Las iniciativas impulsadas por las autoridades de protección de datos auguran importantes cambios en materia de cookies y sistemas de seguimiento
El año pasado, la entrada de nuevas tecnologías –principalmente, de la inteligencia artificial– pareció eclipsar por momentos otros sucesos importantes respecto al uso de las cookies, una tecnología que a estas alturas precisamente no destaca por su novedad, pero que sigue manteniendo una presencia abrumadora a escala global y una importancia fundamental en la mayoría de sectores económicos.
Es por ello por lo que, en esta publicación, recogemos algunas de las novedades más importantes surgidas por parte de las autoridades –nacionales y europeas– en relación con las cookies a lo largo del 2023, así como las obligaciones que este año no pueden pasar inadvertidas a las organizaciones respecto a este tipo de tecnologías:
El CEPD publicaba la nueva versión de dichas directrices en febrero de 2023, en las que ofrece recomendaciones sobre cómo evitar caer en el uso de dark patterns en medios sociales, aunque muchas de las sugerencias contenidas en las directrices pueden ser extensibles a otros sectores.
Con las nuevas directrices, el CEPD arroja luz sobre algunos conceptos clave como el “acceso” o “almacenamiento” que, con la evolución de las tecnologías, podían resultar confusos o suscitar dudas para la aplicabilidad de la Directiva ePrivacy.
De esta forma, las directrices identifican un listado no exhaustivo de tecnologías o casos de uso sujetos a la Directiva ePrivacy cuando cumplan con determinadas condiciones, como las siguientes: (i) píxeles de seguimiento o seguimiento de URL; (ii) tratamiento local de la información; (iii) seguimiento basado únicamente en la IP; (iv) notificación intermitente a través de la Internet de las Cosas; o (v) uso de identificadores únicos.
La primera de ellas es la respuesta al CEPD a la iniciativa de la Comisión Europea de elaborar unos principios de compromiso voluntario para simplificar la gestión de las cookies y las opciones de publicidad personalizada. En su comunicado, el CEPD aporta sus comentarios y recomendaciones sobre cada uno de los principios propuestos por la Comisión, entre los que destacan: (i) la posibilidad de no informar sobre las cookies técnicas exentas de consentimiento en la primera capa informativa; (ii) poner a disposición de los usuarios una alternativa equivalente menos intrusiva cuando se utilicen modelos como el conocido “Pay or Okay”; o (iii) cuando se haya negado a ello, evitar pedir al usuario que acepte las cookies en el plazo de un año desde la última solicitud.
La segunda es una carta del CEPD dirigida a un Miembro del Parlamento Europeo que planteaba al Comité algunas preguntas sobre la función “Do Not Track”. En la carta, el CEPD anima a las organizaciones a respetar los indicadores de no seguimiento seleccionados por los usuarios a través de la configuración de su navegador. Asimismo, recuerda la obligación de respetar dichos indicadores en el caso de los sitios web de las instituciones y organismos de la Unión Europea.
De este modo, la guía de la Agencia recoge importantes novedades respecto a las acciones de aceptar o rechazar cookies, que a partir de ahora tendrán que presentarse en un lugar y formato destacados, estando ambas acciones al mismo nivel, sin que sea más complicado rechazarlas que aceptarlas. La guía incluye también ejemplos sobre cómo deben mostrarse estas opciones, ofreciendo indicaciones sobre el color, tamaño y lugar en el que deberían aparecer.
En paralelo, respecto a su versión anterior, en la guía se han realizado una serie de modificaciones relevantes sobre las siguientes cuestiones: (i) cuando sea el propio usuario el que tome decisiones sobre las cookies de personalización -p.ej., la elección de la moneda en la que desea realizar transacciones o del idioma de la web-, dichas cookies recibirán el trato de cookies técnicas exentas de consentimiento del usuario; y (ii) en cuanto a los muros de cookies (en inglés, “cookie walls”), la AEPD aceptaba su uso siempre que se informe adecuadamente al usuario y se le ofrezca una alternativa de acceso al servicio sin necesidad de aceptar el uso de cookies. En este último caso, la novedad es que la guía aclara que dicha alternativa no tiene por qué ser necesariamente gratuita y no puede ser ofrecida por una entidad ajena al editor. Para más información, estas cuestiones han sido desarrolladas en esta entrada de nuestro blog.
La guía también expone las garantías mínimas que debe implementar el editor con relación a las cookies exentas, entre las que destacan el establecimiento de obligaciones contractuales con el eventual proveedor de servicios de medición comparativa de audiencia que garantice el tratamiento independiente para cada editor, así como los requisitos del artículo 28 del Reglamento General de Protección de Datos (“RGPD”) entre responsable y encargado del tratamiento. Asimismo, cuando el editor recurra a uno de dichos proveedores, deberá realizar y documentar una evaluación de si es posible configurar las herramientas proporcionadas para garantizar el cumplimiento de los requisitos enumerados en la guía.
Como resultado de las diversas deficiencias detectadas, la AEPD terminaba sancionando a la empresa con una multa de 12.000 euros, de los cuales 5.000 euros se debían a la infracción del principio de licitud, lealtad y transparencia –artículo 5.1.a) del RGPD– por el uso de dichos dark patterns (vea nuestra publicación aquí).
Por supuesto, las grandes corporaciones tecnológicas proveedoras de cookies y tecnologías similares no son ajenas a las anteriores iniciativas promovidas por las autoridades. Un claro ejemplo de ello es Google que, como anunciaba en este comunicado, a partir del 4 de enero de 2024 ha empezado a probar la función “No realizar seguimiento” (en inglés, “Tracking Protection”), que restringe por defecto el acceso de los sitios web a las cookies de terceros.
Ello seguro empujará a las organizaciones a buscar alternativas a este uso de cookies de terceros como, por ejemplo, pasar de un modelo de publicidad dirigida a un modelo de publicidad contextual. Alternativas que, por otro lado, no están exentas de seguir cumpliendo con las exigencias de las autoridades de control.
Como norma general, en España el uso inadecuado de las cookies puede acarrear sanciones conforme a la Ley 34/2002, de servicios de la sociedad de la información y de comercio electrónico. Adicionalmente, también existe el riesgo de incumplimiento de la normativa de protección de datos cuando exista un tratamiento ilícito de datos personales mediante las cookies u otras tecnologías similares. Por todo ello, es fundamental que las organizaciones garanticen el cumplimiento de los requisitos exigidos por las autoridades cuando hagan uso de este tipo de tecnologías.
Ramón Baradat