Resultados del análisis europeo de cookies

Hace unos días el Grupo de Trabajo del Artículo 29 publicó el resumen del análisis de Cookies realizado durante el mes de septiembre (PDF) por parte de las distintas autoridades de protección de datos de Europa (Reino Unido, Dinamarca, Francia, Eslovenia, Grecia, Países Bajos, República Checa y España). El análisis se ha realizado sobre las páginas más visitadas en cada país según el proveedor de servicios Alexa, y basados en los sectores Público, Medios y Comercio Electrónico.

Finalmente el análisis ha sido meramente estadístico, y no proporciona nueva información que pueda ayudar a la correcta identificación de las cookies, la forma de informar y recabar los consentimientos necesarios, por lo que no aporta nada nuevo al respecto.

Las conclusiones son las siguientes:

  1. La mayoría de Cookies son de tercera parte (las más difíciles de identificar).
  2. La duración media de la vigencia es de entre uno y dos años.
  3. Excepto en sector público, la mayoría de Cookies instaladas en los sitios web analizados son de tercera parte.
  4. Las páginas de Medios son las que más Cookies instalan (más de la mitad del total de Cookies detectadas durante el análisis).
  5. Si se configura el navegador para no aceptar la instalación de Cookies de tercera parte, no se instalarían el 70% del total de Cookies detectadas.
  6. El 26% de las páginas analizadas no proporcionan ningún tipo de información al usuario.
  7. Más de la mitad de las páginas analizadas no solicitan el consentimiento del usuario.
  8. Sólo un 16% de las páginas analizadas ofrecen una herramienta que permita controlar las Cookies que se instalan.
  9. Se confirma que la información en dos capas es la más utilizada en general, tanto con un banner con un botón de aceptación como aquellos banners que desaparecen por la mera navegación por la página o pasado cierto tiempo.
  10. España es el segundo país con menor número de páginas web analizadas sin ningún tipo de información sobre Cookies. Reino Unido está a la cabeza con únicamente un 6% de sus páginas web, España con un 12%, y en tercera posición Países Bajos con un 20%.

Marc Rius

Barrido de cookies de las agencias europeas de protección de datos

Hoy empieza el barrido coordinado de cookies de las agencias europeas de protección de datos, de acuerdo con el comunicado de adigital de la semana pasada.

Este barrido, denominado “European cookie sweep”, finalizará el 19 de septiembre y tiene la finalidad de monitorizar y evaluar el cumplimiento de la normativa europea que regula el uso de cookies en materia de consentimiento e información al usuario.

Los datos obtenidos podrían servir de base a las agencias nacionales para posteriores revisiones individualizadas de los sitios web evaluados en este barrido.

Comunicado de adigital:

http://www.adigital.org/noticias/european-cookie-sweep-las-agencias-de-la-ue-accederan-los-sites-para-comprobar-el

Cookies y WordPress

Ya que en la reciente sanción de la AEPD por informar de manera insuficiente sobre el uso de cookies de terceros en un sitio web se mencionaba un blog en WordPress, publico una breve nota para explicar mi opinión al respecto.

WordPress puede ser utilizado de dos maneras:

  1. Creando un blog en la plataforma online que WordPress (Automattic Inc.) ofrece.
  2. Utilizando la aplicación de WordPress para diseñar el blog y después alojarlo en un servidor propio o en régimen de hosting.

En el primer caso, el usuario de WordPress no tiene control sobre las cookies, salvo que la plataforma disponga de una posibilidad de configuración que yo no he sabido encontrar.

El único control que el usuario/autor del blog tiene es sobre los servicios que contrata.

Por lo tanto, el usuario/autor del blog tiene que valorar los beneficios que obtiene y las cargas que tiene que afrontar en la contratación de cada unos de los servicios que la plataforma ofrece.

Por ejemplo, si contrata servicios de publicidad, o estadísticas “full equip” de Google Analytics, el usuario/autor del blog deberá conocer las cookies que se instalan, los datos que obtienen y los destinatarios de los mismos con el fin de informar sobre ellas y obtener el consentimiento de los visitantes del blog.

