El Comité Europeo de Protección de Datos (CEPD) ha actualizado la guía sobre el consentimiento elaborada por el Grupo de Trabajo del Artículo 29 en el año 2018 y, como novedad importante, señala que no es válido obtener el consentimiento para el uso de cookies mediante el uso de las «cookie walls» o mediante el scroll.
El CEPD, organismo cuyo objetivo es contribuir a la aplicación coherente de las normas de protección de datos en toda la Unión Europea, adopta a menudo guías orientativas para facilitar la interpretación e implementación de las distintas disposiciones del Reglamento General de Protección de Datos (RGPD). En este caso, el CEPD actualizó el pasado 4 de mayo la guía destinada a aclarar determinados aspectos relacionados con la obtención del consentimiento para el tratamiento de datos personales, que contiene numerosos supuestos y ejemplos prácticos ilustrativos.
El consentimiento sobre cookies
En particular, relacionado con la forma de obtención del consentimiento para el uso de cookies, el CEPD sigue manteniendo que continuar haciendo un uso ordinario de un sitio web, es decir, continuar navegando, no es una conducta de la que se pueda inferir una indicación de que el usuario acepta el uso de cookies, tal y como manifiesta en el párrafo 84, por lo que no es una forma lícita de obtener el consentimiento.
Además, ha introducido dos novedades relevantes que atañen a la libertad del consentimiento y a su manifestación inequívoca. En concreto, la guía analiza las conocidas como “cookie walls” y el scroll.
Respecto a las “cookie walls”, el CEPD considera, en el párrafo 39, que para que el consentimiento sea una manifestación de voluntad libre, el acceso a los servicios y funcionalidades no puede estar condicionado a aceptación de las cookies a través de una “cookie wall” de forma que se obligue al usuario a aceptarlas para acceder a los servicios, funcionalidades o contenidos.
Por otra parte, en lo relativo al scroll, el CEPD estima, en el párrafo 86, que el acto de hacer scrolling no implica que sea un acto claro y afirmativo, dado que es difícil distinguir esto de otras modalidades de interacción del usuario con la web por ello no es posible determinar que se ha producido un consentimiento inequívoco. Además, este organismo considera que, en esos casos, es difícil darle al usuario la posibilidad de retirar su consentimiento con la misma facilidad con la que él lo otorgaría.
Causas que permiten el tratamiento de datos
Además de las modalidades mencionadas, la guía también analiza otros elementos necesarios para obtener un consentimiento válido, así como la interacción que puede darse entre el consentimiento y las otras cinco causas que permiten tratar datos. Asimismo, el documento interpreta el consentimiento en aquellos casos en los que se tratan datos personales de menores y en aquellos casos en los que el tratamiento se realiza para fines de investigación científica.
El consentimiento libre, específico, informado e inequívoco
El consentimiento es una de las seis causas que permiten realizar el tratamiento de datos personales, de acuerdo con el artículo 6 del RGPD. Tal y como lo define el artículo 4 (11) del Reglamento, se entiende por consentimiento «toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen».
Aunque el concepto de consentimiento no es nuevo, éste ha evolucionado con el paso del tiempo y con la reforma de la normativa europea en materia de protección de datos. El RGPD, en vigor desde mayo de 2018, introdujo disposiciones para aclarar y especificar las condiciones necesarias para obtener y demostrar el consentimiento válido.