Inadvertido pero relevante

cookies

Después de que Laura haya explicado en nuestra publicación que las cookies de las que estamos hablando no son con chispas de chocolate, pensé que las cookies son realmente un tema candente con el que nos enfrentamos todos los días. Por lo tanto, con este artículo profundizaré en la regulación de las cookies y también analizaré las últimas directrices sobre las cookies, de la CNIL, la autoridad francesa por la protección de datos y de la ICO, la autoridad inglesa. En mi opinión, el enfoque práctico de estas autoridades es relevante y valioso.

pixels java css Cabe mencionar que él art. 22.2 de la LSSI, como modificado por la Directiva 2009/136/CE, la cosí llamada “ley de cookies”, la cual también modifique el art 5.3 de la Directiva 2002/58/CE (Directiva E-Privacy), no habla de “cookies” pero habla de “información almacenada”. En consecuencia, la reglamentación es neutral con respecto a la tecnología utilizada, aplicándose a cualquier tecnología que almacene o acceda a información en el dispositivo del usuario. Por ejemplo: las cookies, kits de desarrollo de software en aplicaciones móviles, píxeles, tecnologías de huellas digitales del navegador, paredes de cookies etc.

Ademas, para la aplicación de dicha disposición, no es un requisito previo que los datos a las cuales se obtiene acceso mediante la cookie u otro rastreador sean datos personales en el sentido del RGPD. Si tal fuera el caso, esto desencadenará también la aplicación del Reglamento.

Entonces, como nos ha dicho Laura, la regla general es pedir consentimiento (previo e informado) y la excepción es la cookie técnica, pero solo si cumple con una de las dos condiciones que se mencionarán a continuación como las dos categorías principales. Además, el Dictamen del Grupo de Trabajo 29 sobre la Exención del Consentimiento de Cookies va más allá en interpretar la norma, estableciendo que otras cookies están incluidas. Estas categorías se interpretan en términos de “funcionalidad” proporcionada por un servicio de la sociedad de la información.

Qué tipo de cookies están englobadas dentro de las categorías generales

Las dos categorías principales de cookies exentas:

  1. La cookie técnica pero únicamente la que permite la comunicación entre el equipo del usuario y la redno están incluidas las cookies que facilitan la comunicación, ayudando, acelerando o regulando la transmisión. La transmisión de la comunicación no debe ser posible sin el uso de la cookie.

Esta categoría tiene una sub-categoría, constituida por las cookies de sesión para equilibrar la carga – estas son las cookies que permiten distribuir el procesamiento de solicitudes del servidor, redirigiendo correctamente las solicitudes de los usuarios.

  1. La cookie técnica que es estrictamente necesaria para proporcionar un servicio expresamente solicitado por el usuario;

Esta segunda categoría interpretada en términos de “funcionalidades” proporcionadas, implica que la cookie está exentada únicamente si: (a) es necesaria para proporcionar una funcionalidad específica al usuario (si la cookie está desactivada, la funcionalidad no estará disponible) y (b) tale funcionalidad ha sido solicitada explícitamente por el usuario. Concretamente, las siguientes:

  • La cookie de sesión y de entrada de usuario, llamada “user input cookie” – por ejemplo, la cookie necesaria para rastrear los artículos que un usuario ha andado a la cesta de compra o la cookie necesaria para realizar el seguimiento del usuario a la hora de rellenar formularios en línea.
  • La cookie de identificación y/o autenticación.
  • La cookie de seguridad – por ejemplo, la cookie necesaria en el mecanismo utilizado para proteger el sistema de login de abusos o para para detectar intentos erróneos y reiterados de conexión.
  • La cookie de sesión de reproductor multimedia, llamada la “flash cookie” – cookies utilizadas para almacenar datos técnicos necesarios para reproducir contenido de video o audio como por ejemplo la calidad de la imagen o la velocidad de la conexión a la red.
  • La cookies de personalización de la interfaz de usuario, llamada “UI customisation cookie”  utilizada para almacenar una preferencia del usuario en relación con la página web visitada, por ejemplo la preferencia del idioma o preferencias de visualización.
  • La cookie de complemento para intercambiar contenidos sociales, llamada “social plug-in content sharing cookie” – el termino plug-in hace referencia al complemento instalado por el tercero en el sitio web visitado por el usuario (el típico like de Facebook o share de Twitter). Esto almacena y accede a cookies en el equipo terminal del usuario, para permitir que la red social identifique a sus miembros cuando interactúan con el complemento / el plug-in. Sin embargo, la cookie está exenta de consentimiento solo para los usuarios que son miembros de la red social y que están conectados a tale red. Es decir, para los visitantes de la pagina web que no tienen una cuenta en la red social (no miembros) y para aquellos que están desconectados de esa red social (logged-out) es necesario el consentimiento antes de que el plug-in pueda utilizar cookies de terceros.