Si el usuario/autor del blog no contrata servicio alguno y se limita a publicar sus posts, en mi opinión, sólo tiene que informar de que Automattic Inc. utiliza cookies para prestar servicios estadísticos, analíticos y publicitarios que el autor del blog no tiene contratados. El consentimiento, en este caso, va dirigido a Automattic Inc, ya que el usuario/autor del blog no es responsable del fichero ni del tratamiento. Ello significa que en la segunda capa de información debe remitir a la política de privacidad y cookies de Automattic Inc.

En este caso, entiendo que las cookies se instalan igualmente, por defecto, pero no recogen datos, ya que no se ha contratado ningún servicio que los requiera. Y si los recogen, Automattic Inc no los entrega al usuario/autor del blog ya que no ha contratado el servicio.

Repito el concepto usuario/autor del blog para reiterar la idea de que el autor del blog es un mero usuario de la plataforma de WordPress.

Existen otras situaciones que guardan cierta similitud:

  1. Por ejemplo, en el caso de una empresa que alquila un despacho en un edificio de oficinas que tiene control de accesos. Si la empresa no accede en ningún momento al registro de visitantes, en mi opinión no es responsable del fichero ni del tratamiento.
  2. Otro caso similar es el de las ferias y los congresos. Si una empresa alquila un espacio para instalar su stand y no accede en ningún momento al registro de visitantes, en mi opinión no es responsable del fichero ni del tratamiento.
  3. En las grandes superficies puede haber un servicio médico que atiende a los visitantes accidentados o enfermos. Es evidente que las personas que tienen una tienda en esa gran superficie no son responsables del fichero ni del tratamiento realizado por el servicio médico.

En el segundo caso, es decir, cuando el autor del blog utiliza la aplicación de WordPress y aloja el blog en un servidor distinto a la plataforma de WordPress, las cookies sí están bajo su control y se beneficia de los datos que recogen, salvo que el propietario del servidor utilice sus propias cookies para otras finalidades ajenas a los servicios prestados a su cliente.

En este caso, existen extensiones o plugins como Cookie Control, que permiten configurar el texto de la primera capa de información.

Reflexiones sobre la sanción por uso de cookies

Artículo de Ricard Boned

A pocos les sorprenderá ya la noticia de la que recientemente se hacían eco los medios y profesionales especializados, sobre la primera sanción impuesta por la Agencia Española de Protección de Datos (en adelante AEPD) a dos compañías del mismo grupo empresarial por el incumplimiento de sus obligaciones relacionadas con la utilización de cookies.

En concreto la sanción fue por una infracción del artículo 22.2 de la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y Comercio Electrónico, tipificada como leve por el artículo 38.4.g) de la referida normativa, y que puede acarrear sanciones de hasta 30.000 euros.

Se consideraron atenuantes: a) la ausencia de intencionalidad al haber adoptado medidas correctoras tan pronto las compañías conocieron la irregularidad; y porque b) no obtuvieron beneficios por la infracción descrita.

Aunque de inicio esta resolución parecía que iba a dar carpetazo a los problemas y dificultades interpretativas con las que las empresas se habían encontrado a la hora de cumplir con la normativa, lo cierto es que no ha hecho más que avivar el debate aparentemente superado sobre una regulación cuyo correcto cumplimiento parece más que confuso.

En la actualidad ya nadie duda sobre la necesidad de habilitar en las webs un sistema por capas que permita dar cumplimiento a las obligaciones dispuestas en la normativa, tal y como se nos recomendaba en la bien conocida Guía sobre Cookies. Ahora bien, no hay que olvidar que están exentas del cumplimento de estas obligaciones las cookies que sirvan únicamente para permitir la comunicación entre el equipo del usuario y la red, así como las que sean necesarias para ofrecer un servicio de la sociedad de la información expresamente solicitado por el usuario (ej. las cookies necesarias para el funcionamiento del carrito de la compra, o las utilizadas para mantener actualizados los precios de una web). De ahí que sea imprescindible un análisis previo eficaz, ya no sólo para determinar el contenido de las capas, sino para determinar si realmente es necesario habilitar un sistema de este tipo.

El principal problema es que tras esta pionera resolución se han abierto nuevas brechas respecto a la aplicación efectiva de esos criterios, ya no tanto por su forma (sistema de capas), sino por su contenido. Y más aún cuando comprobamos el detalle sobre cookies que incluía esa segunda capa utilizada por las compañías sancionadas, y de la que la AEPD entendió que “no precisa con suficiente claridad si la tipología de cookies incluidas en el documento se corresponde con las realmente utilizadas en los sitios web de dichas sociedades y con las finalidades descritas en las mismas”.

