Archivo por meses: febrero 2014

Cookies y WordPress

Posted on por

Ya que en la reciente sanción de la AEPD por informar de manera insuficiente sobre el uso de cookies de terceros en un sitio web se mencionaba un blog en WordPress, publico una breve nota para explicar mi opinión al respecto.

WordPress puede ser utilizado de dos maneras:

  1. Creando un blog en la plataforma online que WordPress (Automattic Inc.) ofrece.
  2. Utilizando la aplicación de WordPress para diseñar el blog y después alojarlo en un servidor propio o en régimen de hosting.

En el primer caso, el usuario de WordPress no tiene control sobre las cookies, salvo que la plataforma disponga de una posibilidad de configuración que yo no he sabido encontrar.

El único control que el usuario/autor del blog tiene es sobre los servicios que contrata.

Por lo tanto, el usuario/autor del blog tiene que valorar los beneficios que obtiene y las cargas que tiene que afrontar en la contratación de cada unos de los servicios que la plataforma ofrece.

Por ejemplo, si contrata servicios de publicidad, o estadísticas «full equip» de Google Analytics, el usuario/autor del blog deberá conocer las cookies que se instalan, los datos que obtienen y los destinatarios de los mismos con el fin de informar sobre ellas y obtener el consentimiento de los visitantes del blog.

Si el usuario/autor del blog no contrata servicio alguno y se limita a publicar sus posts, en mi opinión, sólo tiene que informar de que Automattic Inc. utiliza cookies para prestar servicios estadísticos, analíticos y publicitarios que el autor del blog no tiene contratados. El consentimiento, en este caso, va dirigido a Automattic Inc, ya que el usuario/autor del blog no es responsable del fichero ni del tratamiento. Ello significa que en la segunda capa de información debe remitir a la política de privacidad y cookies de Automattic Inc.

En este caso, entiendo que las cookies se instalan igualmente, por defecto, pero no recogen datos, ya que no se ha contratado ningún servicio que los requiera. Y si los recogen, Automattic Inc no los entrega al usuario/autor del blog ya que no ha contratado el servicio.

Repito el concepto usuario/autor del blog para reiterar la idea de que el autor del blog es un mero usuario de la plataforma de WordPress.

Existen otras situaciones que guardan cierta similitud:

  1. Por ejemplo, en el caso de una empresa que alquila un despacho en un edificio de oficinas que tiene control de accesos. Si la empresa no accede en ningún momento al registro de visitantes, en mi opinión no es responsable del fichero ni del tratamiento.
  2. Otro caso similar es el de las ferias y los congresos. Si una empresa alquila un espacio para instalar su stand y no accede en ningún momento al registro de visitantes, en mi opinión no es responsable del fichero ni del tratamiento.
  3. En las grandes superficies puede haber un servicio médico que atiende a los visitantes accidentados o enfermos. Es evidente que las personas que tienen una tienda en esa gran superficie no son responsables del fichero ni del tratamiento realizado por el servicio médico.

En el segundo caso, es decir, cuando el autor del blog utiliza la aplicación de WordPress y aloja el blog en un servidor distinto a la plataforma de WordPress, las cookies sí están bajo su control y se beneficia de los datos que recogen, salvo que el propietario del servidor utilice sus propias cookies para otras finalidades ajenas a los servicios prestados a su cliente.

En este caso, existen extensiones o plugins como Cookie Control, que permiten configurar el texto de la primera capa de información.

Compliance officer o cómplice officer (Segunda parte)

Posted on por

Una vez comentado el marco que va a regular la figura del Compliance Officer en la primera entrega de este artículo, toca ahora entrar en la incómoda tarea de analizar los supuestos en los que la persona que asume esta función omite, deliberadamente o no, su deber jurídico de control. Excluyo por lo tanto, en este caso, los supuestos en los que la función asignada es de asesoramiento, coordinación o acompañamiento a las áreas del negocio en las que recae la decisión final y la verdadera obligación de control.

