Volver a página de inicio

I. Contexto

Han transcurrido diez años desde la publicación de la primera Guía sobre el uso de las cookies, un texto pionero que marcó un hito en la colaboración entre autoridades de protección de datos y la industria publicitaria digital. Una Guía que destaca por su enfoque proactivo, aportando transparencia y proporcionando un marco de interpretación para el cumplimiento en materia de cookies y que recibió un amplio reconocimiento en Europa.

De forma retrospectiva, recordemos que la razón de ser de esta Guía se remonta a la transposición de la Directiva 2009/136/CE (LA LEY 22502/2009) a través del Real Decreto 13/2012 que modificaba la Ley 34/2002 (LA LEY 1100/2002) de Servicios de la Sociedad de la Información (LSSI) y específicamente su artículo 22, relativo al uso de las cookies. Esta Directiva, que modificaba el enfoque de las obligaciones con respecto a las cookies, de una mera información en las políticas de privacidad a exigir un consentimiento informado, generó divergencias interpretativas en cuanto a su aplicación y enfoque. La repercusión de una interpretación excesivamente restrictiva sobre el consentimiento, ajena al conocimiento del funcionamiento del sector, fue el punto de partida de la participación de las asociaciones Adigital, Autocontrol, IAB Spain y aea, y llevó a los equipos legales que entonces conformábamos dichas asociaciones a un intenso trabajo para analizar y aportar transparencia al proceso de tratamiento de datos en el complejo y dinámico ecosistema publicitario digital.

Con posterioridad, la Guía ha sido objeto de sucesivas modificaciones. La más trascendente, tras la aprobación del Reglamento General de Protección de Datos (RGPD) (LA LEY 6637/2016), que introdujo importantes cambios al regular la publicidad digital de forma específica y los identificadores en línea incluidos las cookies en el artículo 4 y considerando 30 y la elaboración de perfiles en el artículo 4.4 y el artículo 22. El hecho de que ambas normas coincidieran en la regulación de los mismos aspectos generó durante un tiempo inseguridad jurídica, algo que se resolvió con la actualización de la Guía y con el Dictamen 5/2019 sobre la interacción entre la Directiva sobre la privacidad y las comunicaciones electrónicas y el RGPD, en particular en lo que respecta a la competencia, funciones y poderes de las autoridades de protección de datos del Comité Europeo de Protección de Datos (1) .

Por otro lado, si bien es fundamental comprender las principales novedades de la Guía, es importante conocer también el contexto normativo actual, dado que en un período relativamente corto se han promulgado una serie de leyes de gran alcance que afectan a la publicidad digital en su conjunto. Estas leyes, que requerirían un análisis detallado y específico, se mencionan brevemente a continuación ya que tienen un impacto significativo en la forma en que se recopilan y utilizan los datos de los usuarios para la publicidad.

La primera de ellas, la Digital Services Act (DSA) o Ley de Servicios Digitales que, entre un amplio conjunto de obligaciones para los servicios de intermediación, exige en su artículo 26 a las empresas que proporcionen información clara y fácilmente accesible sobre la recopilación y uso de datos de los usuarios con fines publicitarios. Además, las plataformas publicitarias deben garantizar que los destinatarios puedan identificar claramente que están viendo un anuncio, incluyendo información sobre el anunciante, los parámetros utilizados para mostrar los anuncios y cómo pueden modificarse. Estos detalles deben estar directamente accesibles desde el anuncio. La norma también prohíbe el uso de patrones oscuros o interfaces que puedan manipular el consentimiento o la toma de decisiones informadas. Aunque en diferentes versiones consideró la posibilidad de prohibir la publicidad basada en perfiles, finalmente esta prohibición se limita a mostrar anuncios basados en perfiles de datos sensibles y perfiles de menores. La DSA comenzará a ser de aplicación a partir del 17 de febrero de 2024, aunque las plataformas y motores de búsqueda en línea de gran tamaño deben cumplir con sus obligaciones a partir de agosto de 2023.

Por otro lado, la Digital Markets Act (DMA) o Ley de Mercados Digitales establece las obligaciones para los servicios básicos de plataforma que actúan como guardianes de acceso y prohíbe prácticas como la combinación de datos con servicios de terceros prestados a través de sus plataformas, así como el cruce de datos recopilados entre diferentes servicios de la misma plataforma. Esta ley también impone a estos actores exigentes requisitos de información diaria tanto para anunciantes como para editores.

