Nueva Guía sobre Cookies.- ¿Cómo aplicará la APD el nuevo RGPD y la LOPDDG?. Jesús Rubí (Adjunto a la Dirección de la AEPD) te lo adelanta

Una vez cumplidos todos los requisitos de información sobre el carácter y finalidad de cada cookie que se exigen en el nuevo Reglamento General de Protección de Datos,
tenemos intención de permitir que se habilite en la página un sólo botón para aceptar y otro para no aceptar en bloque todas las cookies, porque tampoco tiene sentido que se onligue al usuario a ir marcando una a una cada casilla para aceptar o rechazar cada una de ellas».

Lo explicaba Jesús Rubí, Adjunto a la Dirección de la Agencia Española de Protección de Datos), quien presentó a grandes rasgos el todavía provisional proyecto de nueva Guía Legal sobre el Uso de Cookies. Rubí intervino en el Congreso de Regulación Publicitaria Digital, organizado por IAB Spain que se ha celebrado esta misma semana en la Fundación Giner de los Ríos.
La nueva Guía Legal sobre el Uso de Cookies, que la APD ha desarrollado en colaboración con IAB Spain, a la luz del nuevo Reglamento de Protección de Datos, etará lista en breve, según subrayó el Adjunto a la Dirección de la APD y cabe que incluya alguna modificación sobre el texto que presentó en el Congreso.

Como una precisión previa a la exposición sobre las novedades que incluirá la próxima Guía sobre Cookies Rubí subrayó que la APD será más exigente a la hora de garantizar que no se sirven cookies antes de que el usuario preste su consentimiento expreso e informado, dado que la tecnología ha avanzado en estos años lo suficiente como para evitarlo por completo.

PRIMERA NOVEDAD.- El Reglamento y por tanto la Guía sobre Cookies se aplica también a tecnologías como el device fingerprint

La primera novedad que hemos hecho en relación con la redacción de este documento se refiere a la terminología y a las definiciones. Hemos intentados ser más neutrales.
La anterior redacción hacía referencia de una manera menos precisa y se centraba fundamentalmente en las cookies. Y esto ha dado lugar a unas interpretaciones que no comparten las Autoridades de Protección de Datos. Porque se ha entendido que las cookies se instalan en el equipo del usuario y que por tanto todas aquellas otras tecnologías que permiten el seguimiento u obtener información de ese equipo aunque no se instalen en el equipo, sino a través de otros sistemas, como el device finger printing, no estaban afectas a este sistema de garantías.

Las Autoridades de Protección de datos no han compartido esta interpretación en ningún momento y por eso hemos ido a rehacer la

Jesús Rubí (Adjunto a la Dirección de la Agencia de Protección de Datos) en el Congreso de regulación Publicitaria de IAB Spain. © Eastwind.

redacción de la guía de forma que quede claro que se comprenden todo tipo de tecnologías que permitan la utilización de información contenida en o a partir de los equipos y terminales de los usuarios.
Esta argumentación, sobre la base de la Guía, nos la hemos encontrado en algunas reclamaciones por infracción de la Ley en las que se decía, no, no, la Guía no se refiere a este tipo de tecnología.

SEGUNDA NOVEDAD.- Mejor definición de los agentes que intervienen en el sistema publicitario, de sus funciones y responsabilidades

El Adjunto a la Dirección d la Agencia Española de Protección de Datos (AEPD) adelantó sobre este punto: «También vamos a ampliar la enumeración de los agentes que intervienen en este ecosistema amplísimo y complejo de la publicidad online y sobre sus actividades. En ese sentido, desde IAB nos remitisteis una descripción de quienes son estos agentes que nos resultó excesivamente compleja. La hemos tenido que re elaborar y por eso los trabajos se han dilatado algo más. Pero al analizar toda esa descripción de los distintos agentes que intervienen se aprecia algo muy común que además tiene relación con las dudas que se han planteado sobre la responsabilidad de cada uno de ellos. Porque no tienen un perfil completamente limpio, sino que buena parte de ellos pueden realizar distintas actividades en unos o en otros casos, con lo cual no es tan fácil hacer un perfil sobre su posición jurídica en el tratamiento de la información. Hemos incluido de una manera más sintética esa enumeración más amplia de los agentes intervinientes para que se comprenda mejor, y hemos incluido algunas consideraciones sobre las cookies que que al menos usualmente utilizan algunos de estos agentes, aunque pueden ser otras distintas o que vayan más allá de las que les asignamos.»