La AEPD consideró acreditada la instalación y utilización de cookies sin haber facilitado a los usuarios, previamente (aunque en teoría y por motivos técnicos el criterio aceptado es que la información se facilite de forma simultánea a la instalación de las cookies), información clara y completa sobre el uso y finalidades de dichos dispositivos, y sin contar con un consentimiento válidamente otorgado por no haberse obtenido mediando una información previa correcta.

Como analizaremos a continuación, parece obvio que el principal foco de controversia sobre el que se oirá hablar en los próximos meses, es el milimétrico contenido que debe albergar esa segunda capa. Será este el aspecto que genere más dudas entre los afectados, al implicar inevitablemente que las empresas tengan que dedicar nuevos recursos y esfuerzos a la regularización de unas políticas de cookies que inocentemente consideraban ya definitivas.

Transcribiendo parte de la resolución, la AEPD expuso sobre la web que “no contiene una información adecuada sobre el tipo de cookies que efectivamente se utilizan y sus finalidades que permita conocer al usuario de una forma apropiada el uso que se dará a la información recuperada, tampoco se asocia claramente su uso con el propio editor o con terceros que también deben ser identificados, habiéndose constatado que sólo se hace referencia a las cookies del servicio Google Analytics de Google Inc sin citar otras cookies de terceros cuya descarga también se ha comprobado se realiza en los terminales de los usuarios, como son, por ejemplo, las de Automattic Inc, Quantcast, You Tube LLc, Zopim Technologies Pte Ltd, Seevolutión Inc.”

Y concluyó que “el sistema de capas utilizado por ambas entidades no contiene la información que se considera necesaria para estimar que resulta completa y clara, en especial en cuanto a la tipología de cookies realmente utilizadas, finalidad de las mismas e identidad de quienes instalan y utilizan las cookies, lo que invalidaría el consentimiento que pueda ser prestado por los usuarios”.

Esto es debido, principalmente, a que en la Inspección llevada a cabo se detectó que la información que se había proporcionado a los usuarios sobre las cookies propias y de terceros, no era suficiente al haberse detectado algunas otras distintas que no habían sido incluidas, o cuya descripción no había sido lo suficientemente detallada.

En este sentido, parece desprenderse de la resolución que en esa segunda capa deberían identificarse individualmente cada una de las cookies utilizadas, ya sean propias o de terceros. Además, esos terceros “deben ser identificados”, y sus cookies deben estar específicamente descritas, tanto de aquellos con los que la compañía tenga contratado un servicio, como de los terceros ajenos que puedan instalar cookies en la web con fines publicitarios (ej. anunciantes de redes publicitarias).

Es evidente la complejidad intrínseca a esta obligación ya que supone una constante labor de actualización de los listados de cookies y de la identidad de los terceros que puedan estar implicados en su utilización, existiendo siempre un riesgo de sanción al poder estar los listados desactualizados en algún momento concreto de la navegación.
Sin perjuicio de lo anterior y según ha manifestado el IAB, la AEPD ha confirmado que respecto a esos terceros, únicamente deberán identificarse a aquéllos con los que se haya contratado un servicio concreto, tal y como ya se describía en las Guía cuando detallaban el contenido mínimo a incluir en la segunda capa. Ahora bien, la experiencia nos dice que un comentario de este tipo no deja de ser un indicio orientativo útil pero al que no se le puede conferir más importancia de la que realmente tiene, porque lo cierto es que a día de hoy el único criterio oficial del que disponemos es el de la resolución.

Por tanto, y sin ánimo de ser alarmistas, parece que lo más probable es que objetivamente la mayoría de páginas web presenten en la actualidad deficiencias respecto a su política de cookies.

De todos modos, que no se malinterpreten nuestras reflexiones. No se trata de quitarle importancia a la obligación de informar al usuario sobre la tipología de cookies que una web puede utilizar, ni a la de recabar el consentimiento de éste para su utilización, ya que el fin que persiguen estas obligaciones obviamente las justifican (privacidad y confidencialidad). Ahora bien, aunque el fin esté justificado, parece necesario revisar los medios impuestos para alcanzarlo dado que en ocasiones parece que llegamos a rozar el absurdo. Y decimos esto porque una vez comprobados los primeros inconvenientes surgidos tras la publicación de la resolución, parece necesario llegar a un término medio que permita conferir mayor seguridad a los usuarios, pero sin bloquear la publicación de contenidos, el interés legítimo de la actividad publicitaria y el comercio electrónico.

