nueva normativa cookies - divisadero · servicios y fuentes de tráfico, mediante el análisis...

PROTECCIÓN DE DATOS EN INTERNET

Adecuación a laNUEVA NORMATIVA

de COOKIES

INDEX

La razón de ser técnica y económica de las cookies

Un mundo construido sobre cookiesTipos de cookies y amenazas existentes

El dilema social

Una corta historia de cookies y protección de datos

El desafío regulatorio de la Unión Europea

A “Opt-out” deja paso a“Opt-in”Consentimiento implícitoImplicaciones del uso de cookies de tercera parteTransposiciones nacionales hasta la fecha¿Qué ley aplicar?

La situación en España: uso de cookies y marco normativo

Estudio sobre el uso de cookies en el mercado españolMarco normativo

Soluciones técnicas y legales para la satisfacción de la normativa española e internacional

Una estrategia de compliance eficaz ante el nuevo marco jurídicoSoluciones técnicas y prácticas

1 5

5

1615

21

27

29

6

18

18

19

29

2 9

3 11

4 15

5 21

6

31

Un documento deDivisadero. All rights reserved.www.divisadero.eu

AutorSergio Maldonado

DiseñoAlexia Méndez

5Adecuación a la Nueva Normativa de Cookies

Un mundo construido sobre cookiesResulta prácticamente imposible encontrar una página web que a día de hoy no haga uso de cookies.

Es precisamente gracias a estos pequeños archivos de texto que:

- Una web de comercio electrónico pueda habilitar un carrito de la compra donde los usuarios vuelcan sus productos

- Un sistema de banca online evita al usuario la remisión de formularios de identificación para cada página visualizada

- Un blog permite a terceros compartir sus contenidos en redes sociales

En otras palabras, las cookies hacen que la World Wide Web pase de ser una mera colección de documentos independientes a convertirse en una plataforma para la prestación de servicios. Es también gracias a ellas (en su modalidad de “cookies

La Razón de ser TÉCNICA Y ECONÓMICA de las COOKIES

6 7Adecuación a la Nueva Normativa de Cookies

analíticas”) que una empresa puede garantizar el adecuado mantenimiento de contenidos, servicios y fuentes de tráfico, mediante el análisis estadístico y anónimo de tendencias de uso (“analítica web”).

Más allá de estos roles (“habilitador” y “de mantenimiento” respectivamente), las cookies han sustentado igualmente una serie de servicios que hoy en día representan los principales pilares del mercado publicitario digital. Este es el caso de los “ad servers” o plataformas para la gestión de publicidad gráfica, que gracias a ellas evitan mostrar un mismo anuncio a la misma persona después de haber sido ignorado durante un número determinado de veces. Igualmente, estas plataformas pueden hacer uso de la información recabada mediante cookies para adecuar el contenido publicitario al perfil anónimo del usuario (algo que se ha venido a conocer como “publicidad comportamental”).

Tipos de Cookies y amenazas existentesDesde un punto de vista técnico, diversos tipos de cookies han coexistido desde su nacimiento1, debiendo, incluso, considerarse las tecnologías alternativas que han venido a reemplazar a éstas en determinadas circunstancias.Las cookies “tradicionales” HTTP2 (consistentes en archivos de texto plano almacenados en el sistema de archivos de un navegador) pueden clasificarse en función de dos criterios: nivel de relación con el usuario y forma de almacenamiento de los datos. Bajo el primero de ellos, las cookies pueden ser “de primera” o “de tercera parte”. Mientras que las cookies de primera parte son servidas directamente por el mismo dominio web visitado por el usuario (ej. www.divisadero.es) y normalmente vinculadas a la propia prestación del servicio o tareas de analítica web, las de tercera parte están vinculadas a nombres de dominio alternativos del mismo prestador, o bien a proveedores externos de éste especializados en gestión de campañas publicitarias, personalización o, igualmente,

1 Las cookies aparecieron por primera vez en 1994 con el lanzamiento del navegador Netscape (Internet Explorer las adoptó a finales de 1995). Su aparición marcó un hito técnico, ya que eliminaba el importante obstáculo de frenar el desarrollo de aplicaciones de comercio electrónico.2 Hyper Text Transfer Protocol, un estándar del W3C que conforma el “sostenimiento de un protocolo de comunicaciones “de la World Wide Web.

analítica web. Mientras que todos los navegadores aceptan inicialmente cookies de primera parte, algunos de ellos deshabilitan las de tercera a falta de una acción expresa por parte del usuario3.

Bajo el segundo criterio (forma de almacenamiento de los datos), las cookies pueden ser almacenadas en la memoria provisional (caché) del navegador, o bien registradas de modo permanente en el sistema de archivos del usuario durante un periodo de tiempo especificado en el momento de su creación (“cookies persistentes”). Este último método evita la necesidad de facilitar continuamente una información de registro, mientras que el primero supone la eliminación de las cookies cada vez que se cierra una ventana de navegador o se alcanza un límite de tiempo (“timeout”).

