Entradas

“Aceptar todas las cookies. Seguro que es una frase que te suena, ¿verdad? Pasamos mucho de nuestro tiempo conectados a Internet, sea desde casa, el trabajo, el móvil, la tablet…. Por ello, este post lo vamos a dedicar a explorar aspectos básicos sobre un elemento fundamental en la red, del que todos hemos oído hablar pero que, en muchas ocasiones, no llegamos a entender: las cookies.

Pero, ¿qué son las cookies? No, no nos hemos convertido de pronto, en un blog sobre cocina, lo nuestro sigue siendo la protección de datos. Cuando nos referimos, dentro del vasto universo de Internet, a las cookies, estamos hablando de archivos que se utilizan en las páginas web, para asegurar que las mismas funcionan correctamente, para analizar y registrar cómo se comporta el usuario que accede a ellas y cuáles son sus preferencias, o para mostrarle publicidad.

La cuestión es que ojala el tema de las cookies fuera tan simple, pero lo cierto es que todo lo que está relacionado con el tema publicitario online es ampliamente opaco y convulso, lleno de múltiples partes que explotan los datos, que recogen información y la mueven de un lado a otro, de ahí que su uso sea regulado, y que se limite su aplicación para proteger nuestros derechos, muchas veces no del titular de la web, sino de terceros propietarios de esas cookies o colaboradores de los mismos.

¿Qué debemos cumplir en materia de cookies si tenemos una web?

Si tienes o gestionas una web, o simplemente te preocupa el cumplimiento normativo en lo que a cookies respecta, hay algunos aspectos fundamentales a tener en cuenta:

  • Siempre se debe informar del uso de cookies y tecnologías similares. En este sentido la guía de la AEPD nos ayuda a diferenciar laS tipología de cookies según criterios basados en, la propiedad de la cookie, su finalidad o la duración.  También nos ayuda a identificar cuándo se pueden o no instalar, y qué legitimaciones utilizar. Nos indica los mínimos a informar, cómo, cuándo y dónde, etc. Total, que hay que contar al usuario todo, todo, y no guardarnos nada. Se puede informar de golpe o en dos capas. Esto último es lo que usan la mayoría de webs, por eso mayoritariamente encontramos una primera y una segunda capa de información: éstas son, respectivamente, el Aviso de Cookies y la Política de Cookies.
  • Instalación y legitimación. Como dijimos antes, hay varios tipos de cookies, y algunas de ellas requieren que se pida consentimiento para su instalación, o bien que se defina claramente la legitimación para el tratamiento de los datos recogidos a través de ellas.
  • Ojo con el consentimiento. Si la legitimación que aplica a la instalación de una cookie es el consentimiento (cookies analíticas o publicitarias), estas nunca deben instalarse cookies sin consentimiento previo del usuario para ello. En otras palabras, el usuario tiene que aceptar esas cookies antes de que eso ocurra. Y, por supuesto, si no se pronuncia al respecto, o las rechaza, tampoco deben instalarse ya que la falta de acción no es en ningún caso un consentimiento.
  • Eliminación. Las cookies en si no son lo relevante, lo critico son los datos personales que recogen, y como todo lo relativo al RGPD y la normativa de protección de datos, los datos deben ser eliminado en cuanto dejen de ser necesarios para la finalidad que fueron recabados, sabiendo que debe cumplirse el principio de limitación del plazo de conservación.
  • Gestor de cumplimiento de cookies. La mayoría de webs que ofrecen un aviso de cookies y la posibilidad de gestionar la instalación de las mismas, usan gestores de cookies que categorizan las cookies por finalidad, e incluso en algunos casos enseñan los terceros a los que facilitan los datos, y luego amplían la información a través de la política de cookies, que muestra al usuario la información ampliada a íntegra. Estos gestores no son obligatorios pero son la mejor baza para cumplir y gestionar las legitimaciones.
  • Otras obligaciones o puntos relevantes a tener en cuenta: Lo dicho, el tema cookies no es tan sencillo como nos gustaría y aunque a veces parece que es solo poner la política de cookies un banner molesto a la entrada de la web, no es ni de lejos eso.  Cuando en una web se instalan cookies, además de los puntos anteriores, otros temas relevantes a tener en cuenta son, entre otros, las transferencias internacionales de datos, la definición de la posición del titular de la web y sus corresponsables y encargados, finalidades reales de los tratamientos de datos. Etc.

