cookies rgpd

COOKIES “à la RGPD” (I): LA RECETA OBLIGATORIA PARA COCINAR TUS COOKIES (LA RECETA DE BRUSELAS)

COOKIES “à la RGPD”: LA NUEVA RECETA OBLIGATORIA PARA COCINAR TUS COOKIES

(LA RECETA DE BRUSELAS)

1.   NORMATIVA APLICABLE:

La normativa relevante en esta materia es la “LOPD”, su Reglamento de Desarrollo y la archifamosa “LSSI” o Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico.

2.  ELEMENTOS DE INCERTIDUMBRE

Igual te suena que este 25 de mayo empezó a aplicarse el cacareado “RGPD” o reglamento europeo de protección de datos 2016/679.

Para saber más sobre el RGPD, consulta mi Guía-resumen sobre el RGPD.

Para saber más sobre @MarelisaBlanco, la autora de esa sublime infografía que mola tanto y que pone, al final del post, la guinda a esta montañita de cookies recién cocinadas, visita su blog.

Descarga la infografía aquí.

Pero más allá del RGPD, están aún en trámite dos normas fundamentales, que estaban previstas para entrar en vigor a la vez que el RGPD:

En derecho interno español, la nueva LOPD.

En derecho comunitario, el nuevo reglamento “e-privacy”, que vendrá a reemplazar a la antigua directiva de la que trae causa la actual LSSI, y lógicamente condicionará sus disposiciones.

Bueno, estas dos normas no han pasado a tiempo el control de seguridad y han perdido el vuelo. Esto viene a cuento, mi querido y paciente lector, porque lo que digan estas normas nos afectará (mucho) y, claro, hasta que se publiquen no sabremos si tenemos happy ending u otra cosa.

Pero digan lo que digan al final, no te equivoques, la receta que te indicamos ya es obligatoria desde el 25 de mayo.

3.  ¿¿QUÉ OBLIGACIONES TE IMPONE LA LSSI A TI, QUE VIVES EN Y DE “INTERNÉ”??

La actual LSSI básicamente impone obligaciones de información al consumidor o usuario a quienes prestas “servicios digitales” a través de tu página web.

Esa información debería incluirse en tres apartados:

3.1           “Términos y condiciones de uso de la Web”.

Aquí se dices quién eres, qué haces o qué vendes, e incluyes los requisitos que te afecten de los previstos en el artículo 10 de la LSSI. Si crees que esta es la parte más rollo, espera y verás.

3.2          “Política de privacidad”

En la “Política de privacidad” tienes que describir qué haces con los datos personales de tus usuarios, para qué, durante cuánto tiempo… Aquí impacta –y mucho- el RGPD (arts. 13 y 14), que amplía los contenidos sobre los que debes informar al titular de datos.

Son muchos los aspectos sobre los que tienes que informar, así que se aconseja un formato de información por capas: una primer con el contenido mínimo  y una segunda con todos los elementos detallados.

El nuevo contenido mínimo de esta información (el que tiene que constar en una primera capa de información) es el siguiente:

La identidad del responsable del tratamiento o de los responsables, si son varios.

Los datos de contacto del Delegado de Protección de Datos, en su caso,

La base jurídica o legitimación para el tratamiento, (habitualmente el acuerdo de uso de la web, el consentimiento, obligaciones legales, el interés legítimo)

El plazo de conservación de la información, en cada caso.

La existencia de decisiones automatizadas o elaboración de perfiles,

La previsión de transferencias de datos a países con legislación menos rigurosa en esta materia

El derecho a presentar una reclamación ante la AEPD.

3.3          Política de cookies

El caso de las cookies es una de las materias en las que más impacta el nuevo Reglamento General de Protección de Datos Personales.

3.3.1 El Objetivo:

De lo que se trata es de que el interesado se entere de lo que planeas hacer con sus datos, que conozca y comprenda esos tratamientos. Porque sólo conociendo esos tratamientos podrá siquiera aspirar a controlarlos (para empezar y como veremos, consintiéndolos o no).

3.3.2    El Ámbito de aplicación:

“No solo cookies”

Por simplificar, sólo hablamos de cookies. Pero ya tú sabes, querido lector, las distintas hierbas que se plantan en este jardín. La LSSI se aplica no sólo a cookies, sino a cualquier “dispositivo o mecanismo similar que permita el almacenamiento y recuperación de datos” (tracking cookies, pixel tags, canvas fingerprinting y demás cositas).