Las cookies pueden ser reemplazadas por sistemas alternativos a los que la legislación

3 Un grupo de trabajo dentro de los Internet Engineering Task Force (IETF) identificaron originalmente las cookies de tercera parte como una amenaza a la privacidad y en su primera especificación para la implementación en los navegadores (http://tools.ietf. org/html/rfc2109), determinaron que no tendrían que permitirse o al menos no habilitadas por defecto. Aunque en un escenario más próximo se encuentran aún en su lugar con los navegadores Safari (Apple) y Opera, y la especificación más reciente de la IETF , que data de abril de 2011 (http:// tools.ietf.org/html/rfc6265 # page-28), en la que se adopta un enfoque más flexible respecto a la postura inicial.

internacional aplica similar tratamiento. Este es el caso de los “objetos locales compartidos” (“local shared objects”) disponibles mediante el uso de la tecnología Flash™. También es el caso del sistema de “almacenamiento local” (“local storage”) facilitado por el nuevo estándar HTML54, con mucha mayor capacidad de memoria que una “cookie” tradicional5.

En el lado extremo de la explotación de cookies, la industria del desarrollo informático ha venido a hablar de “supercookies”6 o “cookies zombies”. Éstas consisten en una combinación de cookies tradicionales, Flash™ y HTML5, así como sistemas de bases de datos que permiten al prestador hacer un seguimiento de sus usuarios, incluso en situaciones en que estos últimos han optado por eliminar las cookies de su sistema de archivos. Aunque hasta la fecha solo se han encontrado estas “supercookies”7

4 HTML acrónimo Hyper Text Markup Language (Lenguaje de Marcado de Hipertexto). Las diferentes versiones de la descripción de este contenido estándar (siendo 5 el máximo) han acompañado la evolución de la web desde sus inicios. Es la base y el estándar para todos los recursos utilizados en la web (y disponible a través de un navegador estándar).5 HTML 5 El almacenamiento local puede acumular hasta 5 MB de información, mientras que los objetos compartidos en local por Flash están limitados a 100 KB y las cookies tradicionales HTTP no pueden exceder de 4 KB6 Véase http://ashkansoltani.org/docs/respawn_redux.html7 Véase http://online.wsj.com/article/SB10001424053111903480904576508382675931492.html#ixzz1VN0Zmq4b

1. La razón de ser técnica y económica de las cookies


en conjunción con la prestación de servicios legítimos (MSN.com, Hulu.com, Spotify), pueden considerarse en clara violación de los estándares consensuados de transparencia, privando al usuario de un entendimiento claro sobre la naturaleza de la retención de datos realizada por el prestador.

Por último, el llamado “spyware”8 son archivos similares a cookies tradicionales que difieren de éstas en tanto en cuanto no respetan las especificaciones de almacenamiento determinadas por el navegador, lo cual dificulta enormemente su control y eliminación. Si bien las cookies “spyware” no pueden contener código programático o incorporar un virus (se sigue tratando de un archivo de texto plano), sí son capaces de almacenar el histórico de navegación del usuario sin conocimiento de éste.

8 http://en.wikipedia.org/wiki/Spyware

Resulta natural que una elevada proporción de usuarios en Internet muestre incomodidad ante una potencial invasión de su esfera privada. Más aún cuando ésta tiene lugar en circunstancias técnicamente complejas. A medida que los servicios de prestación de contenido digital o comercio electrónico se

han vuelto más sofisticados, muchos usuarios podrían percibir una pérdida irreversible de control sobre sus propios datos personales. Peor aún, en muchos casos el individuo no es capaz de apreciar cuánta información comportamental está siendo recabada sobre sí mismo, o si dicha información está siendo vinculada con datos capaces de identificarle.

Aunque innumerables modelos de negocio se sustentan sobre la prestación de servicios gratuitos, y el intercambio de contenido por una pequeña fracción de información personal o anónima (con frecuencia recabada por terceros a cargo de monetizar espacios publicitarios), no

El dilema SOCIAL

1. La Razón de Ser Técnica y Económica de las Cookies


resulta siempre evidente.9 Más aún, como consumidores, nos hemos acostumbrado (tal vez pecando de frivolidad) a acceder a un amplio espectro de recursos a coste cero. En este sentido, hay quien ha comparado sitios web a “jardines privados” en los que el visitante debe respetar las reglas de su dueño si quiere disfrutar del paseo.10

Por supuesto, si cada vez que un usuario que se adentrara en un nuevo “jardín privado” (dada la naturaleza difusa de las fronteras entre unos y otros) pudiera comprender claramente y aceptar las reglas que regirán el uso de sus datos personales, no sentiría el mismo nivel de amenaza. Al contrario, el visitante comprendería que su información sería únicamente usada de la forma acordada, de modo agregado (anónimo) y únicamente cuando la información identifica al usuario; a esto lo llamamos “consentimiento informado”.

9 La inevitable naturaleza competitiva de las empresas es el principal causante de esta falta de claridad. Donde hay una falta de aplicación, las empresas pueden encontrar una ventaja competitiva tremenda a la hora de evitar su cumplimiento. En un escenario analógico, son bien conocidas las estrictas salvaguardas para la aceptación de los términos y condiciones del sitio web (“clickwrap” contratos) resultando las tasas de conversión más bajas (de visitantes en clientes).10 Ver Baekdal, Thomas: “What is a violation of privacy?” http://www.baekdal.com/opinion/what-is-a-violation-of-privacy/

Pero el consentimiento informado podría tomar diversas formas: ¿no podría el usuario simplemente abandonar una web si no está de acuerdo con sus términos? ¿Debería obtenerse un acuerdo específico? ¿Sería dicho acuerdo la única forma posible de probar notificación previa de dichos términos? ¿No debería acaso traspasarse al usuario la carga de informarse adecuadamente, adaptando sus navegadores a dichas inquietudes, de forma previa a aventurarse en territorio desconocido?

