Cookies y consentimiento (LSSI · Guía AEPD)

Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en el Reglamento (UE) 2016/679. Lo anterior no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión de una comunicación por una red de comunicaciones electrónicas o, en la medida que resulte estrictamente necesario, para la prestación de un servicio de la sociedad de la información expresamente solicitado por el destinatario.

El consentimiento para el uso de cookies no estrictamente necesarias debe ser: a) libre, no condicionado a la prestación del servicio salvo equivalencia real; b) específico, diferenciado por finalidad o por tipo de cookie/proveedor; c) informado, con información clara previa al consentimiento sobre identidad del responsable, finalidad, cesionarios y duración; d) inequívoco, mediante acción positiva clara. NO son consentimiento válido: el scroll, la navegación por la web, mantenerse en la página, casillas premarcadas, banners sin opción real de rechazo, o configuraciones por defecto de cookies técnicas extendidas a fines analíticos o publicitarios. El rechazo debe estar al mismo nivel y con la misma facilidad que la aceptación: si «Aceptar todas» está en primer plano, «Rechazar todas» debe estarlo también con idéntica jerarquía visual.

Como criterio general, los muros de cookies (cookie walls) que condicionan el acceso al servicio a la aceptación del tratamiento mediante cookies no necesarias NO son conformes con el RGPD, dado que el consentimiento no puede considerarse libre. Como excepción, se admite el modelo «consentimiento o pago» (pay or consent) si: a) existe alternativa real, accesible y a precio proporcionado al valor que recibe el servicio por publicidad; b) el alternativo de pago no requiere consentimientos adicionales irrelacionados; c) el usuario puede tomar la decisión sin presión temporal indebida; d) se facilita información completa sobre la alternativa. La AEPD se reserva el control caso por caso y ha cuestionado modelos de medios de comunicación con precios elevados sin justificación.

El consentimiento prestado por el usuario tendrá una duración máxima de 24 meses, transcurrida la cual el responsable deberá solicitar nuevamente el consentimiento. Antes de dicho plazo, el usuario deberá poder revocar el consentimiento de forma tan sencilla como lo otorgó: el mecanismo de revocación debe estar permanentemente accesible (por ejemplo, un enlace persistente en el pie de página) y operativo en un máximo de 1-2 clics. Las cookies cuyo consentimiento haya sido revocado o expirado deben ser eliminadas o dejadas de leer en el equipo terminal del usuario; el responsable no podrá tratar los datos previamente recogidos amparándose en consentimiento revocado.

Un cuestionario adaptativo determina qué obligaciones de Cookies aplican a cada cliente y detecta sus brechas. El resultado alimenta los documentos y el universo de controles.

• Política de Cookies (LSSI · Guía AEPD)