Reforzar la transparencia frente al usuario y garantizar un mayor control sobre sus datos personales son los principales objetivos de la nueva normativa de la Agencia Española de Protección de Datos (AEPD) que desde el 31 de octubre de 2020 obliga a las páginas web a adaptar su política de cookies a los requisitos de consentimiento requeridos por el Reglamento General de Protección de Datos (RGPD).
Con las nuevas directrices de la AEPD el mensaje “seguir navegando” deja de ser una opción válida para obtener el consentimiento del usuario de una web para la instalación de cookies (pequeña información enviada por un sitio web y almacenada en el navegador del usuario para ver la actividad previa). Se prohíbe el uso de los muros de cookies que impiden el acceso al contenido o funcionalidades de la web si el usuario no las acepta y el internauta podrá denegar o revocar el consentimiento prestado para el uso de cookies en la propia web.
Para poder cumplir con estas obligaciones, la AEPD ha puesto a disposición de los titulares de páginas web su “Guía sobre el uso de Cookies” para que faciliten al usuario la información sobre el tipo de cookies que se utilizan y sus finalidades, indicando si son propias o de terceros. También deben obtener el consentimiento libre, específico e inequívoco del usuario antes de la instalación de cookies no técnicas y permitir rechazarlas o retirar el consentimiento previamente prestado.
En este sentido, Ingrid González Hernández, mánager del área de tecnología y economía digital de Ceca Magán Abogados, asegura que “la colaboración entre el equipo técnico que se encargue de la administración o mantenimiento web y el equipo legal es imprescindible”.
Desde 2019, la autoridad de control ha abierto más de 165 actuaciones relacionadas con las políticas de cookies en las páginas webs de empresas, la mayoría por los servicios prestados a través de internet. La AEPD ha resuelto 159 de los expedientes tramitados y ha elaborado un informe solicitado por la Asociación para la Autorregulación de la Comunicación Comercial sobre el Código de conducta de tratamiento de datos en la actividad publicitaria.
Las empresas titulares de páginas web que no se hayan adaptado a las nuevas exigencias corren el riesgo de ser sancionadas con multas de hasta 30.000 euros al considerar que incumplen de forma leve la Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico. Si la instalación de cookies afecta al tratamiento de datos personales de los usuarios, el actual Reglamento de Protección de Datos establece sanciones muy duras, que pueden alcanzar hasta los 20 millones de euros o el 4% del volumen de facturación anual de la empresa para el caso de las infracciones más graves.
La AEPD ya avisó en 2019 sancionando a una aerolínea con 30.000 euros por no tener debidamente configurado el banner de cookies de su página web. Una usuaria que se vio obligada a aceptarlas para seguir navegando y contratar un vuelo, lo denunció al supervisor de la privacidad de los ciudadanos.
Recientemente, las empresas de apuestas deportivas online han sido objeto de posible sanción por la AEPD, que tiene abierto un expediente sancionador de 5.000 euros a una conocida entidad de apuestas digitales por carecer de enlace directo a la “política de cookies” en su página inicial y obligar para acceder a este consentimiento a entrar primero al “área de prensa”.