En estas cuestiones residen las diferentes interpretaciones clave del marco jurídico internacional.

A lo largo de la historia del mundo, la preocupación por la privacidad no se ha limitado a una región geográfica en particular. Sin embargo, aquellas regiones que tradicionalmente han favorecido una cultura de mayor tutela al ciudadano e intervención pública, han terminado liderando, de forma natural, la actual tendencia a favor de la protección de la privacidad personal. Las preocupaciones en torno al uso de cookies no han sido una excepción.

La World Wide Web Consortium (W3C), hospedada por el Massachusetts Institute of Technology (MIT) constituyó la cuna del primer esquema auto regulatorio para cookies y privacidad: P3P (“Plaform for Privacy Preferences”)11, emitiendo un estándar oficial a través de su Recomendación del año 2002. Con el apoyo inicial de Microsoft IE, la implantación de P3P tuvo el efecto inmediato

11 Véase http://www.w3.org/P3P/

2. El Dilema Social

UNA CORTA HISTORIA DE COOKIES Y PROTECCIÓNDE DATOS


de impedir el almacenamiento permanente de cookies de primera parte, así como de bloquear cookies de tercera parte a menos que se encontrara12 una política P3P (en sí misma un archivo XML susceptible de intercambio entre sistemas informáticos). El estándar no recabó el éxito necesario, e incluso atrajo importantes críticas13.

P3P no representó una iniciativa sorprendente o improcedente en su momento. Constituía una respuesta nacida en la propia comunidad “internauta”, al avance vertiginoso de iniciativas regionales y nacionales que venían a poner en riesgo la integridad y coherencia global de la Web. La mayor fuente de esta preocupación era sin duda el nuevo marco regulatorio de la Unión Europea.

La UE había lanzado un marco legislativo de protección de datos

12 P3P destinado a permitir a los usuarios finales la posibilidad de dictar la cantidad de información que un sitio web podría reunir en ellos a través de cookies sin necesidad de interpretación de las complejas responsabilidades legales. Al delegar la negociación de aceptación de los términos a los archivos legibles por la máquina, los usuarios siempre tendrán la certeza de que las barreras que han definido no serán superadas.13 Véase http://en.wikipedia.org/wiki/P3P. Mientras que otros navegadores rápidamente optaron por mantenerse alejados de P3P, a favor de sus propias alternativas (o, simplemente, para asegurar que un plug-in opcional puesto a disposición de los usuarios con la posibilidad de convertir sus propios sistemas en entornos P3Pcompatible), Internet Explorer ha terminado por convertir sus propias soluciones (este fue el caso de la exploración de InPrivate y Bloqueo de InPrivate en Internet Explorer 8).

en el año 199514. Más adelante, con el advenimiento del comercio electrónico, el Grupo de Trabajo de Protección de Datos (“G29”, aunando a todas las agencias nacionales de protección de datos) emitió una Recomendación sobre “ciertos requisitos mínimos para el recabado de datos personales on-line”15. Entre otras cosas, el documento clarificaba la forma en que la Directiva de Protección de Datos debía aplicarse a actividades online, incluyendo la recolección de datos a partir de formularios web, así como la forma en la que cierta información debía ser presentada al usuario. Más importante aún, la Recomendación exigía a los prestadores de servicios la identificación de las empresas titulares de las cookies”de tercera parte servidas en sus sitios web16.A este marco normativo se sumaría más adelante lo que pasó a ser conocido como la Directiva “ePrivacy” 200217, estableciendo

14 El 24 de octubre de 1995, el Consejo y el Parlamento de la Unión Europea adoptó una La Directiva 95/46/CE sobre la protección de las personas respecto al tratamiento de datos personales y a la libre circulación de los mismos. Esto vendría a ser conocido como la “directiva de protección de datos”.15 Véase http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2001/wp43en.pdf16 También dijo: “Si una organización sirve una cookie a través de su propio sitio web y solo esta organización puede acceder al contenido de la cookie, no hay ningún requisito adicional para identificar la información, por parte de la organización, de la cookie servida, siempre que la organización ”anfitriona” se haya identificado adecuadamente”.17 De la Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio, relativa al tratamiento de datos personales ya la protección de la intimidad en el sector de las

ésta los requisitos legales y técnicos para el procesamiento de datos personales en el marco electrónico-telemático. Durante la redacción y votación de esta Directiva llegó a discutirse un régimen de “opt-in”18, si bien éste no llego a prosperar y el texto final se limitó a exigir notificación suficiente del uso de cookies, así como de las consecuencias de su deshabilitado (modelo “opt-out”).

