La respuestas es que si se puede, pero que no es nada sencillo. Cumplir con el Reglamento General de Protección de Datos (RGPD) en lo que se refiere a las cookies requiere de plugins bien adaptados al actual reglamento, de un proceso de investigación sobre las cookies que realmente genera tu web, de algo de programación para evitar que las cookies se generen de forma no controlada y finalmente de documentar cuidadosamente qué cookies usa tu web y para qué.

Esta web cumple con el RGPD en lo que a cookies se refiere (y en muchos mas aspectos). En este artículo te cuento los pasos que he tenido que dar para pasar del obsoleto aviso sobre uso de cookies a un cumplimiento estricto de lo que dice el reglamento.

¿Y qué dice el RGPD sobre las cookies?

El Reglamento General de Protección de Datos de carácter personal recoge como un derecho fundamental la protección de las personas físicas en relación con el tratamiento de sus datos personales.

Los principios y normas relativos a la protección de las personas físicas en lo que respecta al tratamiento de sus datos de carácter personal deben, cualquiera que sea su nacionalidad o residencia, respetar sus libertades y derechos fundamentales, en particular el derecho a la protección de los datos de carácter personal[…]

REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO
de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos)

El considerando número 30 nos habla de las cookies, como un tipo de dato personal que estamos tratando. No se vuelven a mencionar en todo el RGPD.

Las personas físicas pueden ser asociadas a identificadores en línea facilitados por sus dispositivos, aplicaciones, herramientas y protocolos, como direcciones de los protocolos de internet, identificadores de sesión en forma de «cookies» u otros identificadores, como etiquetas de identificación por radiofrecuencia. Esto puede dejar huellas que, en particular, al ser combinadas con identificadores únicos y otros datos recibidos por los servidores, pueden ser utilizadas para elaborar perfiles de las personas físicas e identificarlas.

REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO
de 27 de abril de 2016

No obstante al ser consideradas datos de carácter personal son de aplicación los principios básicos de tratamiento. En particular:

El consentimiento debe darse mediante un acto afirmativo claro que refleje una manifestación de voluntad libre, específica, informada, e inequívoca del interesado de aceptar el tratamiento de datos de carácter personal que le conciernen, como una declaración por escrito, inclusive por medios electrónicos, o una declaración verbal. Esto podría incluir marcar una casilla de un sitio web en internet, escoger parámetros técnicos para la utilización de servicios de la sociedad de la información, o cualquier otra declaración o conducta que indique claramente en este contexto que el interesado acepta la propuesta de tratamiento de sus datos personales. Por tanto, el silencio, las casillas ya marcadas o la inacción no deben constituir consentimiento. El consentimiento debe darse para todas las actividades de tratamiento realizadas con el mismo o los mismos fines. Cuando el tratamiento tenga varios fines, debe darse el consentimiento para todos ellos. Si el consentimiento del interesado se ha de dar a raíz de una solicitud por medios electrónicos, la solicitud ha de ser clara, concisa y no perturbar innecesariamente el uso del servicio para el que se presta.

REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO
de 27 de abril de 2016

Este párrafo recoge quizá las diferencias mas importantes con respecto a la legislación anterior.

• El consentimiento no puede darse por defecto. El simple hecho de usar la web no constituye un consentimiento explícito.
• Tampoco se considera un consentimiento explícito cuando aparecen casillas ya marcadas.
• El consentimiento al tratamiento se concede para fines concretos, no de forma genérica.
• La opción de no consentir en el tratamiento debe estar contemplada.