Actualización por el COMITÉ EUROPEO DE PROTECCIÓN DE DATOS (EDPB) de las directrices sobre el consentimiento online

El pasado 6 de mayo de 2020 el Comité Europeo de Protección de Datos (EDPB por sus siglas en ingles) publicó la Guidelines 05/2020 en la que actualiza la Guidelines WP259 t rev.01 del 10 de abril de 2018 sobre el consentimiento online.

¿Qué novedades trae? A tenor de lo que dicen los expertos, el informe no aporta ninguna novedad relevante, solamente aclara algunas cuestiones sobre las formas de obtener el consentimiento del usuario al navegar por una página web y uno de sus criterio no es coincidente con el de nuestra Agencia Española de Protección de Datos (AEPD)

El informe confirma que el usuario, cuando ve aviso sobre las cookies, si continúa navegando por la web, no supone haber prestado su consentimiento. Se necesita una acción explícita de aceptación. La acción de desplazamiento o deslizamiento (scroll) por la página, hacer clic en un contenido de la página, o simplemente cerrar el aviso (el típico clic en X), no significa que la voluntad del usuario sea la de haber aceptado las cookies. Volveremos a ello después.

Un ejemplo para que la acción del consentimiento sea clara y afirmativa, sería indicar al usuario que “si desliza esta barra hacia la izquierda, acepta el uso de la información X para el propósito Y. Repita el movimiento para confirmar” (pág. 18, 85). De esta manera se consigue un consentimiento inequívoco del usuario.

Igualmente, aclara que las “cookie walls” (aquellas que expulsan al usuario de la web si no aceptan las cookies) son ilegales, pues este tipo de mecanismo supone que el consentimiento obtenido de esta manera no puede considerarse otorgado libremente. Esta práctica tampoco permite la retirada del consentimiento y, en opinión de la EDPB, no debe utilizarse.

En noviembre de 2019, la AEPD publicó la “Guía sobre el uso de las cookies”. Sobre el asunto manifiesta que “A modo de ejemplo, podrá considerarse una clara acción afirmativa navegar a una sección distinta del sitio web (que no sea la segunda capa informativa sobre cookies ni la política de privacidad), deslizar la barra de desplazamiento, cerrar el aviso de la primera capa o pulsar sobre algún contenido del servicio, sin que el mero hecho de permanecer visualizando la pantalla, mover el ratón o pulsar una tecla del teclado pueda considerarse una aceptación” (pág. 21). Es decir, la AEPD establecía un criterio contrario al publicado por la EDPB y, además, no coincidente con el fallo de la Sentencia del Tribunal Superior de Justicia de la Unión Europea (Gran Sala), de 1 de octubre de 2019, en el asunto C-673/17 (caso Planet49 GmbH) al declarar, entre otras cuestiones, que la exigencia de una “manifestación” de voluntad del interesado sugiere claramente un comportamiento activo y no pasivo; es decir, que el consentimiento haya sido dado “de forma inequívoca” por el interesado.

A fecha de redactar estas breves líneas, la AEPD todavía no había publicado en su página web referencia alguna a la publicación de la “Guidelines 05/2020” de la EDPB. ¿Lo publicará a la vez que modifique su criterio?


Redacción DPO&itlaw

2 Comments