Cómo se debe pedir el consentimiento para las cookies según el RGPD
En esta guía, te mostraremos cómo los sitios web deben pedirte el consentimiento para las cookies y qué hacer en caso de que estén violando tus derechos.
Hace muchos años, cuando alguien accedía a Internet, sus datos eran eliminados en el momento de llegar a cualquier sitio web. Las cookies comenzaban a recopilar datos de los usuarios lo antes posible. Pero eso ha cambiado.
La Unión Europea intentó rápidamente evitar esto al aprobar la Directiva de privacidad electrónica a principios de la década de 2000, que se actualizó varias veces.
No trajo los resultados deseados a la escala deseada, por lo que la UE optó por una nueva ley: el Reglamento General de Protección de Datos (RGPD).
A partir de 2018, las leyes de cookies son más estrictas que nunca y las multas por incumplimiento nunca han sido mayores. Sin embargo, muchas empresas aún no cumplen.
Es probable que la autoridad de protección de datos nunca pueda perseguir a todas las empresas que no cumplen, por lo que debes confiar en ti mismo y proteger tus datos.
Por eso necesitas aprender cómo se te debe pedir el consentimiento para usar cookies.
¿Qué son las cookies?
Las cookies son pequeños archivos de texto que un sitio web o una aplicación envía a tu dispositivo (computadora portátil, teléfono inteligente, tableta), los almacena allí y los usa para recopilar datos.
Los propietarios de sitios web o aplicaciones, es decir, los controladores de datos, luego procesan los datos para sus propias necesidades.
¿Por qué es importante para ti?
Las cookies recopilan tus datos personales y los entregan a otra persona para que los procese.
Eso no necesariamente significa que sufrirás algún daño; serás víctima de robo de identidad.
Simplemente significa que tus datos están en manos de otra persona y los tienen fácilmente disponibles. Pueden procesarlo de acuerdo con las leyes, no hacer nada con él o abusar de él. Nunca se sabe.
¿Qué deben hacer las empresas?
Las empresas deben pedir el consentimiento de los usuarios antes de inyectar cookies en los dispositivos de los usuarios.
El uso de cookies sin consentimiento es ilegal y es una violación del RGPD. Además, el consentimiento debe solicitarse y obtenerse legalmente. No todos los consentimientos son iguales.
Las empresas, intencionalmente o no, a menudo cometen errores en las solicitudes de consentimiento. El corto período del RGPD llevó a una decisión significativa del Tribunal de Justicia de la Unión Europea (TJUE) y recomendaciones detalladas del Comité Europeo de Protección de Datos (CEPD).
La decisión judicial es ampliamente conocida como la decisión Planet49, donde una empresa alemana fue multada por recopilar el consentimiento ilegalmente.
Puedes leer más sobre multas del RGPD en la página vinculada.
Específicamente, proporcionaron a los usuarios casillas de verificación previamente marcadas en lugar de dejar la verificación a los usuarios. Eso no es una acción afirmativa. Por lo tanto, es una violación de la ley.
La acción afirmativa es solo uno de los requisitos para el consentimiento legal según el RGPD, pero eso no es lo único en lo que debes tener cuidado.
Requisitos de consentimiento de cookies del RGPD
El RGPD requiere que el consentimiento sea:
- Dado libremente
- Informado
- Específico
- No ambiguo y
- Fácilmente retirado.
Estos cinco requisitos deben cumplirse para obtener un consentimiento legal.
Pero, ¿qué significa cada uno de ellos y cómo reconoces si se te ha solicitado como debería ser?
Dado libremente
El consentimiento se da libremente si fue una acción voluntaria por parte del usuario. El usuario ha dado el consentimiento por su propia voluntad si:
- No han sido coaccionados para dar su consentimiento. Los sitios web que quieren obligar a los usuarios a dar su consentimiento a menudo agrupan el consentimiento con los Términos de uso. Eso va en contra del RGPD. Tal consentimiento no cuenta porque no se da libremente. Recuerda: El sitio web siempre debe pedirte el consentimiento por separado.
- Se les ha impedido acceder al contenido sin consentimiento. Esto se llama muro de cookies y es una de las formas astutas en las que los sitios web invaden tu privacidad. El sitio web debe proporcionarte acceso a todo el contenido sin recopilar el consentimiento. Esto no incluye el área de miembros en un sitio web, pero eso tampoco requiere el uso de cookies.
Recuerda: el acceso al contenido no requiere cookies. Si alguien solicita tu consentimiento para acceder, violan tus derechos del RGPD.
- Evitar que los usuarios retiren el consentimiento sin consecuencias. Eres libre de dar tu consentimiento y libre de retirarlo. Eso significa que el controlador no debe imponer ninguna consecuencia negativa por retirarlo. Recuerda: Retirar el consentimiento es un derecho del RGPD. Si un controlador de datos quiere impedirte hacerlo, es hora de reaccionar ante las autoridades.
