A VUELTAS CON LAS COOKIES: ¿HACER SCROLL ES CONSENTIR?
- Escrito por Marina MANZANARES SANZ
¿Cuántas veces al día nos topamos con avisos como los siguientes al entrar en una página web?
- “Utilizamos cookies para asegurar que damos la mejor experiencia al usuario en nuestro sitio web. Si continúa utilizando este sitio asumiremos que está de acuerdo (leer política de cookies)”.
- “Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies”.
- “Utilizamos cookies propias y de terceros para mejorar su experiencia de navegación y realizar tareas de analítica. Al continuar la navegación entendemos que acepta la política de cookies”.
Los tres ejemplos anteriores tienen en común la forma en la que recaban el consentimiento del usuario, que se entiende otorgado mediante la navegación, sin que el interesado marque una casilla o seleccione un botón de “aceptar”.
El pasado 8 de noviembre de 2019, la Agencia Española de Protección de Datos (AEPD) lanzó la Guía sobre el uso de las cookies, cuyos aspectos más relevantes ya fueron analizados por Valentina Maturana y Clara Patricio Calvé en este mismo blog.
En esta guía, la AEPD recogió de manera expresa la modalidad “seguir navegando” como forma válida de obtención del consentimiento, siempre que se cumplan una serie de condiciones, como indicar al usuario de forma clara y visible que la navegación implicará aceptación, incluir en el panel de configuración un botón que permita rechazar todas las cookies o exigir, para que el consentimiento se considere otorgado, que el usuario realice una “clara acción afirmativa”. Con relación a este último punto, la AEPD explica que puede entenderse como clara acción afirmativa, por ejemplo, utilizar la barra de desplazamiento, hacer clic en algún enlace de la página o deslizar la pantalla -hacer scroll-.
Esta postura mantenida por la AEPD parece tener problemas de encaje con la normativa comunitaria, pues si bien es cierto que utilizar la barra de desplazamiento o deslizar la pantalla son, efectivamente, “acciones”, resulta cuestionable entender que constituyan “claras acciones afirmativas” de las que pueda desprenderse una manifestación de voluntad del usuario por la que consienta las cookies.
Las dudas sobre la validez del consentimiento otorgado a través de la simple navegación por un sitio web no han hecho sino incrementarse a raíz tanto del último pronunciamiento del TJUE como de la nueva versión de la Guía sobre el consentimiento en el Reglamento 2016/679, adoptada por el Comité Europeo de Protección de Datos el 4 de mayo de 2020.
Apenas un mes antes de la publicación de la guía de la AEPD, el 1 de octubre de 2019 el TJUE dictaba sentencia en el asunto C-673/17, conocido como caso Planet49. El caso se origina a propósito de una página de juego online que, en lo que aquí interesa, recababa el consentimiento de los usuarios para la instalación de cookies con el fin de analizar su comportamiento de navegación y uso de páginas web de socios publicitarios mediante una casilla marcada por defecto. En su fallo, el Tribunal dictamina que el consentimiento así prestado no resulta válido.
En el párrafo 52 de su resolución, el TJUE recalca que la exigencia de una manifestación de voluntad del interesado, en los términos del artículo 2, letra h), de la derogada Directiva 95/46, sugiere “claramente un comportamiento activo y no pasivo”. Señala el Tribunal, además, que el tenor del artículo 4, punto 11, del vigente Reglamento 2016/679 (RGPD) es todavía más estricto, al definir el consentimiento del interesado como toda manifestación de voluntad libre, específica, informada e inequívoca, que podrá efectuarse mediante una declaración o una clara acción afirmativa.
Reproduciendo el párrafo 55 de la sentencia, “parece prácticamente imposible determinar de manera objetiva si el usuario de un sitio de Internet ha dado efectivamente su consentimiento para el tratamiento de sus datos personales al no quitar la marca de una casilla marcada por defecto y si dicho consentimiento ha sido dado, en todo caso, de manera informada. En efecto, no puede descartarse que dicho usuario no haya leído la información que acompaña a la casilla marcada por defecto, o que ni tan siquiera la haya visto, antes de proseguir con su actividad en el sitio de Internet que visita”.
Recuerda asimismo el Tribunal que, de acuerdo con el considerando 32 RGPD, “el silencio, las casillas ya marcadas o la inacción no deben constituir consentimiento”.
