Todos los artículos del blog

Nueva Guía sobre el uso de cookies de la AEPD

La Agencia Española de Protección de Datos (AEPD) ha actualizado su Guía sobre el uso de cookies con el objetivo de incluir las recientes Directrices 05/2020 del Comité Europeo de Protección de Datos (CEPD). La nueva normativa afecta al modo en que puedes emplear cookies en tu sitio web si tienes usuarios de España.

Actualizado el 14 de diciembre, 2021.

La Agencia Española de Protección de Datos ha actualizado su Guía sobre el uso de cookies, que afecta al modo en el que puedes administrar los datos personales de tus usuarios mediante el uso de cookies y otras tecnologías de seguimiento similares en España.

La nueva Guía de cookies de la AEPD entró en vigor el 31 de octubre de 2020 y se diferencia de su predecesora en que los muros de cookies que no ofrezcan una alternativa al consentimiento ya no están permitidos y el hecho de seguir navegando en un sitio web no se considera una forma válida de consentimiento.

La Guía pretende adaptar la legislación española a las recientes Directrices sobre consentimiento del Comité Europeo de Protección de Datos, publicadas en mayo del mismo año.

La AEPD actualiza su guía de cookies

Nueva guía de cookies AEPD en España

En julio de 2020 la Agencia Española de Protección de Datos (AEPD) publicó la versión actualizada de su Guía sobre el uso de cookies. La nueva normativa pretende reemplazar la versión anterior, de noviembre de 2019, con el fin de incorporar las recientes Directrices 05/2020 sobre consentimiento del Comité Europeo de Protección de Datos (CEPD), publicadas en mayo de 2020.

Gracias a esta nueva guía de cookies, desde el 31 de octubre de 2020 en todo el territorio español se considera que el simple hecho de seguir navegando en un sitio web no constituye nunca una forma válida de dar el consentimiento. La otra gran novedad que incorpora la Guía con respecto a su predecesora es que los muros de cookies que no ofrezcan una alternativa equivalente al consentimiento están prohibidos.

Esto significa que si tu sitio web tiene usuarios en España y empleas muros de cookies o consideras que un usuario que permanece en tu sitio web está consintiendo el uso de cookies, desde octubre ya no cumples con los requerimientos de la guía, y por lo tanto te arriesgas a ser sancionado duramente por la AEPD.

De hecho, en el primer año desde la entrada en vigor de la ley de cookies de España, se han registrado un total de 22 multas de la AEPD relacionadas con el uso inadecuado de las cookies en sitios web. A lo largo de este año, se han impuesto sanciones por un valor total de 85 000 €. La multa más cuantiosa se corresponde con la impuesta a Iberia, por un importe total de 30 000 €, debido al uso de muros de cookies en su sitio web.

En la redacción de la Guía, la AEPD contó con la ayuda de sectores afectados, entre los que se encuentran las asociaciones ADIGITAL, la Asociación Española de Anunciantes, AUTOCONTROL e IAB Spain.

Te invitamos a seguir leyendo este artículo si quieres saber cómo evitar sanciones de la AEPD por el incumplimiento de su guía de cookies.

Prueba Cookiebot CMP gratis durante 14 días, o para siempre si tienes un sitio web pequeño.

La AEPD sigue las Directrices del CEPD sobre el consentimiento

El 4 de mayo de 2020 el CEPD publicó sus nuevas Directrices sobre consentimiento, con el objetivo de clarificar lo que constituye un consentimiento válido al uso de cookies en los sitios web. El CEPD es la más alta autoridad supervisora encargada de la correcta aplicación del Reglamento General de Protección de Datos (RGPD) en la UE, de forma que sus nuevas Directrices sirven de base para las diferentes Autoridades de Protección de Datos de los Estados Miembros de la UE, entre ellas la Agencia Española de Protección de Datos (AEPD).

Estas Directrices del CEPD pretenden clarificar lo que se considera un consentimiento válido según el RGPD. De acuerdo con el Reglamento, para que un consentimiento sea válido este debe ser dado libremente y debe ser específico, informado e inequívoco.