Solo por recordar, además del cumplimiento de cookies, las webs deben cumplir con otra serie de cosas. Os lo contabamos en este post, y en este.

Recursos de apoyo para cumplir con las obligaciones sobre cookies

Las distintas autoridades de protección de datos de la UE han publicado, casi cada una, directrices sobre el cumplimiento en esta matería. Desde nuestro punto de vista las más relevantes son las de la autoridad francesa de protección de datos, CNIL, la de la autoridad Inglesa (ups, ya no son UE, pero siguen siendo muy útiles) el ICO, y claro, nuestra propia AEPD. Justo al ser nuestra Autoridad, aprovecharemos para hablar de su guía, que bueno, ha tenido versiones menos pacíficas y más criticadas, pero la actual es muy correcta y clara.

Guía de la AEPD sobre cookies

Tal es la importancia de las cookies en el panorama actual que la AEPD cuenta con una guía, que se actualiza periódicamente, dedicada en exclusiva a éstas. La última modificación de este recurso tuvo lugar en julio de 2020 y dio lugar a una serie de novedades fundamentales:

  1. El consentimiento no vale si no es explícito e inequívoco

Hasta ahora, se admitía la posibilidad de que diversas opciones frecuentemente usadas en los sitios web pudieran considerarse manifestaciones del consentimiento. Por ejemplo, fórmulas del estilo “Seguir navegando”, “Continuar con la navegación” o incluso el hecho de que el usuario continuara su visita por el sitio, sin más acción, o cerrara el ya mencionado aviso de cookies. Ahora, este criterio ha cambiado, y para que el consentimiento del usuario sea válido, ha de ser claro, expreso e inequívoco, sin lugar a dudas sobre la postura del usuario.

  • Eres libre, y que nadie (ni siquiera las cookies) diga lo contrario

Vale, quizás el título es algo dramático, pero el caso es que, en muchas ocasiones, tenemos la mala suerte de toparnos con webs que no nos permiten acceder a ciertos contenidos o funcionalidades si no hemos aceptado previamente las cookies. Vamos, que casi podríamos hablar de un “Club VIP para quienes aceptan todas las cookies sin ton ni son”, y eso sí es dramático. Por ello, esta también es una barrera que desaparece: cualquier usuario, sin importar cómo configura las cookies, debe poder acceder a todo el contenido de la web.

  • Libertad, sí, pero con límites

Efectivamente, la AEPD reconoce la libertad del usuario a elegir. Pero, pese a la eliminación de esas barreras o muros de cookies, sí que admite que, en algunos casos, la no aceptación pueda derivar en que el usuario no pueda acceder a la web, total o parcialmente. No obstante, esto requiere de dos condiciones adicionales:

  • Que el usuario quede correctamente informado de esta circunstancia
  • Que se le proporcione una alternativa de acceso que no requiera tal aceptación

Si estas novedades entraron en vigor el 31 de octubre de 2020. Entonces, ¿Qué sentido tiene publicar este artículo ahora?

En primer lugar, porque desde Dataseg creemos que todos tenemos derecho a conocer cómo funciona Internet y en qué medida podemos ver nuestros derechos y libertades afectados. En segundo lugar, porque desde esa fecha, venimos apreciando un cambio notable en los criterios a seguir, las resoluciones y las sanciones a aplicar por parte de la AEPD (hasta el 31/10/2020 la AEPD no había sancionado económicamente a ningún responsable por el uso de cookies, pero pasada esa fecha tenemos unos buenos e interesantes golpes); y ya. Finalmente. porque la campaña de súper Schrems a través de Noyb para perseguir a todas las webs de la UE por el tema cookies hace que nuestro interés por analizar los procedimientos publicados por a AEPD creciera y en nuestro próximo post, os contemos más sobre ello.

Así que, si te has quedado con ganas de más, podrás descubrirlo en nuestro próximo post…

Los titulares de páginas web deben realizar una adecuación legal web. La finalidad es cumplir aquellas leyes que se han erigido como garantes de los derechos de las
personas en internet.

