Archivo de la categoría: Datos personales

Un nuevo paso para la aprobación del Reglamento UE de Protección de Datos a final de año

Posted on por

El Consejo de Justicia de la UE, formado por los ministros de Justicia e Interior de la Unión Europea, llegó ayer en Luxemburgo a un acuerdo en ciertas materias que acercan las posiciones y permiten mantener la planificación inicial de aprobar el Reglamento a finales de año.

Las materias en las que hubo acuerdo son las siguientes:

1. Régimen de la transferencia de datos a terceros países o en el seno de organizaciones internacionales.

2. Aspectos relativos al ámbito territorial, que incluyen la aplicación de las obligaciones del Reglamento a todas las empresas que operen en el Mercado Único Europeo, aunque no sean europeas.

3. Definición del concepto Binding Corporate Rules.

4. Definición del concepto organizaciones internacionales.

Se debatieron también aspectos relativos al principio one-stop-shop, que incluye la posibilidad de que una empresa se dirija a una única autoridad nacional de protección de datos para negociar cuestiones relativas a su actuación en todo el Mercado Único Europeo. Este punto no está exento de polémica, ya que las empresas podrían dirigirse sistemáticamente a las autoridades nacionales menos exigentes en detrimento de las “Rottweiler authorities”. Este debate ha quedado aplazado para próximas reuniones.

En la actualidad hay tres puntos que actúan como aceleradores del proceso y que permiten pronosticar nuevos avances en la reunión del Consejo de la UE prevista para los días 26 y 27 de este mes.

Estos tres puntos son:

1. El caso Snowden y los escándalos de espionaje de EEUU
2. La sentencia del TJUE relativa al derecho al olvido
3. El mercado único digital

La comisaria europea de Justicia, Viviane Reding, principal impulsora de esta iniciativa legislativa, hizo ayer especial énfasis en la necesidad de que la UE apruebe el Reglamento lo antes posible y afirmó que, con los acuerdos alcanzados, esta aprobación estaba más próxima.

La reunión del Consejo de la UE de finales de este mes también permitirá ver la posición de Inglaterra y la influencia en ella de EEUU. Está previsto que la normativa norteamericana vaya alineándose progresivamente a la europea en materia de protección de datos y alejándose de la amenaza de suspensión de los acuerdos Safe Harbor originada tras los escándalos de espionaje.

Facebook for Business

Posted on por

Artículo de Marc Rius

La reciente adquisición de Whatsapp por parte de Facebook ha sido probablemente la noticia más importante del sector en lo que va de año por las implicaciones que puede conllevar en el ámbito del comercio electrónico, y está por ver si en los meses que quedan otra la iguala, por lo menos en lo que a trascendencia económica se refiere.

Sin embargo, en este artículo no entraré a valorar el impacto que esta operación pueda tener en materia de privacidad y protección de datos, porque desconocemos los términos exactos que esconde el acuerdo.

Un efecto colateral de esta noticia ha sido restar cuota de atención a una novedad importante en los servicios de Facebook que afecta a todos los anunciantes y, por ende, a todos los usuarios de esta red social. Hablamos de “Facebook for Business“, la nueva herramienta de centralización de contenidos, anuncios y promociones que Facebook ha puesto a disposición de pequeñas empresas y grandes marcas o agencias, desde el pasado 6 de diciembre de 2013 y que ya había lanzado previamente en Estados Unidos.

¿Y por qué esto es noticia precisamente ahora? Porque esta semana entró en vigor el primer cambio significativo que modifica radicalmente la forma en la que toda empresa que tenga una página en Facebook, puede comunicarse de forma efectiva con los usuarios -entendido como conseguir que sus publicaciones aparezcan en el news feed de sus seguidores-.

De esta forma, Facebook da una nueva vuelta de tuerca a la monetización del servicio publicitario a través de su red social, y es que según algunos expertos en marketing digital, con los últimos cambios el alcance orgánico será prácticamente residual. Básicamente se concluye que si las empresas quieren visibilidad, deberán pasar por caja.

Así pues, Facebook organiza ahora ya las campañas publicitarias en tres niveles, (i) campañas, (ii) ad set y (iii) ads. Hasta ahora, los anunciantes podían crear una campaña y vincular a ella distintos anuncios, pero ahora ya se pueden preparar los llamados ad set, que no son más que un punto intermedio dentro de una campaña para poder hacer distintas segmentaciones, cada una de ellas con sus anuncios propios.