Además, la Data Governance Act o Ley de Gobernanza de Datos, que comenzará a aplicarse en septiembre de 2023, introduce nuevos actores como los proveedores de servicios de intermediación de datos. Estos proveedores pueden desempeñar un papel crucial en la disminución del uso de cookies en los sitios web, ya que ofrecen un modelo alternativo a las prácticas de tratamiento de datos de las plataformas tecnológicas y actúan como terceros neutrales que conectan a individuos y empresas.

Por último, el Reglamento de Inteligencia Artificial, cuya aprobación se prevé para finales de 2023, también incluye requisitos y garantías en relación con la transparencia de los algoritmos y sistemas de recomendación.

Estas leyes representan un cambio significativo en el panorama de la publicidad digital y supondrán un verdadero salto cualitativo en la información y capacidad de elección de los usuarios respecto al uso de sus datos personales en general y a las cookies en particular.

No podemos dejar de mencionar la Propuesta de Reglamento de e-Privacy, en el que se ha venido trabajando desde que la Comisión Europea presentara su propuesta en enero de 2017 y que surtiría a la LSSI, pero parece que este dossier ha dejado de ser una prioridad en las últimas presidencias rotatorias del Consejo de la Unión, y habrá que ver si la recién estrenada Presidencia española tiene intención y tiempo de impulsar.

Además, es importante tener en cuenta, desde una perspectiva empresarial y para complementar el panorama actual en el que nos encontramos, que la industria ha anunciado que las cookies de terceros están destinadas a desaparecer. Aunque la fecha de su retirada se ha ido retrasando en varias ocasiones por problemas de privacidad en las alternativas, parece que se ha fijado julio de 2024 como fecha definitiva, lo que ha llevado a la industria a trabajar en alternativas de monetización de los datos con diferentes soluciones entre las que se incluyen soluciones basadas en categorías o cohortes, soluciones de identidad para tráfico autenticado a través del correo electrónico, pixeles, proyectos que ofrecen un modelo de identificación sin necesidad de datos personales, así como la publicidad contextual, entre otras (2) .

Sin duda, la pronta desaparición de las cookies de tercera parte marcará otro hito a tener en cuenta y una nueva modificación de la Guía para adaptarla a todas estas nuevas soluciones.

II. Novedades de la Guía sobre el uso de las cookies

El pasado 11 de julio la Agencia Española de Protección de Datos publicó una nueva versión de la Guía sobre el uso de las cookies (3) , cuya modificación obedece, según se puede leer en su nota de prensa, a la adaptación e incorporación de los criterios aportados por el Comité Europeo de Protección de Datos (EDPB) en las Directrices 03/2022 sobre patrones engañosos en redes sociales publicado en febrero de 2023 (4) . Los nuevos criterios deberán implementarse, a más tardar, el 11 de enero de 2024.

En estas directrices, el EDPB analiza con gran detalle el papel de los patrones engañosos que pueden influenciar o manipular las decisiones de los usuarios en todo el ciclo de vida del dato. En ese contexto, define los patrones de diseño engañosos como «interfaces en plataformas (de redes sociales) que intentan influir en los usuarios para que lleven a cabo decisiones involuntarias, y potencialmente dañinas, normalmente en contra de sus intereses y en favor de las plataformas en relación con el tratamiento de sus datos personales. Los patrones de engañosos tienen como objetivo influir en el comportamiento de los usuarios y pueden dificultar su capacidad para proteger de forma eficaz sus datos personales y tomar decisiones conscientes.

El EDPB describe las tipologías de patrones y aporta una serie de recomendaciones para evitar estas prácticas en las diferentes fases (proceso de registro, información de los avisos de privacidad y la gestión del consentimiento, ejercicio de los derechos durante el uso de las redes sociales y, finalmente, al cerrar una cuenta). A resaltar que, como se comentaba unas líneas más arriba, la Ley de Servicios Digitales ha establecido directamente la prohibición de utilización de esas técnicas en su artículo 25 al recoger que «los prestadores de plataformas en línea no diseñarán, organizarán ni gestionarán sus interfaces en línea de manera que engañen o manipulen a los destinatarios del servicio o de manera que distorsionen u obstaculicen sustancialmente de otro modo la capacidad de los destinatarios de su servicio de tomar decisiones libres e informadas».

III. Posibilidad de Rechazar todas las cookies desde la primera capa

Una de las importantes novedades de esta versión de la Guía es la obligación de incluir la opción de rechazar todas las cookies directamente en el aviso de cookies. Esta obligación ha sido objeto de no pocas discusiones e interpretaciones en el pasado, tanto entre las mismas autoridades de protección de datos, algunas de las cuales consideraban que el artículo 5(3) de la Directiva e-Privacy no menciona explícitamente una «opción de rechazo», como de los propios agentes implicados.