Con la expansión de internet, cada vez somos más propensos a realizar transacciones a través de la red. Necesitamos seguridad jurídica, y estas leyes bien aplicadas nos ayudan a conseguirla.

Hay que recordar que en su momento parecía que internet era el Salvaje Oeste. Nada más lejos de la realidad. Pero, para evitar confusiones, y aclarar algunas
líneas muy delgadas, se creó la regulación especifica de los servicios de la sociedad de la información.

Nota: artículo actualizado el 04/11/2018 para incluir lo relativo a la adecuación web al RGPD – Reglamento General de Protección de Datos UE 679/2016.

¿Qué leyes se tienen en cuenta en una adecuación legal web?

El ecosistema jurídico aplicable a los negocios en interner, es el mismo que es de aplicación en su parte física. Tenemos al Código Civil, Código de Comercio, Código Penal, entre otros. Luego, las leyes especiales que imponen obligaciones concretas a aquellas empresas y profesionales que gestionan y explotan una página web.

Específicas de negocios en internet
Relativas al producto/servicio y actividad económica

Las anteriores para empezar. A partir de ellas hay que sumar la legislación específica relativa a la actividad que se realice. Así como la de los productos o servicios ofrezca. Esto para transacciones B2C (negocio a persona física)

Para transacciones B2B (negocio con negocio)  pues oye, que venga el Código Civil y la legislación mercantil y repartan cuantas reglas hagan falta.

En nuestros post hablaremos del caso que más se presta para generalizar. El B2C, y las leyes básicas aplicables a casi toda la generalidad de páginas web de negocios o profesionales.

Pero, ¿cuáles son las leyes que debo cumplir en MI web?

Sabiendo de antemano que existe una regulación de los servicios prestados u ofrecidos a través de internet, así como que es de aplicación todo el ordenamiento jurídico básico de nuestro país, le dejamos una pequeña tabla que le permitirá identificar fácilmente las leyes que debe cumplir.

Lista indicativa, una opción no excluye la otra. Lo más probable es que salga, LSSI y el RGPD, casi siempre.

 

Y, ¿De esas Leyes qué tengo que hacer?

Bueno, nuestro propósito inicial fue escribir un solo artículo que resumiera todas las obligaciones. Como iba a quedar tipo testamento -de lo largo- haremos, otros 3 artículos que cumplimenten este. Serán sobre la LSSI-CE, el RGPD y la LGDCU.

Para resumir, os ponemos lo que a nuestro juicio son los dos pilares de estas tres leyes. El principio de información y transparencia, y el de consentimiento. Los demás son completamente transversales en asociación con estos.

Principio de información y transparencia.

En nuestras transacciones online, sean gratiutas u onerosas nos interesa tener seguridad jurídica. Saber que nuestros derechos serán respetados y que quien está del otro lado, va a cumplir su parte del trato.

  1. En la LSSI, artículo 10, encontramos la obligación publicar toda la información del titular de la web. Datos identificativos, fiscales, de contacto, de localización y registro. En caso de profesiones reguladas también se piden información específica. Si en la web se ofrecen productos o servicios deben aparecer claramente los precios, impuestos aplicables y gastos de envío. Entre otras.
  2. El RGPD por su parte dispone en el artículo 5.1 en su apartado a) el principio de transparencia en relación al tratamiento de datos del interesado, y en su artículo 13 relativo al derecho de información, establece que se facilitará toda la información siguiente al interesado: la identidad y los datos de contacto del responsable, los fines a los que se destinan los datos personales, los destinatarios o las categorías de destinatarios de los datos personales, el plazo durante el cual se conservarán los datos personales, así como la existencia del derecho a solicitar al responsable del tratamiento el acceso a los datos personales relativos al interesado, y su rectificación o supresión, o la limitación de su tratamiento, o a oponerse al tratamiento.
    NOTA: En este apartado el artículo original hacía mención a las obligaciones de información de la LO. 15/1999 de Protección de Datos de Carácter Personal.
    Hace dos semanas la AEPD publicó su informe sobre ‘Políticas de privacidad en Internet. Adaptación al RGPD’. No quedó títere con cabeza, y definitivamente
    ese informe hecho de oficio por la Agencia deja claro que no se van a andar con chiquitas a la hora de evaluar el cumplimiento de los responsables. Puede ver el informe aquí https://www.aepd.es/media/estudios/informe-politicas-de-privacidad-adaptacion-RGPD.pdf
  3. La LGDCU, va más allá que la LSSI en lo relativo a los derechos de los consumidores y usuarios. Exige que todo tipo de información relativa a la venta o contratación, sea fácilmente accesible siempre para los consumidores. Así mismo que estos siempre tengan claro: cuál es el proceso de compra, los precios de los productos, del envío, la posibilidad del ejercicio del derecho de desistimiento, cancelación de la transacción, entre otros.
Principio del consentimiento.

