El Comité Europeo de Protección de Datos ha publicado un Informe sobre el trabajo realizado por el grupo de trabajo «Cookie Banner», en el que presentan su posición con vistas a la tramitación de las reclamaciones sobre «banners de cookies» recibidas por el Centro Europeo de Derechos Digitales (NOYB), organización sin ánimo de lucro fundada por Max Schrems.
En este Informe, determinan su interpretación de las disposiciones aplicables de la Directiva sobre la privacidad y las comunicaciones electrónicas, y del Reglamento General de Protección de Datos (RGPD) (LA LEY 6637/2016), para el análisis que debe llevarse a cabo al tramitar reclamaciones sobre los banners de cookies.
I. ¿Cuáles son las principales conclusiones?
▪ Ninguna cookie que requiera consentimiento puede instalarse si no se ha obtenido lícitamente. La forma de obtenerlo es mediante una clara acción afirmativa por parte del usuario.
▪ Constituye una infracción de la Directiva sobre intimidad y comunicaciones electrónicas, la falta de existencia en el banner de cookies de casillas de «aceptación y rechazo». La ausencia de opciones de rechazo no se ajusta a los requisitos para un consentimiento válido.
▪ Las casillas previamente marcadas no conducen a un consentimiento válido, tal como se menciona en el RGPD.
▪ Para que el consentimiento sea válido, debe haber información clara sobre de qué trata el banner, sobre la finalidad del consentimiento que se solicita y sobre cómo consentir las cookies.
▪ No se puede imponer a los responsables del tratamiento de datos una norma general de banners de cookies relativa al color y/o al contraste, si bien esta práctica podría ser manifiestamente engañosa cuando el contraste entre el texto y el fondo del botón es tan mínimo que el texto resulta prácticamente ilegible para cualquier usuario.
▪ El interés legítimo del responsable como base jurídica de legitimación para la colocación/lectura de cookies con arreglo a la Directiva sobre la privacidad y las comunicaciones electrónicas, podría no ser aplicable.
▪ Se debe tener especial cuidado a la hora de clasificar las cookies, sólo pueden ser calificadas como «esenciales» o «estrictamente necesarias» las cookies que reúnen tales requisitos según el Dictamen no04/2012 sobre Exención del consentimiento de cookies del Grupo de Trabajo del Art.29.
▪ Los propietarios de sitios web deben poner en marcha soluciones fácilmente accesibles que permitan a los usuarios retirar su consentimiento en cualquier momento, como un icono (pequeño y permanentemente visible) o un enlace colocado en un lugar visible y normalizado.
II. ¿Qué cambios supone en la práctica?
▪ Debe habilitarse un banner de cookies en todas las webs en el que:
- — Exista una casilla que solicite de forma expresa el consentimiento del usuario. o Esta casilla no podrá estar previamente marcadas.
- — Exista una casilla con la posibilidad de rechazar las cookies.
- — Se implemente un texto informando sobre la finalidad del tratamiento de las cookies.
- — Los colores y contrastes utilizados en las casillas no estén diseñados con el fin de inducir al usuario a la aceptación de las cookies.
▪ Con respecto a la segunda capa informativa:
- — El uso del interés legítimo para diferentes actividades de tratamiento como, por ejemplo, «Crear un perfil de contenido personalizado» o «Seleccionar anuncios personalizados», podría no tener base de legitimación suficiente, por lo que habría que analizar en detalle todos los tratamientos que, en la segunda capa informativa se indica que se legitiman en el interés legítimo del responsable del tratamiento.
En todo caso, estas indicaciones, no prejuzgan el análisis que deberán realizar las autoridades de cada denuncia y cada sitio web afectado. Habrá que analizar siempre cada caso concreto, si bien, si sirven como criterio unificador en lo que al banner de cookies se refiere.
III. ¿Qué puede pasar en caso de incumplimiento en esta materia?
Por el momento se trata de unas indicaciones que sirven como criterio unificador a nivel europeo.
En nuestro caso, será la Agencia Española de Protección de Datos la que nos vaya indicando, mediante sus guías y resoluciones, cómo debemos implementar estas indicaciones.
Por tanto, aún es pronto para saber qué tipo de sanciones podría llevar aparejada el incumplimiento de estas indicaciones, pero, sin duda, hablaríamos de infracciones relacionadas con los principios del RGPD, el consentimiento y su forma de obtenerlo.