En la Decisión, la DPA belga analiza las bases de legitimación en que se basa la instalación de cookies, diferenciando entre las cookies técnicas y las demás. En el primer caso, a diferencia del resto que se basan en el consentimiento, la instalación está justificada por el interés legítimo del editor de la página web. Por ejemplo, es el caso de cookies gracias a las que el editor de la web garantiza que el usuario puede interactuar correctamente con el sitio, registra las preferencias de idioma, recuerda su lista de la compra, en su caso, entre otros.
En cualquier caso, la autoridad belga hace hincapié en el hecho de que, aunque las cookies esenciales o técnicas no requieran del consentimiento previo del usuario, ello no excluye a los responsables de la obligación de informarles de su instalación. Teniendo en cuenta de que el banner que incluye esta información debe ser anterior a la instalación de cualquier cookie, esta debe proporcionarse, en caso de duda, en inglés.
La información a la que el usuario debe tener acceso antes de prestar su consentimiento para la instalación de las cookies debe incluir los siguientes extremos: identidad del responsable del tratamiento, las finalidades del tratamiento, la forma de aceptar o rechazar las cookies, los datos personales involucrados, el plazo de conservación de los datos y, siempre que sea posible, la clara referencia a la posibilidad de los usuarios de retirar el consentimiento previamente prestado en cualquier momento. Es importante incluir información sobre las concretas cookies utilizadas, ya sea en el banner, o en un link que lleve al usuario a la política de cookies, donde estén detalladas.
La autoridad de protección de datos belga recuerda que el uso de cookies de terceros que están ubicados fuera del Espacio Económico Europeo constituye una transferencia internacional de datos personales y, en consecuencia, esto debe ser tenido en cuenta a la hora de adoptar las garantías necesarias establecidas por el RGPD, así como este hecho debe estar reflejado en la documentación requerida por este texto como el Registro de Actividades del Tratamiento del responsable.
Finalmente, respecto de las cookie walls, aquellos banners de cookies que no permiten la navegación web sin un previo consentimiento sobre las cookies, únicamente entiende este organismo que son válidos para aquellas cookies que no pueden ser rechazadas por ser necesarias.