Cookies: 5 Mitos falsos y 3 verdades verdaderas
Esto de las cookies es un no parar.
En este post analizaremos rápida y jocosamente los cinco mitos más extendidos que me he encontrado en mis luchas a brazo partido “intercambios de opiniones” con marketing.
Luego comentaremos con cierto detalle, las sentencias Fashion Id, Planet 49, las novedades de la Guía de Cookies de noviembre pasado, para terminar con la recientísima y poco sorprendente revisión por parte del CEPD de sus Guidelines sobre consentimiento.
Las sentencias Fashion Id y Planet 49, sin decir nada absolutamente nuevo, hicieron ruido: con ellas muchos tuvieron que asumir que conceptos añejos como la corresponsabilidad o el consentimiento inequívoco también iban con ellos.
Quienes tomaron el camino recto, que siempre estuvo bien claro, no tienen nada que cambiar hoy. Y esa es la virtud de implementar soluciones rigurosas. Si conduces ceñido a la línea divisoria entre los dos carriles, siempre tienes espacio para irte a la cuneta si lo necesitas. En cambio, si conduces con una rueda fuera de la calzada y ocurre lo ¿inesperado?, ya te has quedado sin margen de maniobra.
Pero empecemos, empecemos con el ingenio hispánico que nunca te deja de sorprender.
Indice
- Mis cinco bulos favoritos sobre las cookies
- 1.- El Reglamento General de Protección de Datos no aplica a mi web: la LSSI es ley especial, y desplaza al Reglamento General de Protección de Datos.
- 2.- Yo no uso cookies, uso otras cosas, así que la LSSI no aplica a mi web.
- 3.- Todas mis cookies son técnicas, por tanto, necesarias. Así que no tengo que pedir consentimiento para utilizarlas.
- 4.- Yo es que voy por interés legítimo. Me acojo al considerando ese del RGPD. No sé qué número era, pero era ese.
- 5.- Cumples con poner ahí el banner de cookies: el usuario se come las cookies en cuanto carga la web. ¿Cómo que no? ¡¡¡ Pero si todo el mundo lo hace !!!
- Sentencias clave recientes del TJUE
- 1) Resolución “Fashion ID” del TJUE (corresponsabilidad entre el administrador del sitio web y el proveedor de un botón social).
- 2) Resolución “Planet 49” del Tribunal de Justicia de la Unión Europea (consentimiento al uso de cookies)
- Mientras tanto en España…
- 1) Novedades de la nueva Guía de cookies
- 2) Sanción a Vueling
1.- El Reglamento General de Protección de Datos no aplica a mi web: la LSSI es ley especial, y desplaza al Reglamento General de Protección de Datos.
NO: aplican conjuntamente. La LSSI de 2002 (siguiendo la Directiva eprivacy, aún vigente-, exige el consentimiento del usuario para almacenar información –o cookies- en el dispositivo del usuario, o a acceder a la información –o cookies- ya almacenadas.
No tan rápido, vaquero: el art. 22 LSSI se refiere a “dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios” y la AEPD lo aplica sin tapujos a “cookies y tecnologías similares utilizadas (tales como local shared objects o flash cookies, web beacons o bugs, y a cualquier técnica de fingerprinting).
NO: las cookies técnicas han recibido alguna interpretación favorable en la última guía de cookies, pero desde luego están tasadas. No son técnicas todas las cookies que te interesa que sean técnicas.
Pero luego hablamos de eso.
4.- Yo es que voy por interés legítimo. Me acojo al considerando ese del RGPD. No sé qué número era, pero era ese.
NO: Es el Considerando 47. Y reconoce que el tratamiento de datos personales con fines de mercadotecnia directa puede considerarse realizado por interés legítimo.
Vale, de acuerdo.
Peeero si se trata de “almacenar o recuperar datos en equipos terminales del destinatario” de servicios de la sociedad de la información, aplica la LSSI, y la LSSI impone explícitamente el consentimiento en su ámbito de aplicación, sin dejar espacio al interés legítimo.
Podemos estar de acuerdo en que, efectivamente, todo el mundo lo hace.
Otra cosa es que eso sea legal.
No hacía falta, porque era evidente, pero la AEPD ha dicho por activa y por pasiva que las cookies sólo pueden descargarse después de que el usuario haya otorgado su consentimiento.
Y ahora, pongámonos un poco más técnicos:
Sentencias clave recientes del TJUE
En 2019 se publicaron dos resoluciones del Tribunal de Justicia de la Unión Europea que han clarificado varias cuestiones legales de gran repercusión en el “planeta web”.
El caso:
Fashion Id, una tienda de ropa online alemana utilizaba –como casi todas- el botón “me gusta” de Facebook para permitir al visitante compartir las prendas que le habían gustado o había adquirido.
El botón “me gusta” de Facebook era capaz de identificar al visitante de cualquier web en la que se integre –si tiene cuenta abierta en Facebook-, y –aunque no la tuviera- de reconocerle en cualquier otro caso, para seguirle y conocer qué otras webs visitaba desde ese momento.
