Entradas

Cookies, RGPD y guía AEPD

, , ,

“Aceptar todas las cookies. Seguro que es una frase que te suena, ¿verdad? Pasamos mucho de nuestro tiempo conectados a Internet, sea desde casa, el trabajo, el móvil, la tablet…. Por ello, este post lo vamos a dedicar a explorar aspectos básicos sobre un elemento fundamental en la red, del que todos hemos oído hablar pero que, en muchas ocasiones, no llegamos a entender: las cookies.

Pero, ¿qué son las cookies? No, no nos hemos convertido de pronto, en un blog sobre cocina, lo nuestro sigue siendo la protección de datos. Cuando nos referimos, dentro del vasto universo de Internet, a las cookies, estamos hablando de archivos que se utilizan en las páginas web, para asegurar que las mismas funcionan correctamente, para analizar y registrar cómo se comporta el usuario que accede a ellas y cuáles son sus preferencias, o para mostrarle publicidad.

La cuestión es que ojala el tema de las cookies fuera tan simple, pero lo cierto es que todo lo que está relacionado con el tema publicitario online es ampliamente opaco y convulso, lleno de múltiples partes que explotan los datos, que recogen información y la mueven de un lado a otro, de ahí que su uso sea regulado, y que se limite su aplicación para proteger nuestros derechos, muchas veces no del titular de la web, sino de terceros propietarios de esas cookies o colaboradores de los mismos.

¿Qué debemos cumplir en materia de cookies si tenemos una web?

Si tienes o gestionas una web, o simplemente te preocupa el cumplimiento normativo en lo que a cookies respecta, hay algunos aspectos fundamentales a tener en cuenta:

  • Siempre se debe informar del uso de cookies y tecnologías similares. En este sentido la guía de la AEPD nos ayuda a diferenciar laS tipología de cookies según criterios basados en, la propiedad de la cookie, su finalidad o la duración.  También nos ayuda a identificar cuándo se pueden o no instalar, y qué legitimaciones utilizar. Nos indica los mínimos a informar, cómo, cuándo y dónde, etc. Total, que hay que contar al usuario todo, todo, y no guardarnos nada. Se puede informar de golpe o en dos capas. Esto último es lo que usan la mayoría de webs, por eso mayoritariamente encontramos una primera y una segunda capa de información: éstas son, respectivamente, el Aviso de Cookies y la Política de Cookies.
  • Instalación y legitimación. Como dijimos antes, hay varios tipos de cookies, y algunas de ellas requieren que se pida consentimiento para su instalación, o bien que se defina claramente la legitimación para el tratamiento de los datos recogidos a través de ellas.
  • Ojo con el consentimiento. Si la legitimación que aplica a la instalación de una cookie es el consentimiento (cookies analíticas o publicitarias), estas nunca deben instalarse cookies sin consentimiento previo del usuario para ello. En otras palabras, el usuario tiene que aceptar esas cookies antes de que eso ocurra. Y, por supuesto, si no se pronuncia al respecto, o las rechaza, tampoco deben instalarse ya que la falta de acción no es en ningún caso un consentimiento.
  • Eliminación. Las cookies en si no son lo relevante, lo critico son los datos personales que recogen, y como todo lo relativo al RGPD y la normativa de protección de datos, los datos deben ser eliminado en cuanto dejen de ser necesarios para la finalidad que fueron recabados, sabiendo que debe cumplirse el principio de limitación del plazo de conservación.
  • Gestor de cumplimiento de cookies. La mayoría de webs que ofrecen un aviso de cookies y la posibilidad de gestionar la instalación de las mismas, usan gestores de cookies que categorizan las cookies por finalidad, e incluso en algunos casos enseñan los terceros a los que facilitan los datos, y luego amplían la información a través de la política de cookies, que muestra al usuario la información ampliada a íntegra. Estos gestores no son obligatorios pero son la mejor baza para cumplir y gestionar las legitimaciones.
  • Otras obligaciones o puntos relevantes a tener en cuenta: Lo dicho, el tema cookies no es tan sencillo como nos gustaría y aunque a veces parece que es solo poner la política de cookies un banner molesto a la entrada de la web, no es ni de lejos eso.  Cuando en una web se instalan cookies, además de los puntos anteriores, otros temas relevantes a tener en cuenta son, entre otros, las transferencias internacionales de datos, la definición de la posición del titular de la web y sus corresponsables y encargados, finalidades reales de los tratamientos de datos. Etc.

