Que é realmente o Grupo de Traballo do EDPB sobre Banners de Cookies

O grupo de traballo é un órgano de coordinación, non un regulador en si mesmo. Creouse ao abeiro do Artigo 70 do GDPR, que faculta ao EDPB para facilitar a cooperación entre as autoridades nacionais de protección de datos en cuestións de interese común. O detonante foi unha campaña de reclamacións presentada por noyb, o grupo de defensa da privacidade de Max Schrems, contra centos de sitios web de toda a UE. Dado que esas reclamacións afectaban a autoridades en case todos os estados membros, o EDPB decidiu crear un foro único onde os DPAs puidesen intercambiar información e chegar a un marco analítico compartido. A produción do grupo de traballo adopta a forma de informes que documentan que decisións de deseño se consideran vulneracións dos requisitos de consentimento, organizados por categorías.

Esa estrutura importa na práctica. Os informes non son vinculantes do mesmo xeito que o é un regulamento ou unha multa nacional, pero describen a posición de consenso de todos os DPAs europeos. Cando unha autoridade nacional abre unha investigación, pode, e cada vez máis o fai, sinalar as conclusións do grupo de traballo como proba de que un patrón de banner controvertido xa foi considerado non conforme pola comunidade reguladora no seu conxunto. Para os editores, o efecto práctico é que calquera banner que supere os criterios do grupo de traballo é defendible en toda a UE. Calquera banner que non os supere está exposto en todas partes á vez.

As Seis Categorías nas que se Centra o Grupo de Traballo

O grupo de traballo agrupa as súas conclusións en seis áreas problemáticas que se solapan. Cada unha corresponde a un patrón de deseño que apareceu repetidamente nas reclamacións de noyb e que os DPAs sinalaron colectivamente como unha infracción.

1. Sen botón de rexeitamento na primeira capa

A conclusión máis citada nos informes. Se un visitante ve un botón "Aceptar todo" no banner inicial pero non hai un equivalente "Rexeitar todo", a elección non é libre. As opcións de aceptar e rexeitar deben presentarse con igual prominencia na mesma capa. Ocultar a opción de rexeitamento detrás dun enlace "Xestionar preferencias" é o patrón máis común nas accións de aplicación hoxe en día.

2. Caixas de verificación premarcadas

Preseleccionar o consentimento para calquera categoría non esencial, incluso unha soa, invalida todo o rexistro de consentimento en virtude do Considerando 32 do GDPR. O grupo de traballo trátao como unha infracción per se. Os CMPs modernos téñena desactivada por defecto, pero as implementacións herdadas e os banners desenvolvidos internamente seguen marcando frecuentemente as categorías de analítica ou marketing.

3. Deseño de enlace enganoso

Denominar a ruta de rexeitamento "Máis información" ou darlle o estilo dun enlace de texto de baixo contraste mentres o botón de aceptación é un bloque de cor de alto contraste crea un desequilibrio que o grupo de traballo considera un patrón de deseño enganoso. A solución é sinxela: igualar o peso tipográfico, o contraste de cor e o estilo do botón entre aceptar e rexeitar.

4. Clasificar cookies como "esenciais" de forma incorrecta

Algúns operadores tentaron eludir o requisito de consentimento por completo reetiquetando as cookies de analítica, publicidade ou redes sociais como estritamente necesarias. O grupo de traballo foi explícito: unha cookie só é esencial se o sitio web non pode funcionar sen ela desde a perspectiva do usuario. As cookies de analítica, probas A/B, publicidade e personalización non cumpren ese criterio. Etiquelalas incorrectamente constitúe en si mesmo unha infracción independente do rastrexo subxacente.

5. Sen mecanismo de retirada do consentimento

O consentimento debe ser tan fácil de retirar como de outorgar. Un banner que acepta o consentimento cun só clic pero obriga aos usuarios a percorrer un menú de configuración de varios pasos para revogalo non supera esta proba. O grupo de traballo pide especificamente un control persistente, normalmente unha icona flotante ou un enlace no pé de páxina, que devolva ao visitante á superficie orixinal de consentimento.

6. Deseño do banner que oculta a elección

Esta é a categoría máis ampla e subxectiva. Inclúe superposicións que bloquean o contido da páxina ata que se outorga o consentimento, banners cuxo botón de rexeitamento está por baixo do pregue, combinacións de cores que fan que a opción de rexeitamento sexa case invisible e animacións que desvían a atención da elección. O fío condutor é que o deseño presiona ao usuario cara á aceptación en lugar de presentar unha elección neutral.

Que Significa Isto para a Aplicación da Normativa

O grupo de traballo non impón multas. Fano os DPAs nacionais. Pero dado que todas as autoridades europeas subscribiron a análise do grupo de traballo, o risco de cumprimento nestes patróns concretos é agora uniforme en toda a UE. A CNIL francesa emitiu o maior número de multas relacionadas con cookies ata a data, pero o Garante italiano, a AEPD española, as autoridades alemás a nivel estatal e o DPC irlandés abriron investigacións citando razoamentos aliñados co grupo de traballo. Incluso o ICO do UK, que está fóra do perímetro regulatorio da UE, publicou orientacións que reflicten fielmente as categorías do grupo de traballo.