El CEPD aclara en sus guías que para que el consentimiento sea inequívoco, este debe resultar de una clara acción afirmativa por parte del usuario. Esta explicación tiene como consecuencia directa dos consideraciones:

  1. Seguir navegando o “hacer scroll” en un sitio web no es una forma válida de consentimiento. Esto significa que ya no es legal simplemente emplear un banner de cookies en el que se establezca que “Al seguir navegando en este sitio web estás consintiendo el uso de cookies”, ya que no implica una clara acción afirmativa por parte del usuario.
  2. El uso de casillas pre-marcadas no cumple con el RGPD, al no tratarse tampoco de una clara acción afirmativa.

Por otro lado, en las nuevas Directrices sobre el consentimiento también se especifica que los denominados muros de cookies no cumplen con el RGPD ya que no permiten que el consentimiento se ofrezca libremente en base a una elección verdadera, y por lo tanto, también los declara ilegales en la UE.

La Agencia Española de Protección de Datos es la autoridad independiente encargada de proteger la privacidad y los datos personales de los ciudadanos españoles. Todas estas consideraciones del CEPD sirvieron de base para que la AEPD actualizase su Guía de cookies en julio de 2020 y se empezaran a aplicar estas nuevas normas en España desde el 31 de octubre.

Para saber más sobre las nuevas Directrices sobre consentimiento del CEPD haz clic aquí.

Comprueba si tu sitio web cumple con las Directrices del CEPD y con la Guía de cookies de la AEPD aquí.

Prueba Cookiebot CMP gratis durante 14 días, o para siempre si tienes un sitio web pequeño.

Grandes cambios de la Guía de cookies AEPD

La actualización de la Guía de cookies AEPD pretende sustituir a su versión anterior de noviembre de 2019, al incorporar las nuevas consideraciones de las Directrices sobre consentimiento revisadas por el CEPD en mayo. A continuación remarcamos los aspectos más importantes a tener en cuenta que introduce la nueva normativa del uso de cookies:

Se prohíben los muros de cookies en España

Tal y como refleja el artículo 3.2.10. de la Guía sobre el uso de cookies de la AEPD, los muros de cookies que no ofrezcan una alternativa al consentimiento no podrán emplearse en el territorio español:

Siguiendo las directrices del CEPD sobre el consentimiento, para que este se dé libremente, el acceso a los servicios y funcionalidades no debe supeditarse a la aceptación por el usuario del uso de cookies. Por ello, no podrán utilizarse los denominados “muros de cookies” que no ofrezcan una alternativa al consentimiento (…)” 3.2.10. Posibilidad de denegación de acceso al servicio en caso de rechazo a las cookies. Guía de cookies AEPD, pág. 30.

Un muro de cookies es la situación en la que los sitios web ponen a sus usuarios cuando los obligan a aceptar el uso de cookies y rastreadores, incluso en contra de su voluntad, para permitirles el acceso al dominio y sus funcionalidades. En la práctica, un muro de cookies tiene la apariencia de un banner de cookies en el que no se muestran opciones de aceptar o rechazar las distintas categorías de cookies, sino que simplemente permite el acceso al sitio tras pulsar un botón de “OK”.

Muro de cookies
Banner de consentimiento de cookies de Cookiebot CMP implementado como un “muro de cookies” que no cumpliría con la Guía sobre el uso de cookies de la AEPD.

Desde la publicación de las recientes Directrices sobre consentimiento del CEPD, esta forma de prestar el consentimiento se considera ilegal, y así lo estipula también el artículo 3.2.10. de la Guía sobre el uso de cookies.

Esto es especialmente importante cuando la denegación del acceso pudiera significar que el usuario quedara privado de algún derecho reconocido legalmente. Esto significa que, por ejemplo, si la única forma de anular la subscripción a un servicio fuera mediante el acceso a un sitio web, el acceso a dicho sitio no puede ser a condición de que el usuario consienta el uso de todas las cookies no necesarias de éste.

