miércoles, 28 de octubre de 2020

La sanción a Iberia y las cookies

 Estoy leyendo algunas noticias y también hoy me han hecho una consulta, sobre la sanción a Iberia por incumplir el artículo 22 de la Ley de Comercio Electrónico (artículo conocido también como “la ley de Cookies”) 

Y se están mezclando los 30.000 euros con los que se ha sancionado a Iberia, con el plazo del 31 de octubre que ha dado la Agencia de Protección de Datos para que los sitios web estén adaptados conforme a su última actualización de la guía de cookies

Si se quiere utilizar el tema para asustar como si fueran dos hechos relacionados, “pos fueno, pos fale, pos me alegro”, pero creo que es pertinente aclarar que no lo están del todo.  Y voy a ver si puedo aclarar algo al respecto. 

En primer lugar, la principal actualización de la guía de cookies está relacionada con la necesidad de recabar el consentimiento expreso del usuario cuando se le instalan cookies que requieren dicho consentimiento. Es decir, ya no sirven fórmulas del tipo “si sigues navegando entendemos que nos das tu consentimiento”. 

Ahora el usuario tendrá que realizar una acción proactiva, ya sea pinchando el botón de “aceptar” o configurando las cookies que quiere consentir instalar, para otorgar su consentimiento expreso. Este tema ya lo expliqué en un post anterior. 

La sanción que ha impuesto la Agencia de Protección de Datos a Iberia y que puede consultarse en este enlace https://www.aepd.es/es/documento/ps-00032-2020.pdf, ha sido por incumplir el artículo 22.2 de la Ley de Comercio Electrónico. Y sí,  también por no tener en cuenta las recomendaciones de la guía de cookies, pero la que ya existía antes de esta última actualización de hace tres meses. 

Iberia fue denunciada (en octubre de 2019) por un usuario porque no proporcionaba la opción de rechazar las cookies. Es más, si un usuario quería seguir navegando en el sitio web de Iberia, debía aceptar las cookies. 

En noviembre de 2019, la Agencia le pide a Iberia que se explique y, dos meses después (en enero de 2020), Iberia, alega dos cosas:

  • Que llevaba desde junio de 2019 diseñando una solución para adaptar la política de cookies a las exigencias del RGPD.
  • Y que estaba implantando un banner para configurar los tipos de cookies de la web o aceptar todas.

Vistas las alegaciones de Iberia, a principios de febrero de 2020, el inspector de la Agencia de Protección de Datos entra en la web y verifica un cúmulo de sucesivas desdichas:

  • Que se sigue sin permitir rechazar las cookies. Es más, se cargan sin interaccionar con el banner, cookies que requiere el consentimiento:
    • Double click
    • Analíticas de Google (_gi y _gid)
  • Que varios puntos de la política de cookies no se ajustaban a las recomendaciones de la Agencia en su guía.
    • En concreto, el banner de primera capa era poco conciso, transparente e inteligible. Se refiere la Agencia a la parte del banner que decía “se almacenan cookies en su dispositivo para garantizar el buen funcionamiento y la seguridad de nuestros sitios webs, y ofrecerle la mejor experiencia de navegación posible”.
  • Y que, en definitiva, no había hecho los cambios que alegaban haber realizado. 

Y es cuando Iberia recibe la incoación del expediente sancionador, después de que la Agencia comprobara que seguían sin implantar los cambios cuando, ya sí, modifican el sitio web.

Iberia alegó a la Agencia de Protección de Datos que se la podría haber apercibido y no sancionado, a lo que la Agencia contestó que eso hubiera aplicado de haberse realizado los cambios cuando dijeron que los habían hecho (el clásico «pues ahora te bajas y te vas andando»). 

En conclusión, que ya existían obligaciones derivadas de la necesidad de cumplir el artículo 22 de la Ley de Comercio Electrónico antes de tener que correr en círculos con las manos en la cabeza con la fecha límite del 31 de octubre. 