Informado
El consentimiento está informado cuando estás informado sobre lo que sucederá con tus datos personales si das tu consentimiento. Las empresas comunican esta información a través de sus políticas de privacidad.
Sin embargo, tener una no es suficiente. El sitio web debe proporcionar un enlace a la política en el momento de la recopilación, es decir, en el momento de la solicitud de consentimiento para el uso de cookies.
Además, la política debe indicar claramente que el sitio web utiliza cookies, por qué las utilizan y qué datos recopilan con ellas. Sin toda esta información, la solicitud de consentimiento es ilegal.
El siguiente banner es un buen ejemplo de cumplir con este requisito. Piden el consentimiento y proporcionan un enlace a la política de privacidad. Antes de otorgar el consentimiento, puedes hacer clic allí e informarte sobre sus prácticas de privacidad.
Sin embargo, si lees o no la política de privacidad es asunto tuyo. Nadie te obliga a leerla, pero la ley supone que la has leído si se te ha proporcionado fácil acceso a ella.
Recuerda: Los sitios web deben proporcionarte información sobre qué sucede con tus datos si son recopilados por cookies. Esa información debe proporcionarse en un lenguaje sencillo, de manera fácil de entender.
Específico
Las empresas deben obtener un consentimiento separado para cada propósito de procesamiento.
La empresa que realiza seguimientos analíticos del sitio web y utiliza cookies publicitarias debe solicitar el consentimiento para cada propósito por separado. Un consentimiento agrupado no cuenta.
El siguiente banner de cookies es un buen ejemplo de una solicitud específica. El banner indica claramente por qué el sitio web utiliza cookies y explica los propósitos del procesamiento. El usuario puede proporcionar su consentimiento solo para los propósitos para los que desea que se procesen sus datos. Pero no tienen que dar su consentimiento para todos los propósitos a la vez.
Recuerda: Cada banner de cookies debería parecerse al anterior. El número de solicitudes de consentimiento debe ser igual al número de propósitos de procesamiento.
No ambiguo
El consentimiento se da sin ambigüedades si lo das con tu acción afirmativa. Tú, el usuario de Internet, debes indicar claramente que das tu consentimiento para el uso de cookies. Pero el banner de cookies del sitio web debe permitirlo.
Cada banner de cookies debe tener una opción para hacer clic en un botón ACEPTAR pero también un botón para rechazar las cookies. En algunos casos, las empresas pueden ofrecer la oportunidad de rechazar las cookies en el centro de preferencias de cookies si tienen uno.
Además, debes marcar las casillas de verificación o activar los interruptores para indicar que das tu consentimiento para el uso de cookies.
El siguiente banner de cookies muestra cómo pedir a los usuarios su consentimiento ilegalmente porque los interruptores están activados por defecto.
En el siguiente, los interruptores están apagados. Puedes encenderlos si quieres. Así es como das tu consentimiento sin ambigüedades y así es como las empresas deben pedírtelo legalmente.
Un error común que cometen los sitios web es suponer que los usuarios dan su consentimiento para la recopilación de datos al permanecer en el sitio web.
Sus banners de cookies dicen: “Si sigues navegando en este sitio web, significa que das tu consentimiento para el uso de cookies”. Eso no está en cumplimiento con el RGPD. Eso es una clara violación de los derechos de privacidad de los usuarios.
Recuerda: Eres tú quien debe tomar medidas afirmativas para dar tu consentimiento. El banner de cookies no debería ayudar. Debería dejártelo a ti.
Fácilmente retirado
La empresa debe permitirte retirar el consentimiento tan fácilmente como lo has dado.
Si has hecho clic en un botón ACEPTAR para dar tu consentimiento, se te debe permitir hacer clic en un botón RETIRAR para retirarlo.
Las empresas suelen poner la opción de retirada en el centro de privacidad. Es una buena práctica ya que proporciona un fácil acceso para ejercer ese derecho.
Es importante señalar nuevamente que el controlador de datos no debe condicionar la retirada imponiendo algunas consecuencias negativas a menos que las cookies sean necesarias para proporcionar algunas funciones.
Por ejemplo, las cookies pueden ser necesarias para recordar tus preferencias de idioma en el sitio web y tiene sentido recibir una peor experiencia de usuario debido a la retirada del consentimiento.
Sin embargo, las cookies publicitarias no están relacionadas con las funcionalidades del sitio web en modo alguno, por lo que no deben ser una condición para obtener una mejor experiencia de usuario.
Recuerda: Deberías poder retirar el consentimiento tan fácilmente como lo diste.