Las cookies desempeñan un papel fundamental desde el momento en que los sitios webs comenzaron a almacenar información de los usuarios. Si bien son sumamente útiles para mejorar y optimizar estrategias de marketing, el uso de las cookies ha suscitado crecientes preocupaciones en materia de privacidad y protección de datos personales. Por ello, la legislación europea ha tratado de garantizar el equilibrio entre los intereses comerciales y los derechos fundamentales de los usuarios.
A lo largo de los años, la Unión Europea ha reforzado las normativas sobre cookies, exigiendo a las empresas que operan en el entorno digital una mayor transparencia, consentimiento explícito y control sobre los datos que se recopilan a través de estas tecnologías. Con la entrada en vigor de nuevas actualizaciones para 2024, el panorama normativo en materia de cookies en la Unión Europea presenta cambios significativos que todo operador digital debe conocer y respetar.
En este artículo de Grupo Adaptalia, analizaremos las principales novedades de la normativa de cookies para 2024 en Europa, haciendo especial énfasis en cómo pueden cumplir las empresas con estas obligaciones, cuáles son las reglas clave para la experiencia del usuario y cuál ha sido la postura de la Agencia Española de Protección de Datos (AEPD) respecto a estos cambios.
Novedades en la normativa de cookies 2024
Las actualizaciones normativas introducidas en 2024 introducen importantes modificaciones que buscan mejorar la transparencia y el control que los usuarios tienen sobre su información personal en el entorno digital.
Uno de los principales cambios introducidos pasa por el endurecimiento de los requisitos para el consentimiento del usuario. En la normativa anterior, el consentimiento implícito o el "seguir navegando" se consideraba en algunas circunstancias una forma válida de aceptar las cookies. Sin embargo, tras las actualizaciones llevadas a cabo, este tipo de consentimiento pasivo queda expresamente prohibido. Ahora, las empresas deben obtener un consentimiento explícito, informado y verificable antes de instalar cookies no esenciales en el dispositivo del usuario. El consentimiento ha de ser otorgado de forma libre, específica, informada e inequívoca, no pudiéndose inferir de una simple inacción del usuario ni de la aceptación implícita mediante el uso continuado del sitio web. Además, los responsables de las páginas web están obligados a proporcionar una opción clara para que el usuario pueda rechazar las cookies de manera tan sencilla como aceptarlas.
Por otro lado, y debido al aumento de las exigencias en lo que a la transparencia en la información que se ofrece a los usuarios se refiere, los sitios web deben detallar e manera clara y comprensible, en su política de cookies, el propósito de cada una de ellas, los terceros que tienen acceso a la información y la duración de las cookies instaladas. Esta información debe estar disponible en todo momento para el usuario y debe ser fácilmente accesible. Además, dicho documento debe estar redactado de forma concisa, accesible y adecuada para cualquier perfil de usuario, con independencia de su conocimiento teórico.
Otra novedad relevante en este sentido es la obligación de renovar el consentimiento otorgado por los usuarios con cierta periodicidad, debiéndose renovar dicho consentimiento en intervalos regulares, generalmente cada 12 meses, o antes si cambian de forma significativa las condiciones de uso de las cookies o la finalidad para el tratamiento de los datos. Asimismo, quedan prohibidas las “cookie wall”, es decir, se prohíbe establecer una barrera que restrinja el acceso al contenido del sitio web en caso de que el usuario no otorgue el consentimiento para la instalación de las cookies no esenciales.
Por último, se establecen multas más elevadas, equiparando estas a las infracciones relacionadas con las cookies a las infracciones del Reglamento General de Protección de Datos (RGPD), con sanciones que pueden llegar hasta el 4% de la facturación anual global o hasta 20 millones de euros, eligiéndose la mayor de ambas cantidades.
Cómo cumplir con la normativa de cookies en 2024
Ante las nuevas exigencias, es fundamental que las empresas adopten una serie de medidas proactivas para asegurarse de cumplir con la normativa de cookies de 2024. El primer paso para cumplir con la normativa es llevar a cabo una auditoría exhaustiva de las cookies que se utilizan en el sitio web. Esta auditoría debe identificar qué cookies se instalan, si estas son propias o de terceros, cuál es su finalidad y cuánto tiempo permanecen activas.
Una vez realizada la auditoría, es necesario actualizar la política de cookies para garantizar que incluye toda la información requerida. Debe explicar de manera clara qué son las cookies, cuáles se utilizan, con qué propósito y durante cuánto tiempo se almacenan, así como facilitar información sobre los terceros con los que se comparten los datos.
Por otro lado, se deben implementar mecanismos claros de consentimiento que incluyan la posibilidad de que los usuarios elijan qué tipos de cookies desean aceptar, así como la opción de rechazar todas las cookies no esenciales. demás, debe ser igual de sencillo para el usuario revocar el consentimiento en cualquier momento que otorgarlo inicialmente.