Y recordad que algunas cookies tienen que ser como los vampiros: hay que invitarlas expresamente para que puedan entrar en tu casa. 

domingo, 4 de octubre de 2020

Cookies, vampiros y una tabla resumen

Hace un par de meses la Agencia Española de Protección de Datos publicó una actualización de su guía de cookies que implica cambios para los sitios webs de las organizaciones y que tendrán que adaptar antes del 31 de octubre.

Las principales modificaciones tienen que ver con la forma de recabar el consentimiento. A partir del 1 de noviembre debe recabarse mediante una acción afirmativa por parte del usuario. No serán ya válidas afirmaciones del tipo "si sigues navegando, entendemos que aceptas las cookies".  

Lo cierto es que la mayoría de los sitios webs todavía no cumplen algo que ya era necesario antes de la actualización de esta guía. Y es que instalan las cookies que requieren consentimiento antes de que el usuario interaccione con el sitio o marque la aceptación del aviso de cookies. Es decir, cuando el usuario resuelve la dirección del sitio, y sin que haya interactuado con la web ni aceptado el banner, ya se le han instalado las cookies que requieren consentimiento. Y eso no debe hacerse porque infringe el artículo 22 de la Ley de Comercio Electrónico.

Es algo que me recuerda bastante a la escena de Spike en el salón de Buffy esperando a que la madre de Buffy le dé palique. Está ahí de buen rollo pero al vampiro ya lo tiene en casa.

 


Pero ojo, que a Spike le han invitado. El de los vampiros es idéntico al sistema de control de cookies. Les tienes que invitar expresamente a entrar para que se te puedan instalar en el salón. Y, además, Spike no juega sucio, entra sólo con consentimiento expreso. 

Lo Ángel, sin embargo, fue consentimiento tácito. Cuando se vuelve malo y entra en el instituto de Buffy aludiendo a que la invitación está en la inscripción de la puerta: "Formatia trans sicere educatorum" ("Que entren todos los que buscan conocimiento", según la profesora Calendar, porque yo no sé latín). A partir del 1 de noviembre, lo que hace Ángel cuando pierde el alma, ya no vale. 

A día de hoy, veo que siguen existiendo muchas dudas sobre las cookies. Qué son. Qué tipos de cookies existen. Y es necesario saber eso para poder identificar las que requieren consentimiento y las que no.

Las dos tablas que vienen a continuación es información extraída literalmente de la guía de la Agencia de Protección de Datos que menciono al inicio. He pasteado la información para resumirla por si así se hace menos bola. 

La primera tabla resume el tipo de cookies que existen. 

La segunda tabla cómo debe facilitarse la información para usar cookies. 

Lo que he marcado en colorinchis es porque me parece francamente relevante. 

 

TIPOS DE COOKIES


Tipo de cookie

Definición


Según la entidad que gestione

Propias

Envían al equipo terminal del usuario desde un equipo o dominio gestionado por el propio editor y desde el que se presta el servicio solicitado por el usuario

De terceros

Se envían al equipo terminal del usuario desde un equipo o dominio que no es gestionado por el editor, sino por otra entidad que trata los datos obtenidos través de las cookies

Según la finalidad

Técnicas

Permiten al usuario la navegación a través de una página web, plataforma o aplicación y la utilización de las diferentes opciones o servicios que en ella existan, incluyendo aquellas que el editor utiliza para permitir la gestión y operativa de la página web y habilitar sus funciones y servicios, como, por ejemplo, controlar el tráfico y la comunicación de datos, identificar la sesión, acceder a partes de acceso restringido, recordar los elementos que integran un pedido, realizar el proceso de compra de un pedido, gestionar el pago, controlar el fraude vinculado a la seguridad del servicio, realizar la solicitud de inscripción o participación en un evento,contar visitas a efectos de la facturación de licencias del software con el que funciona el servicio (sitio web, plataforma o aplicación), utilizar elementos de seguridad durante la navegación, almacenar contenidos para la difusión de vídeos o sonido, habilitar contenidos dinámicos (por ejemplo, animación de carga de un texto o imagen) o compartir contenidos a través de redes sociales.