Os podéis imaginar que, si estas leyes pretenden garantizar los derechos de los usuarios, uno de los puntos clave es priorizar la necesidad del consentimiento bien para recabar datos, para el envío de publicidad, o para la formalización de una transacción o cualquier otra finalidad que así lo requiera, así como la normativa aplicable: casos y leyes:

  • El Reglamento General de Protección de datos dispone que el consentimiento ha de ser inequívoco, es decir, se ha de prestar mediante una manifestación o una clara acción afirmativa del interesado.
  • Por otro lado la LSSI, en sus artículos 20, 21 y 22 exigen, no solo información, sino, la autorización expresa. Ojo, expresa, para el envío de publicidad. Claro, también hay alguna excepción, la más importante, y asociada a la pronto inicio de aplicación del RGPD, será la del interés legítimo.
  • En la LGDCU -por recordar, Ley General Para la Defensa de Consumidores y Usuarios- solo se podrán entender como realizadas aquellas transacciones que sean realizadas con el consentimiento y aceptación plena e informada del consumidor. Aquellas se realicen de forma engañosa, no tendrán validez.

Conclusiones

Tener una página web requiere de una visión de amplio espectro. Que no solo se vea por la consecución del fin de su puesta en marcha, sino también, de la defensa y garantía de los derechos de nuestros destinatarios del servicio o consumidores.

El cumplimiento de estas normas, no solo protege los derechos de los usuarios o consumidores, sino también de los del titular de la web. Con el cumplimiento de las normas en muchos casos limita su responsabilidad, así como evita incidencias mayores al poner en claro las reglas del juego. Las leyes están para cumplirlas, pero si además las cumplimos como valor añadido podremos conseguir que nuestro sitio web sea reconocido por su fiabilidad y cumplimiento.

Si necesitáis ayuda con la adecuación legal de vuestra web, ecommerce, palataforma Saas, o cualquier otro servicio de la sociedad de la información, no dudéis en contactarnos. Nuestro nuestro servicio de adecuación legal web, software y app, ha sido diseñado para eso.

PS/ Pronto publicaremos el siguiente artículo. Adecuación Legal Web (II). La LSSI.

Todo lo que hacemos en internet deja huella, un rastro digital del que no siempre somos conscientes.

Muchos usuarios se sorprenden cuándo después de hacer una búsqueda de un vuelo empiezan a recibir publicidad de viajes a través de banners o sugerencias de los buscadores, aunque esa es la parte menos invasiva de todas.

En realidad cada movimiento que hacemos en internet sea directo o indirecto deja huella. Desde la búsqueda en un navegador, el uso de una aplicación, o incluso el llevar activo el GPS, bluetooh o wifi en un dispositivo móvil.

Dejamos datos de nuestra vida en cada publicación que hacemos en las redes sociales. Nuestra geolocalización se recaba al usar ciertos servicios, o ciertos dispositivos (móviles, tabletas, o relojes).

Nuestros gustos y preferencias son obtenidas de nuestras búsquedas en internet, y de las páginas y servicios que usamos.

Cada click es un dato, y en esta era, los datos son el petróleo que mueve los mercados.

 

¿Cómo obtienen la huella digital?

La forma habitual de recabar nuestros datos de geolocalización es a través de las configuraciones del navegador que usemos, o de las cookies de las webs, pero también, y ahí está lo relevante, los dispositivos móviles traen incorporados GPS, que registran cada paso que damos, incluso cuando tenemos inactiva dicha opción.

