El Comisionado de Protección de Datos del Estado de Baja Sajonia ha publicado nuevas pautas e instrucciones sobre cómo debe verse una capa de consentimiento compatible. La información más importante se resume aquí.
Muchas herramientas de consentimiento no cumplen
En primer lugar, el LDF se da cuenta de que, después de todo, muchas herramientas del RGPD no cumplen con el RGPD. El uso de una herramienta de gestión del consentimiento normalmente permitirá que el sitio web cumpla con las normas para obtener el consentimiento conforme a la protección de datos, pero corresponde al operador del sitio web configurar la herramienta correctamente.
Consejo práctico: la configuración predeterminada para consentmanager ya está establecida en los valores recomendados. Si no está seguro de cómo configurar nuestra herramienta, simplemente use la configuración predeterminada.
Sin tratamiento de datos previo al consentimiento
La LDF también deja claro una vez más que el procesamiento de datos, es decir, la configuración de cookies y la apelación a proveedores externos, solo puede tener lugar si se ha dado el consentimiento (por ejemplo, a través de un banner de consentimiento en el sitio web).
Consejo práctico: utilice nuestra prueba de conformidad Cookie Crawler para determinar que no se establecen cookies sin consentimiento.
Información en la capa de consentimiento
Además, la LDF vuelve a aclarar qué información debe incluirse en un banner de consentimiento en el sitio web para poder obtener el consentimiento de acuerdo con la normativa de protección de datos. Estos son en particular:
- identidad del responsable,
- fines de procesamiento,
- los datos procesados,
- la intención de una decisión exclusivamente automatizada (Art. 22 Párr. 2 lit. c) y
- la intención de transferir datos a terceros países (Art. 49 párr. 1 oración 1 lit. a)
También se aclara que los propósitos deben ser específicos. Palabras como «mejorar la experiencia de navegación» o «marketing, análisis y personalización» no son suficientes.
Lo mismo se aplica a la especificación de los socios: no es suficiente decir que los «socios» procesarán los datos; todos los socios también deben nombrarse individualmente.
Consejo práctico: el administrador de consentimiento ya proporciona la mayoría de los datos requeridos, pero debe verificar si los propósitos se nombran de manera suficientemente específica para sus áreas de aplicación.
Consentimiento inequívoco y empujones
Finalmente, la LFD deja claro que un botón debe ser claramente comprensible y claramente etiquetado. Un botón «Aceptar» no es suficiente aquí y «Aceptar todo» también puede resultar poco claro (si el texto no describe adecuadamente lo que se acepta).
Al mismo tiempo, la LFD deja claro que los llamados «modelos PUR» (aceptar publicidad o contratar una suscripción) pueden ser conformes.
La LFD también detalla que los llamados patrones oscuros o de empujón no están permitidos. El punto es que el usuario es empujado consciente o inconscientemente a tomar una decisión y, por lo tanto, se socava la «libre elección». Este ya es el caso si, por ejemplo, el botón de rechazo está diseñado de manera diferente (menos llamativo) o el rechazo solo es posible haciendo clic en «Configuración» o similar.
Consejo práctico: utilice siempre dos botones (aceptar y rechazar) y formule claramente.
El informe completo de la LFD Baja Sajonia se puede encontrar aquí .