El Reglamento General de Protección de Datos de la UE (rgpd ) se aprobó en 2016 y se aplica desde 2018. Aunque la mayoría de las empresas han adoptado banners de cookies en un intento de cumplir con rgpd, muchas notificaciones de cookies en realidad no cumplen los estrictos requisitos de rgpd.
Una de las principales razones por las que estas soluciones no son conformes con rgpd es porque utilizan casillas de verificación previamente marcadas rgpd . Según rgpd, las organizaciones no pueden utilizar métodos de exclusión o consentimiento implícito, como el silencio, la inactividad y las casillas marcadas previamente.
Siga leyendo para obtener más información sobre por qué las casillas de verificación premarcadas rgpd no suelen estar permitidas para obtener el consentimiento para las cookies, cuándo están permitidas y cómo puede generar una política de cookies rgpd.
rgpd Requisitos de consentimiento
En comparación con otras leyes sobre privacidad, la rgpd tiene una definición restringida del consentimiento. Como se establece en el artículo 7, se prohíbe a las organizaciones utilizar el consentimiento implícito o de exclusión voluntaria.
En cambio, el consentimiento debe serlo:
- Un acto afirmativo claro
- Libremente concedido
- Específico
- Informado
- Sin ambigüedades
Además, las empresas deben ofrecer a los usuarios una forma fácil de retirar su consentimiento después de haberlo dado. Siga leyendo para saber por qué las casillas de verificación marcadas previamente no se ajustan a la definición de consentimiento válido de rgpd.
¿Todas las cookies requieren el consentimiento del usuario?
En rgpd menciona las cookies sólo una vez en sus 88 páginas. Para obtener más orientación, debemos consultar otro reglamento de la UE: la Directiva sobre la privacidad y las comunicaciones electrónicas - apodada ley de cookies.
Si se lee la rgpd junto con la Directiva sobre la privacidad y las comunicaciones electrónicas, las cookies de Internet suelen requerir el consentimiento del usuario. Esto se debe a que el propósito de la Directiva ePrivacy es proteger a los usuarios de la interferencia en su "esfera privada". Esto incluye los riesgos asociados a los identificadores ocultos y archivos similares colocados en los dispositivos de los usuarios sin su conocimiento, además de los datos personales de los usuarios.
Sin embargo, hay dos tipos de cookies de Internet que no requieren el consentimiento del usuario.
Cookies que deben estar presentes para que un sitio proporcione funciones básicas
No necesita el consentimiento del usuario si utiliza cookies estrictamente necesarias. Se trata de cookies que deben estar presentes para que el sitio proporcione funciones esenciales, entre las que se incluyen:
- Cookies que permiten a tu tienda online retener los artículos de un cliente en su carrito.
- Cookies de autenticación
- Cookies de seguridad centradas en el usuario
- Plugins de redes sociales para compartir contenidos, siempre que no se utilicen para rastrear a los usuarios.
- Cookies de personalización de la interfaz de usuario
Cookies que se utilizan únicamente para comunicarse a través de una red de comunicaciones electrónicas
Este tipo de cookies se denominan cookies de equilibrio de carga. También se consideran cookies estrictamente necesarias y no requieren el consentimiento del usuario siempre que se almacenen en el dispositivo del usuario durante la duración de su sesión. Algunos ejemplos son las cookies que:
- Intercambiar datos en el orden previsto
- Enviar información a través de una red
- Detectar pérdidas de datos o errores de transmisión
Todas las demás cookies -normalmente relacionadas con la analítica y la publicidad- requieren consentimiento porque están orientadas al beneficio de la empresa y no al de sus usuarios.
¿Por qué no se permiten las casillas marcadas previamente?
En pocas palabras, las casillas marcadas previamente en rgpd no están permitidas porque no constituyen un consentimiento válido.
El Tribunal de Justicia de la Unión Europea (TJUE) estudió en detalle esta cuestión en el asunto Planet49 de 2019.
Resumiendo: Planet49 organizaba una lotería en su sitio web y, para participar, los usuarios tenían que marcar una casilla para dar su consentimiento a recibir publicidad de terceros. Los usuarios también podían optar por desmarcar una casilla previamente marcada para dar su consentimiento a las cookies.
En su sentencia, el TJUE determinó que los sitios web deben obtener el consentimiento válido del usuario para almacenar cookies en sus dispositivos. En particular, los sitios web deben dar a los usuarios la oportunidad de dar su consentimiento activo antes de colocar cookies en sus ordenadores.
Consentimiento activo significa que el usuario debe hacer algo para indicar su consentimiento.
Dado que las casillas de verificación premarcadas de rgpd no requieren que el usuario haga algo para indicar su consentimiento, no cuentan como consentimiento válido. En lugar de hacer que el usuario marque una casilla para indicar su consentimiento, las casillas de verificación premarcadas no requieren nada del usuario, solo silencio y pasividad.
El TJUE también señaló que:
- El consentimiento debe darse "sin ambigüedades", y sólo un comportamiento activo y afirmativo del usuario puede cumplir este requisito.
- Es imposible determinar objetivamente si un usuario ha dado su consentimiento informado al no seleccionar una casilla previamente marcada. Esto se debe a que el usuario puede no haber leído la información que aparece junto a la casilla marcada previamente o puede haberla omitido por completo.
