Proyecto de Informe sobre la Implementación de las Cookies
El Comité Europeo de Protección de Datos (CEPD), concretamente el Cookie Banner Taskforce, uno de los Grupos de Trabajo del CEPD procedió a publicar el 17 de enero de borrador de Informe sobre prácticas de implementación de banner y configuración de Cookies.
Las opiniones publicadas en dicho documento son el resultado de la coordinación de los miembros del mencionado Grupo de Trabajo para proceder a la contestación de las más de 700 quejas dirigidas a las diferentes Autoridades de Control Europeas sobre la deficiencia y falta de criterios uniformes para la implementación de Avisos o Banner de las Cookies, recibidas por parte de NOYB, organización sin ánimo de lucro que actúa bajo el lema ‘’My Privacy is None of Your Business’’ e impulsada por Max Schrems.
Sin embargo, las opiniones emitidas se limitan a trasladar una valoración mínima sobre la correcta implementación del banner de cookies y demás prácticas afines. El propio Comité Europeo de Protección de datos advierte de ello, indicando que lo dispuesto en la publicación no constituyen conclusiones definitivas sino que se trata de un mero Proyecto de Informe, o borrador, y que el análisis final deberá ser realizado por las distintas autoridades de control europeas y en todo caso, conforme a la normativa nacional de transposición de las diferentes Directivas europeas sobre privacidad y las comunicaciones electrónicas.
¿Cuáles son las principales consideraciones a tener en cuenta sobre las Cookies?
Botón de Rechazar en la Primera capa
El Grupo de Trabajo ha llegado a la conclusión de que es necesario incluir un botón u opción en la primera capa, para que el Usuario pueda rechazar de manera explícita todas las cookies, exceptuando aquellas que sean técnicas o necesarias.
Defecto en el Diseño para Rechazar las Cookies
Otra de las prácticas que el Grupo de Trabajo ha incluido en este primer Proyecto de Informe, es la práctica de configuración del rechazo de las cookies a través de un enlace, en lugar de un botón en la primera capa. Este tipo de configuración supone dificultar la visibilidad de dicha opción al usuario y por lo tanto al ejercicio de su consentimiento libre, expreso e inequívoco.
Opt-In y Casillas Preseleccionadas
En cuanto a la configuración o personalización de Cookies, se ha comprobado que numerosos Sitios Web europeos se encuentran configurados de tal modo que la preferencia de cookies se encuentran preseleccionadas. La opinión emitida por el Grupo de Trabajo es que las Cookies no pueden estar predeterminadas o preseleccionadas, salvo en el caso de las cookies que no requieren su consentimiento, es decir, las técnicas. Por lo tanto las casillas premarcadas o preseleccionadas serán consideradas como un consentimiento no explícito y por lo tanto, no válido.
Configuración Engañosa mediante Uso de colores o contrastes confusos
Asimismo, el Grupo de Trabajo pasa a analizar el diseño del banner de cookies, criticando la selección de colores o contraste entre los botones para aceptar, configurar o rechazar las cookies que resaltan el botón ACEPTAR al Usuario. El Grupo de Trabajo ha emitido opinión favorable para cuestionar la validez del Banner de Cookies cuando el diseño haya sido implementado de forma engañosa para la aceptación de los Usuarios.
Identificación errónea de cookies como esenciales o estrictamente necesarias
El Grupo de Trabajo ha podido analizar como responsables del tratamiento de datos han clasificado como ‘’necesarias’’ o ‘’estrictamente necesarias’’ algunas cookies cuya finalidad distan del propósito de las esenciales o necesarias conforme al artículo 5.3 de la Directiva ePrivacy. En este sentido, el Dictamen 4/2012 sobre la exención del consentimiento de cookies, ya se pronunció sobre la identificación correcta de las cookies necesarias, en particular el hecho de que las cookies que permiten al sitio web guardar las preferencias del usuario sobre el servicio ofrecido en el sitio web, puede ser consideradas cookies necesarias.
A nuestro parecer, el Comité Europeo de Protección de Datos se limita a emitir una vaga opinión sobre cuestiones básicas pero no se pronuncia sobre cuestiones más complejas que vienen siendo solicitadas por el sector, entre las cuales, definir un listado final de Cookies que se consideran necesarias o esenciales, y por lo tanto no requieren recabar el consentimiento del Usuario; así como concretar y determinar qué se considera un lugar visible para retirar el consentimiento.
Las cookies no son cuestión trivial en tanto que hasta los grandes operadores continúan sin terminar de tenerlo claro, prueba de ello, la reciente sanción a principios de 2023 impuesta por la Autoridad de Control de protección de datos francesa (‘’CNIL’’) a TikTok por no recabar de modo adecuado el consentimiento de cookies de los usuarios franceses.
Quedamos expectantes por ver si en la versión final del Informe el Comité Europeo de Protección de Datos el grupo de trabajo se pronunciará, al fin, sobre un mayor número de cuestiones en aras de proporcionar unas directrices claras y uniformes para las Webs europeas, garantizando así una mayor seguridad jurídica.
¿Todavía tienes dudas sobre cómo implementar el Banner de Cookies en tu Sitio Web?
En Letslaw, somos expertos en asesoramiento en materia de protección de datos y la adecuación de Sitios Web, por lo que estaremos encantados de ayudarte a cumplir con la normativa.