- Introducción
Con la introducción de las Directrices 03/2022 sobre patrones engañosos en redes sociales del Comité Europeo de Protección de Datos, la AEPD actualizó su Guía sobre el uso de las Cookies a día 11 de julio de 2023.
Las Directrices venían a implementar una serie de orientaciones para evitar el uso de deceptive design patterns (patrones de diseño engañosos) en las redes sociales, entre los cuales se encuentran algunos casos muy extendidos en el uso de cookies como el overloading:
El overloading consiste en dar al usuario un elevado número de opciones, requerimientos, información o posibilidades respecto a la información que decidan compartir sobre sus datos. En
especial, en el contexto de un Consent Management Panel, un caso así sería dar muchas opciones sobre el consentimiento de cookies dificultando y obstaculizando que se rechace de base todo.
La lógica que surge detrás de la prohibición de tales conductas se hace sobre varios principios recogidos en el Reglamento (UE) 2016/679, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos. A raíz de dicho reglamento dichas conductas son contrarias, principalmente, a:
– Los principios de transparencia, minimización de datos y responsabilidad proactiva, derivados del artículo 5 del mencionado Reglamento. – Al propio consentimiento que rige y regula el artículo 4 del Reglamento. – Al principio de protección de datos desde el diseño y por defecto, derivados del artículo 25 del Reglamento.
2. La necesidad de proveer la posibilidad en igualdad de condiciones de: aceptar o rechazar las cookies.
Cuando brindemos información por capas, todo mecanismo de consentimiento (como un CMP o un mecanismo de información por capas) tiene que disponer de tres botones:
– Botón de aceptar
– Botón de rechazar
– Botón de Configurar: aunque dice que es recomendable que se omita dicho botón si no solo se tiene una categoría de datos, también reconoce que el panel de configuración y el mecanismo de acceso al mismo podrán mantenerse incluso cuando no sean estrictamente necesarios, para así evitar cambios recurrentes en el aviso de cookies y los costes que ello puede conllevar.
Lo que se extrae de ello es que a priori este botón no es necesario, e incluso es buena práctica, incluir el botón de configurar si no se tiene más de un tipo de cookie.
La idea clave detrás de la nueva introducción radica en la necesidad de que el usuario tenga una opción de rechazar todas las cookies. Una opción que ha de estar en el mismo nivel que el mecanismo de aceptación del que esté provista la web o plataforma.
Ello descarta otra técnica utilizada a la hora de hacer cookies, disponer la opción de rechazar las cookies dentro de la opción “Configurar”. Algunas páginas, aun a día de hoy, cuando muestran su panel de consentimiento dan dos opciones “Configurar” y “Aceptar todo”, luego dentro de la opción “Configurar” al desplegar el panel incluyen ambas opciones: “Aceptar” y “Rechazar”. Sin duda hay muchísimas variaciones, pero todas ellas pecan en lo mismo: no disponen al mismo nivel la opción de “Rechazar” que la alternativa de “Aceptar” las cookies.
Así mismo otra cosa a tener en cuenta, es que dicho panel no puede obligar al usuario a consentir o dar la impresión de que debe consentir las cookies. También debe de haber un buen contraste de colores en los botones de opciones del panel, de manera que sean perfectamente visibles los textos de las opciones. En suma, estos requisitos vienen a reflejar el espíritu de las mencionadas directrices, donde no pueden empelarse deceptive disgns como el obstructing para obtener una aceptación de las cookies.
Por otro lado, en cuanto al grado de elección de granularidad (si solo eliges aceptar todas las cookies o una a una). En este sentido la AEPD recomienda que el usuario pueda elegir cookies según sus finalidades, pero no podrá dar la opción de que elija cookie por cookie puesto que ello puede dificultar enormemente la toma de decisiones.
De hecho sería un caso de “overloading” como lo define el Comité Europeo en las Directrices 03/2022 sobre patrones engañosos en redes sociales.
3. La exención de la necesidad de consentimiento en cookies de preferencia o personalización
La nueva redacción de la guía de cookies establece una previsión novedosa en cuanto a lo que se refiere a las cookies de preferencia.
Las cookies de preferencia o personalización son aquellas que permiten recordar información para que el usuario acceda al servicio con determinadas características que pueden diferenciar su experiencia de la de otros usuarios.
Dichas cookies, según la AEPD, anteriormente podían estar exentas del requisito de consentimiento del art. 22.2 de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (LSSIC). La condición para tal exención era el usuario eligiese esa característica concreta que de lugar a la cookie de personalización, dado que lo consideraba como un consentimiento expreso de un servicio.
Con la nueva redacción en cambio, la guía añade un requisito adicional: que las cookies obedezcan exclusivamente a la finalidad seleccionada. De manera que, no es posible emplear como base legitimadora el mencionado consentimiento para otras finalidades que las necesarias para proveer el servicio solicitado.
Por ejemplo, un consentimiento dado para poner la página web en un concreto idioma. Tal consentimiento no es legitimador para que la cookie realice tareas de tracking o publicidad comportamental.
4. El grado de granularidad de la selección de cookies.
Otra adición, relevada a un papel más secundario, es que se recomienda a los responsables dotar al usuario la posibilidad de que seleccione las cookies de terceros en base a sus proveedores (por ejemplo, Google Analitycs o Facebook).
Dentro de los usos de los responsables de paginas web no es una opción novedosa, si bien sí que puede resultar recomendable en algunos casos. Concretamente, cabría considerar implantar un sistema similar cuando algunos proveedores tengan políticas de privacidad potencialmente “invasivas” o con condiciones poco favorecedoras de los usuarios. De manera que el consentimiento del usuario se viera reforzado en tales casos, por supuesto para ello habría cumplir con las obligaciones de transparencia informando dentro de lo posible de tales circunstancias.