“No todas las cookies”

Se exceptúan (sólo) las cookies técnicas, las utilizadas estrictamente para permitir la comunicación entre el equipo del usuario y la red o bien solamente para prestar un servicio expresamente solicitado por el usuario (por ejemplo, las cookies de sesión, las de equilibrio de carga).

 

Vale, muy bien, pero… ¿cómo cambia el régimen de cookies con el RGPD?

Las obligaciones legales en relación con las cookies utilizadas en la web –según el apartado 2 del artículo 22 de la LSSI-, son dos:

1.- el deber de información sobre las concretas cookies utilizadas y

2.- la obtención del consentimiento debidamente informado para su uso.

En los dos casos el RGPD (que se aplica conjuntamente con la LSSI) cambia las cosas. A ver, vamos a ver:

4.  DEBER DE INFORMACIÓN (SOBRE TODAS LAS COOKIES)

4.1          ¿Dónde hay que informar?

Tienes que mantener permanentemente accesible al usuario la información sobre las cookies utilizadas en tu web, y los tratamientos de datos que se desarrollan a través de las mismas. Así que ya sabes: enlace a la Política de Cookies en un header o footer común y visible en toda tu web.

4.2          ¿De qué hay que informar?

El contenido general hasta la fecha en esta sección, era el siguiente:

¿Qué son las cookies?

¿Cómo puedes configurar y deshabilitar las cookies en cada navegador?

Descripción de las cookies utilizadas en la Web

Como comentaba antes, el RGPD, obliga ahora a informar sobre detalles adicionales (obligación de transparencia). En lo que a las cookies respecta, destacamos los siguientes:

El plazo o los criterios de conservación de la información, (la persistencia de cada cookie).

Información al menos de la existencia, en su caso, de tratamientos de profiling. Si este tratamiento es, digamos, intenso o se combina con la adopción de decisiones totalmente automatizadas tendrás que pedir el consentimiento explícito a tu usuario.

La previsión de transferencias internacionales a Terceros Países (fuera del Espacio Económico Europeo).

4.3          ¿Cómo, de qué forma?

Te aconsejo, pequeñ@ padawan:

Que distingas la “Política de privacidad” y la “Política de cookies”.

Y que, si incluyes enlaces externos a información sobre tus cookies, la web de destino esté en castellano: recuerda que el objetivo es que la gente se entere, no únicamente cumplir el expediente.

5.  OBTENCIÓN DEL CONSENTIMIENTO INFORMADO DEL INTERESADO

Malvado como soy, he dejado lo mejor para el final: una de las principales novedades del RGPD es que el consentimiento (para cualquier tratamiento de datos, también el que se produce a través de cookies) tiene que ser inequívoco, granular, revocable e informado. Vamos a ver por qué demonios es importante esto para ti:

5.1           “Inequívoco”

El consentimiento debe otorgarse mediante fórmulas inequívocas y activas, como p. ej. haciendo “clic” en un botón que indique “consiento”, “acepto” u otros términos similares, a la vista de la información obligatoria.

No cabe el uso de casillas premarcadas, ni considerar obtenidos consentimientos tácitos o presuntos de ninguna manera.

Aclaramos este aspecto, porque la AEPD, en su “Guía para Responsables del Tratamiento” de 2017 (pg. 6), viene afirmando exactamente lo contrario. (Más sobre esto, la próxima semana).

cookies rgpd

Llámame calvo seboso o lo que quieras: a mí me han dicho que escriba aquí lo que hay que hacer.

“Deducir” el consentimiento de continuar la navegación incumple la interpretación marcada por el comité de sabios del RGPD, antaño Grupo de Trabajo del Art. 29 (“GT29”) y hoy Comité Europeo de la Protección de Datos, lo dice clarinete:

cookies rgpd

Ya ves que no me lo invento. Pero Spain is different y la AEPD tiene su propia interpretación celtibérica del asunto, que te cuento la próxima semana. Pero no te vayas, sigue leyendo, que lo que viene te interesa.

5.2           “Granular”

El RGPD introduce la necesidad de suministrar información separada sobre cada una de las finalidades del tratamiento al interesado para obtener su consentimiento específico para cada una de ellas (Considerando 32 del RGPD).

Así que toma nota: organiza tus cookies en montoncitos formados por las que tengan la misma finalidad (técnicas, analíticas, publicitarias, profiling, otras), informa de esas finalidades y pide el consentimiento al usuario para cada montoncito.

Las solicitudes de consentimiento deben ser granulares, mostrando la opción de aceptar o no cada una de las finalidades/tratamientos pretendidos.

