martes, 12 de noviembre de 2019

Cookies y protección de datos personales

Fuente de la imagen: mvc archivo propio
Parte de la tarde del lunes la pasé hojeando la Guía sobre el uso de las cookies, que ya referencié en el sitio Protección de Datos y que ha sido difundida por la Agencia Española de Protección de Datos (AEPD). La publicación[1] no es sino una actualización a la nueva normativa de la primera guía en Europa sobre esta materia[2], elaborada conjuntamente por la autoridad de protección de datos y los representantes de la industria[3]. El documento, cuya versión anterior acumula más de dos millones de descargas, recoge las orientaciones, garantías y obligaciones que la industria debe aplicar para utilizar tanto cookies como tecnologías similares (fingerprinting y otras)[4] cumpliendo la legislación vigente[5]

Según la AEPD, el documento analiza la necesidad de obtener el consentimiento informado del usuario antes de instalar las cookies, recogiendo tanto la obligación de transparencia en la información como el consentimiento en sí mismo, teniendo en cuenta que la nueva normativa de protección de datos establece unos requisitos más estrictos. Además, las instrucciones se complementan con ejemplos prácticos de fórmulas válidas para recabar el consentimiento de los usuarios. En cuanto a la transparencia a la hora de ofrecer información, la Guía determina que la información debe ser concisa, transparente e inteligible, utilizando un lenguaje claro y sencillo[6]

En cuanto al consentimiento en el uso de cookies[7], la información debe seguir siendo fácilmente accesible, promoviendo la información por capas, clarificando que se debe facilitar antes del uso o instalación de las cookies mediante un formato visible, y que deberá mantenerse hasta que el usuario realice la acción requerida para otorgar el consentimiento o rechazar la instalación[8]. Se admite la opción de “seguir navegando” como fórmula válida para obtener el consentimiento tras haber informado de ello[9]. También, se indica la necesidad de que el usuario realice una acción que pueda calificarse como una clara acción afirmativa[10]

En relación al enlace o botón para administrar las preferencias, la AEPD apunta que debe llevar al usuario directamente al panel de configuración y podrá integrarse en la segunda capa informativa. El protocolo recoge que en el panel podrán implementarse dos botones: uno para aceptar todas las cookies y otro para rechazarlas todas[11]. En la segunda capa, se añade la obligación de facilitar información sobre las transferencias de datos a terceros países realizadas por el editor; sobre la elaboración de perfiles, cuando implique la toma de decisiones automatizadas con efectos jurídicos para el usuario o que le afecten significativamente; y sobre el periodo de conservación de los datos[12]

Interesante la inclusión de un apartado sobre “actualización del consentimiento”, en el que se destaca como buena práctica que la validez del mismo para el uso de una determinada cookie no tenga una duración superior a 24 meses y que durante este tiempo se conserve la selección realizada por el usuario sobre sus preferencias, sin que se le solicite un nuevo consentimiento cada vez que visite la página en cuestión. Finalmente, la AEPD recuerda que existen una serie de cookies exentas[13], que quedan excluidas del ámbito de aplicación del artículo 22.2 de la LSSI y sobre las que, por lo tanto, no es necesario informar ni obtener el consentimiento sobre su uso[14]. Fuente de la información: AEPD. 
___________________________________________
[1] Elaborada por la AEPD junto a las asociaciones ADIGITAL, Anunciantes, AUTOCONTROL e IAB Spain. 
[2] El papel esencial que juegan las cookies para la prestación de numerosos servicios en Internet y, a la vez, las implicaciones que tienen en la privacidad de los usuarios ha determinado la necesidad de implantar un sistema en el que el usuario sea consciente de quién, cómo y para qué utiliza sus datos personales. 
[3] Si quieres acceder al documento, clickea AQUÍ
[4] Dadas las múltiples complejidades que plantea el uso de las cookies, las orientaciones pretenden servir de guía para que las entidades adopten decisiones sobre la solución más adecuada a sus intereses y modelo de negocio. 
[5] Las soluciones propuestas en la guía pretenden ofrecer orientaciones sobre cómo cumplir las obligaciones previstas en el apartado segundo del artículo 22 de la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI), en relación con el Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica 3/2018 de Protección de Datos y garantía de los derechos digitales (LOPDGDD). 
[6] Debe evitarse el uso de frases confusas como “usamos cookies para personalizar su contenido y crear una mejor experiencia para usted” o “para mejorar su navegación”, o frases como “podemos utilizar sus datos personales para ofrecer servicios personalizados” para referirse a cookies publicitarias que almacenan información sobre el comportamiento de los usuarios mediante el análisis de los hábitos de navegación. 
[7] Para el caso de que un usuario preste su consentimiento. 
[8] Como ejemplo de modalidad válida para recabar el consentimiento, la Guía incluye las opciones de aceptar, rechazar o configurar las cookies. 
[9] Reforzando las garantías para que pueda ser considerada como una clara acción afirmativa e incorporando procedimientos para que denegar el consentimiento pueda ser tan sencillo como prestarlo. 
[10] A modo de ejemplo, podrá considerarse así navegar a una sección distinta del sitio web (que no sea la segunda capa informativa sobre cookies ni la política de privacidad), deslizar la barra de desplazamiento, cerrar el aviso de la primera capa o pulsar sobre algún contenido del servicio, sin que pueda considerarse una aceptación el hecho de permanecer visualizando la pantalla, mover el ratón o pulsar una tecla del teclado. 
[11] Estas posibilidades se admiten con el fin de facilitar la navegación del usuario evitando que tenga que ir marcando una por una las cookies que acepta o rechaza, partiendo de la premisa de que se le ha ofrecido una información granular que le permita tomar decisiones de forma selectiva. 
[12] Para que de ese modo la información que se suministra contenga los extremos del artículo 13 del Reglamento General de Protección de Datos. 
[13] Conocidas como cookies técnicas. 
[14] Por razones de transparencia, la AEPD recomienda informar de su utilización y recoge el siguiente ejemplo de cláusula informativa: “Este sitio web utiliza cookies que permiten el funcionamiento y la prestación de los servicios ofrecidos en el mismo”.