Regulación de las cookies en el RGPD

En este artículo de blog analizamos las principales claves en relación con la regulación actual de las cookies en la Unión Europea, tras las noticias que se están produciendo en este sentido.

Es importante destacar, en primer lugar, que el Tribunal de Justicia de la Unión Europea, en Octubre de 2019, dictó mediante sentencia que los usuarios de las diferentes páginas web han de prestar necesariamente su consentimiento expreso para la instalación de cookies. De esta forma, el TJUE reforzaba mediante esta Sentencia lo ya dispuesto en la normativa vigente en materia de protección de datos, entendiendo que el consentimiento debe otorgarse mediante un acto afirmativo claro y considerando que el silencio, las casillas ya marcadas o la inacción en ningún caso deberán constituir consentimiento válido.

De esta forma, cualquier organización que cuente con una web en la que se utilicen cookies, por ejemplo, de análisis comportamental o publicitarias (cabe precisar que existen cookies estrictamente necesarias para el adecuado funcionamiento de una web, que no requerirán de consentimiento de los interesados), deberá constituir los elementos para permitir una clara acción afirmativa del usuario, tal y como exige el RGPD. Se deberá garantizar el consentimiento real y expreso, a través de paneles de configuración, que permitan un consentimiento específico para cada finalidad, tal y como se puede observar en el aviso de cookies dispuesto en la página web de GlobalSuite Solutions:

Además, la configuración deberá permitir que por defecto no se instalen cookies y se debe de incluir la opción de que se rechacen todas las cookies, garantizando que el interesado pueda siempre guardar su configuración y respetando siempre la misma en futuros accesos del usuario a la web en cuestión. En caso de que guardase su configuración sin haber seleccionado ninguna cookie, todas ellas se considerarán rechazadas.

Por otro lado, en las últimas semanas, algunas de las autoridades competentes en materia de protección de datos a nivel europeo han comenzado a pronunciarse dado que algunos de los proveedores de servicios de cookies, ubicados en EE.UU. estaban amparando la transferencia internacional de los datos en la base legitimadora de las cláusulas contractuales tipo de la Comisión Europea. Las autoridades han concluido que dichas cláusulas no pueden considerarse una base legitimadora válida o que otorgue las garantías suficientes en materia de protección de datos, dado que a pesar de estar al amparo de las mismas, se puede seguir produciendo un potencial acceso por parte de las autoridades americanas a los datos de los usuarios que sean objeto de tratamiento por el uso de cookies, siendo este precisamente el motivo por el que el TJUE invalidó en primer lugar el Escudo de la privacidad UE-EEUU, también conocido como Privacy Shield.

Por este motivo debe legitimarse la transferencia mediante el consentimiento expreso del usuario. No obstante, considerando la situación actual y para que dicho consentimiento sea una base jurídica válida, se debe garantizar que se ofrece el mayor nivel de información posible al usuario sobre los riesgos que supone la transferencia de sus datos a EEUU, en ausencia de una decisión de adecuación y de garantías adecuadas, como es el caso, así como sobre el uso de los datos que va a hacer el proveedor utilizado. Este consentimiento deberá no solo cumplir con los requisitos generales que el RGPD impone en relación con el consentimiento (libre, informado, específico e inequívoco), sino que además debe otorgarse de manera explícita en relación a la transferencia internacional de datos. Por ello, la información a proporcionar con carácter previo, en el propio banner o panel de configuración, debe de hacer referencia a los riesgos para el interesado en relación a la realización de una transferencia internacional en ausencia de decisión de adecuación y de garantías adecuadas.

De forma paralela, cabe precisar que en relación con el uso de uno de los proveedores más utilizados, como es Google Analytics, existen alternativas que limitan el riesgo del tratamiento a través de opciones como la habilitación de la opción anonimización o enmascaramiento del dato de la IP del usuario o mediante la desactivación de Google Signals, debiendo de buscar alternativas similares para otros proveedores que presten servicios similares, siempre que sea posible.

En todo caso, se está consolidando un nuevo paradigma en relación al uso de las cookies, contando el usuario con más poder que nunca en relación a la instalación de cookies en sus dispositivos, debiendo consentir su uso de forma expresa, clara y explícita, incluyendo la recepción y consentimiento, con toda la información pertinente, en materia de transferencias internacionales de datos, cuando proceda.

Desde GlobalSuite Solutions podemos apoyarte en la implantación de protocolos de tratamiento de los datos personales, conservación de estos, determinación de bases legales legítimas, consiguiendo que tu Sistema de Gestión de Protección de Datos esté perfectamente integrado con un software como GlobalSuite® Privacy Data Protection,  y de esta manera ayudarte a que tu organización cumpla con cualquier requisito exigido en el RGPD y la LOPDGDD