Muros de cookies | Directrices del CEPD sobre los muros de cookies y el consentimiento válido

1. ¿Qué es un muro de cookies?
2. Directrices del CEPD: ¿son legales los muros de cookies?
3. ¿Cómo funcionan los muros de cookies?
4. Y, ¿cuál es una forma alternativa y válida de obtener el consentimiento?

¿Qué es un muro de cookies?

Un muro de cookies es básicamente lo que indica el propio nombre: un muro al acceso a una página web que los usuarios solamente podrán atravesar al aceptar las cookies y rastreadores del dominio, la mayoría de los cuales procesarán sus datos personales.

Un muro de cookies es un escenario del tipo “o lo tomas o lo dejas”, donde una página web se configura de modo que se asegure la activación de las cookies y rastreadores para obtener todos los datos posibles de sus usuarios, incluso en contra del deseo de estos.

Algunas páginas web pueden emplear un muro de cookies por miedo a que el consentimiento granular pueda interferir en su funcionamiento, en caso de que se le permita a un usuario decidir dar su consentimiento a unas cookies y a otras no. Más adelante en este post desmentiremos este mito.

¿Qué aspecto tiene un muro de cookies?

En la práctica, un muro de cookies es una variación del banner de consentimiento de cookies con el que los usuarios están acostumbrados a interactuar en internet hoy en día. Sencillamente, un muro de cookies no da una opción real a los usuarios de seleccionar o descartar ciertas categorías de cookies, como por ejemplo las cookies de marketing que típicamente albergan innumerables rastreadores de empresas publicitarias. Esto significa que el banner de cookies, que se supone que debería ser una solución interactiva que permitiera el consentimiento granular del usuario, se convierte en su lugar en un muro de cookies – y la única manera de sobrepasarlo es presionando el botón de “OK”.

Los muros de cookies existen en una infinidad de sitios a lo largo de internet, incluso en muchos noticiarios en los que la gente confía para obtener información día a día (e informar sobre problemas de privacidad, irónicamente).

Imagina que estás tratando de comprar un periódico, pero que solamente puedes leerlo si revelas en detalle información sobre tu familia y conocidos más cercanos al extraño que te lo vende, y a docenas de otros terceros.

O imagina que estás intentando entrar en un supermercado, pero que la única manera de que poder comprar es si te quitas la ropa, entregas tu cartera y tu número de la seguridad social antes de entrar.

Esto suena absurdo, pero es comparable a la situación en la que un muro de cookies pone a un usuario final, cuando exige como pago por el acceso que cedan el control de sus propios datos privados y se los entreguen a empresas publicitarias que crean perfiles inquietantemente detallados sobre estos individuos y los venden en tiempo real en los mercados conductuales futuros.

Escanea tu página web gratuitamente para ver qué cookies y rastreadores está empleando

Prueba la plataforma de gestión del consentimiento (Consent Management Platform, CMP) de Cookiebot gratis hoy

Haz clic aquí para saber más sobre el RGPD

Guías CEPD sobre el consentimiento válido: ¿son legales los muros de cookies?

¡No! Los muros de cookies son una forma ilegal de obtener el consentimiento de los individuos dentro de la UE.

El 4 de mayo de 2020, el Comité Europeo de Protección de Datos (CEPD) publicó nuevas guías que clarifican la legalidad de los muros de cookies y lo que constituye un consentimiento válido.

El CEPD es un organismo independiente de supervisión formado por representantes de todas las autoridades nacionales de protección de datos de la UE.

El trabajo del CEPD es asegurar la aplicación consistente del RGPD y de la Directiva sobre la privacidad y las comunicaciones electrónicas (ePrivacy) dentro de la UE mediante la adopción de guías y dirigiendo a las autoridades nacionales de protección de datos hacia un cumplimiento coherente.

Las guías 05/2020 del CEPD descartan de forma efectiva los muros de cookies como formas válidas de consentimiento con las que las páginas web puedan obtener el consentimiento de sus usuarios al procesamiento de sus datos personales.

El CEPD claramente declara en sus guías que los muros de cookies son ilegales.

El funcionamiento de los muros de cookies se basa en condicionar el acceso a un servicio en función del consentimiento de los usuarios al procesamiento de sus datos personales, y el CEPD declara en sus guías que esto no constituye un consentimiento válido.

