The Spanish Data Protection Agency (AEPD) has recently updated its requirements on cookie consent banners in line with new directives issued by the European Data Protection Board.
Information to be provided in the 1st layer of the notice :
- Name of the publisher of the website
- Purposes of processing of cookies
- Information indicating whether the cookies belong to the publisher or to third parties, without it being necessary to identify the third parties in this first layer ( a link to the partner list is ok on the first layer)
- Generic information on the type of data which will be collected and used when creating user profiles (for example, when behavioral advertising cookies are used).
- How the user can accept, configure and refuse the use of cookies: The first layer must show:
- A button or equivalent mechanism, easily visible, with the words "Accept cookies", "Accept cookies", "Accept", "Consent" or similar to consent to the use of all cookies.
- A button or equivalent mechanism, similar to the previous one (if an accept button is used, a reject button must be used), with the words "Reject cookies", "Reject" or similar texts, to refuse the use of cookies
- A button or equivalent mechanism, clearly visible, but not necessarily similar to the above, which displays or leads to a control panel (setting panel) allowing you to accept or refuse cookies on a granular basis, at least according to their purpose.
- WARNING :
- The user may not have the impression that he/she must accept cookies in order to browse the site.
- The user cannot be clearly forced to accept cookies
- The colour or contrast of the text and buttons (or equivalent equivalent mechanisms) must not be clearly misleading to users in a way that leads to unintended consent.
- Scrolling does not constitute acceptance
- The button or mechanism for configuring cookies, i.e. for managing user preferences, should take the user directly to the control panel, without having to scroll through large amounts of text in search of information, which must remain accessible at all times
- A clearly visible link to a second layer of more detailed information is included, using, for example, the term "Cookies", "Cookie policy" or "More information, click here". The control panel can be integrated into this second layer, provided that, by facilitating access to it (for example, from a button or link included in the first layer), this access is direct.
Example, first layer:
Control panel or settings panel (second layer) :
The control panel can be integrated into the second information layer. In the control panel, it must be made clear how to save the selection made by the user. For example, a button with the text "Save selection", "Save configuration" or similar texts.
REMINDER : Under no circumstances may pre-marked options be accepted in favour of the acceptance of cookies to obtain valid consent.
The degree of granularity when displaying the selection of cookies must be assessed by the site publisher, although it is advisable to take into account the following rules:
- Cookies should be grouped at least according to their purpose, so that the user can accept cookies for one or more purposes
- Within each purpose, and at the site editor's discretion, cookies may also be grouped according to the third party responsible for them (for example, the user could choose to accept cookies from one third party and not those from another)
- In the case of third-party cookies, all you have to do is identify them by their name or by the brand name with which they are identified to the public
Example, second layer:
Example, third layer:
Reminder of the methods for obtaining consent:
- it must be indicated whether consent is given solely for the web page on which it is requested or whether it is also provided for other web pages of the same publisher or even for third parties associated with the publisher in the context of the purposes of the cookies on which information has been provided.
- the option of refusing cookies must be offered to the user at the same time, at the same level, with the same visibility as the option to accept them, and the mechanism used for this (button or other) must be similar, without sending them to another layer or to another location to carry out this action.
- Under no circumstances shall the mere inactivity imply the provision of consent by the user.
- Consent must be given by clear positive action
- Duration of cookies:
N/A
it is recommended that their duration be reduced to the minimum necessary, taking into account the purpose for which they are to be used.
- Grace period:
The criteria included in the Guidelines must be implemented by 11 January 2024 at the latest.
- Cookie wall:
The use of cookie wall (=non-acceptance of the use of cookies prevents access to the site or total or partial use of the service) can be legal, provided that:
- the user is sufficiently informed in this regard
- and that an alternative is offered, not necessarily free of charge, to access the service without having to accept the use of cookies.
Warning : the services of the two alternatives must be truly equivalent, nor will it be valid if the equivalent service is offered by an entity other than the publisher.
🇪🇸 Spanish version
Información a proporcionar en la primera capa del aviso:
- Nombre del publisher - del sitio web.
- Propósitos de procesamiento de cookies.
- Información que indique si las cookies pertenecen al publisher o a terceros, sin que sea necesario identificar a los terceros en esta primera capa (un enlace a la lista de socios/vendors estaría bien en la primera capa).
- Información genérica sobre el tipo de datos que se recopilarán y utilizarán al crear perfiles de usuario (por ejemplo, cuando se usan cookies de publicidad por comportamiento).
