ComunicacionesHoy

57 PRIVACIDAD Y SEGURIDAD el consentimiento del usuario, con- sentimiento que debe cumplir, ahora sí, con las directrices que indica el RGPD en su Art. 4.11: (...) ’toda mani- festación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le concierne’ (...). El consentimiento parece a priori la base de legitimación más fácil de apli- car y acreditar, en detrimento de otras causas que parecen más complejas, como por ejemplo el interés legítimo con sus juicios de ponderación. Pero en la práctica el consentimiento es un caramelo envenenado para los responsables y encargados de trata- miento. Su mayor dificultad reside en que debemos informar al usuario de forma previa al tratamiento, con una información de calidad, clara y com- prensible, para que su consentimiento sea considerado válido. Encontramos paralelismos con el consentimiento informado en la Ley de Autonomía del Paciente, el principio rector es el mismo, sin una información clara y comprensible antes del tratamiento, el consentimiento está viciado y no es válido. De nada sirve que el usuario web marque una casilla de valida- ción ‘opt-in’ o elija unas preferencias si antes de tomar esa decisión no cuenta con una información de calidad. La AEPD ha puesto el listón muy alto en cuanto a consentimiento infor- mado se refiere, prueba de ello son los procedimientos sancionadores contra BBVA o CaixaBank, por poner ejemplos recientes. EL CONSENTIMIENTO PARA LA INSTALACIÓN DE COOKIES DEBE SER EXPLÍCITO Y ESTAR PREVIAMENTE INFORMADO CON CALIDAD En materia de Cookies y para cumplir con la condición ‘sine qua non’ de con- tar con el consentimiento explícito e informado de los usuarios web, el pri- mer paso es tener implementado en la web un aviso de Cookies o primera capa, un banner que informe al usuario del tipo de Cookies y sus finalidades. La información de primera capa debe ser concreta y clara, debemos huir de fórmulas vacías de contenido como, por ejemplo: ‘Esta web utiliza Cookies para mejorar tu experiencia de usua- rio’. La propia AEPD nos da fórmulas concisas: ‘Utilizamos Cookies propias y de terceros para fines analíticos y para mostrarte publicidad persona- lizada en base a un perfil elaborado a partir de tus hábitos de navegación (por ejemplo, páginas visitadas)’. Este aviso de Cookies a modo de pri- mera capa nos llevará a un centro de preferencias donde el usuario podrá seleccionar las Cookies que desea que se instalen y las que descarta. Aquí entra en juego una valiosa herramienta los ‘Consent Management Platforms’ o CMP’s herramientas de software, que permiten al usuario web elegir sus pre- ferencias y a su vez aportan al editor y responsable de la web un log de regis- tro con esas preferencias. Son por ello una herramienta básica para cumplir con el principio de rendición de cuen- tas o ‘accountability’. Además, el CMP se encargará de indexar las Cookies de la página web y dividirlas en las distin- tas categorias: necesarias, de análisis, de publicidad comportamental, etc. Pero, aunque el CMP nos facilite y allane el camino para dar esa información de primera capa y para permitir al usuario elegir sus preferencias de configuración, no debemos olvidar que es necesaria también una segunda capa en forma de Política de Cookies que deberá estar siempre visible, por ejemplo, al pie de la página web y a poder ser diferen- ciada del Aviso Legal, la Política de Privacidad o las Condiciones Generales de Contratación, en su caso. Esta segunda capa aporta una infor- mación adicional y ampliada para el usuario que no podemos obviar y que es fundamental para que su consentimiento tenga el requisito indispensable de ser un consenti- miento informado. En la segunda capa o Política de Privacidad se recogen extremos muy importantes que no recoge la primera capa, como por ejemplo las transferencias interna- cionales de datos en el tratamiento de Cookies, ahora tan vigentes desde la sentencia Schrems II y la anulación del framework Privacy Shield. Aquí partimos de las mismas premi- sas que en el caso de la primera capa, huir de clichés, de frases vacías y sobre todo del ‘copy & paste’. No basta en una Política de Cookies con copiar el típico texto explicando qué es una Cookie y repasando las distintas cate- gorias. Debemos hacer un ejercicio de concreción. Para ello, es muy recomen- dable incrustar una tabla de Cookies que ampliará la información que nos mostró en su momento el CMP en su centro de preferencias. En esta tabla podremos separar las Cookies por categorías, como ya hacía el CMP, y daremos además información sobre: el tipo de Cookie y su finalidad, si es propia o de terceros, su caduci- dad; además, podemos aprovechar esta tabla para empoderar al usuario web con herramientas de ‘opt-out’ para las Cookies que complementen las opciones de ‘opt-in’ que hemos dado mediante el centro de prefe- rencias del CMP instalado en nuestra web. De esta forma, mejoraremos la calidad de la información que damos a nuestros usuarios web; esto a su vez nos servirá para afianzar el consenti- miento que nos han dado como un consentimiento informado y válido. Sin duda, a mayor información el consentimiento del usuario se verá reforzado y mejorado. También podremos indicar en la tabla de Cookies las medidas de seguridad que aplicamos en el tratamiento de datos personales mediante Cookies. Un ejemplo interesante sobre posi- bles medidas de seguridad a aplicar es la utilización de una función de

ComunicacionesHoy_CH187