Sin embargo, según la Guía de cookies AEPD, podría haber ciertos casos en los que fuera posible la denegación del acceso a un sitio web, siempre y cuando el editor ofrezca una alternativa de acceso al servicio genuinamente equivalente a la original, en la que no sea necesario aceptar el uso de cookies.

Para saber más sobre lo que son los muros de cookies y cómo cumplir con la ley con Cookiebot CMP, haz clic aquí.

Prueba Cookiebot CMP para cumplir con la nueva Guía sobre el uso de las cookies de la AEPD.

Seguir navegando en un sitio web no se considera consentimiento inequívoco

Otro de los grandes putos de la guía actualizada de cookies es que, siguiendo también las Directrices del CEPD, la acción de seguir navegando en un sitio web no constituye una forma válida de prestar el consentimiento.

Esto se debe a que por el simple hecho de “hacer scroll” en un sitio web no se puede asumir que el usuario esté dando su consentimiento inequívoco al uso de cookies, en línea con los requerimientos del RGPD para un consentimiento válido, ya que es una acción difícil de distinguir de otras actividades e interacciones del usuario con el sitio web.

Si tu sitio web activa el uso de cookies no necesarias antes de que el usuario haya dado su consentimiento explícito a ello, solamente por el hecho de que el usuario ha permanecido en tu sitio web, ya no cumples con la ley española y te arriesgas a que la AEPD te sancione por ello.

Para evitar problemas con las autoridades de protección de datos europeas, prueba la plataforma de gestión del consentimiento de Cookiebot CMP.

La guía es obligatoria desde el 31 de octubre

La AEPD publicó la Guía actualizada sobre el uso de cookies el 28 de julio de 2020, estableciendo un periodo transitorio de tres meses en los que los sitios web con usuarios procedentes de España deberían implementar los nuevos cambios.

De esta forma, desde el pasado 31 de octubre de 2020 la guía de cookies se encuentra en vigor y es de obligatorio cumplimiento en todo el territorio español.

Regístrate en Cookiebot CMP para cumplir con la nueva Guía de cookies y evitar cuantiosas sanciones de la AEPD.

En su primer año, la ley de cookies de España ha sido responsable de un total de 22 multas de por parte de la AEPD relacionadas con el uso inadecuado de las cookies en sitios web, por un valor total de 85 000 €. 

Qué dicen las nuevas guías sobre el uso de cookies

Además de prohibir del uso de muros de cookies en España y de considerar la acción de seguir navegando en un sitio web como una forma inválida de obtener el consentimiento, la guía de cookies de la AEPD recoge otros requerimientos que los propietarios de los sitios web deben tener en cuenta a la hora de emplear cookies y realizar el tratamiento de datos personales de sus usuarios en España.

A continuación te contamos qué requisitos deben cumplir todas los sitios web en España en lo que respecta a las cookies. La inigualable plataforma de gestión del consentimiento (CMP, Consent Management Platform) de Cookiebot CMP asegura el cumplimiento de todos los requerimientos de la nueva guía sobre el uso de cookies.

El consentimiento como base del uso de cookies

El uso de cookies por parte de un sitio web ha de estar en todo momento supeditado a que el usuario otorgue su consentimiento explícito a la activación de dichas cookies. Este consentimiento debe ser una acción clara, afirmativa e inequívoca realizada por el usuario, resultado de una elección libre e informada.

Estas consideraciones coinciden con la definición de lo que se considera consentimiento válido según el Reglamento General de Protección de Datos (RGPD) de la UE. El consentimiento se ha convertido en un pilar fundamental en la economía de internet en los últimos años, siendo el eje sobre el que se construye la privacidad de datos digital en la UE. Actualmente no está permitido el tratamiento de datos personales de los usuarios finales sin que estos den su consentimiento previo a ello, y por tanto, la activación de cookies en los equipos terminales de los usuarios antes de que estos así lo consientan está prohibida.

