Cuando el Reglamento General de Protección de Datos (GDPR) de la UE entró en vigor en 2018, se convirtió en un requisito legal en toda la UE recopilar el consentimiento explícito del usuario para procesar cualquier dato personal.

Los banners de cookies no eran nada nuevo. Los usuarios ya estaban muy familiarizados con la frase "Al utilizar este sitio, acepta el uso de cookies", la forma habitual de recabar el consentimiento. Pero GDPR establece normas más estrictas sobre cómo debe ser el consentimiento real, lo que significa que estos banners tenían que actualizarse. Sin embargo, las especificaciones sobre el aspecto que debían tener los banners de cookies eran vagas. Existe una amplia gama de interpretaciones. La interacción entre GDPR y la Directiva sobre privacidad y comunicaciones electrónicas, una ley vigente que establecía normas sobre el consentimiento de las cookies, enturbiaba las cosas.

Desde entonces, se ha dejado en manos de las autoridades de protección de datos la interpretación de la ley. Pero esto ha llevado a una situación en la que distintas APD de distintos mercados han sacado conclusiones diferentes. De ahí que haya entrado en juego el Consejo Europeo de Protección de Datos (EDPB). El EDPB existe para coordinar la política de datos en toda la UE. Y en 2021, convocó a un grupo de trabajo denominado ‘Cookie Banner Task Force’ para coordinar las respuestas a una serie de diferentes denuncias presentadas por el grupo de defensa de la privacidad None of Your Business (NOYB) ante diversas APD de toda Europa.

Ahora, el EDPB ha adoptado un informe del Cookie Banner Task Force. Este informe muestra dónde están los pensamientos de los responsables de la protección de datos en algunas de las principales cuestiones en torno al diseño de los mecanismos de consentimiento de cookies, estableciendo algunas normas básicas muy necesarias sobre lo que debe considerarse práctica legítima en virtud del GDPR. He aquí las decisiones del grupo de trabajo sobre estas cuestiones principales:

Debe aparecer un botón de "rechazo" en la primera capa - decisión dividida

Está claro que debe ofrecerse una opción para rechazar activamente el uso de cookies (que no sea salir del sitio web). Pero muchos sitios web optan por no incluir esta opción en la primera capa de la ventana emergente de consentimiento. A menudo se ofrecen dos opciones, "Aceptar" y "Más opciones" o algo similar, y después de hacer clic en "Más opciones" aparece un botón de rechazo.

La gran mayoría estuvo de acuerdo en que en cualquier nivel de un mecanismo de consentimiento en el que haya una opción "Aceptar", también debería haber una opción "Rechazar", pero no en todos. Algunos señalaron que la cláusula pertinente de la Directiva sobre privacidad y comunicaciones electrónicas no hace referencia directa a un botón de "Rechazar", lo que significa que no incluir un botón de "Rechazar" en la primera capa no constituye necesariamente una infracción de la legislación de la UE.

Las casillas premarcadas no deben utilizarse: acuerdo

Es habitual que en la segunda capa de un mecanismo de consentimiento (cuando el usuario ha elegido no aceptar todas las cookies o rechazarlas inmediatamente, pero quiere afinar qué cookies permite) se presente una serie de casillas marcadas para diferentes categorías de cookies. En algunos casos, los sitios web marcan previamente estas casillas para fomentar un mayor porcentaje de aceptación.

El grupo de trabajo acordó que esto no es válido para el consentimiento, ya que contradice GDPR.

La opción de rechazo no puede ocultarse en un enlace: decisión dividida

En algunos casos observados por el grupo de trabajo, los responsables del tratamiento de datos ofrecían un botón de "Aceptar" en la primera capa de un mecanismo de consentimiento, y luego la opción "Rechazar" (o la opción "Más detalles") se ocultaba en un enlace. Esta práctica no fue rechazada rotundamente, pero el grupo de trabajo sí estuvo de acuerdo en que la opción de rechazar debe ser clara: los sitios web no deben engañar a los usuarios haciéndoles creer que tienen que dar su consentimiento para continuar.

Además, el grupo de trabajo acordó que lo siguiente no es válido con arreglo a la legislación de la UE:

• Ocultar el botón "Rechazar" (u otras alternativas a la concesión del consentimiento) en un enlace incrustado en un párrafo de texto, sin ningún apoyo visual que llame la atención del usuario sobre esa opción.

• Ocultar el botón "Rechazar" u otras alternativas fuera del propio banner de cookies.

No se pueden utilizar colores y contrastes engañosos en los botones: caso por caso

El uso de colores y contrastes en los botones "Aceptar" y "Rechazar" es considerado por muchos como un "patrón oscuro", utilizado por los sitios web para fomentar mayores tasas de opt-in llamando más la atención sobre la opción "Aceptar". Puede ser una táctica poderosa, dado que los consumidores suelen querer salir de un banner de cookies lo antes posible, buscando el botón que lo cierre más rápido.

Sin embargo, el grupo de trabajo afirmó que no es posible establecer una norma general sobre el color y el contraste, y que los mecanismos de consentimiento deben juzgarse caso por caso. No obstante, reconoce que algunos ejemplos serían "manifiestamente engañosos" y contravendrían la legislación de la UE, por ejemplo si el contraste entre el texto "Rechazar" y el fondo es tan mínimo que la opción de rechazo resulta ilegible.

Los sitios web no pueden utilizar el lenguaje del "interés legítimo" para engañar a los usuarios.

El "interés legítimo" es un término recogido en el GDPR, que permite a las empresas procesar algunos datos personales sin el consentimiento del usuario. No hay normas estrictas sobre qué es el interés legítimo. Pero, en general, una empresa puede alegar interés legítimo si el tratamiento de los datos de los usuarios es esencial -quizá para los intereses de una empresa o un particular, o para un beneficio social más amplio- y cuando el impacto sobre la privacidad del usuario es mínimo. El interés legítimo suele alegarse en el caso de las cookies, que son esenciales para las funciones básicas de un sitio web. Algunas empresas han intentado alegar el interés legítimo como base para dejar de utilizar cookies para publicidad personalizada, una noción que ya ha sido rechazada por varias APD.

Sin embargo, algunos mecanismos de consentimiento de cookies parecen utilizar un lenguaje vago en torno al interés legítimo para hacer creer a los usuarios que tienen que dar su consentimiento a todo uso de cookies.

El grupo de trabajo señaló que, en algunos casos, el sitio web acaba basándose esencialmente en el interés legítimo como base para el tratamiento de datos no esenciales, gracias a este lenguaje confuso. En esos casos, el banner de cookies infringe el GDPR.

La opción de "retirar el consentimiento" debe estar disponible a través de un "icono flotante": caso por caso

GDPR exige no sólo obtener el consentimiento para el tratamiento de datos personales, sino también dar a los usuarios la opción de retirar ese consentimiento en cualquier momento, y que la retirada del consentimiento sea tan fácil como otorgarlo en primer lugar. El grupo de trabajo observó que muchos sitios web no tienen un icono flotante de "configuración de privacidad" que aparezca en todas las páginas del sitio web y que permita a los usuarios retirar el consentimiento.

Aunque la posibilidad de retirar el consentimiento es claramente necesaria en virtud del GDPR, el grupo de trabajo acordó que no pueden imponerse mecanismos específicos de retirada. Por tanto, no es obligatorio tener un "icono flotante" en cada página web, aunque posiblemente sea la forma más realista de que retirar el consentimiento sea tan fácil como otorgarlo.

El grupo de trabajo afirma que los mecanismos de retirada tendrán que evaluarse caso por caso.

Fuente: Videoweek