El RGPD y la normativa de cookies exigen que los responsables del tratamiento puedan demostrar que han obtenido el consentimiento de los usuarios de manera válida. Para ello, es necesario mantener un registro del consentimiento otorgado, que incluya el momento en el que se dio y la información proporcionada al usuario en ese momento.
Cookies y normativa europea
La regulación sobre cookies en la Unión Europea se enmarca principalmente en dos textos legislativos: la Directiva 2002/58/CE, conocida como la Directiva ePrivacy, y el Reglamento General de Protección de Datos (RGPD). Ambos textos normativos establecen las bases para el tratamiento de datos personales y el uso de tecnologías de rastreo en el entorno digital.
La Directiva ePrivacy regula el uso de cookies y tecnologías similares para la obtención de información de los usuarios. Aunque es un instrumento normativo anterior al RGPD, ha sido fundamental para establecer las obligaciones de transparencia y obtención de consentimiento en el uso de cookies. Esta directiva exige que los usuarios sean informados clara y exhaustivamente sobre el uso de cookies y que se obtenga su consentimiento antes de que estas sean instaladas, salvo en el caso de cookies estrictamente necesarias para la prestación de un servicio solicitado expresamente por el usuario.
El RGPD refuerza el régimen de consentimiento y transparencia aplicable al tratamiento de datos personales, incluyendo los datos obtenidos mediante cookies. El RGPD exige que el consentimiento sea una acción afirmativa, libre e informada, lo que ha influido en la configuración del marco normativo sobre cookies en la Unión Europea. También introduce sanciones mucho más severas por incumplimiento, que se aplican a la recogida inadecuada de datos mediante cookies.
Reglas clave para el cumplimiento de la nueva normativa de cookies 2024 en la experiencia del usuario
La normativa de 2024 no solo refuerza las obligaciones legales de las empresas, sino que también establece normas que pueden tener un impacto directo en la experiencia de usuario. Por ello, se deben llevar a cabo distintas modificaciones en la gestión de las cookies. En primer lugar, el diseño de las interfaces de gestión de cookies debe facilitar a los usuarios la toma de decisiones sobre qué tipos de cookies aceptar o rechazar. Debe ser sencillo, claro y accesible, evitando que el usuario tenga que navegar por menús complejos o múltiples pantallas para encontrar la opción de rechazar cookies.
Asimismo, una regla fundamental pasa por que la opción de rechazar cookies debe ser igual de visible y fácil de utilizar que la opción de aceptarlas. Esto significa que los botones de "Aceptar" y "Rechazar" deben tener el mismo tamaño, color y visibilidad, sin que se favorezca la aceptación mediante un diseño sesgado. Dicho consentimiento podrá ser modificado o revocado en cualquier momento. Además, se debe ofrecer al usuario la posibilidad de aceptar o rechazar diferentes categorías de cookies, en lugar de una única opción global. Así, los usuarios pueden aceptar solo las cookies funcionales o de personalización, rechazando las de marketing o seguimiento.
¿Qué ha dicho la AEPD sobre la normativa de cookies?
En 2023, la AEPD publicó una actualización de su Guía sobre el uso de cookies, un documento clave que detalla las obligaciones que tienen los responsables de los sitios web en cuanto a la obtención de consentimiento, la información que deben proporcionar a los usuarios y las condiciones para la instalación de cookies. La guía fue una respuesta a la confusión generada por la interpretación de los requisitos normativos y ha sido esencial para proporcionar claridad en cuestiones como el "consentimiento explícito" y la prohibición de los "cookie walls" restrictivos.
La AEPD también ha promovido la adopción de buenas prácticas en el uso de cookies, instando a las empresas a implementar mecanismos de consentimiento que prioricen la protección de la privacidad de los usuarios y respeten el principio de minimización de datos.
Además, la AEPD ha impuesto sanciones a varias empresas por no respetar los principios de transparencia y consentimiento en el uso de cookies, y ha anunciado que continuará intensificando sus esfuerzos de control en 2024, especialmente con la entrada en vigor de las nuevas disposiciones normativas.
El cumplimiento de la normativa de cookies en 2024 requerirá que las empresas realicen auditorías exhaustivas, actualicen sus políticas y mecanismos de consentimiento y adopten un enfoque centrado en la experiencia del usuario. La AEPD, por su parte, seguirá desempeñando un rol clave en la supervisión del cumplimiento de estas normas en España, imponiendo sanciones cuando sea necesario y promoviendo prácticas que respeten los derechos de privacidad.
Descubre los servicios de asesoramiento en la protección de datos