Este deber específico de vigilancia y control puede haber sido asignado al Compliance Officer de varias maneras:

  1. Por ley, al estar asociada la función de control con un mandato legal específico.
  2. Por contrato
  3. A través de la descripción de las funciones del puesto de trabajo
  4. Por asignación directa

Esta asignación actúa como una delegación del deber de control que corresponde al Consejo de Administración y genera una obligación, un deber jurídico de vigilancia y control, cuya omisión puede llegar a constituir un delito.

Esta posible responsabilidad penal es la causa de que las grandes empresas encuentren dificultades para asignar la función de Compliance Officer a una sola persona y se tienda más a la figura de un órgano colegiado. Una vez asumido el cargo, es evidente que la persona (o personas) que tenga esta responsabilidad y sea consciente de ella, estará altamente motivada para que no se produzcan delitos en la empresa y ocupada en dejar un rastro de su actividad de control, generando pruebas que acrediten que en ningún momento se ha producido una omisión del deber de control.

Ello puede generar un conflicto de interés cuando el área de negocio o la propia dirección de la compañía planteen decisiones que puedan ser constitutivas de delito. En estos casos, el responsable de la función de control tiene pocas opciones:

  1. Acatar la decisión y dejar una prueba de su desacuerdo con ella y de sus advertencias sobre el riesgo legal que implica seguir adelante.
  2. Dimitir.
  3. No hacer nada.
  4. Apoyar la decisión.

Mientras las dos primeras opciones pueden llevar aparejada la salida de la empresa, la tercera puede suponer una omisión punible y la cuarta una posición de complicidad, que justificaría el título de este artículo.

No es nada fácil enfrentarse a este dilema, especialmente en el caso de que la persona que tiene asignada la función de control esté ya en una edad en la que no se contempla otra salida de la empresa que la jubilación.

Desconozco los detalles y el alcance de una supuesta imputación de auditores internos en los procedimientos abiertos en relación a los casos Bankia y Pescanova, ya que los datos aparecidos en los medios de comunicación son escasos. Imagino que se trata de supuestos en los que este dilema pudo haberse planteado y probablemente, la instrucción judicial arrojará mucha información sobre los niveles de la pirámide de control en los que hay que dejar muy clara la sincronización de la cultura de control escrita y la real.

En el caso Olympus Japón, cuando este dilema se le planteó a Michael Woodford, el directivo pidió al Consejo que asumiera su responsabilidad en varias ocasiones y, tras ser despedido denunció los hechos públicamente.

El conflicto de intereses se materializa claramente en el momento de crear pruebas de la diligencia del responsable del control. En los casos de discrepancia sobre la legalidad o el nivel de riesgo de la actividad sujeta a control, todas las pruebas que el responsable del control genere a su favor pueden inculpar a la empresa si ésta no hace nada.

Imaginemos el caso de un Compliance Officer que en un control rutinario detecta una discrepancia entre el número de programas instalados y el número de licencias contratadas. Acto seguido lo pone en conocimiento del CIO a través de un correo electrónico interno y éste le contesta que ha pedido más presupuesto para regularizar la situación y no se lo han concedido. El CIO envía entonces un recordatorio a la Dirección General y recibe como respuesta que, en estos momentos, no hay presupuesto para esa inversión. En ambos casos el responsable del control está dejando evidencias de que no ha omitido su deber de vigilancia y control y que ha alertado sobre la existencia de un riesgo, pero al mismo tiempo ha generado una prueba inculpatoria para otros directivos o para la propia empresa.

Un ejemplo real de esta posibilidad es el mensaje de correo electrónico que, según las noticias publicadas, un maquinista jefe de Renfe envió a un superior alertando de la peligrosidad de la curva de Angrois antes de producirse el accidente.

Un Compliance Officer diligente y preocupado por su responsabilidad irá acumulando evidencias de su esfuerzo de control en un «defense file» que muy probablemente entrará en colisión con el de la empresa y el del Consejo.