Responsabilidad no en función de la definición del sujeto, sino en función de si emplea los datos para sus fines o para servir a terceros.- «Esto, como decía,» continuó Jesús Rubí, «va a tener trascendencia en relación con la posición común que se planteaba en las dudas que remitisteis como responsables o encargados del tratamiento. Y lo único que va a caber es establecer un criterio general que ya venía de la legislación anterior y que está expresamente recogido en el proyecto de Ley Orgánica de Protección de Datos que se está tramitando y que adapta la legislación española al reglamento general de protección de Datos Personales y que es que cuando un aparente encargado del tratamiento utilice la información para sus propias finalidades, en ese momento deja de ser un encargado del tratamiento y pasa a ser responsable de esos tratamientos al menos aunque en otras actividades sí pueda ser considerado como un encargado del tratamiento. Y por eso se mantiene o se reitera la recomendación que ya estaba en la Guía de que, dada la rapidez de la evolución de la conducta y de la aparición de nuevos agentes, se vuelva a hacer un análisis de cuáles son las cookies que se utilizan, de cuáles utilizan para fines propios, y cuáles son las que utilizan para fines de terceros.»

Aviso para navegantes.- Será responsable aquel que el Reglamento y la Ley establezcan como tal, no quien diga el contrato.- 

Sobre la calificación de adservers, agencias y otros actores del mercado, Jesús Rubí explicó que cualquier puntualización incluida en la Guía distará de ser una calificación rotunda y absoluta: » Hemos estado intentando aclarar si podríamos decir que un adserver, o que una agencia, o que otro sujeto es un responsable del tratamiento, o si es un encargado. Esto es muy complicado de hacer con precisón porque el digital es un entorno que tiene un dinamismo impresionante. Y quien hace unas cosas, o quien hacía unas cosas, luego empieza a hacer otras, o puede hacerlas en unos casos sí y en otros no.

«Vamos a incluir probablemente alguna referencia a algún caso en el que en principio, el perfil más próximo, pero no necesariamente absoluto, es el de encargado del tratamiento. En este caso estarían las agencias de publicidad. Por poner un ejemplo. Pero no vamos a decir con un carácter rotundo, que este es un encargado o este es responsable.»

Por otro lado, subrayó Rubí: «La responsabilidad se va a exigir en función del uso que se haga de esa información que se obtiene con las cookies y a cada uno de los agentes, dentro de las actividades que lleve a cabo. En unos casos el agente tendrá una relación jurídica como encargado del tratamiento y en los otros , no. Serán precisos unos formatos de contratos previos para definirlo.

«Y una aclaración sobre los contratos, o sobre la situación que se está planteando al parecer en relación con estos contratos. En la experiencia tradicional de la Agencia de Protección de Datos, la responsabilidad se exige según la Ley. Es decir, que si nos encontramos con un responsable que quiere colocarle a otro la responsabilidad que le corresponde, por ejemplo, que quiere que se haga responsable el encargado del tratamiento de algo que él utiliza o que se hace en función de las decisiones que él toma y de sus fines propios. Ese agente debe tener en que el papel lo resiste todo, pero pero la APD desde siempre lo que ha tratado de definir es cómo se aplica la Ley. Ustedes establezcan en el ámbito del Derecho Privado las relaciones y las consecuencias que ustedes quieran, pero a la hora de aplicar la norma, no se van a tener en cuenta estas cláusulas de desplazamiento de la responsabilidad de unos a otros, salvo que respondan estrictamente a los criterios del cumplimiento del Reglamento.»