Solo por recordar, además del cumplimiento de cookies, las webs deben cumplir con otra serie de cosas. Os lo contabamos en este post, y en este.

Recursos de apoyo para cumplir con las obligaciones sobre cookies

Las distintas autoridades de protección de datos de la UE han publicado, casi cada una, directrices sobre el cumplimiento en esta matería. Desde nuestro punto de vista las más relevantes son las de la autoridad francesa de protección de datos, CNIL, la de la autoridad Inglesa (ups, ya no son UE, pero siguen siendo muy útiles) el ICO, y claro, nuestra propia AEPD. Justo al ser nuestra Autoridad, aprovecharemos para hablar de su guía, que bueno, ha tenido versiones menos pacíficas y más criticadas, pero la actual es muy correcta y clara.

Guía de la AEPD sobre cookies

Tal es la importancia de las cookies en el panorama actual que la AEPD cuenta con una guía, que se actualiza periódicamente, dedicada en exclusiva a éstas. La última modificación de este recurso tuvo lugar en julio de 2020 y dio lugar a una serie de novedades fundamentales:

  1. El consentimiento no vale si no es explícito e inequívoco

Hasta ahora, se admitía la posibilidad de que diversas opciones frecuentemente usadas en los sitios web pudieran considerarse manifestaciones del consentimiento. Por ejemplo, fórmulas del estilo “Seguir navegando”, “Continuar con la navegación” o incluso el hecho de que el usuario continuara su visita por el sitio, sin más acción, o cerrara el ya mencionado aviso de cookies. Ahora, este criterio ha cambiado, y para que el consentimiento del usuario sea válido, ha de ser claro, expreso e inequívoco, sin lugar a dudas sobre la postura del usuario.

  • Eres libre, y que nadie (ni siquiera las cookies) diga lo contrario

Vale, quizás el título es algo dramático, pero el caso es que, en muchas ocasiones, tenemos la mala suerte de toparnos con webs que no nos permiten acceder a ciertos contenidos o funcionalidades si no hemos aceptado previamente las cookies. Vamos, que casi podríamos hablar de un “Club VIP para quienes aceptan todas las cookies sin ton ni son”, y eso sí es dramático. Por ello, esta también es una barrera que desaparece: cualquier usuario, sin importar cómo configura las cookies, debe poder acceder a todo el contenido de la web.

  • Libertad, sí, pero con límites

Efectivamente, la AEPD reconoce la libertad del usuario a elegir. Pero, pese a la eliminación de esas barreras o muros de cookies, sí que admite que, en algunos casos, la no aceptación pueda derivar en que el usuario no pueda acceder a la web, total o parcialmente. No obstante, esto requiere de dos condiciones adicionales:

  • Que el usuario quede correctamente informado de esta circunstancia
  • Que se le proporcione una alternativa de acceso que no requiera tal aceptación

Si estas novedades entraron en vigor el 31 de octubre de 2020. Entonces, ¿Qué sentido tiene publicar este artículo ahora?

