Internet: Les cookies i la protecció de dades personals

A l'era digital actual, les cookies (galetes) s'han convertit en una eina fonamental per al funcionament dels llocs web. “Aquesta pàgina web utilitza cookies” és el missatge habitual que ens trobem quan naveguem per Internet i accedim a algun web.

Les cookies són petits fitxers que s'emmagatzemen en el nostre dispositiu quan visitem una pàgina web, i que poden ser necessàries per al correcte funcionament del lloc, però no hem d’oblidar que també s’utilitzen per recopilar informació sobre la persona usuària (quines pàgines visita del web, preferències de consum, anàlisi de comportaments, etc.) i, per tant, afecten la privacitat.

L’entrada en vigor del Reglament General de Protecció de Dades (en endavant, RGPD), l’any 2018, va introduir novetats importants relacionades amb l'emmagatzematge de dades sensibles, que obliguen els propietaris/administradors a adaptar els seus llocs web a aquesta normativa per garantir la privacitat i la protecció de les dades de les persones usuàries. En concret, el RGPD ha ampliat la protecció regulada en la Directiva 2002/58/CE (més coneguda com a “Directiva ePrivacy”) i la Directiva 2009/136/CE (més coneguda com a “Llei de cookies”), tot establint l’obligació d’informar degudament l’usuari/a sobre l’ús de les cookies en la seva plataforma o lloc web, i de recaptar el seu consentiment exprés abans d’instal·lar-les.

L’octubre de 2019 el TJUE (en l’assumpte C-673/17) es va pronunciar sobre el consentiment dels usuaris en la instal·lació de cookies als seus equips. El tribunal va confirmar el que determina el RGPD, remarcant en la seva sentència que el consentiment no pot ser “suposat” (mitjançant una casella marcada per defecte), sinó que ha de ser exprés i un cop l'usuari/a ha estat informat/da sobre quines cookies s'instal·laran, amb quin objectiu, els tercers que podran accedir a aquests fitxers, i durant quant de temps estaran actives a l'equip, perquè, d’acord amb aquesta informació, decideixi de manera conscient, activa i explícita, consentir la seva instal·lació. De fet, el TJUE no diferencia si aquestes cookies tenen accés a dades personals o no, ja que considera que tots els arxius continguts en l'equip d'un usuari pertanyen a la seva esfera privada i la normativa comunitària els protegeix de qualsevol ingerència en aquesta privacitat.

Per tant, la resolució del TJUE determina que el consentiment de la persona usuària ha de ser:

- Actiu: ha de marcar la casella per si mateixa.

- Voluntari: no es pot impedir la navegació si no s'aprova l'ús de cookies.

- Basat en una informació prèvia: l'usuari/a ha de saber què està consentint, mitjançant una informació amb un llenguatge clar i que no generi confusions.

Val a dir que la Comissió Europea treballa des de 2017 en un projecte de Reglament sobre Privacitat i Comunicacions electròniques (Reglament ePrivacy), que pretén desenvolupar i concretar molt més la regulació del RGPD pel que fa a l'ús de les cookies (i que ha de derogar la Directiva 2002/58/CE), si bé aquest text encara està pendent d’aprovació.

Darreres directrius europees en l'ús de les cookies i la Guia de l’Agència Espanyola de Protecció de Dades (AEPD)

L’AEPD va adaptar -el juliol de 2023- la seva Guia sobre utilització de les cookies a les directrius 03/2022, sobre patrons enganyosos en les xarxes socials, del Comitè Europeu de Protecció de Dades (EDPB).

Amb aquesta actualització de la guia de cookies una de les qüestions més polèmiques que va quedar pendent era la possibilitat d'establir mecanismes de pagament per si l'usuari no volia acceptar l'ús de cookies. La Guia emesa per l'AEPD el maig de 2024 matisa aquesta qüestió d’acord amb les directrius de la Comissió Europea de Protecció de Dades. Perquè el consentiment es consideri que s'ha atorgat lliurement, l'accés als serveis i funcionalitats no pot dependre de l'acceptació per l'usuari/a de l'ús de cookies, evitant així els denominats “murs de cookies”.

La implementació d’aquests nous criteris recollits a la Guia de 2023 s’havia d’efectuar abans de l’11 de gener de 2024.

L'AEPD incorpora en la nova versió de la Guia el principal criteri del Comitè Europeu, que determina que les accions d'acceptar o rebutjar cookies s’han de presentar en un lloc i format destacats del web, i que totes dues accions han d'estar al mateix nivell, sense que sigui més complicat rebutjar-les que acceptar-les.

Les Directrius europees també han obligat a altres modificacions:

En el cas de les cookies de personalització, quan és el propi usuari/a qui pren decisions sobre elles (per exemple, escollir l'idioma del web o la moneda en la qual desitja realitzar transaccions), es consideren cookies tècniques que no requereixen de consentiment, sense que puguin ser utilitzades, però, per a altres finalitats.

Quan, en canvi, és l'administrador del web el que adopta decisions sobre les cookies de personalització (basant-se en la informació que obté de la persona usuària), té l’obligació d'informar sobre aquest extrem, oferint de forma destacada l'opció d'acceptar-les o rebutjar-les. En aquest cas, el propietari del web tampoc pot utilitzar-les per a altres finalitats.

Finalment, pel que fa als murs de cookies -i com ja hem apuntat- perquè el consentiment es consideri atorgat lliurement, l'accés al servei i a les seves funcionalitats no pot estar condicionat al fet que l'usuari/a consenti l'ús de les cookies. Per tant, pot donar-se el cas que la no acceptació de la utilització de cookies impedeixi l'accés al lloc web o bé la utilització total o parcial del servei, sempre que s'informi l'usuari/a i que l'editor ofereixi una alternativa d'accés sense necessitat d'acceptar les cookies. La nova versió de la Guia de l’AEPD aclareix que aquesta alternativa no té per què ser necessàriament gratuïta, és a dir, si l’usuari/a no accepta les cookies, el propietari tindrà dret a exigir-la -com a alternativa- un pagament perquè pugui accedir al web o aplicació i utilitzar els seus serveis.

Podeu trobar més informació a través de l’enllaç següent:

https://www.aepd.es/guias/guia-cookies.pdf

Cordialment,

SECRETARIA TÈCNICA