Además, cada tratamiento debe ser descrito en términos específicos y transparentes de modo que su desarrollo o ejecución sea suficientemente predecible para el interesado que lo consiente. Digo esto porque no debes olvidar el objetivo: que la gente se entere de lo que pretendes hacer con sus datos.

A título de ejemplo: expresiones como “trataremos sus datos para mostrarle publicidad relevante para usted” no permiten al interesado comprender suficientemente cómo se utilizarán sus datos personales recopilados a través del uso de tracking cookies. Expresiones como “utilizamos cookies para mejorar su experiencia de navegación” no significan nada. No informan de nada.

No miro a nadie. Es sólo un ejemplo.

5.3          “Revocable”

De acuerdo con el artículo 7.3 del RGPD, “Será tan fácil retirar consentimiento como fue prestarlo”.

En consecuencia, será necesario ofrecer la posibilidad de revocar el consentimiento con la misma granularidad con la que se prestó (cookie a cookie o, al menos, tratamiento a tratamiento).

Y en el caso de tratamientos realizados por distintos responsables, se posibilitará revocar el consentimiento prestado en relación con cada uno de ellos.

¿Complicado, verdad? Échale la culpa a Bruselas.

5.4          “Informado”: alcance de la información

El GT29, en sus guidelines sobre la obligación de transparencia (versión 13 de abril de 2018) indica como contenido mínimo de la primera capa de información la siguiente:

Identificación del responsable,

Finalidad del tratamiento y

Derechos del interesado.

Añade uno nuevo: las “consecuencias” del principal tratamiento, en especial cuando éste -o lo que es lo mismo, aquellas- pudieran “sorprender” al interesado.

En la segunda capa (puede ser la misma segunda capa de tu “Política de cookies”), tienes que cumplimentar toda la información completa de acuerdo con los arts. 13 y 14 del RGPD.

5.5          “Previo”

Es preciso impedir que las cookies (no técnicas) utilizadas por nuestra web se instalen efectivamente en el dispositivo del usuario antes de que éste haya manifestado su consentimiento de acuerdo con los puntos anteriores.

Sí, has leído bien.

Como ejemplos plugins capaces de conseguir esto, puedes ver y probar los de Onetrust (de pago) y Civicuk (wordpress, por la filosa).

6.  OMG, ¿ENTONCES QUÉ HAGO?

Para cumplir el RGPD como Dios manda, sólo las cookies técnicas que sean imprescindibles para el funcionamiento y carga de la web, podrán descargarse antes de que el usuario preste su consentimiento inequívoco.

En relación con el resto de cookies, de forma previa a su descarga, deberán cumplirse dos obligaciones:

1.- El criterio de Bruselas es que deberá informarse, como mínimo (primera capa) de:

El uso de cookies.

La identidad del responsable/s del/los tratamiento/s

Las finalidades del tratamiento de datos para las que vayan a servir.

Información sobre el tratamiento principal, de modo que ni éste ni sus “consecuencias” puedan sorprender después al interesado.

Los derechos del interesado incluyendo de forma específica –art. 13.2.c ) RGPD- la posibilidad de revocar en cualquier momento el consentimiento que se solicita.

(A elección del responsable, se pueden incluir en esta primera capa el resto de elementos que apunta el GT29 –como se explica en el apartado 3.2 anterior).

2.- Obtención previa del consentimiento activo, informado y granular

2.a. Debe obtenerse el consentimiento inequívoco, activo y específico del interesado. Éste tiene que hacer algo que indique sin dudas que acepta uno o varios tratamientos (un click, desplazar un botón o una barra, mover el móvil de una determinada manera, etc…).

2.b. Debe ofrecerse un mecanismo granular que permita al interesado consentir uno, varios o todos los tratamientos de datos sobre los que se informa.

Esto puede hacerse agrupando las cookies por categorías de tratamiento de datos (técnicas, personalización del servicios, medición y análisis estadístico del uso de la web, marketing mediante seguimiento anónimo a través de cruce de datos con webs de terceros, marketing para segmentar la publicidad mostrada en la web…)

La información puede suministrarse mediante iconos u otros métodos, siempre que las descripciones permitan al usuario comprender el tratamiento de sus datos personales que se realizará a través de las mismas.

3.- En todo caso siempre existirá una “segunda capa” con toda la información detallada.

Anticipo aquí que el criterio manifestado por la AEPD es muy distinto, y mucho más flexible. Explicaré este criterio la próxima semana.

rgpd cookies

“Estaré aquí pispo”

Jorge García Herrero

Abogado y Delegado de Protección de Datos.