Decaimiento del consentimiento: ¿Cuándo caduca su consentimiento de cookies bajo GDPR?

Obtuviste el consentimiento de un usuario hace seis meses, pero ¿ese consentimiento sigue siendo válido hoy? En el mundo de GDPR, el consentimiento no es "para siempre". Es una elección dinámica que puede expirar o "decaer" con el tiempo.

Si bien el GDPR no proporciona una fecha de vencimiento específica para el consentimiento de las cookies, las Autoridades de Protección de Datos (APD) son claras: si el contexto cambia o pasa demasiado tiempo, debes volver a preguntar.

Este blog desglosa las directrices legales para la vida útil del consentimiento, explica el concepto de "decaimiento" y muestra cómo una plataforma automatizada de gestión del consentimiento (CMP) es esencial para gestionar este riesgo y mantener el cumplimiento de la recopilación de datos.

---

1. ¿Qué es la "caída del consentimiento" y por qué sucede?

La decadencia del consentimiento es el riesgo legal de que el consentimiento original que dio un usuario ya no se considere válido debido a cambios en su negocio o en las expectativas del usuario.

Sucede por dos razones principales:

• Cambio de propósito: si comienza a recopilar datos por un nuevo motivo (por ejemplo, utilizar un nuevo proveedor de seguimiento o lanzar una campaña de remarketing que no tenía antes), el consentimiento original ya no es Específico ni Informado: dos pilares fundamentales de la validez de GDPR.
• Cambio en las expectativas (tiempo): La relación de un usuario con su sitio se degrada con el tiempo. Después de un año o más de inactividad, es posible que su elección original ya no refleje sus deseos actuales. Por este motivo, las DPA recomiendan una revisión periódica.

---

2. La regla legal: vida útil no específica de GDPR

El GDPR es claro sobre lo que hace que el consentimiento sea válido (Otorgado libremente, Específico, Informado, Inequívoco), pero intencionalmente no establece un límite de tiempo sobre cuánto dura el consentimiento.

• El problema: Esta ambigüedad hace que la carga de la prueba recaiga enteramente en usted (el responsable del tratamiento de datos). Debe poder argumentar en una auditoría que el consentimiento sigue siendo "informado" y "específico" en función de la relación actual del usuario con su marca.
• Mejores prácticas de la DPA: Los reguladores europeos, incluidos CNIL de Francia y ICO del Reino Unido, recomiendan revisar y actualizar el consentimiento a intervalos apropiados (a menudo citado como de 6 a 24 meses, dependiendo de la frecuencia de la interacción del usuario). Esta es la mejor defensa contra una multa.
• El requisito clave: Si sus operaciones o propósitos de procesamiento evolucionan, usted debe buscar un nuevo consentimiento.

---

3. Riesgo de cumplimiento: cuando el consentimiento no válido genera multas

La sanción por recopilar datos basándose en un consentimiento deteriorado es la misma que por recopilar datos sin ningún banner: una violación GDPR.

• Error de la auditoría: si un auditor ve que está utilizando el consentimiento otorgado hace tres años para un usuario que no ha visitado en dos, puede argumentar que el consentimiento no es lo suficientemente Informado o Específico.
• Retiro faltante: Si el banner original no cumplía con los requisitos (por ejemplo, no era fácil "Rechazar todo") y no lo solucionó, todo el procesamiento posterior se basa en una base defectuosa.
• Datos engañosos: Depender del consentimiento antiguo distorsiona sus datos. Es posible que esté rastreando a usuarios que hace mucho que olvidaron que aceptaron, lo que lleva a campañas de marketing ineficaces basadas en intenciones antiguas e inexactas.

---

4. Mejores prácticas: cómo automatizar la renovación del consentimiento de manera responsable

La clave para gestionar el deterioro es utilizar su CMP para establecer límites de tiempo lógicos y compatibles y volver a avisar al usuario en el momento adecuado.

1. Establezca un período de renovación constante: Según las recomendaciones de DPA y su lógica empresarial, configure su CMP para activar un nuevo aviso. 12 meses es un punto de referencia común y responsable para los usuarios activos.
2. Activación por inactividad: Para los usuarios que no han regresado a su sitio en un período determinado (por ejemplo, 6 meses), es más probable que se anule su consentimiento. El CMP debería volver a mostrar el banner en su próxima visita.
3. Actualización sobre el cambio de política: Si actualiza su Política de privacidad o agrega un nuevo proveedor de seguimiento, el CMP debe invalidar automáticamente todo el consentimiento existente y activar una nueva visualización de banner para todos los usuarios, pidiéndoles que acepten los nuevos términos.
4. Utilice los registros de auditoría de CMP: Su CMP debe registrar la fecha y hora de la última acción de consentimiento. Esta prueba es esencial si alguna vez necesita demostrar en una auditoría que actualizó el consentimiento correctamente.

---

Conclusión final

Si bien GDPR no establece una fecha de vencimiento en el consentimiento, no gestionar la decadencia del consentimiento es una falla de cumplimiento. El consentimiento debe gestionarse activamente para permanecer "informado" y "específico".

Un CMP robusto es la única herramienta confiable para automatizar este proceso, garantizando que su recopilación de datos sea legalmente sólida.

---

Fuentes:

• GDPR (Reglamento General de Protección de Datos) - Artículos clave
• ICO (Oficina del Comisionado de Información del Reino Unido) - Guía de consentimiento
• CNIL (Autoridad Francesa de Protección de Datos) - Directrices sobre cookies