Adicionalmente, se añaden nuevas opciones de segmentación, que permitirán centrar la audiencia según (i) ubicación, (ii) demografía, (iii) intereses, y (iv) comportamiento. De esta forma, se amplía la anterior segmentación por intereses (derivada de los “me gusta” y las páginas de empresa/producto/personaje), y se podrá dirigir la publicidad a los usuarios según el lugar desde el que se conecten, por características demográficas como cambios en el estado civil o educativo/laboral, y por el uso que el propio usuario esté dando a la red social.

En definitiva, hay algo que puede ser bueno, y es que buscan personalizar y orientar al máximo la publicidad que reciben los usuarios, pero que a su vez vuelve a poner de manifiesto la gran cantidad de datos que Facebook posee sobre todos sus usuarios y que seguro es muchísima más de la que podamos siquiera llegar a imaginar.

Y dándole la vuelta al artículo y volviendo a la compra de Whatsapp, cabe decir que es por lo menos curiosa esta ampliación en los parámetros de segmentación, en el momento en que se anuncia la compra de la aplicación líder en mensajería instantánea. Dicen desde Whatsapp y Facebook que nada cambiará, pero sinceramente, pagar 16.000 millones de dólares por una aplicación principalmente gratuita (no recuerdo la última vez que pagué por ella), ,no parece un simple capricho o un ambicioso plan de liderar el sector, sino que más bien parece responder a una necesidad imperiosa de mantener y ampliar el negocio ante los rumores del derrumbamiento del gigante americano.

Whatsapp es una fuente inagotable de valiosísima información. Sus usuarios más activos se conectan numerosas veces por hora, y seguro que son muchas más de las veces que abren Facebook a lo largo del día, por lo que de primeras, podrán realizar un tracking mucho más preciso de los lugares y momentos de conexión de cada usuario. Si por cualquier método terminan por vincular usuarios de Whatsapp con usuarios de Facebook (hay gente que comparte su teléfono móvil en la red social, pero aún así es muy probable que Facebook ya lo sepa por otras vías), está claro que podrán generar perfiles todavía más completos, aunque traten de convencernos con insistencia de que no pueden ni podrán acceder al contenido de las conversaciones. Ahora bien, esta postura nos resulta poco creíble y especialmente si recordamos las palabras premonitorias de Mark Zuckerberg cuando en su día afirmó que la privacidad había muerto.

En definitiva, el negocio de Facebook son los datos y su posterior explotación. Por tanto cuantos más se conozcan, mejor para el negocio. Bienvenidos definitivamente a la era del Big Data.

Presentación en vídeo sobre la Guía de Cookies

Posted on por

Vídeo de 35 minutos relativo a la Guía sobre el uso de cookies publicada en mayo de 2013 por la Agencia Española de Protección de Datos y las asociaciones aDigital, Autocontrol e IAB.

Se recomienda ver el vídeo en resolución 1.080 y a pantalla completa tras hacer clic en el icono de YouTube.

¿Puede un periódico publicar las fotos que tuiteas?

Posted on por

La pregunta surge tras la reciente sentencia de un Juez de Distrito de Nueva York en la que declara que The Washington Post y la Agencia France-Press (AFP) infringieron los derechos de propiedad intelectual del fotógrafo Daniel Morel, al distribuir y publicar sin su autorización, fotografías que éste había tuiteado sobre el terremoto de Haití.

Los términos de servicio de Twitter establecen que:

  1. El usuario es el titular de los derechos que le amparan sobre cualquier contenido que envíe, reproduzca o exponga en Twitter.
  2. Al hacerlo, el usuario concede a Twitter una licencia mundial, no exclusiva y gratuita sobre el contenido publicado.
  3. Esta licencia permite a Twitter utilizar, copiar, reproducir, procesar, adaptar, modificar, publicar, transmitir, exponer y distribuir el contenido del usuario a través de cualquier medio o método de distribución presente o futuro.
  4. También permite a Twitter conceder sublicencias del contenido del usuario a terceros y permitir que las personas físicas o jurídicas asociadas a Twitter puedan sindicar, retransmitir, distribuir o publicar.

Ello significa que un periódico o cualquier otro sitio web no puede publicar una foto tuiteada sin la autorización del usuario o de Twitter, a través de un acuerdo de sublicencia o de asociación.

Sin embargo, John Herrman, de BuzzFeed plantea en un artículo de la semana pasada que no habría infracción de los derechos de autor si la fotografía se publica insertando el tuit en la página web. (Gracias a Patricia Ventura por la información facilitada).

Además de las funciones “Responder”, “Retwittear” y “Favorito” que ofrece Twitter en relación a cada mensaje, a través del menú “…Más” se puede acceder a las funciones “Enviar Tweet por correo electrónico” e “Insertar Tweet”. Esta última función permite acceder al código necesario para insertar el tuit en una página web, ofreciendo incluso una vista previa de cómo quedará la inserción.

