La intención es alinear la posición de la ICO con el RGPD.
¿Qué debería hacer?
Las empresas deben llevar a cabo algunos pasos para cumplir con las nuevas indicaciones:
- Mencionar las cookies que se van a utilizar y explicar qué hacen.
La información que se proporcione a los interesados debe contener: las cookies que se pretenden usar y los propósitos de ello, todo en línea con los requisitos de transparencia del RGPD (de forma inteligible, transparente, concisa y de fácil acceso y utilizando un lenguaje claro y sencillo).
Estas condiciones se aplican también a las cookies de terceros, y abarca tanto cookies como pixels, beacons, JavaScript y cualquier otra tecnología similar como redes de publicidad online y plataformas sociales.
- Recabar consentimiento para instalar las cookies en los dispositivos.
- El usuario debe llevar a cabo una acción clara y positiva para dar su consentimiento a las cookies no esenciales.
- El consentimiento debe ser granular, de manera que el usuario debe tener la opción de consentir las cookies para algunas finalidades pero no para otras.
- En lo que se refiere a las cookies de terceros, se debe mencionar de manera clara y específica de dónde provienen y explicar qué hacen con la información recogida.
- Las casillas pre-marcadas o equivalentes no son válidas para las cookies no esenciales.
- Los sujetos deben tener control sobre todas las cookies no esenciales, y se les debe permitir el acceso al sitio web aun cuando no las hayan aceptado. Las denominadas “cookie walls” están prohibidas si bloquean el acceso al sitio web en general, aunque la ICO está llevando a cabo una serie de consultas en este sentido.
- Las cookies no esenciales no deberían situarse en la página de inicio (y de for a similar, no se deberían activar hasta que el usuario haya dado su consentimiento).
El consentimiento será inválido si:
- Los cuadros de aviso son difíciles de leer cuando se interacciona desde el teléfono móvil.
- Los usuarios no hacen click en ninguna de las opciones disponibles y van directos a otra parte de la web sin haber dado o no su consentimiento.
¿Hay alguna excepción a estos requerimientos?
Sí. No es necesario cumplir con ellos en el caso de cookies no esenciales, pero este concepto es, sin embargo, muy limitado. El acceso a o almacenamiento de información es esencial únicamente cuando es completamente necesario para proporcionar el servicio solicitado por el usuario, o cuando responde a una obligación legal. Algunos ejemplos son:
Cookies estrictamente necesarias | Cookies no estrictamente necesarias |
Una cookie que se utiliza para recordar los productos que el usuario desea comprar cuando va al carrito de la compra. | Cookies de finalidad analítica, como aquellas empleadas para contar el número de visitas a la web. |
Cookies necesarias para cumplir con el requisito de seguridad del RGPD de una actividad que el usuario ha solicitado, por ejemplo en relación con servicios bancarios. | Cookies de publicidad, incluidas aquellas operacionales relacionadas con publicidad de terceros, detección de fraude, investigación, desarrollo de producto. |
Cookies para asegurar un funcionamiento fluido mediante la distribución de la carga de trabajo entre diferentes ordenadores. | Cookies que reconocen a un usuario cuando vuelve a la página web, de modo que se les ofrece un saludo personalizado. |
Como segunda excepción, los requisitos de información y consentimiento tampoco se aplican para las cookies que habilitan la transmisión de comunicaciones sobre una red de comunicaciones electrónicas.
¿Necesitas ayuda con el RGPD o la LOPDGDD? Aphaia ofrece servicios tanto de consultoría para adaptación al RGPD, también Evaluaciones de Impacto, como subcontratación delSubcontratación del Delegado de Protección de Datos.