“El acceso a servicios y funcionalidades no debe hacerse a condición de que el usuario de su consentimiento al almacenamiento, o al acceso a información ya almacenada, en el equipo terminal de un usuario” (guías 05/2020 del CEPD, página 11)

Las guías del CEPD invalidan los muros de cookies, ya que – como hemos explicado – los muros de cookies funcionan obligando al usuario a dar su consentimiento al almacenamiento de cookies, o al acceso a cookies previamente almacenadas, a cambio del acceso a servicios y funcionalidades.

De esto modo, los muros de cookies no cumplen con el RGPD, ya que no cumplen con el requerimiento de que el consentimiento debe darse libremente y en base a una elección verdadera.

Consentimiento según el RGPD

Un consentimiento valido según el RGPD debe cumplir 4 características::

• Haberse dado libremente.
• Específico.
• Informado.
• Ser una indicación inequívoca de los deseos del usuario.

En otras palabras, un consentimiento válido debe darse libremente, ser específico, informado y representar una indicación inequívoca de que el usuario acepta el uso de cookies y rastreadores de la página web que procesan sus datos personales. Un consentimiento válido debe ser una acción clara y afirmativa por parte del usuario.

El RGPD especifica claramente que el consentimiento debe darse libremente, y las guías del CEPD de mayo de 2020 clarifican que el consentimiento obtenido a través de un muro de cookies es inválido, precisamente porque el consentimiento no se dio libremente en primer lugar, ya que se dio a condición de poder visitar la página web.

¿Cómo funciona un muro de cookies?

La mayoría de las páginas web tienen cookies propias y de terceros en su código fuente. Varían desde cookies necesarias, que son fundamentales para el funcionamiento esencial de una página web, hasta cookies estadísticas, que generalmente emplean datos anonimizados para obtener información sobre cómo una página web está desarrollándose.

Por otro lado, las cookies de marketing las colocan compañías tecnológicas cuyo único propósito es la recopilación de datos personales con el objetivo de dirigirse a los usuarios con esquemas publicitarios conductuales (y para otros fines ominosos).

Los diferentes tipos de cookies tienen diferentes propósitos – algunos directamente infringen la privacidad, razón por la cual las legislaciones europeas en materia de protección de datos – el Reglamento General de Protección de Datos y la Directiva sobre la privacidad y las comunicaciones electrónicas, ePrivacy – están en vigor, para controlar y regular cómo empresas, organizaciones y páginas web puede emplear estas cookies y rastreadores.

El RGPD obliga a que los controladores de datos obtengan el consentimiento previo de los usuarios antes de que se permita que cualquier tipo de tratamiento de datos personales tenga lugar. El consentimiento es una de las seis bases legales para el tratamiento de datos personales en la UE y la más usada por páginas web y empresas a lo largo del mundo.

Y entonces, el banner de consentimiento de cookies nació como una forma para que los controladores de datos pudieran cumplir con el RGPD y la Directiva ePrivacy, mediante la obtención del consentimiento para el procesamiento de datos.

Un muro de cookies es un banner de cookies híbrido, que obtiene algo similar a un consentimiento, pero que deja fuera cualquier posibilidad de que los usuarios elijan dar un consentimiento granular a ciertos tipos de cookies y a otras no. Esto lo hacen bloqueando el acceso a no ser que el usuario haga clic en el botón de “O.K.” a todas las cookies y rastreadores.

Muros de cookies según la CMP de Cookiebot

La CMP de Cookiebot ofrece un consentimiento granular, al contrario que los muros de cookies. Esto ayuda a formar lazos de confianza entre los visitantes y la página web – algo que un muro de cookies no permite.

¿Qué es el consentimiento granular?

Un consentimiento granular significa que tus usuarios sean capaces de filtrar su consentimiento en función de distintas categorías de cookies:

• Cookies necesarias.
• Cookies de preferencias.
• Cookies estadísticas
• Cookies de marketing.

Cuando un usuario llega a una página web, la CMP de Cookiebot les presenta un banner de cookies interactivo que permite que den su consentimiento a unas cookies y a otras no. Solamente las cookies necesarias no requieren el consentimiento del usuario para activarse.

Banner de cookies de la CMP de Cookiebot que ofrece un consentimiento granular para un cumplimiento total del RGPD en tu página web.

