L’Agència Espanyola de Protecció de Dades (AEPD) va actualitzar al juliol del 2020 la seva anterior Guia de cookies (publicada en 2019) per a adaptar-la a les directrius del Comitè Europeu de Protecció de Dades. En aquest moment, es va concedir un termini de 3 mesos per a adaptar-se a les novetats. És per això que, des del 31 d’octubre del 2020, les pàgines web que no compleixin amb els requisits per a l’ús de cookies poden ser sancionades per l’AEPD i, de fet, així està succeint.

El Reglament General de Protecció de Dades de la Unió Europea estableix sancions per no complir la Política de Cookies, que poden aconseguir fins al 4% del volum de facturació anual de l’empresa per al cas de les infraccions més greus. A Espanya, de moment, les sancions més destacables van des dels 3.000€ fins als 30.000€.

En primer lloc, el consentiment previ és fonamental. Les cookies no han d’instal·lar-se en el navegador de l’usuari web abans que accepti el seu ús.

Anteriorment, accions com les de “continuar navegant” o “fer scroll” en el lloc web es consideraven vàlides per a donar el consentiment de cookies. Després es va passar a sol·licitar un consentiment general per a l’ús de cookies, mitjançant un banner o pop up i un simple “accepto”; que no permetia canviar d’opinió a l’usuari web. I encara ara hi ha qui configura les preferències de l’usuari amb opcions premarcadas; aspecte que tampoc compleix amb la normativa, ja que anul·la el consentiment (en considerar-se que les opcions premarcades no compleixen amb el requisit del consentiment com a lliure expressió de la voluntat de l’usuari).

D’altra banda, si bé pot configurar-se un consentiment general per a totes les cookies, és indispensable que l’usuari web tingui la possibilitat de configurar les seves preferències de cookies en qualsevol moment. D’aquesta manera, l’usuari pot acceptar o denegar l’ús de cookies, depenent de la seva finalitat (necessària, tècnica, de seguretat, analítica, publicitària…); i també depenent de si són cookies pròpies del lloc web, o bé són gestionades per tercers com Google, Facebook, Instagram…

Una empresa que se salti la normativa corre el risc de ser sancionades amb multes que van des dels 30.000 euros, per incompliment lleu, fins als 600.000 en els casos més greus.

• Infraccions molt greus: entre 150.001 i000 euros.
• Greus: entre 30.001 i000 euros.
• Lleus: fins a000 euros.

Cal destacar l’existència d’infraccions molt greus, que són les que es poden traduir en multes de fins a 20 milions d’euros o el 4% del volum de facturació anual de l’empresa. Aquestes situacions es donen quan la instal·lació de cookies afecta al tractament de les dades personals dels usuaris, tal com recull el Reglament de Protecció de Dades. Des que la norma va entrar en vigor, s’han tramitat més de 165 expedients a Espanya.

Aquests són els punts que es consideren fonamentals per a complir amb la normativa europea i que les empreses han de tenir presents:

• És necessari obtenir el consentiment informat de l’usuari que accedeix a la web abans d’instal·lar les cookies en el seu navegador.
• Perquè el consentiment es consideri vàlid, les empreses han de considerar les diferents modalitats de prestació de l’acceptació, obtenir una clara acció afirmativa per part de l’usuari, etc.
• La manera en què ha d’obtenir-se el consentiment ha de ser expresso i inequívoc.
• La informació facilitada a l’usuari ha de ser clara i completa per a permetre als usuaris entendre les seves finalitats i l’ús que es donarà a les cookies. L’opció “continuar navegant” no és una forma vàlida de prestar el consentiment perquè dificulta determinar si aquest és inequívoc.
• Una altra clau per a oferir informació clara a l’usuari resideix a incloure avisos de privacitat per nivells. D’aquesta manera, l’usuari pot accedir fàcilment a aquells aspectes de l’avís que siguin de major interès per a ell.