Las autoridades de Protección de Datos alertan de que aún muchas empresas no se han adaptado a la nueva normativa sobre las cookies, los archivos que guardan información sobre la navegación de un usuario en una página web. En mayo, el Comité Europeo de Protección de Datos adoptó una serie de directrices que afectaban a la regulación que, hasta el momento, existía sobre las cookies. Entre las nuevas obligaciones, introdujo la transparencia y la obligación de obtención del consentimiento del usuario.
Sin embargo, aún son muchas las empresas que no se han adaptado a la normativa. La Autoridad de Control de Francia (CNIL) ha impuesto dos sanciones por incumplimiento de cookies. Por un lado, ha multado con 100 millones de euros a Google -60 de ellos correspondientes a Google LLC y 40 a Google Ireland Limited- y, por otro lado, con 35 millones de euros a Amazon Europe Core. Las dos sanciones se fundamentan en el incumplimiento del artículo 82 de la Ley de Protección de Datos francesa, equivalente al artículo 22.2 de la LSSI española.
Francisco Pérez Bes, socio de Derecho digital en la consultora Ecix Group y autor del libro La publicidad comportamental online, explica que "el alto importe de esta sanción viene derivado del hecho de que Francia trata la regulación de cookies dentro de su norma de protección de datos, por lo que aplican las sanciones del RGPD, que se basan en un cálculo derivado del volumen de facturación mundial de la empresa infractora". Pérez Bes destaca que "en España, por el contrario, las sanciones por incumplimiento de la directiva de cookies se traspuso en la Ley de Servicios de la Sociedad de la Información, que prevé sanciones muy inferiores".
¿Qué Hacer para evitar multas?
Según la recomendaciones de los expertos, las empresas responsables de las páginas que instalan cookies, especialmente las analíticas, deben obtener el consentimiento del usuario que accede a aquellas de forma informada y previa a su instalación. Esto es, si el usuario no ha consentido, no podremos instalarle cookies en su navegador. "El modo de obtener ese consentimiento es expreso, es decir, no basta con una mera inacción del usuario, o una acción de seguir navegando por la página", precisa Francisco Pérez Bes.
Para evitar sanciones, es importante contar con sistemas que permitan acreditar que ese consentimiento ha sido efectivamente prestado en la forma exigida en la ley. La información que se muestre al usuario para solicitarle autorización a la instalación de cookies, debe ser clara y legible por parte de aquel.
La opción de consentir no debe aparecer premarcada por defecto
La página debe contar, de manera permanente, con un configurador de cookies, en el que se solicite el consentimiento al usuario para permitir su instalación. En aquel, la opción de consentir no debe aparecer premarcada por defecto, sino que el usuario debe llevar a cabo una acción positiva de aceptación. La única excepción es la relativa a la instalación de aquellas cookies técnicas que sean necesarias para poder seguir navegando por la página.
"Están prohibidos los cookie walls, que son aquellos banners que no te permiten seguir navegando si no aceptas cookies distintas a las necesarias", recuerda Pérez Bes. Cuando la web ofrece vídeos o servicios de terceros, como mapas de Google que instalan cookies analíticas, hay que advertir al usuario de que, en caso de no aceptarlas, algunas funcionalidades de la web pueden quedar deshabilitadas.
En cuanto a la duración del consentimiento, el plazo recomendado es el imprescindible, si bien la fecha máxima que suele permitirse es la de 24 meses, transcurrido el cual habría que volver a renovar el consentimiento del usuario.
En el primer banner que se muestra al acceder a la web, debe incluirse un enlace a la política de cookies, que debe estar accesible de forma fácil y gratuita en un aparatado específico de la propia web.