TERCERA NOVEDAD.- Dos fórmulas para recavar el consentimiento expreso del usuario: Nuevos límites para considerar prestado el consentimiento continuando la navegación

«Y en lo que se refiere al consentimiento, en la Guía vamos a incluir dos ejemplos. Un ejemplo en el cual se incluye esta información (se refiere a la exigida por el Reglamento para que el consentimiento sea informado), y hay un botón que dice, acepto, consiento o una situación similar. Y otra opción que es un enlace que diga, más información sobre cómo desactivar o sobre cómo mostrar mis preferencias, con un enlace a esta segunda capa,» adelantó Jesús Rubí.

El botón de acepto y el consentimiento a través de la navegación no son compatibles.- En muchas ocasiones hay un botón de acepto, y a continuación se utiliza la otra alternativa de, si usted sigue navegando se entiende que acepta. No, hay que dar una información clara. Que se quiere una aceptación expresa a través de un botón, pues acepto. Pero entonces no servirá la base jurídica de que usted ha seguido navegando después de que haya podido utilizar sus preferencias. Si quiere utilizarse esta segunda fórmula, es ésta. No se puede generar confusión después de haber incluido previamente ese botón de acepto.

Necesario que transcurra un tiempo entre la recepción de la información por parte del usuario y la prestación del

Jesús Rubí (Adjunto a la Dirección de la Agencia de Protección de Datos) en el Congreso de regulación Publicitaria de IAB Spain. © Eastwind.

consentimiento: Mirar la pantalla no equivale a seguir navegando.- «Lo que sí se afirma rotundamente y vuelvo a decir que ésto es fruto de las reuniones que tuvimos con IAB en particular, es que esta información tiene que ser accesible, tiene que ser clara y que es imprescindible que haya un lapso de tiempo, aunque sea breve, entre l momento en el que el usuario recibe la información y la prestación del consentimiento», subrayó el Adjunto a la Dirección de la APD.

«Es decir, que la fórmula tradicional de seguir navegando a palo seco simplemente porque me desplazo a ver cualquier cosa o simplemente porque estoy parado delante de la pantalla un momento, en los términos se ha venido admitiendo hasta ahora, no serviría para obtener este consentimiento. Aunque sí la vamos a admitir con otras garantías o requisitos adicionales,» añadió

Nuevos límites a la prestación del consentimiento por navegar en una web.- Jesús Rubí explicó sobre este punto: «Y, en lo que se refiere a seguir navegando, vamos a incluir una serie de recomendaciones o de aclaraciones, que son obvias, pero que por si acaso, que queden como ejemplos, no como una categoría absoluta y única de las que pueden ser.

«Por ejemplo, una conducta afirmativa puede ser deslizar la barra de desplazamiento. Pero el mero hecho de seguir visualizando la pantalla, no se puede considerar seguir navegando y por tanto que acepto.

«El mero hecho de navegar para ir a la segunda capa a ver qué preferencias puedo manifestar y decir si sí o si no, no se puede entender como que has seguido navegando y has prestado el consentimiento. Hay que dejar el margen para que se produzca esa manifestación que pueda permitir considerar que seguir navegando es la clara acción afirmativa que exige el Reglamento General de Protección de Datos.»

Recordar periódicamente al usuario los términos en los que prestó el consentimiento.- «También haremos una recomendación sobre el hecho de que los editores recuerden periódicamente a los usuarios que dieron su consentimiento sobre determinadas cookies para que puedan revisar su posición al respecto,» adelantó Rubí

CUARTA NOVEDAD.- Varias en relación con la claridad y accesibilidad de la información

En cuanto a la información, la Guía ya hablaba de esos aspectos, pero de una manera sintética o introductoria, lo que sí vamos a reforzar es todo lo relacionado con la claridad, la accesibilidad de la información, y, por tanto, con las fórmulas de prestación del consentimiento.