- Cómo el usuario puede aceptar, configurar y rechazar el uso de cookies: En la primera capa debe mostrarse:
- Un botón o mecanismo equivalente, fácilmente visible, con las palabras "Aceptar cookies", "Aceptar", "Consentir" o similares para aceptar el uso de todas las cookies.
- Un botón o mecanismo equivalente, similar al anterior (si se utiliza un botón de aceptación, se debe utilizar un botón de rechazo), con las palabras "Rechazar cookies" o similar para rechazar el uso de cookies.
- Un botón o mecanismo equivalente, claramente visible pero no necesariamente similar a los anteriores, que muestre o lleve a un panel de control (panel de configuración) que permita aceptar o rechazar cookies de manera granular, al menos según su propósito.
ADVERTENCIA:
- El usuario no debe tener la impresión de que debe aceptar cookies para navegar por el sitio.
- No se puede forzar claramente al usuario a aceptar cookies.
- El color o contraste del texto y los botones (u otros mecanismos equivalentes) no deben inducir a error a los usuarios de manera que conduzca a un consentimiento no deseado.
- Hacer scroll no constituye aceptación.
- El botón o mecanismo para configurar cookies, es decir, para gestionar las preferencias del usuario, debe llevar al usuario directamente al panel de control, sin tener que desplazarse por grandes cantidades de texto en busca de información, que debe permanecer accesible en todo momento.
- Un enlace claramente visible a una segunda capa de información que incluya información más detallada, utilizando, por ejemplo, los términos "Cookies", "Política de cookies" o "Más información, clic aquí". El panel de control puede integrarse en esta segunda capa, siempre que se facilite el acceso a él (por ejemplo, desde un botón o enlace incluido en la primera capa) de manera directa.
Ejemplo de primera capa:
Panel de control o panel de configuración (segunda capa):
El panel de control puede integrarse en la segunda capa de información. En el panel de control, debe quedar claro cómo guardar la selección realizada por el usuario. Por ejemplo, con un botón que diga "Guardar selección" o "Guardar configuración".
RECORDATORIO: En ningún caso se pueden aceptar opciones preseleccionadas a favor de la aceptación de cookies para obtener un consentimiento válido.
El grado de granularidad al mostrar la selección de cookies debe ser evaluado por el publisher del sitio, aunque es recomendable tener en cuenta las siguientes reglas:
- Las cookies deben agruparse al menos según su propósito, para que el usuario pueda aceptar cookies para uno o varios propósitos.
- Dentro de cada propósito y a discreción del publisher del sitio, las cookies también pueden agruparse según el tercero responsable de ellas (por ejemplo, el usuario podría elegir aceptar cookies de un tercero y rechazar las de otro).
- En el caso de las cookies de terceros, basta con identificarlas por su nombre o por la marca con la que son identificadas públicamente.
Ejemplo de segunda capa:
Ejemplo de tercera capa:
Recordatorio de los métodos para obtener el consentimiento:
- Debe indicarse si el consentimiento se otorga únicamente para la página web en la que se solicita o si también se proporciona para otras páginas web del mismo publisher o incluso para terceros asociados al publisher en el contexto de los propósitos de las cookies sobre las cuales se ha proporcionado información.
- La opción de rechazar cookies debe ofrecerse al usuario al mismo tiempo, al mismo nivel y con la misma visibilidad que la opción de aceptarlas, y el mecanismo utilizado para esto (botón u otro) debe ser similar, sin redirigirlos a otra capa o ubicación para llevar a cabo esta acción.
- En ningún caso la mera inactividad implicará la prestación de consentimiento por parte del usuario.
- El consentimiento debe ser otorgado mediante una acción positiva clara.
- Duración de las cookies:
N/A
Se recomienda reducir su duración al mínimo necesario, teniendo en cuenta el propósito para el que se van a utilizar.
- Período de gracia:
Los criterios incluidos en las Directrices deben implementarse a más tardar el 11 de enero de 2024.
- Muro de cookies:
El uso de un muro de cookies (no aceptación del uso de cookies que impide el acceso al sitio o el uso total o parcial del servicio) puede ser legal, siempre que:
- el usuario esté suficientemente informado al respecto.
- y que se ofrezca una alternativa para acceder al servicio sin tener que aceptar el uso de cookies, que no necesariamente debe ser gratuita.
Advertencia: Los servicios de las dos alternativas deben ser verdaderamente equivalentes, y no será válido si el servicio equivalente es ofrecido por una entidad que no sea el publisher.