Las diferentes visiones al respecto de los EEMM llevaron al EDPB a crear un grupo de trabajo específico para fijar los elementos de diseño de los banners de cookies y que derivó en «Informe del trabajo realizado por el Cookie Banner Taskforce» del 17 de enero de 2023 (5) . En el documento se desprende que, si bien no era unánime la opinión de las autoridades de protección de datos, la gran mayoría de ellas consideraba que la ausencia de la opción para rechazar las cookies en las opciones de consentimiento en los banners no estaba en línea con los requisitos para un consentimiento válido y, por lo tanto, constituía una infracción. En el documento además se analizaba el papel de interés legítimo, en el que el Grupo de Trabajo recuerda que este únicamente puede justificarse cuando su uso sea esencial o estrictamente necesario (es decir, tal y como establece la normativa, cuando sean cookies exentas del consentimiento).

La creación de este grupo de trabajo estuvo también motivada por la acción de la asociación NOYB, que anunció que remitiría 10.000 reclamaciones a los sitios web más visitados de Europa a través de un software que reconocía varios tipos de banners de cookies y generaba automáticamente las reclamaciones. Durante todo este tiempo ha ido remitiendo reclamaciones a medios europeos alertándoles sobre estas prácticas, instándoles a incluir el botón de rechazar bajo la «advertencia» de una reclamación ante las autoridades de protección de datos (6) .

Teniendo en cuenta los documentos mencionados anteriormente, la AEPD se alinea con las pautas europeas e introduce importantes novedades que refuerzan el papel de los usuarios y su capacidad de decisión.

Por ello, para los avisos de cookies, establece que el banner, además de la información que ya se exigía previamente, ahora deberá contener 3 botones o mecanismos similares para que el usuario decida sobre el uso de las mismas:

• — En primer lugar, un botón (o mecanismo equivalente), fácilmente visible, para consentir el uso de todas las cookies. Podrán usarse palabras que no induzcan a confusión, como «Aceptar cookies», «Aceptar», «Consentir» o textos similares.
• — Como novedad, la AEPD incluye la obligación de incluir un botón o mecanismo equivalente, que tiene que ser similar al anterior para poder rechazar las cookies. Esta casilla deberá incluir las palabras «Rechazar cookies», «Rechazar». En este caso, el rechazo de las cookies no incluirá las que estén exentas de la obligación de obtener un consentimiento informado, que se derivan de las excepciones del artículo 22.2 y que en su día analizó y listó el Grupo de Trabajo del Artículo 29 (AKA EDPB) (7) .
• — Por último, será necesario incluir una opción de administrar las preferencias de usuario, con un botón o mecanismo equivalente, claramente visible y que no tiene que ser necesariamente similar a los anteriores, que lleve a un panel de configuración que permita aceptar o rechazar las cookies de forma granular, al menos en función de su finalidad.

Siguiendo instrucciones de la AEPD, el texto tiene que estar fácilmente localizable, sin que el usuario tenga que desplazarse por grandes cantidades de texto buscando la información y deberá seguir siendo accesible de forma permanente. El panel de configuración podrá integrarse en la segunda capa informativa.

La AEPD aporta en esta nueva versión de la Guía nuevas instrucciones que delimitan la forma en la que se ha de mostrar ese aviso, estableciendo las siguientes pautas, que evitan que el banner roce o se asemeje al concepto de patrón oscuro o engañoso:

• — No se podrá dar al usuario la impresión de que tiene que aceptar obligatoriamente las cookies para navegar por el sitio web.
• — No se podrá empujar claramente al usuario a aceptar las cookies.
• — Respecto al color o contraste del texto y los botones (o mecanismos equivalentes) no podrán ser obviamente engañosos para los usuarios, de forma que lleven a un consentimiento involuntario. No será válido, por ejemplo, que la opción para rechazar las cookies sea un botón con un texto que no contrasta lo suficiente con el color del botón y, por lo tanto, no pueda leerse.

Debido a las malas prácticas que se han llevado por parte de muchas páginas web a la hora de configurar las Plataformas de Gestión del consentimiento (Consent Management Platforms, CMP) para obtener el consentimiento, con botones en los que no quedaba claro si se aceptaba o rechazaba la instalación de cookies, o conceptos difusos, la AEPD redacta con detalle cómo han de ser esos paneles. De esta manera se reduce el ámbito de interpretación y la creatividad a la hora de confundir al usuario respecto a sus opciones.