Formato, tamaño y colocación de los enlaces.- Y en este sentido se hace referencia a la necesidad de potenciar la accesibilidad de la información a través de los formatos de los enlaces, por ejemplo, incrementando su tamaño, o utilizando distintas fuentes o distintos colores, para diferenciarlos de otros enlaces, o a través del posicionamiento del enlace, o en general recomendando que puesto que quienes hacen comercio electrónico y hacen publicidad online, conocen perfectamente cuál es la forma de ahcer más visible y dar mayor visibilidad a estas imágenes, pues utilicen su propia experiencia, que va más allá de la nuestra, para tratar diligentemente de cumplir con estas exigencias de accesibilidad.

Información por capas.- «También, puesto que es necesario adaptar las cláusulas informativas al Reglamento, concretamente al Artículo 13 del Reglamento General de Protección de Datos, la ampliación de las informaciones que exige este Reglamento, nos ha llevado a que se facilite esta información por capas. Y esto es particularmente relevante, en un entorno de los dispositivos digitales porque tienen formatos muy variados y de lo que se trata de poder facilitar el cumplimiento con estas obligaciones», señaló el Adjunto a la Dirección de la APD.

Lo que debe advertirse en la primera capa (aviso sobre cookies).- «En la primera capa, sólo hay que informar de que existen cookies propias o de terceros, las finalidades de las cookies, analíticas, publicitarias,…, y si se van a utilizar para hacer perfiles también habría que hacer referencia a esta finalidad, » explicó Rubí.

«El Reglamento exige además que se de información sobre los tipos de datos que se van a a recopilar o a analizar. Y aquí sí que va a haber un cambio, porque vamos a exigir, y ésto ya lo indicamos en la sesión anual sobre este asunto en la Agencia, que se trate de una fórmula accesible que no se convierta en un tratado, pero que tenga una claridad meridiana. Hemos elaborado algunos ejemplos que están en las guías, «mostrarle publicidad relacionada con sus preferencias, mediante la obtención de datos necesarios para perfilar sus hábitos de navegación (páginas visitadas, frecuencias de acceso, tiempo utilizado, o similares)». Y, por tanto, subrayó el Adjunto a la Dirección de la APD, «hay que excluir de raiz expresiones tan habituales y que inducen a confusión como para personalizar su contenido para mejorar la experiencia del usuario, para ofrecerle servicios personalizados, para mejorar su navegación.»

«El Reglamento exige que se facilite, en relación con la finalidad del tratamiento la tipología de los datos que se le van a facilitar y en su caso, de una forma sencilla pero clara, que se van a utilizar datos con esa finalidad de elaborar perfiles basados en la navegación.»

Y toda esta información que he mencionado, «debe complementarse en la primera capa con la relativa al derecho a revocar el consentimiento  y con un enlace claramente visible a una segunda capa donde quien haya recibido esta primera información pueda acudir para manifestar sus opciones o sus preferencias, «Indicó Rubí

Además, continuó, «habrá que facilitar información básica sobre si se toman, o no decisiones automatizadas, y la relacionada con el riesgo de que haya transferencias internacionales . Aunque estas informaciones se podrían incorporar en la segunda capa.»

El consentimiento informado no es el que se recava para recibir publicidad, sino el que se pide para autorizar el tratamiento de datos personales.- Y también hay que aclarar, porque algunas webs esta fórmula se ha generalizado e induce a confusión, que el consentimiento informado no es para recibir publicidad, el consentimiento informado es para la utilización de dispositivos de almacenamiento y recuperación de información en equipos terminales. Es decir que aunque se utilice la información almacenada en la cookie para otra finalidad que no sea la publicitaria, como puede ser la analítica o puede ser la elaboración de perfiles, debe obenerse estos permisos salvo en el caso de que se trate de cookies exentas.

