La Agencia Española de Protección de Datos (AEPD) publicó el pasado 11 de julio su Guía sobre el uso de las cookies actualizada para incorporar las Directrices 3/2022 del Comité Europeo de Protección de Datos (CEPD) sobre patrones engañosos.
Los patrones engañosos son interfaces y experiencias de usuario diseñadas para influir, a través de manipulaciones psicológicas y de forma encubierta, en las elecciones del usuario respecto a su privacidad. Las citadas directrices otorgan recomendaciones prácticas a los diseñadores y usuarios de plataformas de redes sociales sobre cómo evaluar y evitar los llamados patrones oscuros o dark patterns.
Los cambios más importante que se pueden apreciar en esta nueva versión de la guía de cookies respecto de la anterior, incluyen:
- La incorporación de la obligación de que las acciones de aceptar o rechazar cookies se presenten al mismo nivel, sin que sea más complicado rechazarlas que aceptarlas. Esto implica la necesidad de que en el banner de cookies aparezca el botón de rechazar las cookies, lo que no era necesario en la guía anterior, en la que se indicaba que el rechazo de las cookies podía hacerse a través del panel de configuración.
- La AEPD ha considerado que las cookies de personalización, en determinados casos, requieren el previo consentimiento del interesado. En la versión anterior, este tipo de cookies era considerado en todo caso como cookies técnicas, con lo que no se requería consentimiento. A partir de ahora, en cambio, las cookies de personalización (por ejemplo, la elección del idioma de la web o el tipo de moneda) requerirá el consentimiento cuando no sea el interesado el que seleccione la opción de personalización correspondiente, y sea el editor quien adapte la web en función de la información que dispone sobre el usuario.
- En cuanto a los cookie walls, o muros de cookies, que se dan en aquellos casos en que el editor no permite al usuario acceder a su sitio web sin aceptar previamente la instalación de las cookies, sigue siendo una práctica no permitida, salvo en el caso de que se ofrezca al interesado una opción equivalente de acceso sin dicha aceptación. Esto sigue siendo igual, salvo por el hecho de que la AEPD ha especificado ahora que se entenderán como válidas aquellas alternativas que permitan el acceso al servicio sin necesidad de aceptar las cookies, aunque esta opción alternativa sea de pago.
Las nuevas obligaciones establecidas en esta nueva guía de la AEPD cuentan con un periodo de transición de 6 meses, por lo que el 1 de enero de 2024, serán de obligatorio cumplimiento.