Cookiebot CMP garantiza que el consentimiento se proporcione de forma libre e informada, al poner a la disposición de los usuarios un banner de cookies altamente personalizable en el que se separan las distintas categorías de cookies según su finalidad, permitiendo aceptar o rechazar las categorías de cookies que el usuario así decida.

Banner de cookies de Cookiebot en el que se muestran las distintas categorías de cookies que el usuario puede aceptar o rechazar.
Banner de cookies de Cookiebot CMP en el que se muestran las distintas categorías de cookies que el usuario puede aceptar o rechazar.

El hecho de poder aceptar el uso de ciertas categorías de cookies y no otras es lo que se conoce como granularidad del consentimiento. De acuerdo con la nueva Guía de cookies AEPD, la categorización de las cookies es preferible a presentar de forma individual cada una de las cookies que se emplean en un sitio web, ya que el exceso de información puede dificultar el proceso de toma de decisiones por parte del usuario.

En la Guía de cookies se propone una categorización según la finalidad de las cookies en cuatro grupos:

  • Cookies técnicas: son aquellas que son necesarias para el correcto funcionamiento del sitio web.
  • Cookies de preferencias o personalización: son aquellas que recuerdan las características que un usuario prefiere al entrar en un sitio web, como por ejemplo el idioma, el aspecto o contenido de la web, etc.
  • Cookies de análisis o medición: son aquellas responsables del seguimiento y análisis de las interacciones de los usuarios con el sitio web para realizar mediciones de su actividad.
  • Cookies de publicidad comportamental: son aquellas que recogen datos sobre el comportamiento de los usuarios según sus hábitos de navegación y que permiten crear perfiles con los que realizar campañas publicitarias dirigidas.

Sin embargo, en la Guía se especifica que estos grupos no son cerrados, y las distintas categorías pueden variar en función de las finalidades concretas a las que sirvan las distintas cookies. Las cookies técnicas quedan exentas de cumplir con el Artículo 22.2 de la Ley de Servicios de la Sociedad de la Información y del comercio electrónico (LSSI) y por tanto pueden activarse sin necesidad de que el usuario preste su consentimiento previamente. Cabe destacar también que las cookies de preferencias están exceptuadas de las obligaciones del Art. 22.2 de la LSSI si el propio usuario es quien elige dichas características de preferencia.

Además, las cookies también se pueden clasificar en función de la entidad que las gestione en cookies propias y cookies de terceros, o en función del tiempo que permanecen activadas en cookies de sesión o cookies persistentes.

Estas distintas categorías de cookies pueden aparecer como diferentes casillas en el banner de cookies que los usuarios deberán marcar si quieren aceptarlas. La Guía de cookies AEPD declara que en ningún caso serán admisibles las casillas pre-marcadas en los banners de cookies. Esto se debe a que las casillas pre-marcadas no constituyen una clara acción afirmativa por parte del usuario, y por tanto no cumplen con los requisitos del RGPD de un consentimiento válido.

Deberes de información y transparencia

En la guía de cookies AEPD se indica qué información se debe proporcionar a los usuarios para que estos puedan tomar una decisión fundamentada.

En el texto se incide en la importancia de mostrar esta información de forma sencilla y sin utilizar formulaciones que pudieran ser ambiguas, de forma que no se comprometa la claridad del mensaje. De esta forma, frases del tipo “usamos cookies para personalizar su contenido y crear una mejor experiencia para usted”, o frases como “podemos utilizar sus datos personales para ofrecer servicios personalizados” refiriéndose a las cookies publicitarias deben evitarse ya que no se consideran válidas.

De esta forma, la información debe ser concisa, transparente e inteligible. Para facilitar el acceso a la información al usuario que visite el sitio web se puede utilizar un modelo de información por capas, en el que en la primera capa se mostrará la información esencial para proporcionar una mayor claridad, y en la segunda capa se detallará la política de cookies completa.