Indica al respecto que, en el panel de configuración, y para facilitar la selección, podrán implementarse dos botones, uno para seleccionar todas las categorías de cookies y otro para rechazarlas todas si el usuario las ha seleccionado previamente. También arroja luz sobre una cuestión que también ha dado lugar a confusiones en el pasado, y es el relativo a pulsar el botón de guardar la configuración. Para ello, la AEPD establece que, si el usuario guarda su elección sin haber seleccionado ninguna cookie, equivaldrá al rechazo de todas las cookies. La AEPD recuerda, una vez más, que en ningún caso son admisibles las opciones premarcadas a favor de aceptar cookies para obtener un consentimiento válido.

También, respecto del panel de configuración, aporta una serie de instrucciones sobre el grado de granularidad a la hora de mostrar la selección de cookies, estableciendo que deberá valorarlo el editor del sitio web, pero que, en cualquier caso, debe evitarse el grado máximo de granularidad (obligar a selección cookie a cookie, incluso dentro de la misma finalidad), dificultando con ese exceso de información la toma de decisiones.

La AEPD sigue con esta Guía la estela de otras autoridades de protección de datos que ya se habían posicionado de forma tajante al respecto, como es el caso de la CNIL y del Garante, homólogos de la AEPD en Francia e Italia, con la diferencia de que estas autoridades lo han hecho a través de sanciones, y no de Guías con un período de adaptación, algo que sigue poniendo de relieve el espíritu de la autoridad española y que es de agradecer por parte de las empresas. Al respecto, resaltar diversas actuaciones de la CNIL que han derivado en diferentes sanciones, como la impuesta a Microsoft (8) en el que es sancionada con 60 millones de euros por no poner un sistema para rechazar las cookies tan sencillo como para aceptarlas en el portal de Bing. Además de la sanción económica, Microsoft estaba obligada a incluir, en un período máximo de tres meses, un sistema para que los usuarios en Francia aceptaran las cookies. En caso contrario, la compañía podría ser sancionada con una multa de 60.000 euros diarios en caso de retraso. La CNIL también puso contra las cuerdas a Google y a Facebook con una multa de 150 millones de euros y 60 millones de euros respectivamente por no incluir el botón de rechazar las cookies en el banner de cookies (9) . La última en ser sancionada por esta razón ha sido la red social TikTok con 5 millones de euros (10) . También es importante resaltar la reciente sanción del Garante italiano a la empresa Edison Energía con 4,9 millones de euros, por el uso de patrones engañosos para recabar el consentimiento. La resolución, si bien no se refiere a la instalación de cookies, es significativa porque por primera vez se declara que el uso de patrones oscuros supone una infracción del RGPD. La autoridad italiana lo circunscribe a la infracción de los artículos relativos al principio de responsabilidad demostrable, las condiciones para el consentimiento y principios de privacidad por diseño y privacidad por defecto del RGPD (11) .

IV. Paredes o muros de cookies

La tormenta perfecta que se ha producido con todas las malas gestiones respecto al uso de los datos, y que ha derivado en un uso generalizado de ad blockers, ha llevado a los editores a la necesidad de buscar fórmulas de monetizar los servicios, y a muchos medios al uso de lo que se conoce como muros o paredes de cookies. Estos muros de cookies son avisos que operan como puertas de entrada a la propiedad digital, que aparecen en el interfaz y que obligan al usuario a tomar una determinación sobre si aceptar o rechazar las cookies tras mostrarle la información.

En relación a este tema, si bien la AEPD reconoce y acepta esta práctica en determinadas circunstancias, existen consideraciones importantes a tener en cuenta. En primer lugar, el consentimiento debe ser otorgado de forma libre, lo que significa que no se puede obligar al usuario a concederlo, y, por lo tanto, el acceso al servicio no puede estar condicionado a que el usuario consienta el uso de cookies. En ese sentido, la versión anterior de la Guía ya mencionaba la posibilidad de ofrecer una alternativa de acceso al servicio sin necesidad de aceptar el uso de cookies. Se establecía que podía haber supuestos en los que la no aceptación de la utilización de cookies impidiese el acceso al sitio web o la utilización total o parcial del servicio, siempre que se informase al usuario y se ofreciese por parte del editor una alternativa de acceso al servicio.

Si bien en la práctica esos muros de cookies ya ofrecían la opción de pago o suscripción como alternativa al uso de las cookies, la nueva versión de la Guía aclara que dicha alternativa no necesariamente debe ser de acceso gratuito, otorgando legitimidad a la monetización de contenidos.