El debate sobre legislación de protección de datos personales no está limitado a la UE, sino que se puede encontrar a nivel mundial19. Casos recientes como el de China20, donde un cuerpo normativo dirigido expresamente a la protección de datos en Internet está en estos momentos viendo la luz. En Australia21 y otros países del “common law” 22, ha resultado difícil

comunicaciones de 12 de julio de 2002.18 Una enmienda aprobada inicialmente por el Parlamento Europeo en este sentido, se descartó finalmente en el Consejo de Ministros, poco antes de recibir su visto bueno definitivo.19 En particular, se han apresurado a seguir, los países de América del Sur con sistemas jurídicos, en cuanto a derecho civil, con arraigo similar a los compartidos por la mayoría de los miembros de la UE. Este es el caso de Argentina, Chile o Uruguay, que en el proceso han sido considerados países con un “adecuado” nivel de protección de datos personales por parte de la Comisión Europea (esto facilita la transferencia de datos a esos países).20 The Economist: “The long march to privacy” http://www.economist.com/node/538936221 Los Principios Nacionales de Privacidad de Australia (que figuran en el Anexo 3 de la Ley de Privacidad de 1988) se extienden a las obligaciones de protección de datos a empresas con una facturación mayor a 3 millones de $A22 Quebec es la excepción en Canadá (ya que también sigue la ley civil y cuenta con

abandonar un enfoque tradicional a la privacidad que se limita a proteger a la ciudadanía de los potenciales abusos del sector público.

La principal consecuencia de este marco jurídico a nivel internacional, es que la mayor parte de países imponen ciertas obligaciones a cualquier negocio que decida utilizar cookies para almacenar datos susceptibles de identificar a una persona física (datos personales). Estas obligaciones podrían venir en forma de un registro con la agencia nacional encargada de la materia, notificación, permiso previo, cancelación por petición del usuario, requisitos mínimos de seguridad u obligaciones referidas al uso, y transferencia a terceros de la información recabada. Por supuesto, los límites de la información “capaz de identificar a un individuo” varían en función del país (así, una simple dirección IP bastará para constituir dato personal en la UE)23.

Lo que no se había visto nunca, hasta la llegada de la Directiva ePrivacy, es un cuerpo normativo aplicable a un conjunto de prácticas para el procesamiento de la información con independencia de

la legislación respecto a la protección de datos personales más completa del país)23 Véanse las declaraciones de Peter Scharr en el frente del Data Protection Working Party (enero 2008) y las recomendaciones que siguieron en cada Estado miembro de la UE.

3. Una Corta Historia de Cookies y Protección de Datos


que dicha información pueda ser identificativa de la persona física. En este sentido, la Directiva ePrivacy ha constituido un predicado en el desierto… hasta que Do Not Track apareció en Estados Unidos.

Liderada por académicos de la Universidad de Stanford en California, la iniciativa Do Not Track aspiró desde el principio a facilitar una solución técnica y jurídica que replicara el concepto de las listas “do not call” (facilitando la inscripción de particulares que no desean recibir llamadas promocionales). Una vez que un usuario haya instalado la opción Do Not Track en su navegador, los sitios web adscritos a este estándar verían imposibilitada la opción de servir cookies. Por supuesto, el problema con la auto regulación es que requiere una adopción en masa si se espera una eficacia a gran escala.Do Not Track recibió un serio empuje en diciembre de 2010, cuando la Federal Trade Commission (FTC) de Estados Unidos decidió avalar24 la iniciativa. Al llegar el mes de abril de 2011, Microsoft Internet Explorer 9, Firefox 4 y Apple Safari se habían ya sumado a la implantación del nuevo estándar. Google Chrome se sumaría poco más adelante25.

24 Véase FTC Staff Issues Privacy Report, Offers Framework for Consumers, Businesses, and Policymakers http://www.ftc.gov/opa/2010/12/privacyreport.shtm25 Véase http://www.wired.com/

Además de todo ello, Estados Unidos podría contar con un cuerpo normativo específico si continúan avanzando los planes del Representante Cliff Stearns de introducir provisiones jurídicas que obligarían a la FTC a dar cumplimiento a Do Not Track (sobre la base de la existente Consumer Privacy Protection Act26).

epicenter/2011/04/chrome-do-not-track/. Google ha lanzado su propia solución técnica para garantizar la aplicación de un enfoque opt-out: Google Chrome Keep My Opt-Outs plug-in sobre los bloques de anuncios orientados a un target, producidos por un grupo de empresas y ad networks que han decidido asumir este esquema.26 Véase http://arstechnica.com/tech-policy/news/2011/03/congressman-to-revive-2005-onlineprivacy-bill-with-new-feedback.ars

A. “Opt-out deja paso a “Opt-in”Arrastrada por una nueva ola de alarma social ,a la vista de los nuevos desarrollos técnicos y de negocio (ver capítulo 1), la UE decidió enmendar

la Directiva ePrivacy en el año 200927 para atender la necesidad de obtener permiso cada vez que las cookies son leídas o servidas. Más específicamente, bajo la nueva redacción del artículo 5(3), se debe facilitar información clara y completa sobre el almacenamiento de ésta, o el acceso a la almacenada en sus equipos, y el usuario debe facilitar su consentimiento de un modo libre, específico e informado.

