Corresponsabilidad y cookies

Corresponsabilidad y cookies (e interés legítimo: también interés legítimo)

Con motivo del cacareado fin de la moratoria para la aplicación de la nueva guía de cookies, merece la pena recordar unas cuantas cosas, como hicimos hace unos meses, y destacar otras nuevas. 

Este mismo mes nos desayunábamos con la noticia de que la autoridad belga de protección de datos tiene abierto un sancionador contra IAB en relación con su marco de cumplimiento en materia de «cookies y otras hierbas», el marco de transparencia y consentimiento -o TCF por sus siglas en inglés-. Su informe, que el medio no publica, parecía hacer referencia a incumplimientos de los principios de transparencia, lealtad, accountability y licitud en el tratamiento: casi ná. Además pondría sobre la mesa una realidad evidente: que este marco gestiona datos de categoría especial.

Y es que el principal problema de la accountability siempre es el mismo: que tu único objetivo sea sólo aparentar que cumples.

Merece la pena traer a colación también un paper que también se ha hecho popular junto con esta historia: «Purposes in IAB Europe’s TCF: which legal basis andhow are they used by advertisers?» de Célestin Matte, Cristiana Santos, Nataliia Bielova. (Gracias a Cristina Palomino por la indicación). El paper está bastante bien, pero no estoy muy de acuerdo con varias de sus afirmaciones. 

Por eso he jugado a ser Tintín y a imaginarme… ¿Qué demonios pondrá ese misterioso -y de momento oculto- informe de la DPA Belga?.

Así que vamos por partes» como diría ya sabeis quién:

 

• En materia de “cookies”, aplican conjuntamente la LSSI y al mismo tiempo, la normativa en materia de datos personales (RGPD y LOPDgdd).

 

• Este “sándwich normativo” tiene implicaciones en muchos sentidos:

 

a.- El RGPD define no sólo los requisitos del consentimiento al uso de cookies del 22.2 LSSI, sino también todo lo que se refiere a los tratamientos de datos personales realizados a través de dichas cookies.

b.- Por tanto, en caso de incumplimiento, no sólo se debe valorar los 30.000 euros de sanción máxima de la LSSI, sino también las aterradoras sanciones del RGPD, porque a través de cookies y pixeles, se tratan datos personales.

 

• Por añadidura, el mundo adtech y las RTB o subastas en tiempo real de publicidad están basadas en la captación y cesión masiva de datos personales y no personales que se producen miles de veces al día en cada web, con lo que las sanciones que vienen bien podrían ser esas que se esperaban desde la entrada en aplicación del RGPD.

 

• Una ventaja de la aplicación conjunta de Reglamento General de Protección de Datos y LSSI es que se puede distinguir el consentimiento exigido para el uso de cookies y los tratamientos realizados a través de las mismas, que pueden ampararse en ese mismo consentimiento o en otras bases legales como el interés legítimo.

 

• En este sentido, por ejemplo, una de las plataformas de gestión de cookies más utilizadas por las principales webs a nivel mundial es el CMP de One Trust. Este despliega un catálogo de finalidades de tratamiento, para, dependiendo del caso, (i) informar de cookies que se cargarán en cualquier caso, (cookies necesarias), (ii) tratar de obtener el consentimiento del usuario, o (iii) informarle de un tratamiento que se producirá si el usuario no se opone.

 

• Pero el uso del interés legítimo exige en todo caso un juicio interno de ponderación, transparencia en el tratamiento, y la posibilidad efectiva de que el interesado ejerza su derecho de oposición. Todo ello antes del inicio del tratamiento de datos personales.

 

 

• Las recientes Guidelines de publicidad personalizada sobre usuarios de plataformas de social media del EDPB (“escalofriantes” (¡¿?!) en palabras de un representante de IAB), califican como “corresponsables” a las webs que incorporan el CMP de One Trust, y a los partners incluidos en su ecosistema, basado en el TCF (“Transparency and consent framework”) de IAB.

 

• Esa calificación como “corresponsable” puede suponer responsabilidad en materia de protección de datos al titular de una web por el hecho de habilitar –y participar por tanto en- los tratamientos de datos (a través de cookies) de los partners incluidos en ese ecosistema.

 

• La arquitectura del TCF de IAB se separa notoriamente de las directrices publicadas por el EDPB (las citadas, las del consentimiento, interés legítimo, transparencia…), en cuestiones sustanciales, cuyo incumplimiento puede traer consigo sanciones sustanciales, de millones de euros. En concreto, en lo relacionado con:

 

1.- La relevancia otorgada a la finalidad “Store and/or access information on a device”, que es nuclear y debería constituir una “condición previa” del resto de tratamientos.

2.- El cumplimiento de la obligación de transparencia en relación con los tratamientos que pretende legitimar a través de Interés legítimo.

3.- El “criterio” de selección de tratamientos “legitimables” vía Interés legítimo.

4.- Otros tratamientos, que –estos sí- serían amparables en Interés legítimo, son configurados como “necesarios” o “siempre activos” en el CMP.

 

Una auténtica lástima, porque esto se podría hacer bien, se debería haber hecho bien, pero de verdad de la buena.

Y se acabará haciendo bien. 

 

Pero la pregunta que más de uno nos hemos hecho es: si alguna de las empresas que han contratado y paga religiosamente el CMP comentado… sufre una sanción (en especial una de esas sanciones de titular de periódico) … ¿qué responsabilidad les tocaría a los diseñadores de este marco?

 

Recordemos que su finalidad era garantizar el cumplimiento tanto para anunciantes como para los pobriños ciudadanos…

 

Buena semana

 

Jorge García Herrero

Abogado y Delegado de Protección de Datos

 

Créditos de la imagen utilizada: Foto de Comida creado por wirestock – www.freepik.es