10 highlights sobre la Guía de Cookies de la AEPD 2019

El pasado 8 de noviembre la Agencia Española de Protección de Datos presentó la “Guía sobre el uso de las Cookies”, sin duda una de las guías AEPD más esperadas por los profesionales de la privacidad, en la medida en que la anterior Guía de Cookies de 2012 no colmaba todas nuestras inquietudes respecto a los requisitos de transparencia y recabado del consentimiento que el RGPD renovó decisivamente en 2018.

El objetivo (al menos uno de ellos) de esta Guía de cookies es cohonestar, en materia de cookies,  la LSSI (una norma de 2002, aunque retocada en lo que respecta a cookies en 2012) con el RGPD, resaltándose el carácter de norma especial de aquélla frente a la norma europea de protección de datos. De hecho esta Guía hace más hincapié en terminología y definiciones de la LSSI que en los conceptos que nos resultan más familiares del RGPD. A los que ya estuvierais familiarizados con la Guía de Cookies de 2012, os sonará bastante esa parte de términos, tipología de cookies, etc, si bien hay alguna que otra sorpresa que comentaremos (pay attention!).

Igualmente, se recuerda que existe una propuesta de norma cuya aprobación definitiva podría introducir modificaciones ulteriores de lo dispuesto en la Guía de cookies. Esa norma no es otra que el “futuro” Reglamento europeo de ePrivacy (Reglamento sobre la privacidad y las comunicaciones electrónicas) que iba a ser el Reglamento “hermano” del RGPD pero que no acaba de ver la luz (a ver si las instituciones europeas se ponen de acuerdo…)

¿Qué es lo que más me ha llamado la atención de la nueva Guía de Cookies?

No todo son novedades, aviso (sobre todo si estáis al tanto de las presentaciones que hizo la AEPD en su 10ª sesión abierta, en junio de 2018).

1-. Informar de utilización de cookies técnicas y algunas de personalización no es necesario.

Se recomienda hacerlo por razones de transparencia pero no es absolutamente obligatorio ya no solo obtener el consentimiento sino informar al usuario de la utilización de cookies técnicas (ver siguiente punto) y de algunas de personalización (cuando las características de personalización sean elegidas por el propio usuario).

Si esas cookies técnicas o las de personalización se utilizasen para finalidades no exentas (p ej para finalidades analíticas o de publicidad comportamental), sí que habría que informar al usuario de su existencia y recoger el consentimiento del mismo.

Nota: Hasta esta Guía muchos profesionales venían considerando obligatorio informar (separad aquí “informar” y exponer al “consentimiento” del usuario, please) de todas las cookies, aplicando estrictamente el Considerando 60 y artículos 12 y ss. del RGPD (tratamiento leal y transparente).

2-. La mochila de las cookies técnicas es ligeramente mayor

Se clarifica que pertenecen a esta tipología de cookies técnicas las que utiliza el editor para “permitir la gestión y operativa de la página web y habilitar sus funciones y servicios” lo que hará que algunas cookies liberadas por widgets, scripts o plugins que tendíamos a excluir del apartado estrictamente técnico, puedan ser acogidos en esta tipología.

Además, la nueva Guía de cookies considera que son técnicas las cookies “que permiten la gestión, de la forma más eficaz posible, de los espacios publicitarios que, como un elemento más de diseño o maquetación del servicio ofrecido al usuario, el editor haya incluido…” El sitio web que utilice publicidad contextual tipo AdSense, etc, reconocerá esta descripción.

3-. Las tipologías «orientativas» de cookies son las ya conocidas

Atendiendo a la entidad que las gestione, las cookies son propias o de terceros. Prevalece el criterio de la gestión sobre el del envío de la cookie, de forma que si una cookie es enviada desde el equipo o dominio del editor, pero la información que recoge la cookie es gestionada por un tercero, se entenderá que la cookie es de tercero. Atención, en este punto, con la información que os facilitan determinados escaneadores o extensiones de cookies, pues os pueden llamar a equívoco.

Por el plazo que permanecen activadas, las cookies son de sesión o persistentes, reconociéndose que es mucho más probable que estén exentas las primeras (dada su vinculación con la finalidad para la que se sirven).

En cuanto a las finalidades, también se ofrecen como tipologías orientativas las ya conocidas hasta el momento: técnicas, de personalización, analíticas y de publicidad comportamental. Como sabéis, muchos profesionales incluían también la tipología de “cookies sociales” para informar de las cookies servidas por determinados widgets o plugins de red social y que podrían tener encaje ahora como cookies técnicas (siempre que los usuarios hayan decidido mantener la sesión abierta).

Como novedad, esta actualización de la Guía de Cookies contempla la existencia de “cookies polivalentes”, es decir, aquellas que pueden servir a varias finalidades diferentes (luego hablaremos de ellas).

4-. El papel de los CMP (consent management platform)

Una de las labores más arduas para los compañeros de consultoría y asesoría en protección de datos es enfrentarse a la descripción de determinados trackers y rastreadores de terceros a la hora de cumplimentar correctamente la Política de Cookies.

