En este artículo de blog analizamos las principales claves en relación con la regulación actual de las cookies en la Unión Europea, tras las noticias que se están produciendo en este sentido.
Es importante destacar, en primer lugar, que el Tribunal de Justicia de la Unión Europea, en Octubre de 2019, dictó mediante sentencia que los usuarios de las diferentes páginas web han de prestar necesariamente su consentimiento expreso para la instalación de cookies. De esta forma, el TJUE reforzaba mediante esta Sentencia lo ya dispuesto en la normativa vigente en materia de protección de datos, entendiendo que el consentimiento debe otorgarse mediante un acto afirmativo claro y considerando que el silencio, las casillas ya marcadas o la inacción en ningún caso deberán constituir consentimiento válido.
Consentimiento real y expreso de las cookies
De esta forma, cualquier organización que cuente con una web en la que se utilicen cookies, por ejemplo, de análisis comportamental o publicitarias (cabe precisar que existen cookies estrictamente necesarias para el adecuado funcionamiento de una web, que no requerirán de consentimiento de los interesados), deberá constituir los elementos para permitir una clara acción afirmativa del usuario, tal y como exige el RGPD. Se deberá garantizar el consentimiento real y expreso, a través de paneles de configuración, que permitan un consentimiento específico para cada finalidad, tal y como se puede observar en el aviso de cookies dispuesto en la página web de GlobalSuite Solutions:
Además, la configuración deberá permitir que por defecto no se instalen cookies y se debe de incluir la opción de que se rechacen todas las cookies, garantizando que el interesado pueda siempre guardar su configuración y respetando siempre la misma en futuros accesos del usuario a la web en cuestión. En caso de que guardase su configuración sin haber seleccionado ninguna cookie, todas ellas se considerarán rechazadas.
La legitimación de las transferencias internacionales a terceros países
En relación con la información sobre las transferencias internacionales de datos, la recomendación del Comité Europeo de Protección de Datos (CEPD) es que debe especificarse el artículo del RGPD que permite la transferencia, identificar a los terceros países y proporcionar información sobre dónde y cómo se puede acceder a la decisión de adecuación o a las garantías adecuadas o apropiadas, incluidas las normas corporativas vinculantes, que, en su caso, permitan la transferencia.
En ausencia de dichas garantías debe legitimarse la transferencia mediante el consentimiento expreso del usuario. Para que dicho consentimiento sea una base jurídica válida, se debe garantizar que se ofrece el mayor nivel de información posible al usuario sobre los riesgos que supone la transferencia de sus datos, en ausencia de una decisión de adecuación y de garantías adecuadas, así como sobre el uso de los datos que va a hacer el proveedor utilizado. Este consentimiento deberá no solo cumplir con los requisitos generales que el RGPD impone en relación con el consentimiento (libre, informado, específico e inequívoco), sino que además debe otorgarse de manera explícita en relación a la transferencia internacional de datos. Por ello, la información a proporcionar con carácter previo, en el propio banner o panel de configuración, debe de hacer referencia a los riesgos para el interesado en relación a la realización de una transferencia internacional en ausencia de decisión de adecuación y de garantías adecuadas.
De forma paralela, cabe precisar que en relación con el uso de uno de los proveedores más utilizados, como es Google Analytics, existen alternativas que limitan el riesgo del tratamiento a través de opciones como la habilitación de la opción anonimización o enmascaramiento del dato de la IP del usuario o mediante la desactivación de Google Signals, debiendo de buscar alternativas similares para otros proveedores que presten servicios similares, siempre que sea posible.
En todo caso, se está consolidando un nuevo paradigma en relación al uso de las cookies, contando el usuario con más poder que nunca en relación a la instalación de cookies en sus dispositivos, debiendo consentir su uso de forma expresa, clara y explícita, incluyendo la recepción y consentimiento, con toda la información pertinente, en materia de transferencias internacionales de datos, cuando proceda.
Actualización del consentimiento
Finalmente, la Agencia Española de Protección de Datos, siguiendo las directrices del CEPD, considera buena práctica que la validez del consentimiento prestado por un usuario para el uso de una determinada cookie no tenga una duración superior a 24 meses y que durante este tiempo se conserve la selección realizada por el usuario sobre sus preferencias, sin que se le solicite un nuevo consentimiento cada vez que visite la página en cuestión.
¿Cómo podemos ayudarte?
Desde GlobalSuite Solutions podemos apoyarte en la implantación de protocolos de tratamiento de los datos personales, conservación de estos, determinación de bases legales legítimas, consiguiendo que tu Sistema de Gestión de Protección de Datos esté perfectamente integrado con un software como GlobalSuite® Privacy Data Protection, y de esta manera ayudarte a que tu organización cumpla con cualquier requisito exigido en el RGPD y la LOPDGDD