El inimitable escáner de la CMP de Cookiebot detecta todas las cookies y rastreadores automáticamente y los bloquea todos, de forma que los datos personales de tus usuarios no se procesan hasta que estos hayan dado su consentimiento.

La CMP de Cookiebot escanea tu página web mensualmente y genera una declaración de cookies completa de forma totalmente transparente entre tu página web y sus usuarios.

Mediante la solución de consentimiento granular de la CMP de Cookiebot, las páginas web pueden ofrecer una opción de elección real y dada libremente a sus visitantes a través de un banner de consentimiento altamente personalizable, que recoge el consentimiento y administra la activación de cookies en tu página web conforme al RGPD.

El consentimiento granular es el futuro

Al darles a los usuarios la oportunidad de elegir por sí mismos qué cookies y rastreadores permiten que una página web implemente en sus dispositivos, dicha web no solo consigue operar cumpliendo con los requerimientos del RGPD de una base legal para el procesamiento de datos personales, sino que también respeta la privacidad y la autonomía de los individuos al otro lado de la pantalla, el denominado “usuario” o “interesado” – las personas reales, cuyas vidas privadas pueden verse severamente violadas mediante la recolección de sus datos por rastreadores de terceros.

El respeto por la dignidad de la privacidad y la sincera preocupación por la autonomía de otros individuos es difícil de legislar, más que ley, es cultura.

La CMP de Cookiebot trabaja duro cada día para ayudar a las páginas web a cumplir con las leyes de protección de datos de todo el mundo, pero también trabaja incansablemente cada día para crear una cultura basada en la privacidad y la autonomía en internet.

Prueba la CMP de Cookiebot gratis durante 14 días… O para siempre si tienes una página web pequeña..

Por un futuro libre y privado.

Muros de cookies según la AEPD

En verano de 2020, la autoridad española de protección de datos, la AEPD, actualizó sus guías sobre el uso de cookies, en las que se trataba el tema de los muros de cookies.

De forma similar a otras autoridades de protección de datos europeas, como la ICO británica y a la AP holandesa, la AEPD española dictaminó que los muros de cookies que no ofrecen una alternativa al consentimiento no están permitidos.

En otras palabras, la AEPD considera que los muros de cookies no cumplen con la ley a no ser que se proporcione una alternativa equivalente al acceso, sin que el usuario deba dar su consentimiento.

La AEPD señala que los muros de cookies son especialmente problemáticos en casos donde se les niega el acceso a una web a los usuarios que están intentando ejercer un derecho legal, por ejemplo, anular la suscripción a un servicio.

Las páginas web en España que no ofrezcan una alternativa equivalente y adecuada al acceso sin necesidad de consentir las cookies no cumplen con las directrices de la AEPD sobre el uso de muros de cookies.

Las guías de la AEPD también especifican que seguir navegando en una página web no constituye un consentimiento válido, es decir, el consentimiento debe ser una indicación explícita e inequívoca de la elección del usuario.

Las guías de la AEPD se lanzaron en julio de 2020 con un período de preamortización de 3 meses, de modo que entró en vigor el 31 de octubre de 2020.

Muros de cookies según otras APDs nacionales

Antes de que el CEPD adoptara las guías sobre cookies en mayo de 2020, además de la AEPD en España, algunas otras autoridades nacionales de protección de datos a lo largo de la UE ya habían empezado a discutir si los muros de cookies podían considerarse legales bajo el RGPD.

Aquí se muestra un resumen de otras APDs (Agencias de Protección de Datos) nacionales y sus decisiones previas a las guías 05/2020 del CEPD con respecto a los muros de cookies.

Muros de cookies según la APD holandesa

En primavera de 2019, la APD holandesa, la AP, determinó que los muros de cookies son una violación del RGPD, precisamente porque los visitantes de una página web deben poder dar su consentimiento libremente, es decir, no deben ser coaccionados por un muro de cookies que exige un precio a cambio de acceder al dominio.

La APD holandesa resumió su decisión diciendo que un muro de cookies crea una situación del tipo “o lo tomas o lo dejas” para los usuarios, en la que o hay que consentir todas las cookies y rastreadores en una página web o hay que abandonarla sin haber sido capaz de acceder a ella.

