iberdrola por enviar cartas a los clientes de dos comercializadoras

La AEPD impone a Equifax una multa de un millón de euros por cinco infracciones del RGPD (Parte 2/2)

1 Multa récord de 1.200 millones de euros a Meta Platforms Ireland Limited por la transferencia de datos personales de los usuarios de Facebook de la Unión Europea a EEUU sin garantías adecuadas

2La Agencia de Protección de Datos Irlandesa tiene hasta el 12 de mayo para emitir su decisión final sobre la legalidad de la transferencia de datos personales de Facebook de la UE a EEUU

3Multa de 170.000 euros a Vodafone por faltas de medidas de seguridad para evitar la suplantación de identidad

4Una startup californiana de telesalud compartió datos personales de más de 3 millones de pacientes con empresas tecnológicas

5Multa de la AEPD a una empresa por almacenar las contraseñas de sus usuarios sin encriptar

6El Garante de Protección de Datos Italiano impone a la empresa creadora del chatbot “Replika” una limitación temporal del tratamiento de datos en Italia por posibles infracciones del RGPD

7La Comisión de Protección de Datos Irlandesa impone a META una multa de 390 millones de euros por infracción del RGPD

8Sylvia Enseñat de Carlos: “Cada vez hay más profesionales que eligen especializarse en Compliance para desarrollar su carrera profesional en este ámbito”

9El RGPD Blog finalista a los Premios ASCOM 2022 en la categoría “Medio de Comunicación”

10Multa récord de 10 millones de euros de la AEPD a Google por infracción del RGPD

11Ranking de las 10 multas más altas en España por infracción del RGPD – 2º Trimestre 2022

12Ranking de las 10 multas más altas en España por infracción del RGPD – 1er Trimestre 2022

13Multa de la AEPD a CaixaBank de 2,1 millones de euros por condicionar la exención de comisiones a clientes al otorgamiento de su consentimiento para fines distintos de los propios del contrato

14La AEPD impone a una empresa del grupo Amazon una multa de 2 millones de euros por solicitar a sus candidatos un certificado de ausencia de antecedentes penales

15La AEPD impone a Vodafone una multa de 3,94 millones de euros por faltas de medidas de seguridad adecuadas en su proceso para expedir duplicados de la tarjeta SIM

16Ranking de las 10 multas más altas en España por infracción del RGPD – 4º Trimestre 2021

17Procedimientos sancionadores de la AEPD por no tener designado a un delegado de protección de datos

18Feliz Navidad y próspero 2022

19Conceptos de responsable del tratamiento y encargado del tratamiento en el RGPD. ¿Qué sucede cuando un contrato identifica a una de las partes como el responsable del tratamiento y en la práctica no es el caso?

20La AEPD impone a CaixaBank una multa de 3 millones de euros por insuficiencias en su proceso de obtención del consentimiento de sus clientes para la elaboración de perfiles

21Consecuencias de imponer solo apercibimientos a las administraciones públicas por la infracción del RGPD

22Ranking de las 10 multas más altas en España por infracción del RGPD – 3er Trimestre 2021

23¿Cómo beneficia al responsable del tratamiento el tomar medidas para paliar los daños y perjuicios sufridos por los interesados cuando se produce una infracción del RGPD?

24Multa de 200.000 euros de la Agencia Española de Protección de Datos (AEPD) a BBVA por falta de medidas de seguridad en el tratamiento de datos

25La AEPD impone a Mercadona una multa de 3,15 millones de euros por varias infracciones del RGPD relacionadas con su sistema de reconocimiento facial (Parte 2/2)

26La AEPD impone a Mercadona una multa de 3,15 millones de euros por varias infracciones del RGPD relacionadas con su sistema de reconocimiento facial (Parte 1/2)

27Multa en Italia de 2,6 millones de euros a Foodinho, filial italiana de Glovo, por infracción del RGPD

28La Comisión Europea aprueba la decisión de adecuación para la libre transmisión de datos entre la Unión Europea y el Reino Unido

29Ranking de las 10 multas más altas en España por infracción del RGPD – 2o Trimestre 2021

30Amazon se enfrenta en Luxemburgo a una posible multa de 350 millones de euros por infracción del RGPD