RGPD y cookies ¿Qué pasa ahora con ellas?
Con la aplicación del RGPD… ¿Qué tendremos que hacer con las cookies el próximo 25 de mayo?
No hay mucho tiempo estos días para la lírica, así que al grano:
Para saber cómo se hace, atentos a sus pantallas: muy pronto en el blog de Enatic y al diario La Ley.
Para saber cómo no se hace, sigue leyendo. Hay un par de cosas muy importantes que tenemos que tener bien claras.
Las cookies sólo pueden cargarse en el equipo del usuario DESPUÉS (no antes) de que éste otorgue su consentimiento
PRIMERA: las carga el diablo
Las cookies deben cargarse en el equipo del usuario DESPUÉS (no antes) de que éste otorgue su consentimiento. Informado.
Pero esto no es nuevo, sólo que nadie lo cumple (hasta ahora, que vienen más curvas).
No, no se puede interpretar como «consentimiento inequívoco» sin más ,que el usuario siga navegando por la web.
SEGUNDA: consentimiento inequívoco
Sin entrar aquí en el perímetro de esa información obligatoria, el consentimiento que tenemos que recabar, de acuerdo con el RGPD tendrá que ser inequívoco, ¿no?.
Bien.
El consentimiento del usuario tiene que ser inequívoco, es decir, activo («acción afirmativa clara» «específica» e «inequívoca» en la nomenclatura del RGPD).
De acuerdo con el RGPD, hay que implementar un sistema técnico que nos permita defender (y acreditar en el futuro) que el consentimiento de nuestros usuarios al uso de nuestras cookies (y de terceros) fue inequívoco.
Por esta razón, mi consejo es tomar con todas las cautelas el ejemplo que propone la AEPD en la página 6 de la “Guía para Responsables del Tratamiento” de enero del 2017.
Captura de la guía de la AEPD
Suerte si se bañan en ese río.
Es una cuestión de tiempo que la AEPD corrija su criterio (más bien, su ejemplo) y les pille en cueros.
Les recomiendo faenar en aguas internacionales y hacer caso de este otro parrafito (Directrices sobre el Consentimiento del Grupo de Trabajo del art 29).
La redacción definitiva de abril (está recién sacada del horno) ha refinado la redacción de la primera versión del texto, de diciembre del 17.
Pero vamos, tampoco dice nada que no dijera hace cinco meses.
Directrices sobre el consentimiento del GT29
El GT29 interpreta (advierte) que el mero hecho de seguir utilizando la web (scroll down o seguir ojeando la página) no satisface los nuevos requisitos del consentimiento (en el sentido comentado de acción clara y afirmativa).
Y ello porque ese supuesto consentimiento manifestado en «seguir navegando» no se distingue de forma suficientemente clara de la conducta de quien no ha reparado en el banner de cookies, ni ha leido su contenido, y sigue leyendo el texto de la web.
Sin más.
Sin consentir nada.
Sí, hay varios factores que cambian las reglas del juego.
Sí, señores, no es nada fácil ser accountable.
Y no olviden mineralizarse y supervitaminarse porque, señores, este despiporre del RGPD no acaba el 25 de mayo: ¡¡EMPIEZA EL 25 DE MAYO!!
Jorge García Herrero
jgh[arroba]jorgegarciaherrero.com
Abogado y Delegado de Protección de Datos