Proyecto de modificación de la LSSI

El Consejo de Ministros ha aprobado esta mañana la remisión a las Cortes Generales del Proyecto de Ley General de Telecomunicaciones que modifica otros textos legales como la Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico, del 11 de julio de 2002, introduciendo, entre otros los siguientes cambios:

1. Se clarifican las obligaciones y los responsables de la correcta gestión de las cookies, como, por ejemplo, las redes publicitarias o agencias que no hubieran adoptado medidas para exigir del editor o prestador del servicio el cumplimiento de los deberes de información y la obtención del consentimiento del usuario. Sería muy interesante que en el debate del proyecto se clarificase la responsabilidad de las empresas con página corporativa en redes sociales como Facebook por el uso de cookies por parte de los propietarios de dichas plataformas.

2. Desaparece la exigencia de que el usuario realice una “acción expresa”, en el momento de instalar o actualizar el navegador, para manifestar su consentimiento al uso de cookies. En este caso sería muy recomendable que en el debate parlamentario se clarificase si es posible informar y obtener el consentimiento sobre el uso de cookies de manera simultánea o posterior a la instalación de la cookie. Especialmente en el caso de cookies estadísticas y analíticas, cuya mera instalación no puede considerarse como uso real.

3. Se subsana el lapsus de la inexistencia de régimen sancionador para el uso de cookies sin consentimiento, sancionando el hecho de ignorar la voluntad del usuario de no consentir el uso de cookies o seguir tratando sus datos tras la revocación del consentimiento.

4. El envío insistente de comunicaciones comerciales no solicitadas será una infracción grave. Se suaviza el régimen sancionador para el envío de comunicaciones comerciales no solicitadas, pues el envío de más de tres comunicaciones de esta clase en el plazo de un año constituye infracción grave, lo cual no es proporcionado por el número tan bajo que marca el umbral entre la infracción grave y la leve (artículos 38.3 c) y 38.4 d) de la Ley 34/2002, de 11 de julio). Dado que el envío masivo puede asociarse con el envío simultáneo de comunicaciones comerciales a múltiples destinatarios, se añade otra infracción grave consistente en el envío insistente de comunicaciones comerciales al correo del destinatario, para cubrir los supuestos de envío repetido a unos pocos destinatarios.

5. Se podrá apercibir al infractor en lugar de imponerle una sanción económica en el caso de infracciones graves y leves y cuando concurran ciertas circunstancias atenuantes como no haber cometido infracciones en el pasado.

6. Se suprime la obligación de identificar los e-mails o sms publicitarios con la palabra “publi” o “publicidad”.

7. En el caso de comunicaciones comerciales se aclara que los usuarios pueden utilizar el correo electrónico u otra dirección electrónica equivalente para revocar el consentimiento para la recepción de comunicaciones comerciales. Con ello se mejora una redacción que generaba dudas sobre el significado de “dirección electrónica”.

El texto cambia, a su vez, la Ley de firma electrónica, del 19 de diciembre de 2003, de forma que los certificados reconocidos utilizados en el DNI electrónico pasan a tener una duración de cinco años y no de dos años como hasta ahora.

La asociación adigital ha publicado una lista muy completa de las 10 principales modificaciones de la LSSI que puede ser consultada en esta dirección.

El consentimiento: ¿antes, durante o después de la cookie?

En mi opinión, la idea clave del debate suscitado a raíz de la noticia aparecida este verano sobre el inicio del primer procedimiento sancionador relacionado con cookies, es que el artículo 22.2 LSSI habla de consentimiento previo a la UTILIZACIÓN de cookies no exentas y no habla en momento alguno de consentimiento previo a la INSTALACIÓN.

La diferencia es importante en términos de interpretación, ya que él término “utilización” puede incluir tanto la instalación de la cookie como la posterior recogida de datos a través de la misma, que es lo que realmente tiene trascendencia jurídica.