En primer lugar, porque desde Dataseg creemos que todos tenemos derecho a conocer cómo funciona Internet y en qué medida podemos ver nuestros derechos y libertades afectados. En segundo lugar, porque desde esa fecha, venimos apreciando un cambio notable en los criterios a seguir, las resoluciones y las sanciones a aplicar por parte de la AEPD (hasta el 31/10/2020 la AEPD no había sancionado económicamente a ningún responsable por el uso de cookies, pero pasada esa fecha tenemos unos buenos e interesantes golpes); y ya. Finalmente. porque la campaña de súper Schrems a través de Noyb para perseguir a todas las webs de la UE por el tema cookies hace que nuestro interés por analizar los procedimientos publicados por a AEPD creciera y en nuestro próximo post, os contemos más sobre ello.

Así que, si te has quedado con ganas de más, podrás descubrirlo en nuestro próximo post…

/0 Comentarios/por

Adecuación legal web (I). Introducción

, , ,

Los titulares de páginas web deben realizar una adecuación legal web. La finalidad es cumplir aquellas leyes que se han erigido como garantes de los derechos de las
personas en internet.

Con la expansión de internet, cada vez somos más propensos a realizar transacciones a través de la red. Necesitamos seguridad jurídica, y estas leyes bien aplicadas nos ayudan a conseguirla.

Hay que recordar que en su momento parecía que internet era el Salvaje Oeste. Nada más lejos de la realidad. Pero, para evitar confusiones, y aclarar algunas
líneas muy delgadas, se creó la regulación especifica de los servicios de la sociedad de la información.

Nota: artículo actualizado el 04/11/2018 para incluir lo relativo a la adecuación web al RGPD – Reglamento General de Protección de Datos UE 679/2016.

¿Qué leyes se tienen en cuenta en una adecuación legal web?

El ecosistema jurídico aplicable a los negocios en interner, es el mismo que es de aplicación en su parte física. Tenemos al Código Civil, Código de Comercio, Código Penal, entre otros. Luego, las leyes especiales que imponen obligaciones concretas a aquellas empresas y profesionales que gestionan y explotan una página web.

Específicas de negocios en internet
Relativas al producto/servicio y actividad económica

Las anteriores para empezar. A partir de ellas hay que sumar la legislación específica relativa a la actividad que se realice. Así como la de los productos o servicios ofrezca. Esto para transacciones B2C (negocio a persona física)

Para transacciones B2B (negocio con negocio)  pues oye, que venga el Código Civil y la legislación mercantil y repartan cuantas reglas hagan falta.

En nuestros post hablaremos del caso que más se presta para generalizar. El B2C, y las leyes básicas aplicables a casi toda la generalidad de páginas web de negocios o profesionales.

Pero, ¿cuáles son las leyes que debo cumplir en MI web?

Sabiendo de antemano que existe una regulación de los servicios prestados u ofrecidos a través de internet, así como que es de aplicación todo el ordenamiento jurídico básico de nuestro país, le dejamos una pequeña tabla que le permitirá identificar fácilmente las leyes que debe cumplir.

Lista indicativa, una opción no excluye la otra. Lo más probable es que salga, LSSI y el RGPD, casi siempre.

 

Y, ¿De esas Leyes qué tengo que hacer?

Bueno, nuestro propósito inicial fue escribir un solo artículo que resumiera todas las obligaciones. Como iba a quedar tipo testamento -de lo largo- haremos, otros 3 artículos que cumplimenten este. Serán sobre la LSSI-CE, el RGPD y la LGDCU.

Para resumir, os ponemos lo que a nuestro juicio son los dos pilares de estas tres leyes. El principio de información y transparencia, y el de consentimiento. Los demás son completamente transversales en asociación con estos.

Principio de información y transparencia.

En nuestras transacciones online, sean gratiutas u onerosas nos interesa tener seguridad jurídica. Saber que nuestros derechos serán respetados y que quien está del otro lado, va a cumplir su parte del trato.