El riesgo de acumulación de más pruebas inculpatorias que exculpatorias en el correo electrónico está haciendo que los plazos de conservación del mismo sean cada vez menores en los sectores hiperregulados. En otros, en cambio, se llega a contratar a proveedores que custodian todo el correo electrónico durante años y facilitan el acceso remoto para posibles consultas.

Para evitar las situaciones de riesgo y de conflicto de interés comentadas, existen varias soluciones:

  1. Protocolo de gestión de advertencias de riesgo
  2. Defense file o repositorio de evidencias de cumplimiento común y acordado con los interesados
  3. Política de conservación de documentos
  4. Protocolo de gestión de conflictos de interés

Estas soluciones son fáciles de explicar en el plano teórico, pero difíciles de aplicar en la práctica sin una buena dosis de autodisciplina y sin la ayuda de un experto externo que aporte independencia al proceso y actúe como impulsor del proyecto, evitando que las prioridades del negocio eclipsen la actividad de control. Que es lo habitual.

Reflexiones sobre la sanción por uso de cookies

Posted on por

Artículo de Ricard Boned

A pocos les sorprenderá ya la noticia de la que recientemente se hacían eco los medios y profesionales especializados, sobre la primera sanción impuesta por la Agencia Española de Protección de Datos (en adelante AEPD) a dos compañías del mismo grupo empresarial por el incumplimiento de sus obligaciones relacionadas con la utilización de cookies.

En concreto la sanción fue por una infracción del artículo 22.2 de la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y Comercio Electrónico, tipificada como leve por el artículo 38.4.g) de la referida normativa, y que puede acarrear sanciones de hasta 30.000 euros.

Se consideraron atenuantes: a) la ausencia de intencionalidad al haber adoptado medidas correctoras tan pronto las compañías conocieron la irregularidad; y porque b) no obtuvieron beneficios por la infracción descrita.

Aunque de inicio esta resolución parecía que iba a dar carpetazo a los problemas y dificultades interpretativas con las que las empresas se habían encontrado a la hora de cumplir con la normativa, lo cierto es que no ha hecho más que avivar el debate aparentemente superado sobre una regulación cuyo correcto cumplimiento parece más que confuso.

En la actualidad ya nadie duda sobre la necesidad de habilitar en las webs un sistema por capas que permita dar cumplimiento a las obligaciones dispuestas en la normativa, tal y como se nos recomendaba en la bien conocida Guía sobre Cookies. Ahora bien, no hay que olvidar que están exentas del cumplimento de estas obligaciones las cookies que sirvan únicamente para permitir la comunicación entre el equipo del usuario y la red, así como las que sean necesarias para ofrecer un servicio de la sociedad de la información expresamente solicitado por el usuario (ej. las cookies necesarias para el funcionamiento del carrito de la compra, o las utilizadas para mantener actualizados los precios de una web). De ahí que sea imprescindible un análisis previo eficaz, ya no sólo para determinar el contenido de las capas, sino para determinar si realmente es necesario habilitar un sistema de este tipo.

El principal problema es que tras esta pionera resolución se han abierto nuevas brechas respecto a la aplicación efectiva de esos criterios, ya no tanto por su forma (sistema de capas), sino por su contenido. Y más aún cuando comprobamos el detalle sobre cookies que incluía esa segunda capa utilizada por las compañías sancionadas, y de la que la AEPD entendió que “no precisa con suficiente claridad si la tipología de cookies incluidas en el documento se corresponde con las realmente utilizadas en los sitios web de dichas sociedades y con las finalidades descritas en las mismas”.

La AEPD consideró acreditada la instalación y utilización de cookies sin haber facilitado a los usuarios, previamente (aunque en teoría y por motivos técnicos el criterio aceptado es que la información se facilite de forma simultánea a la instalación de las cookies), información clara y completa sobre el uso y finalidades de dichos dispositivos, y sin contar con un consentimiento válidamente otorgado por no haberse obtenido mediando una información previa correcta.