Algo parecido ocurre en el caso de las direcciones IP de los visitantes de una página web.   En el aviso legal se informa sobre la recogida de este dato y la navegación se interpreta como una manifestación del consentimiento sobre su tratamiento, pero lo cierto es que la IP ha quedado registrada en el log del servidor desde el primer momento.

En cualquier caso, cabe resaltar, en relación a este debate, que tanto en el comunicado de IAB como en el de adigital se aclara que el procedimiento se refiere a un posible incumplimiento de las obligaciones de información y no de la obligación de obtener consentimiento.

Independientemente de lo que se substancie en este procedimiento, lo cierto es que la principal preocupación de las empresas es que puedan surgir de nuevo dudas sobre la forma y el momento en que se tiene que recabar el consentimiento. Algo que ya se consideraba resuelto tras la publicación de la Guía Y en este sentido considero que los dos comunicados son clarificadores.

A mi modo de ver, la secuencia cronológica es la siguiente:

1. El artículo 22.2 de la LSSI tiene una redacción confusa que impide saber de forma categórica si el consentimiento de una cookie (de Google Analytics, por ejemplo, que asocia los datos obtenidos a una dirección IP estática o dinámica), se refiere a la utilización (considerada en este caso como la captura acumulativa de datos útiles para el análisis estadístico) o afecta también la primera instalación de la cookie. Las dudas se extienden a otros puntos de la norma y surgen distintas interpretaciones.

2. Dada la incertidumbre, se produce una situación de espera en el mercado. Nadie quiere ser el primero, pero tampoco el último.

3. IAB, Autocontrol y aDigital acuerdan con la AEPD unos criterios de interpretación del artículo 22.2 que quedan plasmados en la “Guía sobre el uso de las Cookies”, dejando cierto margen de interpretación sobre las diferentes formas de prestar el consentimiento y el momento de instalación de las cookies.

4. La Agencia aclara que esta Guía contiene una interpretación de la ley, y que por lo tanto, puede haber otras. Con ello advierte en cierta forma que la Guía no es vinculante y que tanto la Agencia como la Audiencia Nacional, pueden aplicar un criterio distinto si en un caso concreto se fundamenta legalmente una interpretación que merece prevalecer sobre la de la Guía.

5. Si una empresa sigue la interpretación de la Guía y la Agencia o la Audiencia Nacional considera que ha cometido una infracción, podría esgrimir en su defensa el principio de confianza legítima mantenido por adigital en su comunicado, ya que la empresa habría actuado con la debida diligencia al seguir las indicaciones de una Guía avalada por la propia Agencia. Entiendo que ello tendría como consecuencia que no habría sanción, o ésta se aplicaría en su grado mínimo en el peor de los casos.

Como decía un cliente: “Se nota que estamos en el primer mundo”, ya que este debate está muy arriba en la pirámide de Maslow.

Presentación en vídeo sobre la Guía de Cookies

Vídeo de 35 minutos relativo a la Guía sobre el uso de cookies publicada en mayo de 2013 por la Agencia Española de Protección de Datos y las asociaciones aDigital, Autocontrol e IAB.

Se recomienda ver el vídeo en resolución 1.080 y a pantalla completa tras hacer clic en el icono de YouTube.

Infografía resumen de la nueva Guía sobre el uso de las cookies de la AEPD

En esta infografía resumo los puntos que considero más importantes de la nueva Guía sobre el uso de cookies de la Agencia Española de Protección de Datos y las asociaciones adigital, Autocontrol e IAB, que ha sido publicada hoy.

Infografía Cookies 2013 en formato PDF

Para ampliar la imagen haz clic en la infografía

Infografía resumen de la Guía sobre el uso de cookies de la Agencia Española de Protección de Datos - Xavier Ribas

Infografía resumen de la Guía sobre el uso de cookies de la Agencia Española de Protección de Datos – Xavier Ribas

¿Se pueden aceptar con un solo clic las cookies de todas las web con Google Analytics?

Esta mañana, al realizar una búsqueda en Google, ha aparecido en la zona previa a los resultados de la búsqueda un banner de aceptación de las cookies de Google. No recuerdo haberlo visto antes, por lo que desconozco el tiempo que lleva usándolo. Al hacer clic en el enlace “Más información” aparece el texto en el que Google explica cómo utiliza las cookies y dirige a varias páginas en las que el usuario puede ampliar la información.

