Protección de datos: ¿hacer clic en ‘seguir navegando’ es una forma válida de prestar consentimiento?

Protección de datos: ¿hacer clic en ‘seguir navegando’ es una forma válida de prestar consentimiento?
startup-849804_1920
  • Javier Izaguirre Fernández

La Agencia Española de Protección de Datos (AEPD) ha actualizado la Guía sobre el uso de las cookies para adaptarla a las Directrices sobre consentimiento, modificadas en mayo de 2020 por el Comité Europeo de Protección de Datos (CEPD). Esta nueva versión de la Guía cuenta, tal y como ocurría con versiones anteriores, con la participación de las asociaciones y sectores afectados: ADIGITAL, Asociación Española de Anunciantes, AUTOCONTROL e IAB Spain.

Así, a principios de mayo, el CEPD publicaba un análisis completo de 33 páginas, sobre el concepto del consentimiento bajo los parámetros del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos o RGPD). Con las casi estrenadas Directrices 05/2020 sobre consentimiento, se pretendía aclarar su posición en relación a dos cuestiones: por un lado, la validez de la opción “seguir navegando” como forma de prestar el consentimiento por parte de los usuarios; y por otro, la posibilidad de utilizar los conocidos como “muros de cookies”, es decir, de limitar el acceso a determinados servicios o contenidos sólo a los usuarios que acepten el uso de cookies.

Respecto a la primera incógnita, el Comité considera que la opción de “seguir navegando” no constituye en ninguna circunstancia una forma válida de prestar el consentimiento, en la medida en que tales acciones pueden ser difíciles de distinguir de otras actividades o interacciones del usuario, por lo que no sería posible entender que el consentimiento es inequívoco.  Recomienda la guía que, la alternativa a obtener de forma lícita este consentimiento sería “mediante fórmulas expresas, como haciendo clic en un apartado que indique ‘consiento’, ‘acepto’, u otros términos similares”. Por último, avisa que “en ningún caso, la mera inactividad del usuario” deberá implicar la prestación del consentimiento por sí misma.

En segundo lugar, en relación a los “muros de cookies” el Comité ha precisado que, para que el consentimiento pueda considerarse otorgado libremente, el acceso al servicio y a sus funcionalidades no debe estar condicionado a que el usuario consienta el uso de cookies. A pesar de ello, subraya la guía que “podrán existir determinados supuestos en los que la no aceptación de la utilización de cookies impida el acceso al sitio web o la utilización total o parcial del servicio, siempre que se informe adecuadamente al respecto al usuario y se ofrezca una alternativa de acceso al servicio sin necesidad de aceptar el uso de cookies”. Asimismo, y conforme a las citadas Directrices 05/2020 sobre el consentimiento del CEPD, “los servicios de ambas alternativas deberán ser genuinamente equivalentes, y además no será válido que el servicio equivalente lo ofrezca una entidad ajena al editor”.

Menores de 14 años: cautelas adicionales

En el caso de sitios web o servicios en línea específicamente dirigidos a menores, es conveniente recordar la necesidad de adoptar cautelas adicionales como son una mayor sencillez y claridad del lenguaje empleado.

Apunta la anunciada Guía que “tratándose de menores de 14 años, el responsable del tratamiento hará esfuerzos razonables para verificar que el consentimiento para el tratamiento de datos personales fue dado por el titular de la patria potestad o tutela, teniendo en cuenta la tecnología disponible y las circunstancias del tratamiento”. Así, entre otros factores, a la hora de establecer medidas para verificar esto último, “deberá considerarse el nivel de riesgo asociado a la utilización de las cookies (por ejemplo, teniendo en cuenta la naturaleza de los datos que se recopilan) y atenderse especialmente al principio de minimización de datos: a menor riesgo, más sencillo podrá ser el sistema de verificación implementado”.

Renovación del consentimiento

Como regla general, siempre que un consentimiento haya sido obtenido de forma válida, no será necesario obtenerlo cada vez que un usuario visite de nuevo la misma página web desde la que se presta el servicio. En cambio, y como es lógico, si los fines de uso de las cookies o los terceros que hacen uso de ellos cambian después de haber obtenido aquel primer consentimiento válido, “será necesario actualizar la política de cookies y permitir a los usuarios tomar una nueva decisión”.

El CEPD, en sus directrices sobre el consentimiento, recomienda como mejor práctica la renovación del consentimiento a intervalos apropiados. Por su parte, la AEPD considera buena práctica que la validez del consentimiento prestado por un usuario para el uso de una determinada cookie no tenga una duración superior a 24 meses y que durante este tiempo se conserve la selección realizada por el usuario sobre sus preferencias, sin que se le solicite un nuevo consentimiento cada vez que visite la página en cuestión.

Por otro lado, también prevé la guía, la necesidad de posibilitar la retirada del consentimiento previamente otorgado en cualquier momento. A tal fin, “el editor deberá asegurarse de que facilita información a los usuarios en su política de cookies sobre cómo pueden retirar el consentimiento y eliminar las cookies”.  Aun así, se advierte que, “el sistema que se ofrezca para retirar el consentimiento debe ser tan fácil como el utilizado cuando se prestó”.

Estos nuevos criterios, entre otros, deberán implementarse, a más tardar, el 31 de octubre de este año, estableciéndose así un periodo transitorio de tres meses para introducir los cambios necesarios en los mecanismos de obtención del consentimiento para el uso de cookies que se estén utilizando.

Actualidad

Despachos