En la primera capa, que se mostrará antes del uso de cookies, se debe incluir la siguiente información:

  • Identificación del editor responsable del sitio web.
  • Finalidades de las cookies empleadas.
  • Si las cookies son propias o de terceros.
  • Información general del tipo de datos se van a recopilar en caso de usar cookies de marketing.
  • Cómo puede el usuario aceptar, rechazar o configurar el uso de cookies.
  • Un enlace visible a la segunda capa.

En la segunda capa o política de cookies, deberá desarrollar lo siguiente:

  • Definición y función genérica de las cookies.
  • Qué tipo de cookies se emplean y su finalidad.
  • Quién emplea dichas cookies (cookies propias o de terceros).
  • Forma de aceptar, denegar o revocar el consentimiento al uso de cookies.
  • Información sobre la posible transferencia de datos a terceros países.
  • Cómo se elaboran los perfiles.
  • Periodo de conservación de los datos recopilados.

El banner de consentimiento de Cookiebot CMP es una herramienta intuitiva que te ayudará a cumplir con los requisitos de transparencia de la Guía sobre el uso de cookies de la AEPD, al mostrar de forma clara las distintas categorías de cookies que se pueden aceptar o rechazar en su primera capa en función de su finalidad.

Retirada, renovación y duración del consentimiento

De acuerdo con la AEPD, el consentimiento debe poderse retirar tan fácilmente como se prestó en un primer momento. En la práctica esto se puede hacer facilitando un acceso sencillo y permanente al sistema de configuración de las cookies.

Además, cuando se introducen nuevas finalidades de las cookies en el sitio web, o las terceras partes que las emplean cambian, será necesario actualizar la política de cookies y permitir que los usuarios renueven su elección de consentimiento.

La AEPD recomienda renovar el consentimiento a intervalos apropiados de tiempo, tal y como se indica en las Directrices sobre consentimiento del CEPD, aunque considera que su duración no debe ser superior a 24 meses desde que el usuario presentó su elección de preferencias.

Cumple la nueva Guía de cookies AEPD con Cookiebot CMP

Evita sanciones de la AEPD con Cookiebot CMP

Cookiebot CMP es la plataforma de gestión del consentimiento líder a nivel mundial que permite que tu sitio web cumpla con todas las grandes leyes de protección de datos del mundo, incluido el RGPD en la UE y más específicamente con la Guía de cookies AEPD en España.

Cookiebot CMP se puede incorporar de forma sencilla en tu sitio web, de forma plug-and-play y sin necesidad de implementaciones realizadas manualmente. La tecnología de escaneo de Cookiebot CMP es la única capaz de encontrar todas las cookies y rastreadores de tu sitio web, bloquearlos todos e impedir que se activen antes de que el usuario final preste su consentimiento a este fin.

La plataforma de gestión del consentimiento de Cookiebot CMP logra un cumplimiento total del RGPD, de las Directrices sobre consentimiento del CEPD y de la Guía sobre el uso de cookies de la AEPD gracias a sus características únicas:

  • Bloqueo automático de todas las cookies y rastreadores de un sitio web antes de que se preste el consentimiento.
  • Consentimiento granular basado en una clara elección afirmativa de las cuatro diferentes categorías de cookies.
  • Declaración de cookies completa, en la que se incluye proveedor, propósito, duración y tipo de cookie.
  • Fácil retirada de consentimiento.
  • Documentación segura de los consentimientos.
  • Renovación del consentimiento automática.
Banner de cookies de Cookiebot en el que se muestran las distintas categorías de cookies que el usuario puede aceptar o rechazar.
Banner de consentimiento de cookies de Cookiebot CMP que ofrece un consentimiento granular que cumple con la Guía de cookies AEPD.

Prueba Cookiebot CMP gratis durante 14 días, o para siempre si tienes un sitio web pequeño.

Preguntas frecuentes

¿Qué es la Guía sobre el uso de cookies de la AEPD?

