Al pensar en España, es posible que la privacidad de datos no sea lo primero en lo que pensamos. Pero si queremos hacer negocios de la manera correcta y manejar adecuadamente los datos de los consumidores españoles tenemos todavía mucho que aprender más allá de nuestros deliciosos platos, el sol y la sangría.
En julio de 2023, la Agencia Española de Protección de Datos (AEPD) actualizó sus requisitos sobre los banners de consentimiento de cookies en línea con las nuevas directivas emitidas por el Consejo Europeo de Protección de Datos. Estos nuevos requisitos entrarán en vigor a partir del 11 de enero de 2024 y se aplicarán a cualquier sitio web con tráfico procedente de España.
Este artículo cubre los cambios más recientes en las leyes de privacidad de datos de España, lo que significan para las empresas y cómo garantizar su cumplimiento.
Nota: En enero de 2024, la AEPD publicó una guía sobre el uso de las cookies en España, que incluye orientaciones sobre los requisitos de consentimiento, cookies analíticas, paywalls, etc.
Hemos reunido las cifras y hemos elaborado un completo estudio comparativo sobre el estado de la privacidad de los datos y la recolección del consentimiento en España en 2024. Descárgalo aquí (no es necesario enviar un correo electrónico):
Contexto en torno a la ley de consentimiento de cookies en España
En julio de 2020, la Autoridad Española de Protección de Datos (AEPD) proporcionó una guía actualizada sobre el uso de cookies, dando a las empresas un plazo de tres meses para cumplirla, y estableciendo como fecha límite el 31 de octubre.
El principal cambio en estas directrices actualizadas giraba en torno al consentimiento: si se introducen cookies en cualquier página web, el propietario de dicha página debe recabar el consentimiento de los visitantes para utilizarlas. Este consentimiento tiene que ser "válido para el RGPD", es decir, un consentimiento libremente otorgado mediante una acción clara y afirmativa al uso de cookies y otros rastreadores.
Según la Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPD-GDD) y la AEPD, las sanciones pueden llegar hasta los 30.000 euros por incumplimiento. Algunas de las multas han sido a Twitter, Innova Resort y Petrolis Independents, por utilizar cookies pero no informar correctamente a sus usuarios.
Desde entonces, la AEPD ha actualizado sus requisitos sobre los banners de consentimiento de cookies en línea con las nuevas directivas emitidas por el Consejo Europeo de Protección de Datos. Los nuevos requisitos se anunciaron en julio de 2023, y su aplicación comenzará el 11 de enero de 2024, aplicándose a cualquier sitio web con tráfico procedente de España.
Veámoslo más de cerca.
Actualización de julio de 2023 de la Agencia Española de Protección de Datos (AEPD)
He aquí los principales elementos a tener en cuenta de cara a enero de 2024:
Primera capa del banner de consentimiento
La información facilitada en la primera capa del banner de consentimiento debe incluir:
- El nombre del editor o Publisher del sitio web
- Los fines del tratamiento de las cookies
- Información que indique si las cookies pertenecen al editor o a terceros
- Información genérica sobre el tipo de datos que se recopilarán y utilizarán al crear perfiles de usuario,
- Cómo puede el usuario aceptar, configurar y rechazar el uso de cookies.
Esencialmente, la primera capa del banner de consentimiento debe mostrar:
- Un botón o mecanismo equivalente, fácilmente visible, con las palabras "Aceptar cookies", "Aceptar", "Consentimiento" o similar.
- Un botón o mecanismo equivalente, similar al anterior (si se utiliza un botón de aceptación, debe utilizarse un botón de rechazo), con las palabras "Rechazar cookies", "Rechazar", o equivalente, para rechazar el uso de cookies.
- Un botón o mecanismo equivalente, claramente visible, pero no necesariamente similar al anterior, que muestre o conduzca a un panel de control (panel de configuración) que permita a los usuarios aceptar o rechazar las cookies de forma granular, al menos en función de su finalidad.
- Se incluye un enlace claramente visible a una segunda capa de información más detallada, utilizando, por ejemplo, los términos "Cookies", "Política de cookies" o "Más información, haga clic aquí." El panel de control puede integrarse en esta segunda capa si este acceso es directo.
Segunda capa del banner de consentimiento
En la segunda capa del banner puede incluirse un panel de control o de configuración. Dicho panel debe indicar claramente cómo guardar la selección realizada por el usuario. Por ejemplo, un botón con el texto "Guardar selección", "Guardar configuración" o equivalente.
En ningún caso podrán aceptarse opciones premarcadas en favor de la aceptación de cookies para obtener un consentimiento válido.
El grado de granularidad a la hora de mostrar la selección de cookies debe ser valorado por el editor del sitio, aunque es aconsejable tener en cuenta las siguientes reglas:
- Las cookies deben agruparse al menos en función de su finalidad, de forma que el usuario pueda aceptar cookies para una o varias finalidades
- Dentro de cada finalidad, y a criterio del editor del sitio, las cookies también podrán agruparse en función del tercero responsable de las mismas (por ejemplo, el usuario podría optar por aceptar cookies de un tercero y no de otro)
- En el caso de las cookies de terceros, basta con identificarlas por su nombre o por la marca con la que se identifican ante el público
Métodos para obtener el consentimiento
A modo de recordatorio, deben seguirse los siguientes puntos a la hora de recabar el consentimiento:
- Debe indicarse claramente si el consentimiento se da únicamente para la página web en la que se solicita o para otras, incluidas otras páginas web del mismo editor o de terceros asociados al editor.