- No puede obtener un consentimiento válido para múltiples propósitos a través de la misma solicitud. Por ejemplo, no puedes obtener el consentimiento válido de un usuario si selecciona una casilla para revelar información a patrocinadores y permitir el uso de cookies.
Para que su consentimiento se considere inequívoco, el usuario debe poder seleccionar activamente la casilla para la que desea dar su consentimiento.
Otras consideraciones para determinar el consentimiento
Según las orientaciones de mayo de 2020 del Consejo Europeo de Protección de Datos (CEPD) sobre el consentimiento de rgpd , las empresas también deben renovar cualquier consentimiento obtenido con arreglo al régimen jurídico anterior.
Por ejemplo, antes de rgpd, la Directiva sobre la privacidad y las comunicaciones electrónicas permitía las casillas de verificación marcadas previamente siempre que se utilizaran para obtener el consentimiento.
Esto significa que si antes de la entrada en vigor de rgpd había utilizado una casilla de verificación previamente marcada, deberá volver a solicitar el consentimiento utilizando un método válido.
¿Cuándo está bien marcar las casillas?
En resumen, las casillas premarcadas no son adecuadas para las cookies no esenciales porque no cumplen los requisitos de consentimiento de rgpd, pero puede mostrarlas para las cookies esenciales.
¿Están bien las casillas de verificación previamente marcadas para las cookies esenciales?
No es necesario utilizar casillas de verificación previamente marcadas para las cookies "esenciales" que no requieren consentimiento en primer lugar. Dado que no requieren ningún tipo de consentimiento del usuario, no es necesario ofrecer a los usuarios la posibilidad de excluirse de las cookies esenciales.
Sin embargo, si lo desea, puede incluir una casilla de verificación previamente marcada para las cookies esenciales. El uso de una casilla de verificación previamente marcada para las cookies esenciales puede ayudar a la audiencia a entender la diferencia entre las cookies esenciales y no esenciales y que tienen la posibilidad de optar por las cookies no esenciales.
¿Están bien las casillas de verificación previamente marcadas para otras cookies?
No, las casillas de verificación marcadas previamente no son adecuadas para las cookies no esenciales. Como se ha comentado anteriormente, las cookies no esenciales requieren un consentimiento válido. Esto significa que no puede utilizar una casilla de verificación previamente marcada para obtener ese consentimiento.
¿Qué ocurre si utiliza casillas de verificación previamente marcadas para las cookies?
La UE siempre está atenta a las empresas que infringen las estrictas normas de rgpd y la Directiva sobre privacidad y comunicaciones electrónicas. He aquí dos ejemplos recientes que ilustran lo que puede ocurrir si no se siguen las normas de la UE sobre cookies.
Multa de 121 millones de dólares a Google por el uso de cookies
El 10 de diciembre de 2020, la autoridad francesa de protección de datos, la Commission Nationale de l'Informatique et des Libertés (CNIL), multó a Google con la friolera de 121 millones de dólares (100 millones de euros) por no obtener el consentimiento previo antes de colocar cookies no esenciales en los navegadores de los usuarios.
La CNIL descubrió que cada vez que los usuarios entraban en Google.fr, se colocaban automáticamente cookies publicitarias en sus navegadores sin que tuvieran que hacer nada. Google no utilizaba una casilla premarcada, pero tampoco ofrecía a los usuarios la posibilidad de optar por ello.
Google.fr sólo tenía un banner informativo en la parte inferior de la página, que contenía un recordatorio de privacidad de Google y dos botones: "Acceder ahora" y "Recordármelo más tarde".
Tampoco había información sobre las cookies publicitarias no esenciales que ya se habían colocado en los ordenadores de los usuarios cuando llegaron a Google.fr.
Multa de 42 millones de dólares a Amazon por las galletas
El mismo día de la multa a Google, la CNIL también impuso a Amazon una multa de 35 millones de euros (42 millones de dólares).
Al igual que Google.fr, Amazon.fr colocaba automáticamente cookies en los ordenadores de los usuarios sin exigirles que realizaran ninguna acción para indicar su consentimiento. La información proporcionada sobre las cookies tampoco era "ni clara ni completa".
Al igual que en el caso de Google.fr, Amazon banner de cookies no ofrecía a los usuarios la posibilidad de aceptar las cookies, y el sitio colocaba cookies en los dispositivos de los usuarios antes de que éstos tuvieran la oportunidad de leer la dirección política de cookies de Amazon o de rechazarlas. En su lugar, decía que se consideraba que los usuarios aceptaban el uso de cookies por parte del sitio web al utilizarlo.
Estos casos dejan claro que confiar en el consentimiento implícito o en casillas de verificación previamente marcadas pone a su organización en riesgo de sanciones significativas. Según rgpd y la Directiva sobre privacidad electrónica, el consentimiento debe ser explícito, informado y basado en una acción clara del usuario, no en suposiciones.
Para garantizar que sus prácticas en materia de cookies cumplen las normas legales, utilice una solución como la plataforma gestión del consentimiento deTermly, que le ayuda a recopilar consentimientos válidos, gestionar preferencias y mantener registros adecuados en todo su sitio web.