La segunda capa: Información permanentemente accesible y nunca a más de dos clics.-  «En esta segunda capa, la información tiene que estar accesible de manera permanente. Entendemos que no debe de estar a más de dos clics de la página de inicio», subrayó el Adjunto ala Dirección de la APD, y continuó precisando: «La página de inicio no cuenta como clic, pero no puede ser un salto de enlaces y enlaces, ahora explico las cookies de terceros y de quienes son, pongo un enlace a su política de privacidad, en la política de privacidad me ponen otro enlace a la parte donde puedan estar las cookies, luego otro enlace a cómo se pueden eliminar estas tecnologías. No, una cosa accesible que tenga un máximo de dos clics.»

«En esta segunda capa hay que explicar de una manera asequible qué son las cookies, qué función tienen, toda la información sobre la

Jesús Rubí (Adjunto a la Dirección de la Agencia de Protección de Datos) en el Congreso de regulación Publicitaria de IAB Spain. © Eastwind.

forma de desactivarlas o eliminarla, puesto que esto va a ser un elemento esencial a la hora de poder manifestar el consentimiento, sobre todo si se va a basar en la experiencia de continuar la navegación.»

En la website del editor o por otros medios.- Rubí precisó sobre este tema: «Esta información sobre la des activación o eliminación de las cookies puede ser elaborada por el editor, si son sus propias cookies, o puede darse a través de las herramientas que proporcione el navegador, también a través de plataformas comunes que facilitan esta finalidad, o puede ser también, igual que en el el ejercicio del derecho a revocar el consentimiento, cuando son cookies que van a utilizar terceros y probablemente el editor tiene o no tiene por qué tener un conocimiento preciso y detallado de cuáles son los sistemas que ofrece para desactivar las cookies, a través de un enlace pero en ningún caso a más de dos enlaces, de distancia a la información que este tercero facilita sobre las cookies.

Es preciso separar la política de privacidad de la información sobre cookies.- «… volvemos a insistir,» señaló el Adjunto a la Dirección de la APD, » la política de cookies, la información sobre cookies, y la forma de desactivar las cookies tiene que estar separada y diferenciada de los términos generales de la política de privacidad para que tenga esa nitidez y para que se pueda, con facilidad, tomar decisiones sobre si se admite o no se admite la utilización de las cookies.»

Cómo informar sobre el riesgo de transferencia internacional de datos y sobre toma de decisiones automatizadas.- «El Reglamento exige una serie de informaciones sobre las garantías relacionadas con las transferencias internacionales de datos. Es precisa, la identificación de los terceros, países y de las garantías que son necesarias. Toda esta información, que debe proporcionarse también de una manera sencilla, se puede incluir en la segunda capa.»

Y continuó: «Lo mismo que la información complementaria sobre la toma de decisiones automatizadas, que según el Reglamento debe incluir cuál es la lógica utilizada o las consecuencias que se derivan de estas decisiones automatizadas para el usuario.»

Cómo informar sobre el periodo de conservación de los datos.- «Se tiene que incluir información sobre periodos de conservación. Aquí hemos permitido que haya fórmulas flexibles, que no necesariamente tenga que ser un plazo temporal, pero que de una idea precisa al usuario. Si es un plazo, estará clarísimo,» dijo Rubí.

Una idea precisa de cuál puede ser la duración, se puede proporcionar, por ejemplo, con fórmulas como  «durante la prestación de servicios, o para la finalidad de la prestación de servicios, o para atender posibles responsabilidades relacionadas con la prestación de servicios», añadió.

QUINTA NOVEDAD.- Granularidad sí, pero con cabeza: Nada de cuadros técnicos, y un botón único para aceptación en bloque o rechazo en bloque las cookies

Una valoración que corresponde al editor.- En lo que se refiere al grado de granularidad, a la hora de mostrar que sobre todo la segunda capa de información y la forma de desactivar las cookies, o de revocar el consentimiento, esta es una valoración que tiene que hacerla el editor.