Una asociación de consumidores denunció a Fashion Id por ceder los datos de los visitantes a Facebook, sin su consentimiento.
De la sentencia del TJUE se extraen las siguientes conclusiones:
- Fashion Id no participa, pero se beneficia del tratamiento realizado por Facebook sobre los datos de los visitantes o clientes de Fashion Id. En consecuencia, es responsable y está obligado a informar del tratamiento de datos que Facebook realiza.
- La corresponsabilidad existe, pero la responsabilidad de cada actor está limitada a la actividad de tratamiento en la que concretamente intervenga.
- Se puede ser corresponsable sin acceso a los datos personales. incluso sin decisión concreta sobre el tratamiento realizado por el otro corresponsable. Lo relevante es la capacidad potencial de las partes para decidir –o haber decidido- los fines y los medios utilizados en el tratamiento.
- Así, en relación con los botones sociales web, el administrador de la web y el cesionario son corresponsables en la recogida y la cesión al tercero (Facebook) de los datos.
- El deber de información le corresponde al administrador del sitio web por ser este el punto de captación de los datos y el que tiene relación directa con el visitante, pero sólo con respecto a la recogida y cesión, y no en lo que realice el proveedor por su cuenta y riesgo.
- El administrador de la web debe garantizar que las cookies (propias y de terceros) serán efectivamente bloqueadas si el usuario no da su consentimiento.
- Todo lo anterior es aplicable a cookies y cualquier tipo de “dispositivo análogo de almacenamiento y recuperación de datos” (pixel, tag manager, fingerprinting), y no solo a los botones sociales referidos en la propia sentencia.
Por aquí escribimos sobre la interacción entre esta sentencia y la directiva PSD2, cuya aplicación se retrasó.
Y también hemos apreciado interesantes interacciones -digo esto por no decir un incumplimiento generalizado- en la combinación cookies de terceros + web de ente público, que por tanto no es entidad prestadora de servicios de la información.
El caso:
Planet 49, una web alemana de juego recreativo online obligaba, como condición al uso, al visitante a marcar una casilla autorizando cesión de datos a terceros para fines comerciales, y ofrecía otra casilla opcional, pero premarcada por defecto de aceptación al uso de cookies.
De la sentencia del TJUE se extraen las siguientes conclusiones:
- El consentimiento para el uso de cookies debe ser diferente al requerido en el sitio para cualquier otra finalidad.
- El usuario debe otorgarlo a través de una clara acción afirmativa, es decir, que no puede esta premarcado o deducirse de su inacción.
- En la información detallada al usuario (política de cookies) se le debe informar específicamente del plazo en el que cada una de las cookies permanecerán activas.
- Por cookie se debe entender, además de las comunes, también cualquier otro sistema que permita identificar y rastrear al usuario, aunque no implique la descarga de ningún archivo en el navegador o dispositivo del usuario.
- Lo anterior aplica con independencia de si las cookies recaban datos personales o no personales.
Mientras tanto en España…
En octubre de 2019 se publicó la guía de cookies de la AEPD, actualizada al Reglamento General de Protección de Datos, y llegó la 1º gran sanción nacional en esta materia.
Para un análisis más pormenorizado, nos remitimos a este análisis. En lo que aquí interesa, las novedades fueron:
Se acepta un consentimiento «inequívoco siempre que sea cualificado»
- Se acepta entender que el visitante consiente el uso de cookies por el mero hecho de seguir navegando, cerrar el banner informativo, etc… siempre que dicho hecho quede claro en la información disponible. Esta postura ha sido abiertamente cuestionada y criticada desde la Unión Europea y otras autoridades de cumplimiento como la irlandesa. Y por más gente.
- La AEPD propone las siguientes modalidades, para entender otorgado el “consentimiento inequívoco”: deslizar la barra de desplazamiento del navegador, cerrar el banner informativo o pulsar sobre algún contenido concreto de la web distintos de la información adicional de cookies, política de cookies o política de privacidad.
- No se aceptan como asimilables a dicho consentimiento las siguientes acciones:
Permanecer en la pantalla sin realizar nada de lo anterior
Mover el ratón por la pantalla
Pulsar una tecla del teclado
Consultar la 2º capa informativa o acudir a la política de cookies o de privacidad
- Si se tratan datos de categoría especial (salud, ideología), o fuera exigible por otra razón el consentimiento explícito (decisiones automatizadas con efecto sobre el usuario) no cabe utilizar la modalidad de “seguir navegando”.
- No se pueden descargar las cookies hasta que el usuario las haya aceptado o cumplan los parámetros marcados para “seguir navegando”. El consentimiento a su uso tiene que ser, lógicamente, previo, ya en su versión “activa” o ya “inferida”.
Cookies “técnicas”: un concepto bastante generoso en España
- No es necesario informar de las cookies técnicas que permiten exclusivamente que la página, app, plataforma o servicio funcione correctamente, por considerarse estrictamente necesarias o exentas.