Aquellas cookies que permiten la gestión, de la forma más eficaz posible, de los espacios publicitarios que, como un elemento más de diseño o “maquetación” del servicio ofrecido al usuario sin que se recopile información de los usuarios con fines distintos, como puede ser personalizar ese contenido publicitario u otros contenidos.

Cookies de preferencias o

personalización


Permiten recordar información para que el usuario acceda al servicio con determinadas características que pueden diferenciar su experiencia de la de otros usuarios, como, por ejemplo, el idioma, el número de resultados a mostrar cuando el usuario realiza una  búsqueda, el aspecto o contenido del servicio en función del tipo de navegador a través del cual el usuario accede al servicio o de la región desde la que accede al servicio, etc.


Si es el propio usuario quien elige esas características (por ejemplo, si selecciona el idioma de un sitio web clicando en el icono de la bandera del país correspondiente), las cookies estarán exceptuadas de las obligaciones del artículo 22.2 de la LSSI por considerarse un servicio expresamente solicitado por el usuario.

Cookies de análisis o medición

Seguimiento y análisis del comportamiento de los usuarios de los sitios web a los que están vinculadas, incluida la cuantificación de los impactos de los anuncios. La información recogida mediante este tipo de cookies se utiliza en la medición de la actividad de los sitios web, aplicación o plataforma, con el fin de introducir mejoras en función del análisis de los datos de uso que hacen los usuarios del servicio. 


No están exentas del deber de obtener un consentimiento informado para su uso, es poco probable que representen un riesgo para la privacidad de los usuarios siempre que se trate de cookies de primera parte, que traten datos agregados con una finalidad estrictamente estadística que se facilite información sobre sus usos y se incluya la posibilidad de que los usuarios manifiesten su negativa sobre su utilización.

Cookies de publicidad comportamental

Almacenan información del comportamiento de los usuarios obtenida a través de la observación continuada de sus hábitos de navegación, lo que permite desarrollar un perfil específico para mostrar

publicidad en función del mismo.

Por el plazo de tiempo que permanecen activadas

Cookies de sesión

Mientras el usuario accede a una página web. Se suelen emplear para almacenar información que solo interesa conservar para la prestación del servicio solicitado por el usuario en una sola ocasión (por ejemplo, una lista de productos adquiridos) y desaparecen al terminar la sesión.


Para que una cookie pueda estar exenta del deber de consentimiento informado, su caducidad debe estar relacionada con su finalidad. Debido a ello, es mucho más probable que se consideren como exceptuadas las cookies de sesión que las persistentes.

Cookies persistentes

Los datos siguen almacenados en el terminal y pueden ser accedidos y tratados durante un periodo definido por el responsable de la cookie, y que puede ir de unos minutos a varios años.

Información que debe facilitarse


Información

Aclaración

En el banner de cookies (Primera capa)

Identificación del editor responsable del

sitio web.


No será necesaria la denominación social, siempre que sus datos identificativos completos figuren en otras secciones del sitio web (aviso legal, política de privacidad, etc.) y su identidad pueda desprenderse de forma evidente del propio sitio web.


Identificación de las finalidades de las

cookies que se utilizarán


Por ejemplo: para fines analíticos y mostrarte publicidad. 

Información sobre si las cookies son

propias (del responsable de la página web)

o también de terceros asociados a él


Sin que sea necesario identificar a los terceros en esta primera capa.


Modo en el que el usuario puede aceptar,

configurar y rechazar la utilización de cookies, con la advertencia, en su caso, de que si se realiza una determinada acción, se entenderá que el usuario acepta el uso de las cookies.


Por ejemplo: puedes aceptar las cookies pulsando en… O configurarlas pulsando en el botón configurar. 

Un enlace claramente visible dirigido a una segunda capa informativa en la que se incluya una información más detallada, utilizando, por ejemplo, el término “Cookies”, “Política de cookies” o “Más información, pulsa aquí”.

Este mismo enlace podrá utilizarse para conducir al usuario al panel de configuración de cookies, siempre que el acceso al panel de configuración sea directo, esto es, que el usuario no tenga que navegar dentro de esta segunda capa para localizarlo


El enlace a la política de cookies. 

