Particularidades legales sobre el consentimiento en distintos países

En este artículo, encontrarás las diferencias y similitudes entre distintos países con respecto al consentimiento.

Esta es la leyenda que te ayudará a saber si cada tema relacionado con las cookies se aplica o no en cada país.

✔️ ¡Sí!

❌ ¡No!

❓ No especificado/No está claro 

⚙️ Más detalles sobre los estándares del país 

* Referencias cruzadas al final del artículo, en la sección dedicada a las autoridades de la protección de datos y sus respectivas directrices

 

⚠️ El marco legal italiano podría cambiar pronto 

📆 En diciembre de 2020, la Autoridad de Protección de Datos de Italia (la “Garante per la Protezione dei Dati Personali”) reconsideró las directrices italianas sobre las cookies, ya que no siempre cumplen con el RGPD, que entró en vigor con anterioridad: puede que haya cambios importantes en el futuro. En este artículo, podrás conocer y anticipar los potenciales cambios futuros (cf.🔎).

🍪 ¿Es obligatorio mostrar explícitamente los botones “Aceptar” y “Rechazar” en el banner? 

 

Francia

✔️

⚙️ Los botones “Aceptar” y “Rechazar” tienen que ser visibles y tener el mismo aspecto. 

Reino Unido

✔️

⚙️ No es obligatorio tener un botón “Rechazar todo”, aunque es recomendable. Se acepta una alternativa equivalente para el no tratamiento del consentimiento. Tiene que ser igual de visible que los botones de elección granular y “Aceptar”.

España

✔️

⚙️ 2 opciones según la AEPD*: Botones "Aceptar" y "Rechazar" O botón "Aceptar" y un enlace en el banner hacia la política de privacidad para elegir las finalidades de forma granular. 

Irlanda

✔️

⚙️ Los botones “Aceptar” y “Rechazar” deben estar igualmente visibles.

Bélgica

  ❓

⚙️ Posibilidad de retirar el consentimiento con la misma facilidad que para otorgarlo: el usuario debe estar informado de esta posibilidad cuando da su consentimiento. 

Alemania

✔️

 

Portugal 

✔️

⚙️ Es preferible, sobre todo para obtener la prueba de consentimiento.

Italia

🔎 Esto podría cambiar a ✔️: "Aceptar"; "Rechazar" y botones para elegir de forma granular. 

Polonia

⚙️ No está especificado: el consentimiento debe darse de forma libre (con una acción positiva por parte del usuario), específica, informada e inequívoca. El consentimiento puede recogerse con otros medios: si se utiliza la selección de una casilla, por ejemplo, el usuario debe poder retirar el consentimiento con la misma facilidad con la que lo otorga.

Croacia

⚙️ No está especificado: el consentimiento debe darse de forma libre (con una acción deliberada por parte del usuario), específica, informada e inequívoca. El consentimiento puede recogerse con otros medios: si se utiliza la selección de una casilla, por ejemplo, el usuario debe poder retirar el consentimiento con la misma facilidad con la que lo otorga. 

🍪 ¿Es necesario bloquear las cookies antes de obtener el consentimiento del usuario?

 

Francia

✔️

Reino Unido

✔️

España

✔️

Irlanda

✔️

Bélgica

✔️

Alemania

✔️

Portugal 

✔️

Italia

✔️

Polonia

✔️

Croacia

✔️

CEPD

✔️

🍪 ¿Es legal usar un cookie wall?

 

Francia

✔️

⚙️ No está claro: varía caso por caso. Sin embargo, si existen reclamaciones de los usuarios, la CNIL* podría invalidarlo. 

Reino Unido

⚙️ "Poco probable que sea válido" según el ICO*.

España

⚙️ Según la AEPD*, los cookie walls solo se aceptan si el usuario tiene otra alternativa para acceder al servicio sin tener que aceptar las cookies.

Irlanda

Generalmente no son legales, pero no está especificado. 

Bélgica

 

Alemania

 

Portugal 

 

Italia

🔎 En el futuro, los usuarios tendrán que tener la opción de acceder a un servicio o contenido equivalente sin tener que aceptar las cookies (criterio caso por caso).  

Polonia

⚙️ Según las directrices del EDPB*:  si un proveedor de un sitio web bloquea el contenido si el usuario no acepta las cookies, se considera que el consentimiento no puede darse de forma libre. 

Croacia

 

CEPD

 

🍪 ¿Durante cuánto tiempo son válidas las elecciones sobre el consentimiento una vez recolectadas?

