Hogan Lovells 2024 Election Impact and Congressional Outlook Report
15 noviembre 2024
La Agencia Española de Protección de Datos ha actualizado su Guía sobre el uso de las cookies. Existen cambios relevantes, como nuevos requisitos en el diseño del banner de cookies así como las características para que las cookies de personalización estén exentas de consentimiento. Asimismo (muy interesante), la AEPD ha admitido expresamente que la web o app pueda, en determinadas circunstancias, solicitar un pago al usuario si éste no acepta el uso de cookies (también conocido como cookie Paywalls o como mecanismo "Pay or Okay").
A la vista de las recientes Directrices 3/2022 sobre patrones oscuros (disponibles en inglés) del Comité Europeo de Protección de Datos ("CEPD"), la Agencia Española de Protección de Datos ("AEPD") ha decidido actualizar su Guía sobre el uso de las cookies. Las empresas dispondrán de un plazo de 6 meses (hasta el 11 de enero de 2024) para implementar las nuevas obligaciones.
Las actualizaciones más relevantes son:
Este es un ejemplo oficial de banner de cookies de la AEPD:
Las cookies de personalización (i.e., aquellas que permiten recordar información para que el usuario pueda acceder al servicio en determinadas condiciones que distinguen su experiencia de la de otros usuarios) sólo estarán exentas de consentimiento cuando sea el usuario quien elija dichas condiciones (e.g., que elija un idioma haciendo clic en la bandera del país correspondiente, la moneda para la transacción correspondiente o el tamaño o color de letra).
En estos casos las cookies no tienen por qué ser de sesión, ya que podría ser molesto para el usuario personalizar sus preferencias cada vez que visita el sitio web.
En caso de que estas cookies quieran utilizarse para otros fines (e.g., estadísticos, de marketing, etc.), seguirá siendo necesario el consentimiento.
La AEPD se suma a la corriente de otras autoridades de protección de datos de la UE (como la austriaca) y admite (sutilmente) los paywalls.
En concreto, la AEPD modifica sus anteriores directrices para incluir únicamente lo destacado en la siguiente frase: "Podrán existir determinados supuestos en los que la no aceptación de la utilización de cookies impida el acceso al sitio web o la utilización total o parcial del servicio, siempre que se informe adecuadamente al respecto al usuario y se ofrezca una alternativa, no necesariamente gratuita, de acceso al servicio sin necesidad de aceptar el uso de cookies".
De esta manera, la AEPD acepta expresamente que dicha alternativa de acceso (si el usuario no quiere otorgar su consentimiento) pueda implicar un pago (o en general una contraprestación económica).
Aunque la AEPD mantiene el criterio del CEPD que establece que la alternativa deberá ser realmente similar a la opción que implica el consentimiento para las cookies y proporcionada por la misma entidad, no aclara / impone más limitaciones como han hecho otras autoridades de protección de datos de la UE (e.g., el precio de la alternativa de pago debe ser razonable y justo, las autoridades públicas no deben poder utilizar este mecanismo, etc.).
No obstante, los responsables del tratamiento deberán ser cautos y estar en condiciones de demostrar que ambas opciones son razonables y que el importe o las condiciones de pago no son demasiado onerosos de modo que los usuarios se vean "obligados" a otorgar su consentimiento.
Autores: Juan Ramón Robles, Clara Lázaro Hernández y Julia Sáenz