Los últimos meses han traído consigo un par de novedades, en lo que a la normativa relacionada con la protección de datos se refiere, que nos obligarán a revisar si el uso que hacemos de las cookies es el adecuado y, en el caso de que nuestra organización intercambie datos personales con Estados Unidos, a reevaluar si seguimos teniendo la cobertura legal que disfrutábamos hasta ahora.
La primera cuestión tiene que ver con el modo en que los sitios web que utilizan cookies recaban el consentimiento del usuario para tratar sus datos personales, obtenidos a través de las cookies, con finalidades estadísticas o publicitarias, entre otras.
Si bien es cierto que la ley que contempla este aspecto (en concreto, el artículo 22.2 de la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico – LSSI) no ha sufrido cambios, el pasado mes de mayo el Comité Europeo de Protección de Datos revisó las Directrices 05/2020 sobre consentimiento, y declaró no válida la fórmula genérica “seguir navegando” para que el usuario preste su consentimiento, al estimar que éste no se puede considerar inequívoco. Asimismo, en relación al uso de “muros de cookies”, determinó que el consentimiento se entiende libre sólo si el acceso al servicio no se condiciona a que el usuario acepte el uso de cookies.
A decir verdad, esto se venía comentando desde la entrada en vigor del Reglamento General de Protección de Datos, ya que su considerando 32 señala que “el consentimiento debe darse mediante un acto afirmativo claro que refleje una manifestación de voluntad libre, específica, informada, e inequívoca del interesado”; de hecho, a partir del año 2019 encontramos varias resoluciones de sanción de la AEPD por este motivo. Una de las más recientes, impone a Twitter Spain, S.L. una multa de 30.000 €, el importe más alto para este tipo de infracciones, por instalar cookies no necesarias al acceder a su sitio web y no permitir al usuario rechazar las cookies ni gestionarlas de forma granular.
Y es en la granularidad de las cookies donde está la clave. La última actualización de la Guía sobre el uso de cookies, publicada por la AEPD hace apenas un mes, incluye la necesidad de incorporar en la primera capa de información, un “sistema o panel de configuración en el que el usuario pueda optar entre aceptar o no las cookies de forma granular”, o un enlace directo al mismo.
Es de gran importancia realizar esta revisión cuanto antes, ya que la AEPD establece un período de tres meses (hasta el 31 de octubre) para que las organizaciones analicen las cookies que utilizan sus sitios web e incorporen los cambios necesarios a los mecanismos de obtención del consentimiento.
Respecto a la segunda cuestión, se trata de la confirmación de algo que ya se veía venir: la anulación del Escudo de Privacidad o Privacy Shield, acuerdo que habilitaba la transferencia de datos personales entre la Unión Europea y Estados Unidos.
El 16 de julio, el Tribunal de Justicia de la Unión Europea publicó la sentencia que anulaba la Decisión 2016/1250 de la Comisión, por la que se declaraba adecuado el nivel de protección que ofrecía el Escudo de Privacidad ya que, una vez evaluada la ley estadounidense, se ha comprobado que el nivel de protección que proporciona no es equivalente al que ofrece la Unión Europea.
Muchos recordarán que el antecesor del Escudo de Privacidad, denominado Puerto Seguro o Safe Harbor, fue invalidado por el mismo Tribunal en octubre de 2015, al concluirse que tampoco ofrecía garantías suficientes para proteger la privacidad de los datos personales.
Por tanto, las organizaciones que realizaban transferencias de datos a terceros ubicados en Estados Unidos, y que basaban su legitimidad en la adhesión de este tercero al acuerdo invalidado, se encuentran ante una situación de incertidumbre al haber perdido la transferencia su legitimidad; recordemos que la sentencia es anulatoria, por lo que no existe un “período de gracia” hasta adoptar otra solución.
Entonces… ¿qué hacemos ahora? La respuesta no es sencilla, ya que, por el momento, la única orientación que nos encontramos proviene de una publicación que da respuesta a las preguntas frecuentes que reciben las autoridades de control. Este documento fue elaborado por el Comité Europeo de Protección de Datos y se espera que, cuando termine de evaluar la sentencia, redacte un análisis posterior.
Mientras tanto, es muy recomendable que las organizaciones reevalúen la base legal de sus transferencias a Estados Unidos y adopten las medidas complementarias que sean necesarias. Aprovechando las circunstancias, también sería conveniente que las organizaciones que no están obligadas a nombrar un Delegado de Protección de Datos, reflexionen sobre los beneficios de contar con este servicio externalizado que, sin ninguna duda, ofrecerá soluciones proactivas y meditadas; no sólo para las dos cuestiones que planteamos hoy, sino para cualquier acontecimiento futuro relacionado con la protección de los datos personales.
Elia Fernández
Departamento de Seguridad y Cumplimiento