En la página en la que explica los tipos de cookies que utiliza Google aparece una tabla en la que se relacionan las siguientes finalidades en el uso de las cookies por parte de Google:

  1. Preferencias
  2. Seguridad
  3. Procesos
  4. Publicidad
  5. Estado de la sesión
  6. Google Analytics

En el apartado correspondiente a Google Analytics explica que “Google Analytics es una herramienta gratuita de análisis web de Google que principalmente permite que los propietarios de sitios web conozcan cómo interactúan los usuarios con su sitio web. Asimismo, habilita cookies en el dominio del sitio en el que te encuentras y utiliza un conjunto de cookies denominadas “__utma” y “__utmz” para recopilar información de forma anónima y elaborar informes de tendencias de sitios web sin identificar a usuarios individuales”.

La lectura de esta explicación, unida a la frase del banner de aceptación de las cookies de Google, que dice: “Al utilizar nuestros servicios, aceptas el uso que hacemos de las cookies” permite que se planteen las siguientes cuestiones:

  1. ¿Está Google solicitando la aceptación de las cookies de Google Analytics para todos los sitios web que utilicen este servicio?
  2. ¿Sería válido un consentimiento dado a Google en relación a cookies instaladas a través de sitios web administrados por otras personas físicas o jurídicas que no han obtenido el consentimiento directo del usuario?
  3. ¿Se extiende este consentimiento a las cookies que se generen en navegadores y ordenadores distintos al utilizado en la aceptación si en el momento de aceptar la política de cookies de Google estaba abierta la sesión de mi cuenta en Google?

Desde el punto de vista de la LSSI, el artículo 22 no da una respuesta negativa a estas tres preguntas, aunque parece excesivo concentrar tantos consentimientos en un solo clic. Desde el punto de vista operativo podría ser una opción para exonerar a los administradores de sitios web que sólo utilizan esta cookie de solicitar el consentimiento de sus usuarios. Pero ello no es posible, ya que no se puede garantizar que todos los usuarios de un sitio web hayan hecho clic previamente en el banner de Google.

Desde el punto de vista de la LOPD, a la que el mismo artículo se remite, tendríamos que analizar la naturaleza de la relación entre Google y sus clientes. En mi opinión, Google actúa como encargado del tratamiento de las empresas que contratan el servicio Google Analytics, aunque he visto algún aviso legal en el que se afirma que la empresa no accede a los datos obtenidos por Google Analytics. ¿Para qué contrata entonces este servicio?

Cierto es que Google obtiene una información valiosa con Google Analytics y que, a la vista del uso que le da, actúa como responsable del fichero. Pero en el momento en que presta el servicio a sus clientes actúa como encargado del tratamiento. Ello le permitiría recabar el consentimiento en nombre del cliente y en nombre propio, aunque no he identificado esta función en los términos y condiciones del servicio. Pensemos que Google considera que no trata datos personales y por ello no configura la relación como un encargo de tratamiento. Sin embargo, si tenemos en cuenta el artículo 22 de la LSSI y aplicamos el criterio de la AEPD sobre la disociación irreversible al conjunto de datos que Google tiene sobre un usuario, será difícil determinar que no realiza un tratamiento.

Me gustaría mucho más que las cookies tuvieran otra regulación en Europa, ya que, además de ser excesiva, está creando una carga adicional a las empresas europeas, mientras nuestros competidores en los países que nos están empezando a superar en el mercado mundial no tienen obligaciones parecidas.

Acabo estas reflexiones que me ha suscitado el banner de Google con una referencia a la vinculación del consentimiento a la identidad del usuario cuando éste mantiene una sesión abierta en su cuenta de Google al tiempo que hace clic en el banner. Normalmente, la prueba de la aceptación de una cookie, cuando el usuario ha sido informado mediante un banner, puede ser la propia existencia de la cookie en el ordenador del usuario. Siempre claro, que la entrada de la cookie en el ordenador esté condicionada a la previa aceptación de la misma haciendo clic en el banner. Este consentimiento sólo vale para el navegador utilizado al hacer clic. Sin embargo, si el usuario está “logueado”, Google podría asociar el consentimiento a la cuenta del usuario. No parece que sea ésta la intención de Google cuando afirma que la información recogida por las cookies no contiene datos que permitan determinar la identidad del usuario.