Al respecto, en marzo de 2021 el EDPB publicó la Declaración 03/2021 sobre el Reglamento de e-Privacy (12) en la que se establecía que la obtención de consentimientos libremente otorgados debería evitar que los proveedores de servicios utilicen prácticas como los muros de cookies. En este documento, el EDPB considera que la necesidad de que el consentimiento se otorgue de forma verdaderamente libre debe impedir que los proveedores de servicios utilicen prácticas desleales como las soluciones «todo o nada», que supeditan el acceso a los servicios y funcionalidades a que el usuario consienta que se almacene información o se acceda a información ya almacenada en su equipo terminal.

Es por ello que se ha ido trabajando y dando forma a lo que se conoce como alternativa equivalente. Tal y como establece la Guía, los servicios de ambas alternativas deberán ser genuinamente equivalentes, y además no será válido argumentar que el servicio equivalente lo ofrezca una entidad ajena al editor. Sobre la alternativa genuinamente equivalente, se recogía también en algunas versiones de la propuesta de Reglamento de e-Privacy, como en la aprobada por la presidencia rotatoria de Portugal (13) .

La legitimidad de los muros de cookies también ha sido objeto de múltiples interpretaciones y discusiones, como se puede observar en el caso Axel Springer-EyeOs. Y es que este medio alemán fue uno de los primeros medios en instalar en 2015 muros de cookies ante el creciente e insostenible uso de bloqueadores por parte de Adblock Plus. Axel Springer argumentaba que se impedía su libertad de empresa y que se infringían las normas de competencia. Desde 2015, Axel Sringer lleva lidiando con la empresa EyeOs en los Tribunales alemanes sin que haya logrado más que algún reconocimiento parcial (14) , ya que los mismos consideran que no existe una norma que obligue a los usuarios a aceptar las cookies.

Respecto a este tema, una de las cuestiones que también ha despertado divergencias es en la posibilidad de utilizar los datos como contraprestación económica, alternativa que ya se recoge en algunas leyes y sobre lo que el Supervisor Europeo de Protección de Datos se ha mostrado contrario. Por otro lado, no debería asumirse que la alternativa de aceptación de cookies significa necesariamente una menor protección, ya que dependerá de las garantías y responsabilidad de los medios en el tratamiento de las mismas.

V. Cookies de personalización

Otra de las novedades es la relativa a la necesidad de recabar el consentimiento para las cookies de personalización, que dependerá según quien la lleve a cabo.

En primer lugar, la Guía define estas cookies como aquellas que permiten recordar información para que el usuario acceda al servicio con determinadas características que pueden diferenciar su experiencia de la de otros usuarios como, por ejemplo, el idioma, el número de resultados a mostrar cuando el usuario realiza una búsqueda, el aspecto o contenido del servicio en función del tipo de navegador a través del cual el usuario accede al servicio o de la región desde la que accede al servicio, etc.

En ese sentido, la AEPD establece que si es el propio usuario quien elige las características (seleccionando el idioma de una web, la moneda, el tamaño de fuente y el contenido para mejorar la legibilidad), las cookies estarán exceptuadas de las obligaciones por considerarse un servicio expresamente solicitado por el usuario.

Para que estas cookies se consideren exentas, su uso deberá limitarse al necesario para su finalidad, y la información de la selección del usuario no podrá emplearse para otros fines (por ejemplo, para la personalización de contenidos publicitarios) ni para elaborar un perfil. Por otro lado, si esta personalización la lleva a cabo el editor, sí será necesario el consentimiento.

VI. Conclusiones

Esta nueva actualización de la Guía sigue la tendencia marcada por las normativas, directrices y resoluciones que se están promulgando, todas ellas orientadas hacia un usuario mejor informado y con una capacidad de decisión más sólida y realista. En particular, la Ley de Servicios Digitales aborda de manera específica la claridad del lenguaje en las políticas de privacidad y términos y condiciones, estableciendo la necesidad de redactarlos de forma sencilla y comprensible, haciendo especial hincapié en la claridad cuando dichos servicios estén dirigidos principalmente a menores. Además, en línea con esta preocupación, se ha publicado recientemente la norma ISO 24495 sobre el lenguaje claro, que proporciona principios, directrices y técnicas universales para crear comunicaciones comprensibles, efectivas y equitativas que faciliten la accesibilidad en la información.

Ante el panorama actual, mientras se trabaja en adaptar los avisos a las nuevas exigencias, resulta recomendable que los departamentos legales mantengan un estrecho seguimiento de las tendencias de la industria con el fin de determinar si se confirma la suspensión del uso de cookies de terceros en julio de 2024. Esta eventualidad podría dar lugar a la elaboración de una nueva Guía que aborde las garantías necesarias para el cumplimiento en relación con estas alternativas de identificación.