En vista de que muchos editores de webs aplican arbitrariamente los gestores de consentimiento en sus webs para obtener el consentimiento para incluir cookies en el equipo terminal de sus usuarios nos parece necesario elaborar el siguiente informe
La instalación de cookies en el equipo terminal precisa del consentimiento del interesado y para que el consentimiento sea válido debe cumplir con estas características:
El consentimiento deberá ser un acto afirmativo claro que refleje una manifestación de voluntad libre, específica, informada, e inequívoca del interesado de aceptar el tratamiento de datos de carácter personal que le conciernen, como una declaración por escrito, inclusive por medios electrónicos, o una declaración verbal (esta última de difícil demostración)
Cuando hablamos de cookies la Autoridad de Control nos indica en su guía que teniendo en cuenta las distintas finalidades que puede tener una cookie, solicitemos el consentimiento de forma granular para cada tipología de cookies.
De personalización, Analíticas, De marketing, de Geolocalización, etc.
Además, el considerando 32 del RGPD específica y cito textualmente:
(32) El consentimiento debe darse mediante un acto afirmativo claro que refleje una manifestación de voluntad libre, específica, informada, e inequívoca del interesado de aceptar el tratamiento de datos de carácter personal que le conciernen…
…. Por tanto, el silencio, las casillas ya marcadas o la inacción no deben constituir consentimiento.
Esta casuística sobre el consentimiento y las casillas premarcadas ya ha sido abordada por el Tribunal de Justicia de la Unión Europea en SENTENCIA DEL TRIBUNAL DE JUSTICIA (Gran Sala) de 1 de octubre de 2019 «Procedimiento prejudicial — Directiva 95/46/CE — Directiva 2002/58/CE — Reglamento (UE) 2016/679 — Tratamiento de datos personales y protección de la intimidad en el sector de las comunicaciones electrónicas — Cookies — Concepto de consentimiento del interesado — Declaración de consentimiento mediante una casilla marcada por defecto» sentencia completa
Y que concluye así
1) Los artículos 2, letra f), y 5, apartado 3, de la Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas), en su versión modificada por la Directiva 2009/136/CE del Parlamento Europeo y del Consejo, de 25 de noviembre de 2009, en relación con el artículo 2, letra h), de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, y con los artículos 4, punto 11, y 6, apartado 1, letra a), del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46 (Reglamento general de protección de datos), deben interpretarse en el sentido de que el consentimiento al que se hace referencia en estas disposiciones no se presta de manera válida cuando el almacenamiento de información o el acceso a la información ya almacenada en el equipo terminal del usuario de un sitio de Internet a través de cookies se autoriza mediante una casilla marcada por defecto de la que el usuario debe retirar la marca en caso de que no desee prestar su consentimiento.
De esta manera cuando se presenta el gestor de consentimiento a un usuario en una web debería presentarse el consentimiento para cada tipología de cookies (en función de su finalidad) de manera que las casillas estuvieran desmarcadas a excepción de las cookies necesarias para que sea el usuario el que libremente preste ese consentimiento, marcando solo las casillas que desee.
Y no de manera que el editor las ha marcado por defecto y obligue a desmarcarlas al usuario, si este no quiere prestar su consentimiento para la instalación, justo lo que indicaba la sentencia del TJUE determinaba en su sentencia y lo que indica el propio RGPD
Además de las casillas premarcadas hay que tener especial cuidado con otra característica del consentimiento que en ocasiones se olvida o se retuerce y es que debe ser INEQUIVOCO. A este respecto tenemos un reciente procedimiento sancionador de la AEPD PS/00187/2019
Cuando se redactan las opciones para solicitar el consentimiento no se puede realizar de manera que se obligue a marcar una casilla para oponerse, tampoco a prestar consentimiento positivo sobre una afirmación en negativo y cosas similares que llevan a posibles errores a los usuarios
Como por ejemplo las sancionadas
Si NO desea que se le facilite esta información a terceros, marque esta casilla
Así mismo y salvo indicación expresa, autorizo al responsable del fichero XXX a la utilización de los datos personales del paciente para el envío de información de sus productos y servicios, pudiendo revocar dicho consentimiento en cualquier momento
SI NO desea autorizar el envío de publicidad marque la casilla
Estas actuaciones fueron sancionadas con 48.000 € por una infracción del artículo 6.1 a) del RGPD tipificada como infracción muy grave (por afectar a los principios reglamentarios art, 5,6,7 y 9) y se le aplica una multa administrativa de 60.000€ a la que se le aplica un 20% de descuento por reconocer culpa
Por todo lo anterior hay que revisar concienzudamente como se solicita el consentimiento para ajustarlo a la norma
JM MULERO