La Agencia Española de Protección de Datos (AEPD) actualizó en Julio del 2020 su anterior Guía de cookies (publicada en 2019) para adaptarla a las directrices del Comité Europeo de Protección de Datos. En ese momento, se concedió un plazo de 3 meses para adaptarse a las novedades. Es por ello que, desde el 31 de octubre del 2020, las páginas web que no cumplan con los requisitos para el uso de cookies pueden ser sancionadas por la AEPD y, de hecho, así está sucediendo.

El Reglamento General de Protección de Datos de la Unión Europea establece sanciones por no cumplir la Política de Cookies, que pueden alcanzar hasta el 4% del volumen de facturación anual de la empresa para el caso de las infracciones más graves. En España, de momento, las sanciones más destacables van desde los 3.000€ hasta los 30.000€.

En primer lugar, el consentimiento previo es fundamental. Las cookies no deben instalarse en el navegador del usuario web antes de que acepte su uso.

Anteriormente, acciones como las de “seguir navegando” o “hacer scroll” en el sitio web se consideraban válidas para dar el consentimiento de cookies. Después se pasó a solicitar un consentimiento general para el uso de cookies, mediante un banner o pop up y un simple “acepto”; que no permitía cambiar de opinión al usuario web. Y aún ahora hay quien configura las preferencias del usuario con opciones premarcadas; aspecto que tampoco cumple con la normativa, puesto que anula el consentimiento (al considerarse que las opciones premarcadas no cumplen con el requisito del consentimiento como libre expresión de la voluntad del usuario).

Por otro lado, si bien puede configurarse un consentimiento general para todas las cookies, es indispensable que el usuario web tenga la posibilidad de configurar sus preferencias de cookies en cualquier momento. De esta forma, el usuario puede aceptar o denegar el uso de cookies, dependiendo de su finalidad (necesaria, técnica, de seguridad, analítica, publicitaria…); y también dependiendo de si son cookies propias del sitio web, o bien son gestionadas por terceros como Google, Facebook, Instagram…

Una empresa que se salte la normativa corre el riesgo de ser sancionadas con multas que van desde los 30.000 euros, por incumplimiento leve, hasta los 600.000 en los casos más graves.

• Infracciones muy graves: entre 150.001 y 600.000 euros.
• Graves: entre 30.001 y 150.000 euros.
• Leves: hasta 30.000 euros.

Hay que destacar la existencia de infracciones muy graves, que son las que se pueden traducir en multas de hasta 20 millones de euros o el 4% del volumen de facturación anual de la empresa. Estas situaciones se dan cuando la instalación de cookies afecta al tratamiento de los datos personales de los usuarios, tal y como recoge el Reglamento de Protección de Datos. Desde que la norma entró en vigor, se han tramitado más de 165 expedientes en España.

Estos son los puntos que se consideran fundamentales para cumplir con la normativa europea y que las empresas deben tener presentes:

• Es necesario obtener el consentimiento informado del usuario que accede a la web antes de instalar las cookies en su navegador.
• Para que el consentimiento se considere válido, las empresas deben considerar las diferentes modalidades de prestación de la aceptación, obtener una clara acción afirmativa por parte del usuario, etc.
• El modo en que ha de obtenerse el consentimiento debe ser expreso e inequívoco.
• La información facilitada al usuario debe ser clara y completa para permitir a los usuarios entender sus finalidades y el uso que se dará a las cookies. La opción “seguir navegando” no es una forma válida de prestar el consentimiento porque dificulta determinar si este es inequívoco.
• Otra clave para ofrecer información clara al usuario reside en incluir avisos de privacidad por niveles. De esta forma, el usuario puede acceder fácilmente a aquellos aspectos del aviso que sean de mayor interés para él.