Como analizaremos a continuación, parece obvio que el principal foco de controversia sobre el que se oirá hablar en los próximos meses, es el milimétrico contenido que debe albergar esa segunda capa. Será este el aspecto que genere más dudas entre los afectados, al implicar inevitablemente que las empresas tengan que dedicar nuevos recursos y esfuerzos a la regularización de unas políticas de cookies que inocentemente consideraban ya definitivas.

Transcribiendo parte de la resolución, la AEPD expuso sobre la web que “no contiene una información adecuada sobre el tipo de cookies que efectivamente se utilizan y sus finalidades que permita conocer al usuario de una forma apropiada el uso que se dará a la información recuperada, tampoco se asocia claramente su uso con el propio editor o con terceros que también deben ser identificados, habiéndose constatado que sólo se hace referencia a las cookies del servicio Google Analytics de Google Inc sin citar otras cookies de terceros cuya descarga también se ha comprobado se realiza en los terminales de los usuarios, como son, por ejemplo, las de Automattic Inc, Quantcast, You Tube LLc, Zopim Technologies Pte Ltd, Seevolutión Inc.»

Y concluyó que “el sistema de capas utilizado por ambas entidades no contiene la información que se considera necesaria para estimar que resulta completa y clara, en especial en cuanto a la tipología de cookies realmente utilizadas, finalidad de las mismas e identidad de quienes instalan y utilizan las cookies, lo que invalidaría el consentimiento que pueda ser prestado por los usuarios”.

Esto es debido, principalmente, a que en la Inspección llevada a cabo se detectó que la información que se había proporcionado a los usuarios sobre las cookies propias y de terceros, no era suficiente al haberse detectado algunas otras distintas que no habían sido incluidas, o cuya descripción no había sido lo suficientemente detallada.

En este sentido, parece desprenderse de la resolución que en esa segunda capa deberían identificarse individualmente cada una de las cookies utilizadas, ya sean propias o de terceros. Además, esos terceros “deben ser identificados”, y sus cookies deben estar específicamente descritas, tanto de aquellos con los que la compañía tenga contratado un servicio, como de los terceros ajenos que puedan instalar cookies en la web con fines publicitarios (ej. anunciantes de redes publicitarias).

Es evidente la complejidad intrínseca a esta obligación ya que supone una constante labor de actualización de los listados de cookies y de la identidad de los terceros que puedan estar implicados en su utilización, existiendo siempre un riesgo de sanción al poder estar los listados desactualizados en algún momento concreto de la navegación.
Sin perjuicio de lo anterior y según ha manifestado el IAB, la AEPD ha confirmado que respecto a esos terceros, únicamente deberán identificarse a aquéllos con los que se haya contratado un servicio concreto, tal y como ya se describía en las Guía cuando detallaban el contenido mínimo a incluir en la segunda capa. Ahora bien, la experiencia nos dice que un comentario de este tipo no deja de ser un indicio orientativo útil pero al que no se le puede conferir más importancia de la que realmente tiene, porque lo cierto es que a día de hoy el único criterio oficial del que disponemos es el de la resolución.

Por tanto, y sin ánimo de ser alarmistas, parece que lo más probable es que objetivamente la mayoría de páginas web presenten en la actualidad deficiencias respecto a su política de cookies.

De todos modos, que no se malinterpreten nuestras reflexiones. No se trata de quitarle importancia a la obligación de informar al usuario sobre la tipología de cookies que una web puede utilizar, ni a la de recabar el consentimiento de éste para su utilización, ya que el fin que persiguen estas obligaciones obviamente las justifican (privacidad y confidencialidad). Ahora bien, aunque el fin esté justificado, parece necesario revisar los medios impuestos para alcanzarlo dado que en ocasiones parece que llegamos a rozar el absurdo. Y decimos esto porque una vez comprobados los primeros inconvenientes surgidos tras la publicación de la resolución, parece necesario llegar a un término medio que permita conferir mayor seguridad a los usuarios, pero sin bloquear la publicación de contenidos, el interés legítimo de la actividad publicitaria y el comercio electrónico.