Conclusión.

Estas excepciones deben ser interpretadas de manera restrictiva y, por lo tanto, estas cookies deben permitirse solo para el propósito específico y por un período de tiempo que sea necesario para ese propósito

Si la cookie no está en esta lista, no está invitada a la fiesta “sin consentimiento”. Por lo tanto, debe ser expresamente aceptada por el usuario para que pueda unirse a la fiesta. Lo sentimos, no está en la “lista de invitados”.

Aplicación práctica y cómo solicitar el consentimiento

Por lo que respecta a la aplicación práctica de estos principios y cómo solicitar el consentimiento, en julio de 2019, CNIL e ICO publicaron guías revisadas. Para facilitar la lectura y comprender mejor los puntos de vista comunes y divergentes que tienen las dos autoridades, presentaré el resumen de las directrices en la siguiente tabla, centrándome en los temas mas relevantes.

Mismo enfoque ICO & CNIL

Asunto 1 – ¿A qué tipo de tecnología se aplican las reglas?

Las reglas no se aplican solo a las cookies y no se limitan a una determinada tecnología. Se aplican a cualquier tecnología que almacene o acceda a información en el dispositivo del usuario.

Asunto 2 – Configuración del navegador

Ambas autoridades adoptan la opinión de qué actualmente, basarse únicamente en la configuración del navegador no es suficiente para tener un consentimiento válido. Sin embrago se menciona en las dos directrices que en el futuro es probable que la configuración del navegador se adapte para garantizar que se pueda obtener un consentimiento válido a través de ellos (esto puede leerse a la luz de las innovaciones contenidas en la propuesta para el Reglamento de E-Privacy).

Asunto 3 – Aplicación territorial

Como mencionado arriba, las directrices sobre los rastreadores se aplican independientemente de los tipos de datos a las cuales se tiene acceso o se almacenan. Cuando tales datos pueden ser considerados datos personales en el sentido del RGPD el reglamento es de directa aplicación y por lo tanto se aplica el art. 3 RGPD que establece el alcance territorial.

Mientras las directrices de la ICO establecen expresamente tale hecho las Directrices de la CNIL no la mencionan pero la ley francesa sigue el mismo enfoque.

Esto significa que las reglas se aplican al uso de cookies/rastreadores en el contexto de las actividades de los responsables de tratamiento y de los encargados establecidos en el UK o en Francia y también a cualquier organización que tenga su sede fuera de la UE y que utilice cookies/rastreadores para monitorear el comportamiento de las personas en el Reino Unido o en Francia, cuando la organización tiene la intención de ofrecer bienes o servicios a dichas personas o las actividades de tratamiento están relacionadas con el control del comportamiento de interesados que residen en los dos países.

Asunto 4 – Consentimiento tácito

Ambas autoridades enfatizan que los usuarios deben dar un consentimiento específico, gratuito y sin ambigüedades a las cookies, antes de que se instala la cookie. Ademas, subrayan el hecho de que un usuario que continúa navegando en un sitio web no equivale al consentimiento de ese usuario.

Asunto 5 – Consentimiento especifico

Ambas autoridades establecen claramente que los Términos y Condiciones no pueden usarse como un método para obtener el consentimiento. Tale modalidad infringe el Artículo 7.2. del RGPD. Por lo tanto, el consentimiento debe cubrir cada propósito para él que para se utilizan cookies. Sin embrago,  se considera aceptable ofrecer, en una primera capa, un consentimiento global para todas las cookies para las cuales se requiere el consentimiento. No obstante, tiene que ir acompañado de una segunda capa que permita al usuario dar su consentimiento específico para cada propósito por separado.

Asunto 6 – Consentimiento informado

Ambas autoridades aclaran que, para que el consentimiento sea informado, el usuario debe poder identificar a todas las partes que colocan cookies. Es decir, es necesario que se nombran a todas las partes que instalan cookies que dependen del consentimiento de los usuarios.