La Guía de Cookies reconoce el papel de las plataformas de gestión de consentimiento que ya se vienen utilizando (sobre todo por grandes webs de contenidos editoriales y otros prestadores que utilizan muchas tipologías o ceden información a muchos partners) para describir la finalidad. En este punto también permite la Guía de la AEPD facilitar esta información (descripción de la finalidad de la cookie) incluyendo un enlace a la web del tercero.

Si se utilizan enlaces a la web del tercero para explicar la finalidad de esa cookie deberá revisarse continuamente (proactividad del RGPD) que el enlace no esté roto y que la explicación esté disponible en idioma español. Igualmente, si se utiliza un CMP, el responsable del tratamiento deberá velar que dichas plataformas de gestión del consentimiento cumplan los requisitos y garantías que se indican en la Guía.

5-. Políticas de Cookies más exhaustivas

Un editor puede estar operando una transferencia internacional de datos al incluir una determinada cookie de tercero en su sitio web. En este sentido la Política de Cookies deberá proporcionar información sobre dónde y cómo se puede acceder a la decisión de adecuación ( o garantías adecuadas, etc, etc).

También, de conformidad con el artículo 13.2 del RGPD será preciso incluir en las Políticas de Cookies información relativa a toma de decisiones individuales automatizadas y al período de conservación de los datos para los diferentes fines de tratamiento.

6-. El “seguir navegando” es una forma válida de consentimiento, pero con condiciones

Separándose del criterio europeo (Directrices del consentimiento del WP29, hoy Comité Europeo de Protección de Datos) así como del de otras autoridades nacionales (CNIL, ICO) más propicio a considerar el «scrolling» o seguir navegando como una forma ambigua de manifestación del consentimiento y por tanto insuficiente para cumplir los requisitos del consentimiento expreso del RGPD,  la Guía de Cookies reitera que la fórmula de “seguir navegando” es válida si se dan, acumulativamente, ciertas circunstancias:

A) El aviso de cookies de primera capa deberá advertirlo expresamente. P ej con la fórmula “Si continúas navegando, consideramos que aceptas su uso”.
B) El aviso de cookies deber tener mecanismos de refuerzo del consentimiento. En concreto, un enlace que permita al usuario configurar o rechazar la utilización de cookies.
C) El aviso de cookies NO contendrá ningún mecanismo de aceptación explícita. Es decir, el aviso de cookies no debe tener un botón “Aceptar”. Si estás diciendo que «si sigues navegando» es aceptación y al lado pones un botón «Aceptar» para consentir de forma explícita, seguramente confundirás al usuario.
D) El aviso de cookies tiene que estar en un lugar claramente visible, de modo que por su forma, color, tamaño o ubicación pueda existir seguridad de que el aviso no ha pasado desapercibido para el usuario.

En cuanto a la definición de lo que se considera “seguir navegando” no hay cambios: navegar a sección distinta de la web (que no sea la segunda capa o Política de Cookies ni a la Política de Privacidad), deslizar la barra de desplazamiento, cerrar el aviso de la primera capa o pulsar en cualquier enlace o botón del sitio. Por su parte, permanecer visualizando la pantalla, mover el ratón o pulsar una tecla del teclado no podrán considerarse como una aceptación válida (salvo en determinadas circunstancias que habría que analizar caso por caso).

No podrá utilizarse la fórmula de “seguir navegando” cuando de la utilización de la cookie se derive un tratamiento de datos de categoría especial. En aplicación del RGPD, el tratamiento de estos datos “sensibles” requiere un consentimiento explícito. Traducido al mundo “cookie” significa que estos rastreadores o trackers necesitarán de un mecanismo de opt-in específico.

7-. El botón “Rechazar todas” en el panel de configuración

El botón que permita “Rechazar todas” las cookies se configura como potestativo para el editor “en el panel podrán implementarse dos botones, uno para aceptar todas las cookies y otro para rechazarlas todas…”.

La excepción la constituye lo visto anteriormente. Es decir, si se utiliza la fórmula de “seguir navegando” en el aviso de primera capa, el panel de configuración de cookies deberá contener necesariamente un mecanismo para rechazar de golpe todas las cookies.

8-. El consent de los menores de 14 años (en sitios web dirigidos específicamente a ellos)

En cumplimiento de eso que nos dice el RGPD de que debemos como responsables de tratamiento hacer esfuerzos razonables para verificar que el consentimiento fue dado por titulares de patria potestad o tutela, la Guía nos propone utilizar fórmulas de aviso de primera capa en las que se indique al menor que avise o llame a su padre, madre o tutor.

Por ejemplo: “Llama a tu padre, madre o tutor para que lea este mensaje y ponga en qué año nació:

[CAMPO PARA INCLUIR EL AÑO]”

<Joke>Propongo llamar a este tipo de avisos los “Papa llama”</Joke>

Y fuera de bromas, la Guía pide que el sistema de comprobación sea capaz de detectar incidencias que lleven a la conclusión de que los datos introducidos no son correctos, p ej que el usuario haya puesto en ese campo de edad como fecha de nacimiento 1860 (o eres Mathusalem o no es posible), etc. Más trabajo para nuestros informáticos.