 

Francia

  6 meses

⚙️ Las cookies para herramientas de análisis no pueden conservarse durante más de 13 meses. La información recogida por las cookies puede conservarse hasta 25 meses. 

Reino Unido

  6 meses

⚙️ La duración del consentimiento debe justificarse para la finalidad de la cookie. Los usuarios tienen que ser informados sobre la duración de las cookies. 

España

24 meses   máximo 

⚙️ La AEPD* establece que el consentimiento debe volver a recogerse como máximo a los 24 meses de ser recogido. 

Irlanda

  6 meses

 

Bélgica

⚙️ El consentimiento para las cookies no puede conservarse durante más tiempo del necesario para cumplir con su finalidad.  

Alemania

 

 Portugal 

 

Italia

🔎 Esto podría cambiar con las nuevas directrices de la GDPD*. 

Polonia

⚙️ El UODO* no especifica un tiempo límite y recomienda las prácticas recogidas por el CEPD: renovación del consentimiento en plazos razonables. Esto permite dar toda la información necesaria de nuevo y asegurarse de que el objeto del tratamiento está informado sobre cómo se tratan sus datos y cómo ejercer sus derechos. 

     Croacia

      ❓

⚙️ Las cookies de sesión, por ejemplo, que funcionan solo durante la duración de una sesión en el navegador o algo más, deberían tener una duración corta y estar configuradas para expirar una vez que hayan cumplido con su propósito. La fecha de expiración de una cookie debe establecerse acorde con su finalidad. 

   CEPD

        ❓

⚙️ Directrices del CEPD*: "En principio, puede ser suficiente solicitar el consentimiento de un interesado una vez. No obstante, los responsables deben obtener un consentimiento nuevo y específico si cambian los fines del tratamiento de los datos tras haber obtenido el consentimiento o si se prevé un fin adicional." Si las operaciones ligadas al tratamiento cambian o evolucionan considerablemente, el consentimiento original deja de ser válido.

🍪 ¿Es válido recoger el consentimiento mediante el scroll o la navegación?

 

Francia

 

Reino Unido

 

España

 

Irlanda

⚙️ En el caso del scroll, el banner no debe desaparecer hasta que el usuario no haya hecho una elección, sea la que sea. 

 Bélgica

⚙️ El consentimiento es válido solo si existe una interacción activa por parte del usuario, como un clic o la activación de un botón o una opción. 

  Alemania

 

Portugal 

 

Italia

✔️

🔎 Esto puede cambiar a ❌ en el futuro.

Polonia

⚙️ Según las directrices del EDPB* de 2020: hacer scroll o navegar en una página web o una acción similar no cumplen bajo ninguna circunstancia los requisitos de una acción positiva, ya que el silencio, las casillas preseleccionadas o la inactividad no deben constituir consentimiento según el RGPD.

Croacia

⚙️ Las cookies que no pertenezcan a ninguno de los dos casos específicos recogidos por la directiva ePrivacy a los que se le aplica la exención de consentimiento no deben instalarse en el dispositivo del usuario antes de obtenr su consentimiento explícito. 

Las dos exepciones se conocen como la exención de comunicación y la exención de cookies estrictamente necesarias*

CEPD

 

🍪 ¿Es legar preseleccionar las opciones del banner de consentimiento?

 

Francia

Reino Unido

España

  ❓

Irlanda

Bélgica

Alemania

Portugal 

Italia

Polonia

Croacia

CEPD

🍪 ¿Es obligatoria la prueba de consentimiento tal y como se especifica en el RGPD?

 

Francia

✔️

⚙️ La entidad que recoge el consentimiento también debe poder entregar la prueba de consentimiento a terceros que hayan tratado los datos del usuario basándose en su consentimiento.  

Reino Unido

✔️

 

España

✔️

⚙️ No está especificado, pero se puede inferir.  

Irlanda

✔️

 

Bélgica

✔️

 

Alemania

✔️

 

Portugal 

✔️

 

Italia

⚙️ El editor debe guardar el rastro del consentimiento del usuario: "una cookie técnica ad-hoc podría apoyarse en […] la disponibilidad de este tipo de “documentación” de las preferencias del usuario, que permitirán al editor no mostrar el aviso de información en las siguientes visitas del usuario.” (Mayo 2014 GDPD*)

🔎 Esto podría pasar a  ✔️ en el futuro. 

Polonia

✔️

⚙️ RGPD Artículo 42: “Cuando el tratamiento se lleva a cabo con el consentimiento del interesado, el responsable del tratamiento debe ser capaz de demostrar que aquel ha dado su consentimiento a la operación de tratamiento.”

Croacia

✔️

 

CEPD

✔️

⚙️ No está especificado, pero se puede inferir.  