Otra forma de dejar rastro digital, y además muy personalizado es a través de las redes sociales, ahí los usuarios tendemos a creer que solo quienes hemos añadido pueden ver nuestras publicaciones, a sentirnos en una burbuja de seguridad y confort, como si estuviéramos en la sala de estar de casa, y podría ser que si, siempre que nuestra casa estuviera llena de pantallas y micrófonos que permiten ver al mundo entero todo lo que allí sucede, como el gran hermano.

Cuándo usamos cuentas como Gmail, Hotmail, y otros servicios similares, ellos rastrean contenidos en nuestros correos. Sí, querido lector, nos vigilan, debes quitar la cara de póker y encajar la noticia lo mejor posible, porque cuándo aceptas usar sus servicios gratuitos en internet estás aceptando esa injerencia en tu privacidad. Normalmente explican que es para ofrecerte resultados de búsqueda y publicidad personalizada…

El valor de nuestra huella digital

En internet no hay privacidad, todo lo que publicamos puede terminar expuesto y fuera de nuestro control. No hay esa expectativa de anonimidad de la que la gente piensa que disfruta, todo es rastreado, almacenado y estudiado, no por uno sino por muchos interesados, porque aunque no lo creamos nuestra información tiene mucho valor comercial para las empresas y gobiernos, e incluso para los ciberdelincuentes.

¿Para qué se usa el rastro digital de los usuarios?

Con el avance de la tecnología y los grandes procesadores de información es más fácil utilizar la información de los likes, publicaciones, comentarios, visitas a webs, compras, elección de productos etc, para dibujar el perfil de una persona, saber sus preferencias, necesidades, puntos débiles y usar dicha información para infinidad de cosas, desde ofrecernos productos hasta para hacernos daño.

Al final nuestro rastro digital, a modo individual, permite que sepan quienes somos, donde estuvimos, qué hicimos, que queremos, que preferimos, que apoyaríamos, si nos han dejado o si estaremos enfermos, entre otras muchas cosas.

A nivel colectivo, la información de muchos usuarios sirve y servirá para predecir epidemias, saber los resultados de unas elecciones, incluso para saber cuándo se convocarán elecciones, para saber si un producto/marca tendrá éxito aún incluso antes de salir al mercado.

Esta es la era del BigData que es el procesamiento de cantidades ingentes de datos con el fin de “conocer” el oro de nuestra generación.

El rastro digital está ahí, ha sido clave en la persecución de ciberdelitos. Algunos ni siquiera han requerido esfuerzos desproporcionados por las fuerzas de seguridad, porque el mismo delincuente inconsciente de la huella digital ha dejado huellas que han llevado a la policía hasta su paradero, o incluso ha publicado en su Facebook un video de sí mismo cometiendo el delito.

¿Cómo podemos limitar el rastro en internet?

Limitar los datos que dejamos en internet ayudará a proteger nuestra privacidad y seguridad.

La mejor manera es siendo conscientes de que existe una huella digital, y poniéndose manos a la obra, sabiendo que hay en internet sobre nosotros (egosurfing), borrando o solicitando la eliminación de aquello que consideramos oportuno eliminar (derecho al olvido/ cancelación de los datos), y evitando peligros futuros configurando la privacidad de los dispositivos, navegadores, aplicaciones y redes sociales que usamos, limitando la instalación de cookies y servicios similares, bloqueando la localización del GPS o bluetooth cuando no sean necesarios, evitando páginas web sospechosas, y siendo muy prudentes con cada movimiento que realizamos en la red.

Recuerde querido lector que lo que se sube a internet, queda ahí, a veces sin que lo sepamos, y años después puede volver para jugarnos una mala pasada, en una entrevista de trabajo, en una reunión familiar, en el colegio de los niños, o incluso, puede que vuelva para acabar con la reputación de nuestros seres queridos, ya que al ser seres sociales solemos publicar no solo cosas sobre nosotros si no sobre quienes nos rodean.

El rastro digital existe, como cuando caminamos por un sendero en el que dejamos huellas. Puede ser buena o mala, depende de cómo camines y del mimo que pongas para caminar.

 

¿Quieres saber qué sabe google de ti?

Visita los enlaces de la siguiente publicación para saber:

  1. El perfil personal que ha hecho de ti
  2. El historial de búsquedas en google y Youtube
  3. Localizaciones – Geolocalización
  4. Dispositivos que usas
  5. Aplicaciones y programas que utilizas.
    etc.