9-. Posibilidad de denegar el acceso al servicio en caso de rechazo de cookies

La Guía contempla la posibilidad de que en determinados supuestos la no aceptación de cookies impida la utilización total o parcial del servicio.

Esta denegación de servicio no será posible en los supuestos en que tal denegación «impida el ejercicio de un derecho legalmente reconocido al usuario, por ser el acceso a dicha página web el único medio facilitado al usuario para ejercitar tal derecho».

Humm. Por aquí no nos gustan mucho los cookie walls, ya lo saben.

Como no se definen esos supuestos en que la denegación es posible ni se limita la posibilidad de denegación por tipologías de cookies, queda abierto el campo a la prohibición de utilización de un servicio web si no se aceptan ¿las analíticas, las de publicidad “perseguidora”?

¿Tendré que seguir aceptando las cookies analíticas de una compañía que me presta servicios para poder acceder al área de usuario en la que me descargo las facturas? Me las pueden enviar por correo postal, no es el único medio facilitado para obtenerlas. ¿Vosotros qué pensáis? Y sobre todo ¿lo consideráis asumible?

10-. Vamos terminando: lo que me ha gustado y lo que no

La Guía es un documento útil para ayudar a los editores web a redactar el texto del aviso de primera capa y de la Política de Cookies, si bien un modelo de esta última (tal y como se hizo, p ej, con el modelo de encargo de tratamiento) habría disuelto muchas más dudas.

La publicación de esta Guía no va a comportar cambios rotundos para el editor que ya viniera cumpliendo las recomendaciones que existían hasta la fecha (p ej las ya citadas de la 10ª sesión abierta de la AEPD). Sin perjuicio de ello, será necesario «retocar» algún plugin o extensión de «cookies compliance» al uso, p ej para permitir tratar separadamente una misma cookie que tenga dos o más finalidades diferentes (cookies polivalentes).

Considero prescindible en esta Guía, en el sentido que quizás habría sido más apropiado tratarlo en documento autónomo, separado y con más detalle, los contenidos relativos a publicidad programática. Al explicar el funcionamiento y los actores de este sector,  la Guía no profundiza en determinados aspectos más desconocidos para el público en general con la rotundidad con que lo hizo por ejemplo el report sobre RTB y adTech de la ICO (autoridad británica), documento que advertía claramente de los supuestos de “lack of transparency” a la hora de generar tags de los individuos, o de la necesidad inexcusable de que las organizaciones involucradas en este tipo de publicidad programática realicen la oportuna evaluación de impacto (DPIA).

Por otra parte, espero no ser el único profesional de protección de datos que esperaba de la Guía una explicación más detallada de otros muchos rastreadores online, más incisivos y determinantes en la privacidad del usuario, como los pixels transparentes, los beacons y otras tecnologías de fingerprinting, y que en la Guía se adscriben genéricamente a la denominación de cookies. Sobre todo, de cómo describirlos correctamente de cara a cumplir con los deberes de transparencia.

Y también de cómo detectar y/o visualizar esos rasteadores, claro. Un buen complemento para esta Guía de Cookies podría ser una herramienta para escanear en tiempo real los trackers que depositan en los terminales del usuario los sitios web, como la publicada recientemente por la CNIL, Cookieviz (en francés). Los profesionales necesitamos más ayuda técnica en este sentido, sobre todo para entender los tratamientos de datos realmente implicados.

Nota: El compañero Pablo F. Burgueño ha publicado igualmente un post muy útil donde os da pistas de extensiones y escaneadores que pueden servir para esta labor.

Echábamos de menos en las Guías de la AEPD la fecha de su publicación y esta Guía la destaca en su portada (ya lo hizo con la Guía sobre Privacidad desde el Diseño del pasado octubre). ¡Gracias, AEPD!

Echamos «de más» en esta Guía lo que quizás sea un excesivo reconocimiento de las beneficiosas contribuciones de la publicidad digital a la economía (el documento ha sido elaborado en colaboración con Adigital, Anunciantes, Autocontrol e IAB Spain) y alguna otra cosa que ya hemos ido señalando en los anteriores puntos.

Es un acercamiento improvisado y de fin de semana a la Guía.

Estoy seguro de que iremos descubriendo en los próximos días y semanas aspectos que merezca ir comentando o que susciten debate y aclaración.

¿Superará la fórmula de «seguir navegando» la definitiva aprobación, si la hubiere, del Reglamento «ePrivacy»? ¿Convivirá mucho tiempo la «receta española de cookies» con los criterios sobre el consentimiento establecidos por el Comité Europeo de Protección de Datos?

Lo único que sabe uno es que no sabe nada.

Ángel Benito Rodero

Abogado ICAM especializado en protección de datos