27 En la Directiva 2009/136/CE de 25 de noviembre de 2009 se modifica la Directiva 2002/22/CE relativa al servicio universal y los derechos de los usuarios en relación con las redes y servicios de comunicaciones, la Directiva 2002/58/CE relativa al tratamiento de datos personales y a la protección de la intimidad en el sector de las comunicaciones y el Reglamento (CE) nº 2006/2004 sobre la cooperación entre las autoridades nacionales encargadas de la aplicación de las leyes de protección al consumidor. Su texto completo se puede encontrar aquí: http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2009:337:0011:0036:En:PDF

El desafío de laUNIÓN EUROPEA

3. Una Corta Historia de Cookies y Protección de Datos


El propio artículo 5(3) se encargó de facilitar una excepción a esta regla: “este permiso no será requerido cuando las cookies resultan estrictamente necesarias para la operación de los servicios”. Este concepto podría llevar a diferentes interpretaciones: ¿nos referimos con “operación” a “puesta en funcionamiento” de los servicios? ¿Estamos igualmente hablando de “optimización” de los mismos? Mientras que el primer concepto incluiría únicamente aquellas cookies usadas en carritos de la compra o sesiones registradas, el último sería suficientemente amplio como para dar cabida a las tareas de analítica web, tareas de mantenimiento ordinario y funcionalidades no esenciales basadas en cookies (tales como recordar una selección de idioma o una ubicación geográfica).

Después de una serie de interpretaciones dispares, la Opinión 04/2012 sobre la Exención al Consentimiento para servir Cookies del G29 clarifica y armoniza esto a través de la UE: la excepción se limita únicamente a cookies que, una vez deshabilitadas, imposibilitarían la prestación del servicio tal y como éste está concebido. Por ello, las “cookies analíticas” (o vinculadas a tareas de analítica web) no estarán en ningún caso exentas y toda

web que haga uso de ellas deberá obtener consentimiento. ¿En qué consiste ese consentimiento?

Consentimiento implícitoSe ha escrito mucho sobre la extensión del consentimiento requerido. A la luz de una Opinión previa del G2928 (02/2010 sobre publicidad comportamental, en sí misma sustentada sobre cookies de tercera parte), el consentimiento apropiado no puede asumirse como dado, por el mero hecho de que el usuario haga uso de navegadores cuyas opciones de configuración permiten el rechazo automático de cookies. Al contrario, para la obtención del consentimiento debería mediar una acción positiva y específica por parte del individuo.

Por otro lado, el Comité de Comunicaciones de la UE, establecido para asesorar a los Estados Miembros en el curso de la implantación de esta Directiva, ha sugerido que las preferencias del navegador y otras aplicaciones sí podrían representar suficiente consentimiento. Es por esta razón que se ha implicado desde el primer momento a los fabricantes de navegadores.

28 Véase: http://www.ico.gov.uk/for_organisations/privacy_and_electronic_communications/new_regulations.aspx

La línea previa de pensamiento inspiró en su momento la primera versión de las directrices de la oficina de protección de datos del Reino Unido (Information Commissioner’s Office o “ICO”)29, el primer país en transponer la Directiva al ordenamiento nacional. A tenor de ésta, se exigiría una solicitud de permiso expreso cada vez que se sirve una “cookie”. Para demostrar el funcionamiento de esta solución, la propia ICO aplicó esta fórmula técnica a su propio sitio web. Obligada a compartir el impacto de esta medida con el público, la caída de visitantes únicos (de un 90%)30 registrada tuvo un efecto descorazonador en la industria, provocando honda preocupación y generalizando la opinión de que las medidas legislativas permanecían completamente ajenas a la realidad del nuevo entorno digital.

Desafortunadamente, un permiso expreso a nivel de página web puede únicamente obtenerse mediante “pop-ups” o alertas

29 A través de sus Directrices (ver http://www.ico. gov.uk/for_organisations/privacy_and_electronic_ communications/new_regulations.aspx, facilitando incluso ejemplos prácticos para la muestra de solicitudes de permiso al usuario mediante “pop-ups”, faldones o fórmulas análogas.30 Ver la respuesta de ICO a una petición pública por parte de nuestra colega Vicky Brock en nombre de la Digital Analytics Association, con la referencia IRQ0397602 y amparada en el Freedom of Information Act de ese país. Una transcripción completa de este intercambio puede leerse aquí: http://www.research-live.com/news/analytics/cookie-refusal-leads-to-90-drop-inmeasured-visits-to-ico-site/4005538.article.

gráficas que impiden al usuario progresar en el desempeño de la tarea que ha venido a completar online. Esto contradice directamente todo principio de arquitectura de información o usabilidad web31. Después de varios meses, tanto la ICO como el G29 reaccionaron positivamente a las quejas y preocupaciones de un amplio número de organizaciones que se declaraban incapaces de encontrar una solución válida al desafío legal. Finalmente, en la nueva versión de las Directrices del organismo británico pasó a aceptarse el consentimiento implícito como una fórmula válida de consentimiento.