Además, ello sería fácil de comprobar, ya que, como las cookies de Google también se utilizan para adaptar la publicidad al perfil del usuario, sólo tenemos que comparar los anuncios que aparecen cuando la sesión está abierta y cerrada.

 

Cookies, publicidad contextual y publicidad basada en el comportamiento

El 24 de febrero de 2010, con motivo de mi participación como ponente en el I Congreso Internacional IAB Spain de regulación publicitaria en medios digitales, pude asistir a la ponencia de IAB UK en la que se presentaba una guía sobre Behavioral Advertising.

El ponente comentó que, en un estudio que habían realizado sobre la disposición de los usuarios a recibir publicidad online personalizada, se había confirmado que, a la hora de consumir contenidos en Internet, los usuarios preferían un modelo basado en la publicidad frente a un modelo basado en el pago por contenidos. Y puestos a aceptar la publicidad como contrapartida a la gratuidad del servicio, los usuarios preferían que esa publicidad se adaptase a sus gustos y preferencias.

Esta posición del consumidor queda patente en las revistas especializadas. Nunca veremos un anuncio de zapatos o de coches en una revista de informática, debido al rechazo que una publicidad descontextualizada tendría entre los lectores.

Esta adaptación de la publicidad a los gustos y preferencias del usuario puede hacerse de forma objetiva o subjetiva:

  • Objetiva: la publicidad se adapta al contexto, es decir, al tema tratado en la página web o a las palabras introducidas en un motor de búsquedas, en un mensaje o en un comentario. La selección del anuncio puede basarse en información facilitada en tiempo real por el usuario, a través de la que expresa un interés inmediato y tal vez efímero.
  • Subjetiva:  la publicidad se adapta a la información generada por el usuario de forma acumulativa, a través del comportamiento demostrado en una secuencia de tiempo que puede ser de horas, días, semanas e incluso meses. La selección de los anuncios se basa en el perfil del usuario, los intereses, gustos y preferencias que ha manifestado al visitar sitios web, realizar búsquedas y expresar opiniones. Ya no hablamos de intereses efímeros, sino de rasgos de personalidad.

Mientras la publicidad basada en el contexto puede prescindir de datos acumulativos, la publicidad basada en el comportamiento del usuario convierte la ruta seguida por el usuario en la clave de su efectividad. (NOTA: En este post utilizo el término “contextual” porque me gusta y no utilizo el término “comportamental” porque no me gusta, independientemente de que el primero esté en el diccionario de la RAE y el segundo no.)

El problema aparece cuando, aceptada la adecuación de la publicidad a mis gustos y preferencias, los anunciantes (o sus agentes o encargados del tratamiento) tienen que recogerlos y tratar estos datos para poder ofrecerme los anuncios más adecuados a ellos. No estamos hablando ya de segmentación o inclusión de mi perfil en una categoría donde puedo convivir con otros usuarios parecidos a mi. Estamos hablando de un segmento en el que sólo voy a estar yo y por lo tanto, de una publicidad basada en lo que he hecho en Internet durante los últimos meses.

Es en ese momento cuando, salvo que sea un nativo digital que publica en las redes sociales hasta la última radiografía de sus cervicales, me debería empezar a preocupar quién recaba esos datos, con qué finalidad y para quién.

Dado que estos datos se recogen a través de las cookies y de otros mecanismos análogos, es lógica la preocupación del legislador para regular su uso, y prueba de ello es la reciente modificación de la LSSI en este sentido.

Pero lo que no podemos hacer es tratar todos los tipos de cookies por igual. Analizando la normativa y las finalidades posibles, se me ocurren varias categorías:

1. Cookies orientadas a cuestiones técnicas de las comunicaciones: no necesitan consentimiento.

2. Cookies necesarias para la prestación de un servicio online: aceptación a través de las CGC que regulan el servicio.

3. Cookies orientadas a personalizar el diseño gráfico, mejorar la experiencia de usuario, realizar estadísticas y perfiles disociados de la actividad de los usuarios en ese sitio web únicamente y cualquier otra finalidad que pueda ser considerada no intrusiva: aceptación a través del aviso legal (consentimiento tácito)