O que esta converxencia significa na práctica é que os editores xa non poden tratar o cumprimento como un exercicio país por país. Unha auditoría de banners debe medirse fronte ás categorías do grupo de traballo como unha lista de verificación unificada. Se o banner falla en algunha das seis, o risco non é un só DPA senón toda a rede de supervisión europea.

Unha Lista de Verificación de Auditoría Práctica

A forma máis rápida de poñer en conformidade un banner existente é cotexalo coas categorías anteriores e responder a cada elemento cun si ou un non documentado. As preguntas son deliberadamente concretas.

• Equilibrio na primeira capa. Ofrece o banner inicial un botón explícito de "Rexeitar todo" ou "Continuar sen aceptar" na mesma superficie que "Aceptar todo", cun estilo comparable?
• Estado predeterminado. Están todos os interruptores de categorías non esenciais desactivados por defecto na vista de preferencias?
• Claridade do enlace. Está a ruta de rexeitamento etiquetada cun verbo que describe a acción (por exemplo, "Rexeitar todo", "Rexeitar os non esenciais"), e non cunha frase ambigua como "Máis opcións" ou "Configuración"?
• Clasificación de cookies. Verificou que cada cookie catalogada como "estritamente necesaria" é genuinamente requirida para o funcionamento do sitio, e non para analítica, publicidade ou funcións de conveniencia?
• Acceso á retirada. Hai un elemento de interface persistente en cada páxina que volva abrir o banner de consentimento, con non máis clics dos que requiriu a aceptación orixinal?
• Sen patróns escuros. Evita o banner opcións de cor, tamaño ou animación que creen un desequilibrio visual significativo entre aceptar e rexeitar?

Un banner que responde seis síes claros a esa lista de verificación é defendible fronte á aplicación actual aliñada co grupo de traballo. Un banner que responde aínda que sexa un non debe tratarse como un proxecto de remediación e non como unha tarefa de mantemento.

Cara a Onde se Dirixe o Grupo de Traballo

Os informes publicados cobren os patróns que desencadearon a primeira vaga de reclamacións. O traballo en curso do grupo de traballo, visible a través das actualizacións periódicas publicadas polo EDPB, estase adentrando agora en territorios máis difíciles e menos definidos. É probable que tres áreas definan a próxima rolda de orientacións.

Modelos de pago ou consentimento

A decisión de varios grandes editores europeos de ofrecer aos visitantes unha elección binaria entre pagar unha subscrición e consentir o rastrexo atraeu un escrutinio explícito. O EDPB emitiu unha opinión en 2024 cuestionando se tal elección pode considerarse libre cando a alternativa é un muro de pago. Agárdase que o grupo de traballo publique criterios coordinados sobre cando o modelo pago ou consentimento é permisible e cando cruza a liña cara á coerción.

Fatiga do consentimento e granularidade

As superficies de consentimento altamente granulares por provedor, como as xeradas polo IAB TCF, foron criticadas por producir fatiga do consentimento e por non ser en última instancia "informadas" no sentido do GDPR. É probable que as futuras orientacións do grupo de traballo impulsen controis de nivel de categoría en lugar de nivel de provedor na primeira capa, con divulgación a nivel de provedor dispoñible pero non requirida para un consentimento inicial válido.

Superficies móbiles e de TV conectada

A maior parte do traballo inicial do grupo de traballo centrouse nos banners web. Os fluxos de consentimento en aplicacións móbiles e as interfaces de TV conectada teñen diferentes restricións de deseño e aínda non foron obxecto de conclusións detalladas. Os editores que operan nesas plataformas deben esperar orientacións coordinadas nos próximos 12 a 18 meses, e non deben asumir que un patrón de banner web conforme se traduce automaticamente.

Reuníndoo Todo

O grupo de traballo logrou algo que o GDPR por si só non podía: produciu unha interpretación única e operativa de como debe verse o consentimento na práctica en toda a Unión Europea. Para os editores, a lección é que a era de buscar xurisdicións máis permisivas ou confiar na laxitude da aplicación nacional terminou. A resposta correcta é tratar as categorías do grupo de traballo como un estándar interno vinculante, auditar os banners existentes contra elas e configurar a infraestrutura de xestión do consentimento para que as categorías se apliquen a nivel de plataforma en lugar de deixarse á implementación páxina por páxina. Un CMP moderno que se axuste claramente ás seis categorías, botóns equilibrados na primeira capa, interruptores desactivados por defecto, etiquetas de rexeitamento en linguaxe clara, clasificación precisa de cookies, acceso persistente á retirada do consentimento e deseño neutral, converte unha postura de cumprimento exposta nunha defendible en todos os mercados europeos simultaneamente.