Si consultamos el Centro de ayuda de Twitter, veremos las instrucciones para insertar un tuit en un sitio web o blog. En ellas se establece claramente la posibilidad de insertar cualquier tipo de tuit, incluyendo los tuits con fotos y vídeos. Además, en el apartado de preguntas frecuentes Twitter responde con un rotundo ¡SI! a la pregunta “¿Puedo insertar un Twet que contiene una foto, vídeo u otros medios?”. La única condición actual es que las fotos estén en pic.twitter.com y los vídeos en YouTube y que el tuit a insertar no haya sido protegido por el usuario.

Se trata por lo tanto, de un régimen parecido al de YouTube, en el que existe una autorización genérica para insertar vídeos en páginas web y blogs siempre que el usuario no hay protegido el vídeo. La autorización sigue el camino usuario-Twitter-tercero.

Este régimen puede no satisfacer a muchos usuarios, pero es el que teóricamente acepta al abrir una cuenta en Twitter o tras ser notificado sobre una modificación de los términos del servicio y mantener la cuenta. Para eludirlo, el usuario puede proteger sus tuits, pero entonces dejan de ser públicos, y sólo podrán acceder a ellos los seguidores aprobados de forma expresa por el usuario.

El problema puede surgir cuando el usuario borra o protege el tuit que ya ha sido insertado en otro sitio web. En estos casos, y según las FAQ de Twitter (al final de la página), “las marcas de Twitter y las acciones del Tweet (Responder, Retuitear, etc.) serán eliminadas del Tweet inserto, pero el contenido del Tweet aún será visible“. Sería interesante en este caso ponderar el derecho a mantener el contenido online por parte del medio que ha insertado el contenido de buena fe, de acuerdo con la expectativa generada por Twitter, y el derecho moral del autor a solicitar la retirada de la foto, en función de lo establecido en los puntos 1 y 6 del artículo 14 del Texto Refundido de la Ley de Propiedad Intelectual.

Por lo tanto, y respondiendo a la pregunta que da título a este post, un periódico podría publicar una foto tuiteada en los siguientes casos:

  1. Cuando disponga de la autorización del usuario que la publicó.
  2. Cuando obtenga una sublicencia de Twitter.
  3. Cuando sea un asociado de Twitter autorizado a publicar fotos.
  4. Cuando inserte un tuit con foto en su sitio web.

Si el usuario quiere evitar que sus fotos sean publicadas en otros sitios web a través de la inserción del tuit, tiene la opción evidente de no tuitearlas, o de proteger sus tuits al inicio, antes de que hayan sido insertados en otro un sitio web.

La responsabilidad del retweet

Posted on por

Imaginemos un campo de fútbol con miles de personas insultando a un árbitro con las más graves injurias que se puedan imaginar. Ahora imaginemos que desaparecen todos y se queda absolutamente solo el que más gritaba. Lo más probable es que deje de gritar.

¿Qué ha ocurrido?, que mientras se sentía protegido por la masa, no tenía ningún reparo en acordarse de toda la familia del árbitro, pero en el momento en que se convierte en un sujeto único, identificable y desprotegido esa sensación de impunidad desaparece.

Cuando estamos ante un tweet, con toda la libertad del mundo para hacer clic en “retweet”, podemos tener varias motivaciones para hacerlo. Una puede ser la solidaridad o la afinidad con la idea que transmite el mensaje y en ese momento tenemos la oportunidad de participar en la conversación y la capacidad para expresarnos libremente, apoyando esa idea. Pero el retweet también puede ser un acto mimético, una simple gamberrada en la que el reemisor sólo pretende unirse a otras personas que están haciendo lo mismo en ese momento, o incluso un acto de cobardía, al sentirse protegido entre la masa, como en el campo de fútbol.

Según un reciente estudio, un porcentaje importante de los tweets son retuiteados sin leerlos, es decir sin hacer clic en el enlace que contienen y sin conocer a fondo el texto o contenido al que se refieren.

El acto de retuitear no debe ser automático e irreflexivo, ya que puede tener consecuencias para el emisor, para el receptor y para la persona que resulte perjudicada por la difusión del mensaje. Hay que tener en cuenta los distintos niveles de participación en un eventual delito: autor, cómplice, colaborador necesario…

En el Código Penal existe el tipo agravado de delito masa, que va referido a ciertos supuestos en los que existe una pluralidad de afectados por un mismo acto. Las nuevas tecnologías han hecho posible que se produzca el efecto inverso: que los actos de muchas personas perjudiquen gravemente a una sola persona.