La Agencia Española de Protección de Datos (AEPD) ha actualizado su Guía sobre el uso de cookies, en la que recogen los requerimientos legales sobre el correcto uso de las cookies en un sitio web si tienes usuarios que residan en España. En la Guía se incluyen los nuevos requerimientos de establecen las recientes Directrices 05/2020 sobre consentimiento del Consejo Europeo de Protección de Datos (CEPD), de forma que establece el consentimiento previo e inequívoco como base para poder procesar datos personales de individuos a través de la activación de las cookies. En la Guía se reflejan todos los aspectos que hay que tener en cuenta para ofrecer una política de cookies transparente y conforme al Reglamento General de Protección de Datos (RGPD) en España.

Para saber más sobre las nuevas Directrices sobre consentimiento del CEPD haz clic aquí.

¿Cuándo entra en vigor la guía de cookies AEPD y dónde se aplica?

La Guía sobre el uso de cookies de la AEPD se publicó el 28 de julio de 2020, con un periodo de transición de tres meses en los que los sitios web con usuarios en España debían adaptarse a la nueva normativa. De este modo, los requerimientos de la actualizada Guía son de obligado cumplimiento en todo el territorio español desde el 31 de octubre de 2020.

Para comprobar si tu sitio web cumple con la Guía de cookies AEPD haz un test de cumplimiento gratuito con Cookiebot CMP.

¿Son legales los muros de cookies y se considera el seguir navegando una forma válida de obtener el consentimiento en España?

Desde la aprobación de la nueva Guía de cookies de la AEPD los muros de cookies no están permitidos en España al no cumplir con el requisito de que el consentimiento debe ser dado libremente por el usuario. La acción de seguir navegando o hacer “scroll” en un sitio web no constituye en ningún caso una forma válida de obtener el consentimiento, ya que al no poderse diferenciar de otras actividades e interacciones con el sitio web que pueda realizar el usuario no se puede considerar como una clara acción afirmativa en los términos del RGPD.

Regístrate en Cookiebot CMP para cumplir con la nueva Guía de cookies AEPD.

¿Cómo puedo cumplir con la nueva guía de cookies AEPD?

Cookiebot CMP es la plataforma de gestión del consentimiento líder a nivel mundial que te permite cumplir con todas las grandes leyes de protección de datos del mundo, incluida la Guía sobre el uso de cookies de la AEPD en España. Su inigualable tecnología de escaneo que detecta y bloquea automáticamente todas las cookies y rastreadores de tu sitio web antes de obtener el consentimiento de tus usuarios por medio de nuestro banner de cookies altamente personalizable te permite cumplir con la ley sin complicaciones y de manera totalmente plug-and-play.

Prueba Cookiebot CMP gratis durante 14 días, o para siempre si tienes un sitio web pequeño.

Referencias

Guía sobre el uso de las cookies de la AEPD

Nota de prensa de la AEPD sobre la nueva Guía sobre el uso de cookies

Guías del CEPD sobre el uso de cookies y el consentimiento (en inglés)

Muros de cookies y el consentimiento válido según el CEPD

Texto original de las Directrices sobre el consentimiento del CEPD (en inglés)

Resolución de procedimiento sancionador a Iberia por el incumplimiento de la ley de cookies

La aprobación de la guía de cookies de la AEPD deja 22 sanciones y un total de 85 000 € en multas en un año

Artículo sobre la actualización de la Guía de cookies en España de Hogan Lovells

Artículo de Hogan Lovells sobre las nuevas consideraciones de la AEPD respecto a las cookies en España (en inglés)

    Mantente al día

    Únete a nuestra comunidad de entusiastas de la privacidad de datos en expansión ahora. Suscríbete a la newsletter de Cookiebot™ para poder recibir las últimas actualizaciones directamente en tu bandeja de entrada.

    Clicando en “Suscribirme” confirmo que quiero suscribirme a la newsletter de Cookiebot™. Puedo retirar este consentimiento clicando en el botón para darme de baja o simplemente escribiendo a [email protected]. Consultar la Política de privacidad.