La UE revisa la guía del RGPD para atajar los abusos más frecuentes con las cookies
El consentimiento “libre, específico, informado e inequívoco” del que habla el Reglamento General de Protección de datos para las cookies es ahora un poco más restringido. La Unión Europea acaba de publicar una versión ampliada de su guía de aceptación y en ella incluye prácticas que se venían llevando a cabo en base a una interpretación torticera de los principios anteriores. En concreto, los ‘muros de cookies’ y el consentimiento por navegación.
En el primer caso la normativa revisada indica claramente que “el acceso a servicios y funcionalidades no debe ser condicionada al consentimiento del usuario para almacenar información o acceder a otra previamente almacenada en el equipo de un usuario”. Por tanto, no se podrá seguir forzando a nadie a que acepte cookies para poder entrar y moverse por una web cualquiera, ya que se entiende que eso contraviene el principio de libertad en el consentimiento.
Y en el segundo tampoco se podrá seguir determinando la aceptación de las cookies como respuesta a cualquier interacción con la web. El texto establece que “acciones como navegar o deslizar a través de una página no satisfacen en ninguna circunstancia el requerimiento de una acción clara y afirmativa”.
El problema en esta última situación era confundir al usuario y mezclar la petición de aceptación con un ejercicio rutinario de navegación, lo que socavaba su capacidad de ofrecer un consentimiento específico e inequívoco. De hecho, el texto desmonta esta estrategia dándole la vuelta. Si una acción simple puede suponer la aceptación de cookies, otra puede implicar la retirada de ese permiso.
En todo caso, estas no son las únicas triquiñuelas que se están empleando para conseguir que el usuario acepte cookies. En enero un informe ya alertaba de que solo el 11% de los mecanismos de consentimiento realmente cumplía con los requisitos mínimos que contemplaba el desarrollo del Reglamento General de Protección de Datos. El resto utiliza distintas estratagemas de diseño de interacción para lograr la mínima fricción en el proceso, a costa de los principios básicos que concreta la normativa.
Una vez mejorada la guía, queda en manos de los estados su aplicación. En el caso de España sería la Agencia Española de Protección de Datos la encargada de exigir el cumplimiento de estas nuevas directrices.