Esto, de acuerdo con la APD holandesa, constituye una forma inválida de consentimiento, ya que los usuarios no tendrán una opción real de elegir libremente si aceptar o rechazar ciertas cookies sobre otras. Una página web no puede denegar el acceso a los usuarios que decidan no consentir el uso de cookies y rastreadores.

Muros de cookies según la APD inglesa

La autoridad británica de protección de datos, la ICO, también actualizó sus guías sobre el uso de cookies en función del cumplimiento del RGPD en el verano de 2019.

Aplicando el estándar del consentimiento según el RGPD a las implementaciones nacionales de la Directiva ePrivacy (en Inglaterra, el PECR), la ICO británica decidió que ninguna categoría de cookies, excepto las necesarias, podrían aparecer como casillas pre-marcadas.

La ICO también especifica que el uso de muros de cookies para restringir el acceso a un sitio hasta que los usuarios las consientan no cumple con el RGPD (y el PECR).

“Usar un enfoque general como este probablemente no represente un consentimiento válido. Declaraciones del tipo ‘al continuar en esta página web estás aceptando el uso de cookies’ no es un consentimiento válido bajo el más alto estándar del RGPD”.

Muros de cookies según la APD francesa

La autoridad francesa de protección de datos, la CNIL, también actualizó sus guíasen el verano de 2019 y mostró la misma oposición a los muros de cookies que las APDs británica y holandesa..

Sin embargo, la más alta autoridad administrativa de Francia (el Conseil d’État) determinó que la CNIL había excedido su autoridad cuando decidió que el bloqueo del acceso a una página web a un usuario que no da su total consentimiento se consideraba no conforme por defecto.

En su decisión, el Conseil d’Etat determinó que la CNIL no puede legalmente prohibir los muros de cookies. Sin embargo, confirmó todos los otros puntos de las guías de la CNIL, que habían sido impugnados.

En las nuevas guías del 17 de septiembre de 2020, la CNIL ha parafraseado sus directrices sobre el uso de muros de cookies, y en su lugar declara que los muros de cookies tienen una “alta probabilidad de infringir, en ciertos casos, la libertad del consentimiento”.

El 18 de marzo de 2021, la CNIL también publicó una sección de Preguntas Frecuentes en sus guías sobre el uso de cookies (en francés), incluyendo detalles sobre sus pautas sobre el uso de muros de cookies.

Sobre este tema, la sección de sección de Preguntas Frecuentes de la CNIL especifica que la implementación de muros de cookies “debe evaluarse caso por caso”. 

Lee las nuevas guías de la CNIL del 17 de septiembre de 2020 (en francés)

Muros de cookies según la APD italiana

El 26 de noviembre de 2020, la autoridad de protección de datos italiana, la Garante Per La Protezione Dei Dati Personali lanzó sus nuevas guías sobre cookies y muros de cookies (en italiano).

Como la mayoría de las otras autoridades de protección de datos de la UE, los muros de cookies también se consideran ilegales en Italia.

Se hace una excepción si la página web ofrece acceso a un contenido o servicios equivalentes, pero esto debe evaluarlo la APD italiana en cada caso.

Además de clarificar que los muros de cookies son ilegales, las guías de la APD italiana también consideran que seguir navegando en una página web es una forma inadecuada de prestar consentimiento, es decir, el consentimiento debe ser una acción activa, afirmativa y explícita por parte del usuario para que se pueda considerar válida.

La guía de cookies italiana también especifica los diferentes tipos de cookies y sus propiedades, cómo redactar una política de cookies que cumpla con la ley y qué constituye un banner de consentimiento válido.

Lee aquí las guías sobre el uso de cookies de la Garante della Privacy italiana (en italiano)

Preguntas frecuentes

Fuentes

Para saber más sobre el RGPD y el consentimiento haz clic aquí

El Comité Europeo de Protección de Datos

Guías sobre el uso de cookies de la AEPD en España

Nota de prensa de la AEPD sobre el uso de cookies en España

Muros de cookies según la APD holandesa (en neerlandés)

Guías de la CNIL sobre el uso de cookies en Francia (en inglés)

Uso de cookies en Italia según la Garante Per La Protezione Dei Dati Personali (en italiano)

Queja formal del Dr. Johnny Ryan contra IAB Europe a la Irish Data Commision (en inglés)