🍪 ¿El consentimiento tiene que poder elegirse de forma específica finalidad por finalidad?

 

Francia

✔️

⚙️ El consentimiento se recoge por sitio web/aplicación salvo si se especifica claramente que se recoge para un grupo de sitios web o aplicaciones. El consentimiento debe ser único y renovarse en cada plataforma. En caso de consentimiento compartido entre sitios web o aplicaciones, el usuario debe ser informado en el primer nivel del banner.  

Reino Unido

⚙️ No necesariamente finalidad por finalidad, pero el consentimiento debe darse específicamente para un servicio concreto.  

Espana

✔️

⚙️ No está especificado, pero se puede inferir.  

Irlanda

✔️

 

Belgica

✔️

 

  Alemania

✔️

La necesidad de una elección granular por finalidad esta implícita: “debe ser posible seleccionar tratamientos de datos individualmente”. 

  Portugal 

✔️

 

Italia

🔎 Esto podría pasar a  ✔️ en el futuro. 

Polonia

✔️

⚙️ cf. directrices sobre la granularidad del EDPB* 

Croacia

✔️

⚙️ Según las directrices del RGPD: si el tratamiento tiene varias finalidades y no existe la posibilidad de dar el consentimiento de forma individual para cada una de ellas, hay una ausencia de libertad. 

CEPD

✔️

 

🍪 ¿Las cookies deben estar especificadas una por una? 

 

Francia

 

Reino Unido

⚙️ La práctica preferible es proporcionar una descripción de las cookies.  

España

⚙️ Una lista por finalidad es válida.

Irlanda

✔️

Generalmente: ⚙️ El consentimiento se obtiene para cada finalidad para la que se usan las cookies. El consentimiento no tiene que obtenerse necesariamente de manera individual para cada cookie, “sino que puede obtenerse para cada finalidad para la que se usan las cookies”.  

  Bélgica

⚙️ Ambigüedad entre una elección por finalidad sugerida para el primer nivel del banner y una elección por cookie después, teniendo en cuenta que el RGPD no exige la elección por cookie. 

Alemania

 

  Portugal

✔️

⚙️ Según el CNPD*, el consentimiento debe darse para cada cookie con la información necesaria, como la duración de conservación. Como la elección es individual, también debería ser posible aceptar todo o rechazar todo.

Italia

⚙️ Especificar las cookies una a una es una práctica poco común.

Polonia

 

Croacia

✔️

⚙️ Es muy recomendable enumerar las cookies una por una. 

 

💡 En caso de duda, ponte en contacto con tu responsable de la protección de datos (DPO) o con tu departamento jurídico.

 


📕 Fuentes útiles e información sobre los reglamentos de cookies

🍪 Francia

APD (Autoridad de la Protección de Datos): Commission Nationale de l'Information et des Libertés (CNIL) 

🍪 Reino Unido

APD: Information Commissioner's Office (ICO)

🍪 España 

APD: Agencia Española de Protección de Datos (AEPD)

🍪 Irlanda

APD: Office of the Data Protection Commissioner

🍪 Bélgica

APD: Autorité de Protection des Données

🍪 Alemania

APD: Die Bundesbeauftragte für den Datenschutz und die Informations freiheit

🍪 Portugal

APD: Comissão Nacional de Proteção de Dados (CNPD)

🍪 Italia

APD: Garante per la protezione dei dati personali (GPDP)

🍪 Polonia

DPA: Urząd Ochrony Danych Osobowych (UODO)

🍪 Croacia

APD : Agencija za zaštitu osobnih podataka (AZOP)

*¿Es válido recoger el consentimiento mediante el scroll o la navegación?

  • La exención de comunicación 

Se aplica a cookies cuya única finalidad es transmitir las comunicaciones a través de una red, para identificar los puntos extremos en la comunicación, por ejemplos. Puede aplicarse también a cookies que sirvan para permitir que los datos se transmitan en un orden determinado. También se aplica a cookies que sirven para detectar errores de transmisión o pérdida de datos. 

  • La exención de cookies estrictamente necesaria 

Una cookie exenta bajo esta condición debe cumplir dos condiciones de forma simultánea: 

- se aplica a los servicios de la sociedad de la información (information society services o ISS). Por ejemplo, un servicio prestado por internet, como un sitio web o una aplicación.  

- El servicio debe ser solicitado explícitamente por parte del usuario y el uso de la cookie debe restringirse a lo estrictamente necesario para prestar el servicio. 

🍪 Unión Europea

APD: CEPD (Comité Europeo de Protección de Datos)