4. Cookies obtenidas en las páginas web visitadas y orientadas a almacenar datos de navegación y datos del comportamiento del usuario a lo largo de las páginas que visita con fines de publicidad: necesitan consentimiento previo e informado. La cuestión es cómo se materializan tanto la información como el consentimiento, y cómo se obtienen y conservan las evidencias electrónicas de ambos actos. Si el navegador bloquea este tipo de cookies por defecto, la acción expresa de modificar esta configuración equivaldría a consentimiento, pero entonces el log del servidor debería conservar el tipo y versión del navegador como evidencia. Una combinación de aviso legal, configuración del navegador y log podría ser suficiente, pero las empresas más prudentes podrían recabar el consentimiento a través de un popup, un interstitial o un banner en la página web visitada.

5. Cookies de terceros, es decir, de páginas web no visitadas: implican un acuerdo de cesión de datos o de encargado del tratamiento entre los responsables de las páginas web visitadas y las no visitadas, y exigen un consentimiento previo e informado. Al no existir relación con el tercero, debería analizarse en profundidad el protocolo de aceptación de este tipo de cookies. Lo ideal sería que la configuración del navegador diferenciase entre cookies de páginas web visitadas y cookies de terceros para poder discriminar estas últimas. El navegador debería bloquear este tipo de cookies por defecto, requiriéndose una acción expresa del usuario para aceptarlas.

6. Cookies del proveedor de hosting: analizando el almacén de cookies de mi navegador he comprobado que todos los blogs que he visitado, incluido el mío propio, han instalado cookies en mi ordenador. En realidad no han sido los blogs, sino los proveedores del servicio de albergue del blog. Dado que las cookies de publicidad y de terceros están bloqueadas por defecto, entiendo que las cookies instaladas son meramente técnicas. En cualquier caso, sería recomendable confirmar este extremo con el proveedor, y modificar el aviso legal advirtiendo sobre sobre el origen y la finalidad de las cookies instaladas por el proveedor. En mi blog en WordPress y en Typepad no inserto publicidad, pero en el de Expansión, sí hay un banner que no gestiono ni exploto. Si los responsables del servicio instalan cookies y obtienen datos que van más allá de los meramente técnicos, entiendo que deben advertirlo a los usuarios en su aviso legal y comunicarlo a los bloggers que utilizan el servicio. Aunque estos proveedores pudiesen llegar a ser considerados encargados de tratamiento, es evidente que generan un nuevo vínculo con los usuarios y son responsables de los datos que recaben de ellos. Lo mismo sucede con los datos suministrados por los lectores del blog al publicar un comentario.

Las opciones de configuración de los navegadores en materia de cookies han tenido una gran evolución en los últimos años. De una lista original de dos opciones: bloquear o no bloquear, se ha pasado a la posibilidad de discriminar distintos tipos de cookies.

Mi navegador, por ejemplo, conserva la configuración de origen, de manera que por defecto bloquea las cookies de publicidad y de terceros. Prueba de ello es que, al visitar la sección de preferencias de la guía antes comentada, un popup me confirma que la configuración del navegador bloquea la instalación de cookies destinadas a realizar publicidad basada en el comportamiento. Esta página actúa como una especie de lista Robinson, en la que el usuario puede seleccionar los proveedores (encargados del tratamiento en su mayor parte) que pueden instalar cookies en su equipo por cuenta de sus cliente, y los que no.

Finalmente, cabe añadir que el GT29 se ha pronunciado recientemente en relación al protocolo DO NOT TRACK (DNT), recomendando un consentimiento basado en una opción informada y activa en el momento de configurar la función DNT en el navegador y estableciendo un sistema OPT-OUT que permita el borrado de toda la información almacenada en el caso de que el usuario decida aplicar la opción DNT para evitar el seguimiento o rastreo de su actividad en Internet.

Como todo lo relacionado con la red, la evolución es imparable y vamos a asistir a cambios ante los que, como usuarios, anunciantes, encargados del tratamiento y profesionales tendremos que tomar decisiones, aprendiendo a convivir con las nuevas formas de personalización de la publicidad. Y el legislador tendrá que hacer un esfuerzo para no convertirse en el amigo gordete y entrañable que nos acompañaba a todas partes cuando éramos niños y nos pedía que lo esperásemos cuando nos poníamos a correr.