Sin embargo, el consentimiento implícito debe basarse en una acción positiva por parte del individuo de quien se infiere dicho consentimiento. A tenor de las Directrices de ICO, esto puede consistir en navegar de una página web a otra o tal vez en visitar, meramente, un sitio web, pero debe existir un entendimiento razonable de que se está produciendo una aceptación en el curso de dicha acción. Aún más, los sitios web deberían poder demostrar que hacen todo lo posible para reducir la cantidad de tiempo transcurrido desde el momento en que el usuario

31 Vid. KRUG, Steve “Don’t make me think”,Que, 2000.

4. El Desafío de la Unión Europea


accede al sitio web, hasta el instante en que recibe la información pertinente. Es por todo ello que resultará imprescindible, la muestra prominente del vínculo que lleva al usuario a la política de privacidad vinculada al uso de cookies o sus opciones para el rechazo de las mismas (“opt-out”).

Implicaciones del uso de cookies de tercera parteCon frecuencia hemos hecho demasiado énfasis en la categorización técnica de cookies (primera parte vs. tercera parte), cuando el foco de atención debería realmente estar en la forma en que el uso de cookies afecta al usuario en su relación con un determinado sitio web. Es por ello que las Directrices de ICO dejan muy claro que las relaciones de tercera parte (ej. : publicidad comportamental) no estarán en ningún caso exentas de la normativa, incluso en los casos en que hagan uso de tecnología de “primera parte”. A la inversa, la Opinión 04/2012 del G29 deja claro que las cookies de tercera parte servidas por “botones sociales” (Social Plugins) estarán exentas por considerarse estrictamente necesarias para la prestación del servicio (consistente en compartir con un círculo social) cuando el usuario esté previamente registrado en las redes sociales afectadas en su navegador.

Más aún, un criterio de intrusividad se ha impuesto con el paso del tiempo, permitiendo al prestador expresar de un modo más comprensible al usuario los diferentes tipos de cookies usadas por el negocio online. En virtud de este criterio, el servicio de administración electrónica del Reino Unido (Government Digital Service) ha clasificado las cookies en tres grupos: exentas, mínimamente intrusivas y moderadamente intrusivas32.

Transposiciones nacionales hasta la fechaHasta el momento presente, las transposiciones nacionales de la normativa han logrado evitar una línea dura en favor de interpretaciones más prácticas, evitando en todo caso acarrear consecuencias negativas para el incipiente negocio del comercio electrónico o el marketing digital.

Aunque trataremos el caso de España en profundidad en el siguiente apartado, otros países han ido más lejos en su clara adopción de una línea de consentimiento

32 El Servicio Digital del Gobierno del Reino Unido ha utilizado una clasificación de tres niveles: 1) Moderadamente intrusivo: incorporado los contenidos de terceros y social media-plugins; optimización de campañas de publicidad. 2) Mínimamente intrusiva: Web Analytics/metrics; contenido personalizado / interfaz. 3) Exención: Basta de envíos de formularios múltiples ; equilibrio de carga; transacciones específicas.

implícito o “soft consent”. Es el caso de la República Checa, Finlandia, Hungría, Irlanda o Suecia. Concretamente, estos países proponen el uso de notificaciones adecuadas, de modo paralelo a permitir la aceptación mediante opciones del navegador.

¿Qué ley aplicar?De modo diferente a otros cuerpos legislativos comunitarios, que aplican la ley nacional de residencia del consumidor, el marco normativo de la protección de datos se sustenta en la legislación nacional del país de residencia del prestador y, en caso de encontrarse éste fuera de la EEA (UE más Noruega, Liechtenstein e Islandia), la del país en que se encuentre el equipamiento destinado al procesamiento de los datos. Sin embargo, dado que las cookies hacen uso del terminal informático o móvil de un usuario final, el Comité de Comunicaciones de la Comisión Europea ha interpretado que dichos terminales serán análogos a sistemas para el

procesamiento y almacenamiento de datos. De este modo, la legislación de cualquiera de los 27 países miembros podría verse aplicada a un sitio web gestionado por una empresa ubicada en Estados Unidos, Australia o Indonesia (a menos que se bloqueara el acceso para los residentes de dicho país). En cualquier caso, resulta obvio que un prestador estará principalmente expuesto a riesgo de sanciones (o, de modo más preciso, a la ejecución de las mismas) en aquellos países en los que posee activos propios.

4. El Desafío de la Unión Europea


La situación en España: USO DE COOKIES Y MARCO NORMATIVO

Estudio sobre el uso de cookies en el mercado españolEl presente estudio analiza las principales premisas digitales de todas las empresas del IBEX 35, así como aquellas correspondientes a los 20 principales anunciantes en Internet. Hemos considerado importante separar el tratamiento de ambos grupos para ilustrar las diferencias halladas entre organizaciones tradicionalmente más anquilosadas en su aprovechamiento de los nuevos canales y empresas situadas en un escalón superior de madurez sobre su aprovechamiento de los mismos (sirviendo en consecuencia como punto de referencia de grandes, pequeñas y medianas empresas a medio plazo). De aquí se desprenden importantes conclusiones para

comprender el impacto real de la nueva normativa, así como el nivel de esfuerzo requerido en su adecuación.


