COOKIES Y RGPD

Cookies y RGPD: La Receta Española

Cookie y RGPD: La receta española

Va a resultar que lo de las cookies y el RGPD era más fácil de lo que parecía. Al menos en España.

En su sesión abierta del pasado día 4 de junio, la AEPD provocó un vuelco en nuestros maltratados corazones protectores de datos. El vídeo de Jesús Rubí y su presentación, al final del post.

Y no para mal.

Lo primero, un flashback

Los dolores de cabeza del webmaster en 2018 se producen fundamentalmente por dos razones:

  • La obligación de informar al usuario de nuestros tratamientos de datos conforme a la ley.
  • La obligación de bloquear la descarga de cookies hasta el momento que el usuario las consienta (de uno u otro modo, como veremos).

 

Ghostery (la popular herramienta que permite verificar entre otras cosas si las cookies de marras se descargan o no) echa humo en Europa.

Recordemos que estas obligaciones no las impone “de nuevas” el RGPD. Ya estaban previstas en la LSSI, la Ley de Servicios de la Sociedad de la Información.

En un post anterior explicamos cómo interpreta el Comité Europeo de Protección de Datos (lo que venía siendo el Grupo de Trabajo del Artículo 29, el consejo de sabios de Bruselas en la materia) el cumplimiento de estas obligaciones.

Hoy veremos cómo dice la AEPD que debe hacerse: comprobarán que el contenido de este post es mucho más fácil de cumplir que el del anterior.

A.- El contenido mínimo de la información a suministrar es el siguiente:

1.- Identificación del responsable o responsables (los titulares de cookies de terceros pueden informarse en segunda capa).

2.- Finalidades de tratamientos:

  • Cookies analíticas,
  • publicitarias y
  • elaboración de perfiles
  • (y cualesquiera otras distintas, en su caso)

 

La descripción de las finalidades debe permitir al usuario entender qué demonios se hace con sus datos.

Por ejemplo: “se usan cookies para la elaboración de perfiles basados en hábitos de navegación del usuario” o como uno quiera, pero dejando claro que se monitorizan los hábitos de navegación y se elaboran perfiles.

La AEPD proporciona unos cuentas avisos para navegantes (es decir, para editores de webs):

  • Que no se utilicen expresiones jetas como la siguiente, que no significan nada: «usamos cookies para personalizar su contenido y crear una mejor experiencia para usted» o «para mejorar su navegación».
  • La información y captura del consentimiento debe referirse al uso de cookies (tratamiento), no al hecho de recibir o no publicidad (finalidad).
  • Debe informarse de (y proporcionarse) la posibilidad de revocar el consentimiento prestado al uso de cookies con la misma facilidad con la que se prestó.
  • La práctica de profiling (pero se interpreta que esta información ya se ha suministrado, en su caso, si se ha hecho referencia a la “observación de hábitos de navegación”, por ejemplo).
  • Transferencias internacionales de datos a terceros países (donde se traten datos captados por o cedidos a terceros). La información sobre las garantías adecuadas establecidas en este caso puede llevarse a la segunda capa.

B.- Captura del consentimiento

Es válida la fórmula de considerar otorgado el consentimiento por el mero hecho de “seguir navegando” siempre que el usuario disponga de la información anterior y alguna de las dos siguientes configuraciones de control:

COOKIES Y RGPD

Lo cual sigue contradiciendo lo que se nos dice desde Bruselas, pero luego hablamos de eso.

Más advertencias:

  • La AEPD advierte que lo que no se puede hacer es plantar un mero botón de “aceptar” y luego interpretar que el consentimiento se ha prestado igualmente aunque no lo pulsemos, por el simple hecho de continuar navegando.

Y ello porque así se crea una falsa ilusión de control en el usuario que cree que no pulsando el botón, no acepta, pero se le instalan de cualquier manera las cookies.

  • Se advierte expresamente que el rollo “seguir navegando” no vale cuando el RGPD exige el consentimiento explícito (tratamientos de datos de categoría especial, transferencia internacional de datos a países con menos protección que en la UE, procedimientos de decisión totalmente automatizada, …).

 

En cuanto al panel de control en segunda capa (donde enseñamos la info y controles sobre las distintas cookies que utilizamos):

 

  • Estará enlazado en la primera capa. Es decir, no se puede obligar al usuario a “arrebuscarlo por todas partes”.
  • El usuario podrá aceptar, pero sobre todo, rechazar todas las cookies pertenecientes a una misma categoría de una tacada, mediante un solo botón o control similar. Este aspecto es importante, porque prácticamente todos los medios de comunicación online incumplen este aspecto: permiten aceptar cookies por categorías de esta manera, pero luego, para excluirlas, te obligan a hacerlo una a una, incluso obligándote a seguir enlaces a la web del responsable de cada una.
  • Una última advertencia de la AEPD: no se puede deducir el consentimiento al uso de cookies del hecho de que el usuario pulse el botón de “configuración avanzada” (ni bajo la idea de “haber seguido navegando” ni bajo ninguna otra).

Valoración: ¿elegir la receta de cookies con mejillones a la Belga o con tortilla española a la AEPD?

Hay que reconocerle a la Agencia el guiño a la pequeña empresa: bastante trabajo es hacer una adaptación decente al RGPD, como para tener que implementar estos extraños y sofisticados artefactos de registro de consentimiento tipo OneTrust. La AEPD nos lo ha intentado esta vez, poner fácil.

Pero hay una cosita.

Cualquier empresa con alguna aspiración (por pequeña que esta sea) de captar clientes fuera de España, en el resto del territorio Unión Europea, se verá expuesta, si sigue la receta española para “cocinar” las cookies, a reclamaciones o denuncias de usuarios que no estén en España.

Usuarios que estarán familiarizados con otro tipo de banners, y de interpretación del consentimiento inequívoco.

Recordemos que los interesados pueden interponer sus denuncias ante las autoridades competentes en sus lugares de domicilio o de trabajo. (La Agencia de Protección de Datos francesa, alemana, sueca… que interpretarán, previsiblemente estas cosas según la receta de Bruselas, no a la española).

COOKIES Y RGPD

Por tanto, lejos, muy lejos de las protectoras faldas de la AEPD.

Así que sí, cualquier web con un mínimo afán de internacionalización, creo yo, debería optar por implementar su banner y panel de configuración de acuerdo con las instrucciones del CEPD (la receta de Bruselas).

Mucha, mucha suerte con lo que decidan.

Vídeo de la intervención de Don Jesús Rubí, en el que explica todo esto:

Y la presentación en la que se apoya, la puedes descargar aquí.

Feliz semana.

Jorge García Herrero

Abogado y Delegado de Protección de Datos.