El 18 de enero, el Consejo Europeo de Protección de Datos publicó un informe con las conclusiones de su grupo de trabajo sobre banners de cookies. El informe aclara cómo recabar válidamente el consentimiento a través de un banner de cookies conforme al GDPR. La mayor parte se reduce a una simple regla: no engañar al usuario.
El documento no es jurídicamente vinculante, pero seguramente tendrá un impacto en la aplicación de las normas sobre cookies. De hecho, bien podría ser el comienzo de una campaña contra los banners engañosos en toda Europa.
- ¿Qué son el EDPB y el grupo de trabajo sobre banners de cookies?
- ¿De qué cookies estamos hablando?
- ¿Qué dice el informe?
- ¿Veremos una ofensiva contra los banners de cookies?
- Conclusiones
Entremos en materia.
¿Qué son el EDPB y el grupo de trabajo sobre banners de cookies?
Empecemos con un poco de contexto. El Consejo Europeo de Protección de Datos (CEPD ) es un organismo independiente de la Unión Europea que vela por la aplicación coherente de la legislación comunitaria de protección de datos en todos los Estados miembros. Está compuesto por representantes de todas las autoridades de protección de datos (APD) del Espacio Económico Europeo, así como por el Supervisor Europeo de Protección de Datos (esencialmente una APD que supervisa las instituciones de la UE).
El Consejo publica con frecuencia directrices, que no son jurídicamente vinculantes pero sí muy influyentes en la práctica. El organismo también tiene otras competencias basadas en el RGPD, como resolver desacuerdos entre APD (como en las recientes decisiones relativas a Meta, de las que hablamos en nuestro blog).
El EDPB creó el grupo de trabajo de banners de cookies en 2021 con el fin de garantizar un enfoque coherente de un conjunto de quejas presentadas por la ONG de privacidad noyb, en un esfuerzo por empujar a las autoridades hacia una aplicación más estricta del GDPR y la Directiva de privacidad electrónica. La estrategia parece estar dando sus frutos y noyb parece bastante satisfecha con el resultado.
El informe del grupo de trabajo no es vinculante y no debe considerarse "la ley". Dicho esto, el EDPB está compuesto por representantes de las APD, y las propias APD deciden las reclamaciones sobre cookies, por lo que el documento es una buena indicación de cómo podrían tratarse los casos a partir de ahora.
¿De qué cookies estamos hablando?
Para que quede claro, se trata de cookies no esenciales. Se trata de una distinción importante porque la Directiva sobre privacidad y comunicaciones electrónicas de la UE exige el consentimiento para las cookies a menos que sean necesarias para la comunicación o para prestar un servicio solicitado por el usuario (las llamadas cookies "esenciales").
Por ejemplo, los minoristas en línea utilizan cookies para rastrear los artículos en la cesta de la compra de un usuario. Estas cookies se consideran esenciales y no necesitan consentimiento. Del mismo modo, las cookies con fines de seguridad no requieren consentimiento. Por otro lado, las cookies no esenciales, como las cookies de análisis web y las cookies de marketing, siempre requieren consentimiento. Por eso hay tantos anuncios de cookies en Internet.
Los sitios web necesitan su consentimiento para las cookies no esenciales. Al mismo tiempo, temen (con razón) que usted no acepte ser rastreado cuando se le presenta una opción transparente. Por eso, muchos banners de cookies están ingeniosamente diseñados para que el proceso de rechazar las cookies sea lo más confuso y molesto posible. Se trata de un ejemplo de diseño engañoso: opciones de diseño de interfaz de usuario sospechosas destinadas a empujar o engañar al usuario para que realice una acción deseada. Ya tratamos este tema en nuestro blog hace algún tiempo.
El informe del grupo de trabajo es un buen resumen de los casos más comunes de diseño engañoso en los banners de cookies y representa una postura muy clara: no lo hagas.
¿Qué dice el informe?
En primer lugar, la gran mayoría de las APD coinciden en que los banners de cookies deben ofrecer al usuario la opción de rechazar todo en la primera capa (o alguna opción comprensible y claramente redactada en el mismo sentido).
Esto es muy importante. Muchos banners no ofrecen directamente una opción de rechazo, sino que presentan al usuario opciones como aceptar todo o personalizar en la primera capa. Para rechazar las cookies, el usuario debe hacer clic en la opción personalizar y acceder a una segunda capa del banner con información más detallada, donde finalmente se ofrece la opción de rechazar las cookies no esenciales. Los banners de cookies sin una opción de rechazo inmediatamente accesible son confusos y aprovechan injustamente la fatiga del clic en contra del usuario. Estamos deseando que desaparezcan.
Para ser claros, ofrecer al usuario un control más preciso sobre las cookies está bien, siempre que se ofrezca una opción de rechazo en la primera capa. Así, una primera capa que ofrezca una triple opción como aceptar todo/rechazar todo/personalizar está bien, siempre que las tres opciones sean igualmente visibles y accesibles.
El informe también condena otras prácticas habituales, como:
- utilizar casillas previamente marcadas para recabar un consentimiento válido. Ya existe jurisprudencia sobre la cuestión de las casillas premarcadas1, pero algunos sitios web las utilizan de todos modos.
- Ocultar el botón de rechazo con fuentes pequeñas, colores de bajo contraste y similares.
En resumen: cualquier truco ingenioso para conseguir que el usuario acepte las cookies es probablemente ilegal.
¿Veremos una ofensiva contra los banners de cookies?
No podemos predecir el futuro, pero esperamos que sí, y tenemos buenas razones para pensarlo.
Como hemos explicado, el informe describe un terreno común que han encontrado las propias APD. Puede que el documento no sea vinculante, pero es probable que las APD se atengan a él a la hora de aplicar las normas.
Además, en Francia se han producido avances alentadores. Casi al mismo tiempo que se publicaba el informe, la CNIL francesa multó a TikTok y Microsoft por infringir la Directiva sobre privacidad y comunicaciones electrónicas (escribimos sobre los casos aquí). En ambos casos, las infracciones incluían la falta de un botón de rechazo en la primera capa de los banners de cookies, que casualmente es una de las cuestiones abordadas por el grupo de trabajo EDPB. La CNIL es una APD influyente y sus decisiones pueden constituir un importante ejemplo a seguir.
Por último, pero no por ello menos importante, unas pocas APD reacias no podrán frenar la aplicación. A diferencia del RGPD, la Directiva sobre la privacidad y las comunicaciones electrónicas no deja margen para la búsqueda del foro más ventajoso, porque las normas de competencia son radicalmente diferentes. Las APD pueden multar a las empresas por cualquier violación de la privacidad y las comunicaciones electrónicas cometida dentro de la jurisdicción de su Estado, independientemente de dónde esté establecida la empresa. Así pues, los Estados miembros que no aplican la normativa no son un refugio seguro para las empresas que no la cumplen y que operan en el mercado europeo.
Conclusiones
Conclusión: si utiliza cookies analíticas o de marketing en su sitio web, debe atenerse a las indicaciones del informe y ofrecer un banner de cookies transparente y conforme. Esto significa hacer que sus cookies sean fáciles de rechazar y probablemente hará que muchos usuarios las rechacen. No hay forma de evitarlo.
A menos, por supuesto, que elimine las cookies por completo y obtenga toda la información que necesita, sin invadir la privacidad de sus usuarios. Esa es nuestra visión: en Simple Analytics nos esforzamos por proporcionar a nuestros clientes información sin rastrear a los usuarios ni recopilar datos personales en absoluto. Si esto le parece bien, ¡pruébenos!
#1 TJUE C-673/17 Planet49.