Media de cookies en uso(Obtenida sobre el total de cookies encontradas en las páginas webs de cada uno de los grupos analizados divididas entre el número de actores)

Porcentaje de cookies de tercera parte en uso(Porcentaje de cookies pertenecientes a dominios ajenos al del propio prestador, sobre el total de cookies encontradas)

Porcentaje de sites con cookies de tercera parte en uso(Porcentaje de páginas web en las que se hace uso de al menos una “cookie” de tercera parte)

Porcentaje de cookies analíticas(Porcentaje de cookies usadas con meros propósitos de gestión de audiencias y contenidos, sobre el total de cookies encontradas)

5. La Situación en España: Uso de Cookies y Marco Normativo


Porcentaje de sites con cookies analíticas(Porcentaje de páginas web para las que se ha encontrado al menos una “cookie” de tipo analítico)

Porcentaje de cookies vinculadas a redes sociales(Porcentaje de cookies de tercera parte correspondientes a servicios ofrecidos por redes sociales externas, sobre el total de cookies encontradas)

Porcentaje de sites con cookies vinculadas a redes sociales(Porcentaje de páginas web incorporando al menos una cookie de tercera parte correspondiente a servicios ofrecidos por redes sociales externas, sobre el total de páginas web analizadas)

Porcentaje de empresas que han incluido una lista de cookies en sus políticas de privacidadEn los auditados llevados a cabo no se han encontrado listadas las cookies”en la política de privacidad ubicada en los sites analizados dentro de la muestra de las empresas objetivo de este estudio.



Porcentaje de empresas que han incluido una referencia al concepto cookies en sus políticas de privacidad

Porcentaje de empresas que han incluido un enlace a la información facilitada por proveedores externos de cookies analíticas

Marco normativoEn España, a pesar de que la Directiva ePrivacy había visto la luz a través de la Ley General de Telecomunicaciones 2003, el legislador ha escogido el camino de la Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI) para transponer los más recientes cambios en el texto original33. En cualquier caso, el texto deja claro que el permiso podrá obtenerse de forma válida a través de las opciones del navegador, si bien deberá implicar una acción positiva por parte del usuario (en el momento de su instalación o puesta al día). Este párrafo adicional (no presente en la Directiva) arroja esperanza de cara al futuro, aunque no resulta suficiente para aliviar las necesidades actuales.

33 Por medio de un Real Decreto-Ley que modifica la Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico de 2002, es en sí misma una transposición de la Directiva sobre Comercio Electrónico, con un cambio, que se espera dentro de poco, en la Ley General de Telecomunicaciones de 2003 que implementó la Directiva ePrivacy.



Una estrategia de compliance eficaz ante el nuevo marco jurídicoSi bien resta aún conocer el estado final de la interpretación sobre la normativa en algunos países, y la mayor parte de agencias nacionales de protección de datos se enfrentan a desafíos tecnológicos hasta ahora no presentes en sus quehaceres cotidianos, podemos ya resumir las opciones actualmente disponibles para un operador online con el objetivo de definir un mínimo común denominador que permita establecer las salvaguardas necesarias frente a las diferentes legislaciones nacionales implicadas.

En busca de un mínimo común denominador

Diversas fuentes sirven de precedente y pueden actuar como directrices a la hora de establecer un mínimo común denominador que a priori garantice la satisfacción simultánea de la Directiva comunitaria, y el potencial marco jurídico de Do Not Track en Estados Unidos:

- Directrices emitidas por los países que han transpuesto ya la Directiva comunitaria a sus ordenamientos nacionales

- Recomendaciones del Comité de Comunicaciones de la UE

- Opiniones del G29- Recitales de la nueva Directiva

ePrivacy

SOLUCIONESTÉCNICAS Y LEGALES para la satisfacción de la normativa española e internacional


- Informe de la FTC estadounidense sobre Do Not Track34

Es a partir de la observación de todos ellos que podemos alcanzar las siguientes conclusiones:

- Una clasificación de cookies basada en su nivel de intrusividad asistiría indudablemente en el proceso de comunicación con el usuario final, ayudando en la explicación de una necesidad de permiso en ciertos casos

- Tanto la FTC estadounidense como las autoridades locales de la UE estarán menos inclinadas a tomar acción sancionadora contra prestadores que hayan mostrado una intención en adecuarse al nuevo marco normativo, que hacerlo contra aquellas empresas que de forma obvia se desentiendan de su aplicación

- Dado el hecho de que la Opinión 2/2010 sobre Publicidad Comportamental del G29 representa un precedente clave en el nuevo marco jurídico, debería prestarse especial atención al hecho de que las redes de afiliados y plataformas de gestión de publicidad gráfica basados en cookies de tercera parte representan su objetivo más claro.