Pese a la sentencia del TJUE, la AEPD no solo no cambió su criterio, sino que disipó dudas recogiendo expresamente en su guía la modalidad “seguir navegando” como forma válida de recabar el consentimiento. Es cierto que el caso Planet49, sobre casillas marcadas, no es un supuesto idéntico al consentimiento por mera navegación contemplado en la guía de la AEDP, pero ello no obsta para que, a mi juicio, las conclusiones del Tribunal resulten extensibles. Ello así por cuanto el funcionamiento y las consecuencias prácticas de estos dos mecanismos de obtención del consentimiento son equivalentes: en ambos casos, el consentimiento al uso de cookies resulta otorgado por defecto si el usuario continúa su actividad en la página, a no ser que lleve a cabo de forma expresa una acción en contra de tal aceptación. Esa acción, en el caso de las casillas previamente marcadas, consistirá en eliminar la marca de la casilla. En el caso de la aceptación por simple navegación, rechazar las cookies resulta más tedioso. Esto último se debe a que, de acuerdo con la AEPD, cuando se opta por recabar el consentimiento del usuario mediante la modalidad “seguir navegando” el aviso no podrá contener mecanismos de aceptación explícita, como casillas o botones de aceptación -pues, ciertamente, carecen de sentido si se está indicando que la mera navegación es consentimiento-, sino que se deberá enlazar a una segunda capa de información desde la que el usuario, ya sí, podrá configurar o rechazar las cookies.
A mi entender, las similitudes que comparten las casillas marcadas por defecto con el consentimiento por navegación, unidas a la mayor dificultad que se le presenta al usuario que quiere rechazar las cookies, deberían haber llevado a la APED a replantearse la inclusión de la modalidad “seguir navegando” en su guía tras la sentencia del caso Planet49. Más aún a la luz del párrafo 55 reproducido, cuya argumentación fácilmente podría aplicarse a los avisos de aceptación por navegación.
Si el TJUE no consiguió que la AEPD modificara su criterio, quizás sí lo haga la nueva Guía sobre el consentimiento en el Reglamento 2016/679, adoptada por el Comité Europeo de Protección de Datos (CEPD) el 4 de mayo de 2020 y que actualiza la que fuera adoptada en el año 2018 por su predecesor, el Grupo de Trabajo del Artículo 29.
En esta nueva versión de la guía, las variaciones introducidas por el CEPD se centran en clarificar dos cuestiones controvertidas que, precisamente, coinciden con las planteadas al TJUE en el caso Planet29: la primera, relativa a los llamados “muros de cookies”, que obligan al usuario aceptar las cookies para acceder al contenido; la segunda, sobre la posibilidad de obtener el consentimiento del usuario cuando este hace scroll, deslizándose por una página web.
Con respecto a la primera de las cuestiones, en línea con el TJUE, el CEPD señala que para que el consentimiento sea otorgado de manera libre, el acceso a los servicios y funcionalidades de la página web no debe condicionarse a que el usuario consienta las cookies, pues en tal caso la aceptación no se presenta como una verdadera elección, por lo que el consentimiento no se considerará válido.
En lo que respecta a la aceptación por simple navegación, objeto de esta entrada, el CEPD indica que, de acuerdo con el mencionado considerando 32 RGPD, las acciones como deslizar la pantalla, desplazarse por la página u otra actividad similar del usuario no cumplen, en ninguna circunstancia, con el requisito de clara acción afirmativa. El CEPD hace hincapié en que continuar con el uso normal de la página web no es una acción de la que pueda inferirse que el usuario está consintiendo, pues esa acción es difícilmente distinguible de cualquier otra actividad o interacción del usuario, lo que resulta en un consentimiento ambiguo (no cumpliendo, por tanto, el requisito de ser una manifestación de voluntad inequívoca). Menciona asimismo que, dada la gran cantidad de solicitudes de consentimiento a las que es sometido un usuario, en muchas ocasiones este tipo de avisos ya no son leídos, por lo que su efecto de advertencia se ve notablemente disminuido.
El Comité propone algunas soluciones, considerando válido el consentimiento que se otorga, por ejemplo, saludando a una cámara o haciendo girar el teléfono móvil en el sentido de las agujas del reloj, pues son acciones que sí pueden distinguirse de forma clara de otras acciones del usuario.
Está claro que, en un mundo dominado por los datos, encontrar el equilibrio entre garantizar el derecho a la protección de los datos del usuario y, al mismo tiempo, no imponer obstáculos desmedidos en la navegación ordinaria por Internet es complicado. Saludar a una cámara o rotar el móvil en forma de ocho cada vez que accedemos a una página web no parece lo más práctico y, a la larga, podría resultar en un automatismo que adolecería de la misma falta de eficacia que achaca el Comité a los avisos de consentimiento por simple navegación.
Habrá que seguir indagando en soluciones técnicas que cumplan con los estándares jurídicos. Por el momento, el TJUE y el CEPD han dado un paso más en la protección de los datos de los usuarios. Mientras tanto, en España nos toca esperar para comprobar si la AEPD adapta su guía a estas nuevas pautas o si, por el contrario, avisos como los que se presentaban al principio del artículo continúan siendo habituales -lo que, en cualquier caso, es probable que suceda, en vista de lo que está costando que los avisos de cookies cumplan con aspectos menos discutidos del RGPD-.