A principios de este año, les anunciábamos desde este mismo blog que la Agencia Española de Protección de Datos acababa de imponer su primera sanción en materia de cookies, poniendo fin a un «período de gracia informal» que se alargó muchos meses. Desde entonces, la actividad de la AEPD en este campo ha sido intensa: una nueva sanción a principios del verano, tres informes jurídicos publicados en su web… y la participación en una acción coordinada a nivel europeo que se ha dado en llamar «cookie sweep day«.
El Grupo del Artículo 29, órgano consultivo que agrupa a las autoridades de protección de datos de la Unión Europea, anunciaba en su plan de trabajo 2014/15 que pretendía «intensificar sus esfuerzos para garantizar una actuación de control coordinada y coherente a los efectos de velar por una mejor aplicación de la legislación en toda la UE». Y, como se desprende de una nota de prensa publicada por la CNIL francesa (que ostenta la presidencia de este Grupo), nos encontramos ante la primera de dichas actuaciones, orientada a «verificar las modalidades de [facilitación de] información y de recabado del consentimiento de los internautas» en relación con la instalación de cookies.
Lanzado de forma simultánea en toda la Unión, el «cookie sweep day» es un nombre ciertamente inexacto, pues en realidad se desarrollará durante toda una semana: del 15 al 19 de septiembre de este año. La intención no es otra que comparar las prácticas implementadas en los distintos Estados de la Unión, para verificar el grado de cumplimiento con la normativa y poder adoptar ulteriores decisiones… por lo que, por el momento, no parece que las investigaciones que se realicen vayan a dar lugar a sanciones. Sin embargo, autoridades como la propia CNIL han anunciado ya que, a partir de octubre, intensificarán su vigilancia sobre el uso de cookies en soportes como sitios web o aplicaciones para móviles.
Puede parecer que la relevancia de esta actuación coordinada es escasa pero, en mi opinión, el toque de atención que de ella se desprende es evidente: por si alguien no se había enterado, las autoridades de protección de datos están lanzando un claro mensaje de que se les está agotando la paciencia, y el mercado no puede hacer oídos sordos a semejante advertencia. Dicho sin rodeos: parece que ahora sí que viene el lobo. El plazo para adaptar nuestros sitios web a la normativa de cookies toca a su fin.
Sobre cómo cumplir con la normativa, poco más podemos añadir a lo ya comentado en otros foros. Simplemente, permítanme aportar algunos consejos que les pueden resultar de utilidad:
- El primero, y más importante: evitar aquellas cookies que no sean estrictamente necesarias. Por ejemplo, dando prioridad a herramientas (de vídeo, de mapas, de visualización de diapositivas…) cuya inclusión en un sitio web no implique la instalación de cookies.
- El segundo, no inferir el consentimiento de una mera inacción. Permanecer en una página no es lo mismo que continuar navegando, no sé si me explico…
- El tercero, no explusar a los usuarios de nuestro sitio web si no aceptan nuestra política de cookies, una práctica cada vez más común que va en contra del espíritu de la norma, como ha aclarado el Grupo del Artículo 29 en su Documento de Trabajo 2/2013.
- Y, por último, no saturar al usuario con información: como ha recordado la AEPD en uno de sus informes más recientes, no es preciso detallar para qué sirve cada concreta cookie de las que instalemos: basta con agruparlas por funciones simulares, siempre que exista identidad entre ellas y no se produzca ambigüedad.
Dicho lo anterior, ¿se atreven a vaticinar en qué puesto quedará España en el cookie sweep day? ¡Hagan sus apuestas!