34 Véase http://ftc.gov/os/2010/12/101201privacyreport.pdf

Como consecuencia, cualquier actividad basada en cookies cuya información será únicamente gestionada por el propio titular del sitio web visitado por el usuario, debería en principio atraer menor escrutinio. Si a ello se suma una vinculación técnica con cada uno de los dominios empleados (cookies de primera parte), se logrará un mayor nivel de transparencia al tiempo que su uso será más eficaz en el marco de una aplicación por defecto de Do Not Track en la venidera generación de navegadores35

- Diversos proveedores de servicios de analítica online ofrecen sus propios “plugins” de “opt-out”36. Un vínculo a los mismos podría igualmente facilitarse de manera sencilla en el marco de la política de privacidad o nota legal

35 “Los terceros podrán almacenar información sobre el equipo de un usuario, o tener acceso a la información ya almacenada, con una serie de propósitos, que van desde los legítimos (como ciertos tipos de cookies), a los que implican intrusión injustificada en el ámbito privado (como el spyware o virus). Por tanto, es de suma importancia que los usuarios cuenten con información clara y completa al participar en cualquier actividad que pudiera dar lugar a dicho almacenamiento o a la obtención de acceso. Los métodos para proporcionar información y ofrecer el derecho de rechazar el mismo debe ser tan fácil como sea posible [...] “36 Dos ejemplos alternativos son proporcionados por Google Analytics (http://tools.google.com/ / gaoptout) y Adobe Omniture SiteCatalyst aplicaciónes opt-out (http://www.omniture.cz/en/ privacy/2o7 # optout). El primero de ellos consiste en un plug in para el navegador y el sistema de Adobe está (paradójicamente) basado en cookies.

- Resultará siempre más sencillo probar acciones positivas de cara a la satisfacción de la normativa, que defender una estrategia de impasividad ante los recientes cambios sobre la base de que “todo el mundo está haciendo lo mismo”.

Soluciones técnicas y prácticasCon todo ello en mente, desde Divisadero proponemos la adopción de cuatro pasos que asegurarían la satisfacción de dicho mínimo común denominador arriba definido. Estos pasos son coherentes con las directrices nacionales existentes, al tiempo que siguen resultando esencialmente prácticas y apuntan a causar la mínima disrupción en la prestación de los servicios:

1. Inventariado de cookies. Cada organización debería llevar a cabo un auditado e inventariado exhaustivo de sus cookies persistentes, recabando información básica sobre cada una de ellas: duración (vida de la “cookie”), propósito, nivel de intrusividad y titular (en caso de pertenecer a un tercero). Un sencillo cuadro ilustrativo puede encontrarse en la última página de este documento, al tiempo que existe un amplio catálogo de productos gratuitos para su realización37.

37 Ej.: Firecookie.

2. Procedimiento interno para la gestión de cookies. Deberá igualmente establecerse un conjunto de reglas básicas para la supervisión cotidiana de las cookies persistentes empleadas, con el propósito de reducir su volumen o, cuando sea posible, su duración.

3. Puesta al día de las notificaciones relativas a la protección de datos personales. Las cookies deberán contar con una mención específica en el título del documento de notificación. Además, este documento deberá incluir una sección expresamente dedicada a exponer los diferentes tipos de cookies en uso (analíticas, uso interno, plugins sociales, personalización, publicidad, etc.).

4. Opciones de opt-out. La mayor parte de herramientas técnicas en uso facilitan sistemas para el deshabilitado de sus cookies. Debería proveerse un vínculo a los mismos. Además, la adecuación al sistema Do Not Track garantizará la compatibilidad con la venidera generación de navegadores.

NOTA: estas recomendaciones no se considerarán en ningún caso un sustituto del asesoramiento jurídico especializado.

6. Soluciones Técnicas y Legales para la Satisfacción de la Normativa Española e Internacional

Sobre el autorSergio Maldonado es licenciado en Derecho por la Universidad del País Vasco y LLM (Merit) en Derecho de Internet por Queen Mary’s University (University of London). El autor ha dedicado su carrera profesional a la prestación de servicios de asesoramiento a grandes empresas y organismos públicos en la gestión del canal online. Formado inicialmente como abogado en California y admitido doblemente a práctica en las jurisdicciones española e inglesa (Colegio de Abogados de Madrid, Law Society of England & Wales), Sergio es co-autor de “Internet, claves legales para la empresa” (Thomson-Aranzadi).

Sergio Maldonado es además autor del libro “Analítica Web: medir para triunfar” (2ª Edición. ESIC Editorial, 2010). También es profesor invitado en la Escuela de Negocios ESIC y ponente habitual en eventos internacionales de marketing digital (WSAB Londres, eMetrics San Francisco, eMetrics Washington DC, Pekín WAW, Madrid OMExpo, Buenos Aires, ESEADE, IMC Barcelona). A ello se suma la fundación de la consultora estratégica de canal online Divisadero / MVConsultoria, que ha dirigido desde 2006.

Sobre DivisaderoDivisadero es una consultora especializada en la gestión de activos digitales.

En el marco de su catálogo de servicios de Online Compliance (www.onlinecompliance.eu), Divisadero asesora a departamentos jurídicos, compliance officers y despachos de abogados en la adecuación de contenidos o servicios online a la normativa aplicable al uso de cookies, al tiempo que desarrolla auditados técnicos para la elaboración de catálogos de cookies y protocolos para su gestión.

La empresa cuenta hoy con presencia en cuatro países y un equipo de cuarenta profesionales, trabajando con varias compañías del IBEX 35 y Fortune 500, incluyendo: Vodafone, Heineken, Mango, Santander, BBVA, ING Direct, Coca-Cola, AXA, NH Hoteles, Barclays Bank, Yell, Vueling o Iberdrola.

www.divisadero.es

nueva normativa cookies - divisadero · servicios y fuentes de tráfico, mediante el análisis...

Documents