Nada de cuadros técnicos, mejor agrupar las cookies por finalidades y en función del tercero que las emplee.-«En la Guía vamos a dar algunas orientaciones, porque la experiencia también nos ha demostrado que, probablemente, con la mejor intención de facilitar más información y mejorar el cumplimiento, se facilitan informaciones que realmente no son útiles para todos los usuarios», dijo Jesús Rubí

«Un cuadro con una descripción técnica de todas las cookies que se van a utilizar, no le sirve a nadie, salvo que sea de una formación tecnológica especializada. Y por eso entendemos que es mejor, simplemente agrupar las cookies por finalidades: Analíticas, publicitarias, para la elaboración de perfiles, que pueda decirse que sí o que no a unas u otras,» precisó aún más

Identificación clara del tercero: ¡Ojo!, no siempre la razón social es lo más claro.- Dentro de cada finalidad, las cookies se pueden agrupar en función de los terceros que las vayan a utilizar. Pero es preciso realizar una identificación que sea cordial, que sea práctica. No hay que poner la razón social de la empresa titular de un servicio en Internet. Porque la gente entiende lo que es Google y, probablemente, no sepa cómo se llama la matriz de la empresa que presta ese servicio», explicó Rubí.

Aceptación y rechazo en bloque de las cookies.- «Vamos a recomendar», señaló el Adjunto a la Dirección de la APD, «aunque voy a explicar esto con prudencia, que se evite el máximo grado de granularidad. Porque si se impone un nivel de granularidad enormemente amplio, primero puede que no se entienda correctamente por el usuario, y, segundo, puede que le disuada, porque no va a ir marcando una a una cada una de las cookies sobre las que se le informa. Y, por eso, vamos a admitir también que pueda haber, dentro de que esté toda la información granular sobre las cookies, es decir que el usuario pueda ver todas las cookies que se emplean en un sitio web, que pueda haber dos botones que digan admitir todas, o rechazar todas. Lo que no podemos exigir es que necesariamente tenga que haber una manifestación una por una. Si alguien las ha visto y no quiere permitir las cookies de nadie, le da directamente a rechazar, ha tenido ahí la información y ha tomado líbremente esa decisión. Y si las quiere aceptar, tres cuartos de lo mismo».

SEXTA NOVEDAD.- Consentimiento para fines distintos del de la prestación del servicio

Tal y como dice el Reglamento, señalaremos en la Guía, dijo Jesús Rubí, aunque luego esto en su aplicación práctica va a tener sus dificultades, «que no se puede considerar la prestación del consentimiento respecto de un servicio, para finalidades que no tienen que ver con ese servicio y que no se puede producir una denegación del servicio si no se presta el consentimiento en esos términos. Haremos una recomendación sobre esta materia.»

SEPTIMA NOVEDAD.- Sobre el deber de diligencia y la responsabilidad de los editores

«Respecto del editor», subrayó Rubí, «evidentemente si va a ofrecer los espacios publicitarios y va a permitir que terceros instalen cookies tendrá que ser diligente a la hora de saber qué cookies se vana a instalar y de qué terceros, porque la cláusula informativa y el que tiene el primer contacto con los usuarios como regla general va a ser él,. Si no no va a tener la posibilidad ni de cumplir diligentemente, ni de abordar todos los requisitos que exige el Reglamento en relación con este sistema de consentimientos reforzados de la Directiva 2002/58, el editor sí tiene que tener una mínima diligencia.»

«En el caso de que haya enlaces a las webs de terceros a las cuales se remite para ver cómo se pueden desactivar las cookies o cómo se puede revocar el consentimiento, el editor debe tener la mínima prudencia de comprobar que estén en castellano o en una lengua oficial en nuestro territorio nacional, de comprobar que no haya enlaces rotos y de que estos enlaces no se dirijan a versiones obsoletas de esas informaciones. Porque el Reglamento en ese sentido de diligencia proactiva que incluye, pues tiene esa exigencia de dinamismo constante a la hora de cumplir.»

Imagen sobre el titular.- Jesús Rubí (Adjunto a la Dirección de la Agencia de Protección de datos) saluda a los presentes en el Congreso de regulación Publicitaria de IAB Spain. © Eastwind.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Últimas noticias