Las cookies, en la lupa del Comité Europeo de Protección de Datos

2023-02-17T11:28:00
Unión Europea

Un nuevo documento del Comité Europeo de Protección de Datos apunta a prácticas cuestionables en el uso de cookies

Las cookies, en la lupa del Comité Europeo de Protección de Datos
17 de febrero de 2023

El Cookie Banner Taskforce, uno de los Grupos de Trabajo del Comité Europeo de Protección de Datos (CEPD), publicó el pasado 17 de enero un borrador del informe que está realizando en relación con algunas prácticas cuestionables relacionadas con el uso de cookies en los sitios web. El origen de este proyecto son las más de 700 reclamaciones presentadas por noyb, la ONG encabezada por Max Schrems, impulsor de las Sentencias Schrems I y Schrems II (más información relacionada con este tema en nuestro post | La UE inicia el proceso para una decisión de adecuación con EEUU).

A continuación, enumeramos las primeras consideraciones que este Grupo de Trabajo ha publicado, sin perjuicio de que las conclusiones a las que llegue en la versión final del documento puedan variar respecto a las de este borrador:

  • Ausencia de un botón para rechazar las cookies en la primera capa 

Aunque los miembros del Grupo de Trabajo han emitido opiniones diferentes, la mayor parte de ellos han considerado que en la primera capa informativa (ya sea un banner, un pop-up, o cualquier otra herramienta aceptada) debe haber también una opción explícita para rechazar la instalación de las cookies que no sean necesarias.

  • Casillas premarcadas

Se plantea si las casillas premarcadas para aceptar las cookies son válidas bajo el amparo de la Directiva de ePrivacy. La tendencia es la misma que con el RGPD, es decir, salvo en el caso de las cookies exentas del consentimiento de los usuarios, las casillas premarcadas se han de considerar como un consentimiento inválido.

  • Posibilidad de rechazar la instalación de cookies mediante un enlace

El Grupo de Trabajo alerta sobre la posibilidad de que la práctica consistente en configurar el rechazo de las cookies mediante un enlace, en vez de mediante un botón en la primera capa, dificulte y, por lo tanto, invalide el consentimiento del usuario. Por ejemplo, el informe hace referencia expresa a situaciones en que la única alternativa de rechazo consiste en un enlace detrás de expresiones como “rechazar” o “continuar sin aceptar” incrustadas en un párrafo de texto en el banner de cookies o colocado fuera del mismo, sin apoyo visual suficiente.

  • Uso de colores y contrastes confusos en los botones

El informe también cuestiona la práctica de utilizar dark patterns, es decir, aquellas situaciones en que los colores para aceptar y configurar/rechazar las cookies tienen un claro contraste, resultando en una mayor notoriedad del botón “Aceptar”. Sin llegar a un consenso, el Grupo de Trabajo se ha mostrado de acuerdo en cuestionar la validez de los banners cuando, con motivo de su diseño, este sea claramente engañoso para los usuarios, debiendo llevar a cabo una verificación caso por caso de esta cuestión.

  • Interés legítimo como base jurídica

El Grupo de Trabajo recuerda que, en el caso de las cookies, el interés legítimo únicamente puede justificarse cuando su uso sea esencial o estrictamente necesario (es decir, cuando sean cookies exentas del consentimiento).

  • Identificación de cookies como esenciales o estrictamente necesarias

En relación con el anterior punto, el Grupo de Trabajo recuerda que para la identificación de cookies como esenciales o estrictamente necesarias se puede recurrir al Dictamen 4/2012, sobre la exención del consentimiento de cookies, del Grupo de Trabajo del Artículo 29, para evaluar qué base jurídica debe aplicar en cada caso.

  • Opciones para retirar el consentimiento

El informe finaliza recordando que debe ser tan fácil retirar el consentimiento como otorgarlo. Para cumplir con este requisito, se señala que los sitios web pueden disponer de un mecanismo como un icono (pequeño y permanentemente visible) o un enlace colocado en un lugar visible, que permita a los usuarios retirar su consentimiento en cualquier momento (cuestión a la que también apuntaba la Agencia Española de Protección de Datos en su guía).

Pese al carácter no vinculante de este documento, hemos podido observar como alguna autoridad de protección de datos, en este caso, la Agencia Andorrana de Protección de Datos, ya ha actualizado su guía sobre el uso de cookies para incorporar las novedades que se desprenden del mismo. Actualmente, no existen indicios de una iniciativa similar por parte de las autoridades de protección de datos españolas. No obstante, habrá que estar pendientes del recorrido tengan las propuestas realizadas en el informe, así como de una eventual incorporación de las mismas en las publicaciones o resoluciones de dichas autoridades.


17 de febrero de 2023