Nuevos criterios en la utilización de cookies

La adecuación de los sitios webs a las recientes modificaciones de la Autoridad de Control en materia de cookies y validación del consentimiento online deberían haberse implantado a fecha 31 de octubre de 2020. Un mes después, vemos que la realidad es otra, las recientes sanciones nos muestran que es un tema que está en el punto de mira de la autoridad, y las sanciones vienen ya de camino.

Dentro del cuadro de riesgos que va asociado a cualquier entorno ofrecido a través de una website o app aparecen de manera recurrente las cookies (archivos temporales destinados a recolectar datos adicionales del visitante). Las cookies son una actividad completamente extendida y considerada por el regulador como un tratamiento de datos de carácter personal. Ello implica revisar periódicamente su nivel de cumplimiento desde un enfoque de seguridad de la información y protección de datos.

El 28 de julio, la Agencia Española de Protección de Datos, motivada por el European Data Protection Board (EDPB) y su reciente actualización de las Directrices 05/2020 sobre el consentimiento, realizó una serie de cambios en su Guía oficial sobre el uso de las cookies que deberían haber sido adoptadas en el mundo digital antes de noviembre. Estos movimientos del regulador unidos a su aplicación inmediata por parte de los operadores deben motivar a los responsables de tratamientos de todos los sectores a que, de la mano de editores, desarrolladores y equipos de TIC implicados, lleven a cabo una nueva verificación y, en su caso, adecuación de las websites gestionadas. Además, conviene tener en consideración las distintas sanciones que desde la Autoridad de Control se han venido produciendo en los últimos meses (Iberia o Twitter) por una supuesta mala utilización de estos archivos temporales a través de sus canales públicos.

En base a todo lo anterior, desde el área de Risk Advisory Services de BDO recomendamos chequear los distintos aspectos a fin de estar adecuados a las nuevas instrucciones de la autoridad, solventando los posibles defectos detectados e implantando todos los cambios requeridos. Esta revisión debe abordar las siguientes acciones:

• Elaborar un inventario detallado de cookies utilizadas en nuestro sitio web (con indicación de plazos de conservación, tipología de cookies, transferencias internacionales fuera de la UE, etc.). Valorar sobre ese inventario qué cookies son necesarias y cuales son prescindibles o desproporcionadas.
• Asegurar que estamos en disposición de auditar y demostrar mediante evidencias la obtención del consentimiento informado en el entorno online. En esta línea la AEPD admite nuevas interacciones que no se ciñen exclusivamente al marcado de casillas (P.ej.: «girar un smartphone en el sentido de las agujas del reloj o en un movimiento de figura de ocho pueden ser opciones para indicar acuerdo, siempre y cuando sea claro que esa acción supone un consentimiento y se repita la acción para confirmar».). Además, la AEPD recuerda la importancia de que el consentimiento se base en una clara afirmación por parte del usuario (p.ej.: no se pueden utilizar casillas premarcadas o apoyar la instalación de cookies en el consentimiento tácito).
• Revisar y solucionar los problemas de accesibilidad y visionado en la web, en especial para la interfaz destinada a dispositivos móviles. El usuario no debe llevar a cabo un proceso de búsqueda o rastreo para encontrar la información sobre el tratamiento de datos.
• Sustituir las habituales instrucciones de configuración de navegador por fórmulas sencillas de configuración desde el propio sitio web (p.ej. mediante paneles de configuración de cookies).
• En caso de utilizar a terceros proveedores para la gestión de cookies se han de revisar los paneles de configuración utilizados y la ubicación de los servidores donde se alojan los datos evitando transferencias internacionales (más aun teniendo en cuenta la reciente anulación del Privacy Shield USA-UE). Cabe recordar que las cláusulas que trasladan al proveedor toda la responsabilidad pierden su importancia frente a un procedimiento sancionador de la AEPD en base a la responsabilidad proactiva.
• Reformular los mensajes de la política de cookies y el banner de cookies hacia un lenguaje claro evitando fórmulas vagas o expresiones como “podrán almacenarse cookies”, “si sigue navegando acepta que” o “es posible que este sitio web recoja cookies”. Estas no son fórmulas aceptables para la AEPD y puede dar lugar a infracciones.

Imagen que muestra un ejemplo de sistema de recogida de Cookies válido. Fuente https://edpb.europa.eu/edpb_es

Además de lo anterior, siempre es recomendable acompañar la revisión de las cookies con una revisión general del sitio web a nivel de privacidad y de seguridad. El sitio web es como un edificio, es la cara visible de nuestra entidad y hemos de cuidar tanto la fachada (la parte que ven los usuarios y visitantes) como los cimientos de la estructura (la seguridad).

Por último, deberemos estar muy atentos a la llegada del futuro Reglamento Europeo ePrivacy que continúa en fase de aprobación, pero con seguridad tendrá fuertes implicaciones en materia de privacidad, comunicaciones electrónicas y entornos digitales.

Albert Flores

• Por BDO Abogados y Asesores Tributarios
• 09/12/2020
• cookies, Protección de Datos, Reglamento Europeo ePrivacy, seguridad, Digital