L’Agència Espanyola de Protecció de Dades (AEPD) ha modificat la guia sobre l’ús de les cookies seguint les directrius de la Junta Europea de Protecció de Dades. La més important és que el consentiment per a l’ús de cookies és obligatori, mitjançant una clara acció afirmativa per part de l’usuari.
A la guia de l’ús de cookies de l’AEPD de desembre de 2019 encara es permetia que, fent scroll al web en qüestió, es donés per acceptat l’ús de cookies. Tanmateix, la Junta Europea de Protecció de Dades ha establert un criteri marc per a l’obtenció correcta del consentiment en l’ús d’aquestes tecnologies. Aquesta actualització de criteri té el seu origen a la sentència STJUE C-673/17, sobre política de cookies. Tal i com exposa aquesta sentència, per a què l’ús de les cookies d’un web sigui realitzat de manera adequada ha de demanar-se l’acceptació de l’usuari mitjançant un acte afirmatiu clar que reflecteixi una manifestació de voluntat lliure, específica, informada i inequívoca de l’interessat, mateixos termes que recull el considerant 32 del RGPD en relació amb el consentiment prestat.
Per a què el consentiment sigui obtingut correctament,aquí detallem els mètodes que no s’han d’usar per aconseguir l’acceptació relativa a l’ús de cookies:
- Scroll. Amb base al considerant 32 del RGPD, les accions tipus scrolling no signifiquen, sota cap concepte, que sigui una acció ni clara ni afirmativa de demanar el consentiment, per tant, no compleixen amb el requisit que marca la normativa. Aquest tipus d’accions fan difícil que es distingeixin d’altres interaccions de l‘usuari per un web i, per tant, no es pot determinar que s’ha obtingut un consentiment inequívoc mitjançant aquest mètode. L’AEPD exposa que “el mer fet de romandre visualitzant la pantalla, fer scroll o navegar pel lloc web no es considerarà una clara acció afirmativa sota cap circumstància”. Les recomanacions de la Junta Europea de Protecció de Dades, a més, recullen el fet de què, si mitjançant scrolling es pogués obtenir el consentiment, per la mateixa via l‘usuari podria revocar-lo.
- L’ús de caselles opcionals premarcades. L‘AEPD recull “que en cap cas són admissibles les caselles premarcades a favor d’acceptar cookies”, ja que no suposen un acte afirmatiu clar per l’usuari doncs aquest no ha pogut prendre una acció lliure per a consentir.
- Silenci o inactivitat per part de l’interessat. Aquest mètode no pot ser considerat tampoc com un acte afirmatiu que reflecteixi el consentiment de l’usuari. L’AEPD així ho declara dient que “en cap cas la mera inactivitat de l’usuari implica la prestació del consentiment per sí mateixa”.
- Obligació d’acceptació de les cookies. Si el proveïdor posa que no hi ha possibilitat d’accedir al contingut si no es fa clic a “acceptar cookies”, el consentiment no es dóna lliurement, per la qual cosa, no compleix amb els termes que marca la normativa.
Com a bones pràctiques per a què el consentiment que s’obté de l’usuari sigui vàlid, tant en relació amb les cookies com sobre la resta de tractament de dades que pugui haver dins d’un web, destaquen:
- El concepte de “granularitat”. Es refereix a la necessitat de sol·licitar als usuaris un consentiment per a cada ús de les seves dades. Per exemple, es sol·licita al client l’autorització per enviar-los correus comercials i també per a compartir els seus detalls amb altres empreses del grup. Aquest consentiment no és granular ja que no hi ha consentiments separats per aquestes dues finalitats distintes.
- Proporcionar informació específica. L’apartat segon de l’article 22 de la LSSICE estableix que s’ha de facilitar als usuaris informació clara i completa sobre la utilització dels dispositius d’emmagatzematge i recuperació de dades i, en particular, sobre els fins del tractament de les dades. Per la qual cosa, la informació facilitada sobre les cookies en el moment de sol·licitar el consentiment ha de ser suficientment clara per a permetre als usuaris entendre les seves finalitats i l’ús que se’ls donarà.
- Revocació fàcil del consentiment. Igual que s’obté el consentiment també s’ha de poder retirar fàcilment. Per a l’usuari ha de ser tan senzill com quan el va donar i sense suposar-li costos o pèrdues d’accés a informació.
- Ús de llenguatge clar. El missatge ha de ser fàcilment comprensible per a l’usuari. El consentiment ha de ser clar i distingible d’altres assumptes i ha de proporcionar-se d’una manera intel·ligible i de còmode accés.
L’ús de plataformes de gestió del consentiment (consent management platform o CMP) serà vàlid si permet a l’entitat que les utilitzi complir amb els requisits comentats junt amb el que marca la normativa i detalla la guia sobre l’ús de les cookies.
La pàgina web és el mirall de l’empresa de cara al públic. Ha de ser un lloc transparent i clar per a què els usuaris es sentin còmodes navegant en ella. A més dels aspectes a tenir en compte sobre el consentiment, recordem que el web ha de disposar de la informació legal corresponent.
Si teniu dubtes sobre si el vostre web compleix amb les obligacions comentades o sobre els vostres drets com a usuaris, l‘equip de PYMELEGAL està a la vostra disposició per a resoldre-les.