- Se consideran técnicas, y, por tanto, exentas, las cookies que sirvan exclusivamente para gestionar espacios publicitarios del sitio, siempre que no se recopilen datos para un uso distinto, como, por ejemplo, publicidad comportamental.
- También aquellos botones sociales que sirvan para compartir contenidos en redes sociales, en el bien entendido de que deben requerir del usuario que se loguee activamente en su red social. Si el contenido se comparte con un click, amigos, aplica «Fashion Id».
Panel de configuración de cookies
- Se consideran técnicas las cookies necesarias para permitir al usuario compartir contenidos en sus redes sociales, siempre que sólo sirvan para esto, y requieran del usuario que se autentique activamente en el servicio correspondiente.
- Se debe suministrar un panel que permita activar y desactivar los distintos tipos de cookies al usuario en cualquier momento.
- La segunda capa (y panel de aceptación/revocación selectiva de cookies), debe poder ser fácilmente accesible en todo momento desde la página principal de la web o como enlace dentro de la política, pero no puede estar a más de dos clicks de distancia de la primera capa.
2) Sanción a Vueling
En octubre de 2019, la Agencia Española de Protección de Datos (AEPD) impuso a la compañía aérea Vueling una sanción de 30.000 euros por no cumplir con los siguientes elementos en materia de cookies:
- No se cumplen los requisitos impuestos por el RGPD para el consentimiento (las cookies se descargan sin que el usuario haga nada, y sin posibilidad de oponerse a que las cookies se activen), es decir, la web estaba configurada en base al consentimiento tácito de la antigua ley de protección de datos.
- No se da la posibilidad de revocar el consentimiento dado.
- No existe un panel de configuración o gestión de cookies que permita al usuario decidir qué tipos de cookies acepta y cuáles no, es decir, que cuente con un botón para rechazar todas las cookies, otro para habilitar todas las cookies o hacerlo de forma granular para poder administrar preferencias.
- En atención al punto anterior, no se da la información suficiente al usuario con la mera remisión a criterios genéricos de configuración de cookies en los navegadores más utilizados.
Lo más interesante aquí es que la AEPD impone esta cuantía tan elevada en base a varios factores aplicables al caso, y que se encuentran regulados en el artículo 40 de la Ley de Servicios de la Sociedad de la Información (aplicable por ser la ley especial que regula las cookies en España):
- Los beneficios obtenidos por la infracción en relación con el gran volumen de usuarios.
- Volumen de facturación de la compañía reclamada.
- La existencia de intencionalidad por parte de la compañía.
- Plazo de tiempo en el que se lleva cometiendo la infracción.
- La naturaleza y cuantía de los perjuicios causados por el gran volumen de usuarios.
Hoy mismo, si entras en su web, Vueling te encaloma, ahí es nada, 16 cookies al cargar la web. Poco le importa esto a una empresa que está en riesgo de desaparición con el COVID 19, de acuerdo.
Lo que importa es que siempre ha sido así: Vueling, a pesar de la sanción, siguió descargando en todo momento un saco de cookies sin consentimiento, convirtiéndose en una especie de chiste recurrente en Secuoya.
Epílogo (de momento): postrero tirón de orejas de Bruselas
El pasado 6-5-2020 el EDPB publicó la nueva versión de las Guidelines sobre Consentimiento.
La nueva versión no presenta novedades materiales, únicamente subraya determinadas cuestiones que, posiblemente, no habían quedado suficientemente claras a los operadores y a alguna autoridad de cumplimiento:
1.- El consentimiento prestado por el usuario a efectos de cookies tiene que cumplir el RGPD (la Directiva Eprivacy no “desplaza”, sino que se aplica conjuntamente junto con el RGPD en su ámbito de aplicación). Y por tanto:
2.- No se puede considerar «bajo ninguna circunstancia» acción «clara y afirmativa» a efectos de consentimiento al uso de cookies, la de seguir navegando, desplazarse por una web con la barra de scroll o con el dedito, «ni cualquier actividad similar«.
3.- Los “cookie walls” son ilícitos: (los “cookie walls” son banners u otros dispositivos que bloquean el acceso al contenido si no se acepta el uso de cookies).
Según el EDPB, un proveedor de servicios de la sociedad de la información no puede denegar al usuario el acceso a su servicio, por no aceptar éste el uso de cookies o tecnologías análogas. Y si éste finalmente lo acepta, ese consentimiento no habrá sido libre, ni por tanto, válido.
La pelota está ahora en el tejado de la AEPD, que debería confirmar o matizar su postura.
Entretanto pecadores, no se apresuren a cambiar sus banners de cookies: algo me dice que la AEPD sólo va a recular, ya si eso, un milímetro. No en vano, tendrían sus razones para decir lo que dijeron.
Jorge García Herrero
Abogado y Delegado de Protección de Datos
Photo by Wonderlane on Unsplash