Enfoque diferente

Asunto 7 – Pared de cookie, el llamado “cookie wall”

ICO

La autoridad tiene un “enfoque caso por caso”, considerando que es “poco probable que sea válido” el consentimiento forzado a través de un muro de cookies. Pero, al mismo tiempo, notando que el RGPD debe equilibrarse con otros derechos, incluida la libertad de expresión y la libertad de llevar a cabo un negocio y, por lo tanto, la clave es proporcionar a las personas una verdadera libre elección.

CNIL

La posición es firma en el sentido de que las paredes de cookies no cumplen en cuanto el usuario que se niega a aceptar sufriría consecuencias negativas.

Asunto 8 – La base legal para el tratamiento ulterior de los datos personales

ICO

Teniendo en cuenta que la Directiva E-Privacy requiere el consentimiento, esta tiene que ser la base legal por el tratamiento de los datos personales. Por lo tanto, como regla general, el interés legítimo no es la base legal adecuada para el tratamiento de datos personales relacionados con las cookies. Sería innecesario confiar en intereses legítimos cuando el consentimiento que cumple con el RGPD y causaría confusión en los usuarios. Ademas, la autoridad establece específicamente que, en relación con el perfilado y la publicidad dirigida, se requerirá el consentimiento bajo Directiva E-Privacy para el uso de cookies, y en la práctica, el consentimiento es la base legal más aplicable para cualquier tratamiento ulterior de datos personales para las finalidades descritas.

CNIL

La autoridad no aborda este aspecto explícitamente y no sugiere que el consentimiento sea la única base legal posible para el tratamiento ulterior de datos personales.

Asunto 9 – Periodo de gracia por la aplicación

ICO

No hay período de gracia y, por lo tanto, las directrices son  exigibles.

CNIL

Hay un período de gracia de 6 meses que comenzará desde el momento en que CNIL publique su opinión sobre cómo obtener el consentimiento en la práctica. La CNIL espera que esta opinión sea definitiva en el transcurso del primer trimestre de 2020.

Asunto 10 – Cómo debería verse la primera capa

ICO

Este asunto se aborda específicamente en la guía con diagramas para explicarlo. La posición es clara, un mecanismo de consentimiento que enfatiza “aceptar” / “permitir” sobre “rechazar” / “bloquear” no es conforme, ya que el proveedor está influenciando a los usuarios hacia la opción “aceptar”. Lo mismo se aplica a la situación en la que la opción “rechazar” / “bloquear” se encuentra en una segunda capa y la opción “aceptar” / “permitir” está disponible en la primera capa.

CNIL

No aborda específicamente el problema. Sin embargo es muy probable que tale aspecto se abordará el la Guia sobre cómo obtener el consentimiento en la práctica.

Asunto 11 – Cookies analíticas

ICO

No entran dentro de la excepción “estrictamente necesarias” y, por lo tanto, requieren consentimiento.

CNIL

Generalmente se necesita el consentimiento. Sin embargo, las cookies analíticas que cumplen con los siguientes requisitos están exentas del consentimiento:

  • instaladas por el editor web o su encargado;
  • el usuario fue informado y tuvo la posibilidad de oponerse al uso de tales cookies en todos los dispositivos, sistemas operativos, aplicaciones y navegadores; 
  • el propósito de tales cookies se limita a:
    1. medir la audiencia que ve un contenido con el fin de evaluar el contenido que se publica o la ergonomía de un sitio web o aplicación móvil, excluyendo cualquier forma de targetar / rastrear los individuos;
    2. agrupar las audiencias del sitio web con el propósito de evaluar la eficiencia de las elecciones de edición y diseño web que se realizan;
    3. permitir que se realicen cambios dinámicos generales en un sitio web.
  • los datos recopilados no se combinan o fusionan con otros tipos de datos (por ejemplo, cuentas de clientes o estadísticas sobre otro sitio web) ni se divulgan a terceros;
  • el uso es limitado estrictamente a la producción de estadísticas anónimas;
  • se utilizan solo por un editor de contenido y no permiten rastrear a un usuario a través de diferentes sitios web o aplicaciones móviles;
  • la dirección IP no se utiliza para la geolocalización del usuario con mayor precisión que la ciudad. Dicha dirección IP debe eliminarse o anonimizarse una vez que se haya localizado al usuario para evitar que estos datos se usen o se combinen con otros datos.