En la política de cookies (segunda capa)

Información

Ejemplo

Definición y función genérica de las cookies

¿Qué son las cookies? 

Este sitio web utiliza cookies y/o tecnologías similares que almacenan y recuperan información cuando navegas. En general, estas tecnologías pueden servir para finalidades muy diversas, como, por ejemplo, reconocerte como usuario, obtener información sobre tus hábitos de navegación, o personalizar la forma en que se muestra el contenido.

Los usos concretos que hacemos de estas tecnologías se describen a continuación.


Información sobre el tipo de cookies que se utilizan y su finalidad.


¿Qué tipos de cookies se utilizan en esta página web?

(1) De análisis: son aquellas que, tratadas por nosotros o por terceros, nos permiten cuantificar el número de usuarios y así realizar la medición y análisis estadístico de la utilización que hacen los usuarios del servicio ofertado. Para ello se analiza su navegación en nuestra página web con  el fin de mejorar la oferta de productos o servicios que le ofrecemos.

(2)  Publicitarias comportamentales: son aquellas que, tratadas por nosotros o

por terceros, nos permiten analizar sus hábitos de navegación en Internet para que podamos mostrarle publicidad relacionada

con su perfil de navegación. 


Identificación de quién utiliza las

cookies


Esto es, si la información obtenida por las cookies es tratada solo por el editor

y/o también por terceros con los que editor haya contratado la prestación de un servicio para el cual se requiera el uso de cookies, con

identificación de estos últimos  podrán utilizarse mecanismos como

botones que desplieguen esa información más específica o texto emergente que aparezca al pasar el puntero del ratón por encima, y ello siempre que el usuario pueda acceder fácilmente a la información si así lo desea.

Información sobre la forma de aceptar,

denegar o revocar el consentimiento para el uso de cookies


Enunciadas a través de las funcionalidades facilitadas por el editor

(el sistema de gestión o configuración de cookies que se haya habilitado) o a través de las plataformas comunes que pudieran existir para esta finalidad.


“Tenga en cuenta que, si acepta las cookies de terceros, deberá eliminarlas desde las opciones del navegador o desde el sistema ofrecido por el propio tercero”


información sobre las

transferencias de datos a terceros países realizadas por el editor


Puedes informarte de las transferencias a terceros países que, en su caso, realizan los terceros identificados en esta política de cookies en sus correspondientes políticas (ver los enlaces facilitados en el apartado

“Cookies de terceros”)


Elaboración de perfiles si implica la toma de decisiones

Cuando la elaboración de perfiles implique la toma de decisiones

automatizadas con efectos jurídicos para el usuario o que le afecten significativamente de modo similar, será necesario que se informe sobre la lógica utilizada, así como la importancia y las consecuencias previstas

de dicho tratamiento para el usuario en los términos establecidos en el artículo 13.2 f) del RGPD


Periodo de conservación de los datos

Para los diferentes fines en los términos establecidos en el artículo 13.2 a) del RGPD.


En relación con el resto de información

exigida


Por el artículo 13 del RGPD que no se refiera de forma específica a las cookies (por ejemplo, los derechos de los interesados), el editor podrá remitirse a la política de privacidad



 Estos son los tres tipos de ejemplo que propone la Agencia de Protección de Datos para solicitar el consentimiento en la primera capa:


Teniendo en cuenta que al pinchar en la opción de configurar, tiene que llevar a un panel de configuración para que el usuario pueda aceptar o no las cookies de forma individual.

Y dos bolas extra:

(1) Cuando se utilicen cookies polivalentes, es decir, aquellas que tienen dos o más finalidades diferentes y no exceptuadas del ámbito de aplicación del artículo 22.2 de la LSSI, deberá garantizarse que estas cookies únicamente se utilizan si se aceptan todas las finalidades que agrupan. 

(2) Cuando hablamos de todas estas obligaciones para las cookies no sólo nos referimos estrictamente a las cookies, también a otras tecnologías de rastreo como shared objects, web beacons o bugs.