  1. En la LSSI, artículo 10, encontramos la obligación publicar toda la información del titular de la web. Datos identificativos, fiscales, de contacto, de localización y registro. En caso de profesiones reguladas también se piden información específica. Si en la web se ofrecen productos o servicios deben aparecer claramente los precios, impuestos aplicables y gastos de envío. Entre otras.
  2. El RGPD por su parte dispone en el artículo 5.1 en su apartado a) el principio de transparencia en relación al tratamiento de datos del interesado, y en su artículo 13 relativo al derecho de información, establece que se facilitará toda la información siguiente al interesado: la identidad y los datos de contacto del responsable, los fines a los que se destinan los datos personales, los destinatarios o las categorías de destinatarios de los datos personales, el plazo durante el cual se conservarán los datos personales, así como la existencia del derecho a solicitar al responsable del tratamiento el acceso a los datos personales relativos al interesado, y su rectificación o supresión, o la limitación de su tratamiento, o a oponerse al tratamiento.
    NOTA: En este apartado el artículo original hacía mención a las obligaciones de información de la LO. 15/1999 de Protección de Datos de Carácter Personal.
    Hace dos semanas la AEPD publicó su informe sobre ‘Políticas de privacidad en Internet. Adaptación al RGPD’. No quedó títere con cabeza, y definitivamente
    ese informe hecho de oficio por la Agencia deja claro que no se van a andar con chiquitas a la hora de evaluar el cumplimiento de los responsables. Puede ver el informe aquí https://www.aepd.es/media/estudios/informe-politicas-de-privacidad-adaptacion-RGPD.pdf
  3. La LGDCU, va más allá que la LSSI en lo relativo a los derechos de los consumidores y usuarios. Exige que todo tipo de información relativa a la venta o contratación, sea fácilmente accesible siempre para los consumidores. Así mismo que estos siempre tengan claro: cuál es el proceso de compra, los precios de los productos, del envío, la posibilidad del ejercicio del derecho de desistimiento, cancelación de la transacción, entre otros.
Principio del consentimiento.

Os podéis imaginar que, si estas leyes pretenden garantizar los derechos de los usuarios, uno de los puntos clave es priorizar la necesidad del consentimiento bien para recabar datos, para el envío de publicidad, o para la formalización de una transacción o cualquier otra finalidad que así lo requiera, así como la normativa aplicable: casos y leyes:

  • El Reglamento General de Protección de datos dispone que el consentimiento ha de ser inequívoco, es decir, se ha de prestar mediante una manifestación o una clara acción afirmativa del interesado.
  • Por otro lado la LSSI, en sus artículos 20, 21 y 22 exigen, no solo información, sino, la autorización expresa. Ojo, expresa, para el envío de publicidad. Claro, también hay alguna excepción, la más importante, y asociada a la pronto inicio de aplicación del RGPD, será la del interés legítimo.
  • En la LGDCU -por recordar, Ley General Para la Defensa de Consumidores y Usuarios- solo se podrán entender como realizadas aquellas transacciones que sean realizadas con el consentimiento y aceptación plena e informada del consumidor. Aquellas se realicen de forma engañosa, no tendrán validez.

Conclusiones

Tener una página web requiere de una visión de amplio espectro. Que no solo se vea por la consecución del fin de su puesta en marcha, sino también, de la defensa y garantía de los derechos de nuestros destinatarios del servicio o consumidores.

El cumplimiento de estas normas, no solo protege los derechos de los usuarios o consumidores, sino también de los del titular de la web. Con el cumplimiento de las normas en muchos casos limita su responsabilidad, así como evita incidencias mayores al poner en claro las reglas del juego. Las leyes están para cumplirlas, pero si además las cumplimos como valor añadido podremos conseguir que nuestro sitio web sea reconocido por su fiabilidad y cumplimiento.

Si necesitáis ayuda con la adecuación legal de vuestra web, ecommerce, palataforma Saas, o cualquier otro servicio de la sociedad de la información, no dudéis en contactarnos. Nuestro nuestro servicio de adecuación legal web, software y app, ha sido diseñado para eso.

PS/ Pronto publicaremos el siguiente artículo. Adecuación Legal Web (II). La LSSI.

/0 Comentarios/por