- La opción de rechazar las cookies debe ofrecerse al usuario en el mismo momento, al mismo nivel, con la misma visibilidad que la opción de aceptarlas, y el mecanismo utilizado (botón u otro) debe ser similar, sin enviarle a otra capa o a otra ubicación para realizar esta acción.
- En ningún caso la mera inactividad implicará la prestación del consentimiento por parte del usuario.
- El consentimiento debe otorgarse mediante una acción positiva clara
Duración de las cookies
La guía actualizada sobre el uso de cookies de la AEPD recomienda limitar la vida útil de las cookies a 13 meses sin renovación automática en nuevas visitas.
Uso de paywalls (muros de cookies)
El uso de muros de cookies con la nueva actualización sí puede ser legal, siempre que se informe suficientemente al usuario y se le ofrezca una alternativa para acceder al servicio sin tener que aceptar el uso de cookies.
Ten en cuenta que los servicios de las dos alternativas deben ser realmente equivalentes y que el servicio equivalente no puede ser ofrecido por una entidad distinta del editor.
{{revisá-la-guía-sobre-la-aedp}}
Fecha límite
Los criterios incluidos en las Directrices deberán aplicarse a más tardar el 11 de enero de 2024.
Yendo más allá: ¿Quieres saber más sobre el impacto de los distintos tipos de banners en su tasa de consentimiento, leer información sobre los muros de cookies y obtener datos exclusivos sobre el estado de la recopilación de consentimiento en Europa?
Consulta nuestro informe de referencia sobre privacidad de datos 2024 (Versión en Inglés):
Cómo garantizar el cumplimiento de la normativa española sobre cookies
El equipo de Didomi se dedica a ayudar a las organizaciones a implementar buenas prácticas de Privacy UX, empezando por garantizar el cumplimiento de la normativa global de privacidad de datos.
Para los editores de sitios web con tráfico procedente de España, todo comienza con la implementación de una Consent Management Platform (CMP), que ayudará a recopilar, almacenar y aprovechar el consentimiento de una manera compatible. Gestionar el cumplimiento de los nuevos requisitos de privacidad de datos en España es un proceso sencillo en la Consola Didomi, donde los usuarios pueden añadir fácilmente una opción de desacuerdo a su banner, actualizar su apariencia para reflejar las directrices de la AEPD, y mucho más.
Ponte en contacto con nuestro equipo para hablar de tus retos en materia de privacidad y descubre cómo prepararte para la próxima fecha límite en España:
{{talk-to-an-expert}}
Preguntas frecuentes (FAQ) sobre el consentimiento de cookies en España
¿Qué cambios recientes se han introducido en la legislación española sobre cookies?
La Agencia Española de Protección de Datos (AEPD) actualizó sus requisitos sobre banners de consentimiento de cookies en julio de 2023 para alinearse con las nuevas directivas del Consejo Europeo de Protección de Datos. Estos requisitos entrarán en vigor a partir del 11 de enero de 2024 y se aplicarán a todos los sitios web con tráfico procedente de España.
¿Cuál es el principal cambio en los requisitos de consentimiento de cookies?
El cambio más significativo de las directrices actualizadas está relacionado con el consentimiento. En concreto, los sitios web deben añadir un botón de rechazo obligatorio en la primera capa de su banner de consentimiento.
¿Existen excepciones a la ley española de consentimiento de cookies?
Sí, hay excepciones. El consentimiento no es obligatorio para las cookies de autenticación, carritos de la compra en línea, personalización de la interfaz de usuario y plugins para compartir en redes sociales (solo para usuarios con cuentas en redes sociales).
¿Qué requisitos debe cumplir un banner de consentimiento de cookies en España?
Un banner de consentimiento de cookies conforme en España debe obtener el consentimiento válido según el RGPD de forma independiente a la aceptación de otros términos y condiciones. Debe proporcionar información transparente sobre las cookies utilizadas, incluido su tipo y finalidad, y la identidad del tercero con el que se comparten, en un lenguaje claro y conciso. El banner también debe facilitar la retirada del consentimiento.
¿Qué información debe incluir la primera capa de un banner de consentimiento?
La primera capa debe mostrar el nombre del editor, los fines del tratamiento de las cookies, información sobre la propiedad de las cookies (editor o terceros), información genérica sobre el tipo de datos que se recopilarán para los perfiles de usuario e instrucciones sobre cómo los usuarios pueden aceptar, configurar o rechazar el uso de cookies.
¿Cómo debe obtenerse el consentimiento de los menores de 14 años?
Los sitios web deben verificar que un padre o tutor ha dado su consentimiento para la recogida de datos de menores de 14 años. Esto podría implicar pedir la fecha de nacimiento del usuario y, si es menor de 14 años, activar un nivel de consentimiento adicional que el padre o tutor debe aprobar.
¿Qué ocurre si los sitios web no cumplen la legislación española sobre cookies?
Los sitios web que incumplan la normativa española sobre consentimiento de cookies pueden enfrentarse a sanciones impuestas por la Ley Orgánica de Protección de Datos de Carácter Personal y Garantía de los Derechos Digitales (LOPD-GDD) y la AEPD, con multas que pueden llegar a los 30.000 euros.