La directiva ePrivacy es la ley europea que establece la normativa de 2021. Antes de la entrada en vigor de esta ley, la normativa de cookies la establecía el RGPD, pero finalmente se aprobó una ley específica y más dura, ya que exige el consentimiento previo, inequívoco e informado del usuario.
Se prohíbe la opción de "seguir navegando" al hacer scroll o instalando cookies no esenciales, hasta ahora la mayoría de los sitios web mostraban un mensaje al pie de página en el cual se informaba al usuario que si seguía navegando se daba por hecho que aceptaba todas las cookies.
Quedan obsoletos los banner de cookies que no ofrecen alternativas al usuario, es decir, el aviso de privacidad debe además de informar, ofrecer la posibilidad de navegar con todas, algunas o ninguna cookie que provenga del sitio web o de terceros, para ello es necesario que disponga de un panel de administración de cookies donde pueda ver cada cookie al uso, su finalidad inequívoca, procedencia, caducidad y además consentir y revocar su consentimiento de uso en cualquier momento.
La administración de las cookies siempre ha de ser accesible en la web al usuario y nunca podrán permanecer las opciones de aceptar o rechazar el consentimiento "premarcadas" salvo aquellas de uso extrictamente necesario para el correcto funcionamiento del sitio web (cookies exentas) como el idioma o la sesión.
En todo caso, al contrario de la antigua normativa, queda terminantemente prohibido instalar cookies antes de que usuario sea informado, y en ningún caso aquellas no exentas o no esenciales sin su consentimiento informado.
Las cookies deben tener un periodo de caducidad máximo, de modo que en ningún caso pueden permanecer operativas más tiempo instaladas en los despositivos sin el consentimiento del sus usuarios.
Podemos distinguir 4 tipos de cookies definidos por las directrices de privacidad según su funcionalidad:
- Cookies esenciales: aquellas necesarias que pueden y deben estar establecidas para el correcto funcionamiento de la web.
- Cookies de preferencias: son aquéllas que ofrecen ersonalización de servicios y contenidos al usuario acceder al servicio con algunas características de carácter general predefinidas en función de una serie de criterios en el terminal del usuario como por ejemplo sería el idioma, el tipo de navegador a través del cual accede al servicio, la configuración regional desde donde accede al servicio, etc.
- Cookies estadísticas: su finalidad es la analñitica y seguimiento de datos del usuario. Como por ejemplo: las que utiliza Google Analytics para recopilar información sobre las visitas a determinadas páginas, etc.
- Cookies de marketing: están destinadas a la publicidad, almacenan información del comportamiento de los usuarios obtenida a través de la observación continuada de sus hábitos de navegación, lo que permite desarrollar un perfil específico para mostrar publicidad en función del mismo.
Las cóokies de terceros (las dos últimas) deben ser aprobadas por el usuario y éste puede revocar o aceptar el consentimiento cuando cree oportuno.
La AEPD deja claro que impondrá sanciones económicas a los propietarios de sitios web que incumplan esta normativa acordee al nivel de infracción que cometa.
- Leve: hasta 30.000 € de multa.
- Grabe: entre 30.001 y 150.000 € de multa.
- Muy grabe: entre 150.001 y 600.000 € de multa.