¿Cómo debe actuarse en estos casos? Por el principio de intervención mínima tal vez no parezca lógico pensar que el legislador haya querido atribuir responsabilidad penal a un acto ilícito de escasa gravedad cometido simultánea o secuencialmente por miles de personas. Además, un espacio de escasos segundos entre la recepción y el reenvío del tweet sería una prueba de que no llegó a verse el contenido al que hacía referencia. Aunque también podría tratarse de un contenido viral cuya existencia se conocía por otros medios. En cualquier caso, el efecto acumulativo de miles de retweets encadenados puede ser devastador para la víctima. Y ello merece una reflexión.

En Inglaterra, Lord Alistair McAlpine, ex tesorero del Partido Conservador, se ha querellado contra más de 10.000 usuarios de Twitter por haber tuiteado o retuiteado mensajes calumniosos contra su persona. La indemnización solicitada es proporcional al número de seguidores de cada cuenta, llegando hasta un máximo de 45.000 euros. ¿Es ese el camino?

Entiendo que son escenarios nuevos a los que tendremos que ir adaptándonos, pero lo que está claro es que, antes de participar en la difusión de un mensaje, el usuario de Twitter, y cualquier usuario que participe en una conversación en Internet, debe reflexionar sobre las consecuencias de ese acto y sobre sus posibles responsabilidades.

eDNI para Facebook: solución desproporcionada

Posted on por

He estado analizando la noticia de ayer sobre la propuesta de exigir el DNI electrónico como prueba de la edad de los usuarios y me ha parecido realmente desproporcionada. Mis reflexiones son las siguientes:

Como padre

– Mis tres hijos tienen una gran actividad en Facebook desde los 16, 13 y 10 años respectivamente.

– Para darse de alta contaron con mi consentimiento expreso.

– Los tres utilizan la red social para comunicarse con sus amigos de clase, compartir contenidos, organizar deberes y preparar exámenes.

– El menor de ellos entró a los 10 años porque era el único de la clase que no tenía cuenta en Facebook y se sentía excluido.

– Me pidió que lo ayudase a darse de alta y fue muy gratificante para ambos configurar juntos la privacidad y los demás parámetros importantes de la cuenta: visualización de fotos, alta de amigos, etc.

– Ello me permitió sensibilizarle sobre los riesgos y hacerle comprender la necesidad de que tutelase su actividad hasta que tuviese 14 años, para lo cual acordamos que no cambiaría las claves de acceso, y así lo ha hecho hasta ahora.

– El sabe que tengo acceso a su cuenta y nos hemos reído juntos con los vídeos y chistes que han pasado por ella.

– Como padre he preferido siempre que mis hijos asuman responsabilidades desde pequeños y que conozcan los riesgos de lo que hacen, en vez de mantenerlos alejados de una realidad a la que podrían acceder igualmente, sin mi conocimiento y sin mis recomendaciones.

– Creo que la confianza genera responsabilidad y prefiero compartir y tutelar estas experiencias que reprimirlas y convertirlas en clandestinas, porque si sus amigos están ahí, ellos acabarán estando, por un medio o por otro.

– Si hubiese tenido que utilizar el DNI electrónico para cursar el alta, probablemente lo habría dejado para otro día.

– Entiendo como padre que la tutela no es algo ocasional, sino continuado. Pedir la intervención de los padres sólo en el momento del alta es como pensar que escogiendo un buen colegio para tus hijos ya es suficiente. Se entiende que la supervisión y el acompañamiento de la actividad de tu hijo es algo mucho más exigente y duradero.

Como observador

– La medida puede dar impulso al DNI electrónico, ya que los niños tendrán una motivación para que ellos y sus padres lo utilicen. Ya sabemos lo que pueden llegar a insistir hasta que consiguen lo que quieren.

– Lamentablemente, la experiencia es que la exigencia del DNI electrónico puede ser un obstáculo para el crecimiento de las actividades relacionadas con las redes sociales.

– En el comercio electrónico el eDNI ha sido rechazado sistemánticamente por las empresas y los usuarios. Cualquier paso o trámite adicional que se introduce en el proceso de compra es disuasorio e incrementa el número de transacciones frustradas.

– A todo ello se une el escaso uso de los lectores de eDNI, la caducidad de dos años del certificado electrónico y la habitual no renovación del mismo.

– Las redes sociales se han convertido en un nuevo motor para la economía y muchas empresas has diseñado una estrategia de marketing y publicidad adaptada a sus actuales presupuestos exiguos. Los menores de 14 años y sus padres son un público muy importante al que no tenemos que poner obstáculos para utilizar las redes sociales si los padres dan su consentimiento.

– Entiendo que exigir el DNI electrónico puede ser altamente disuasorio y es una medida desproporcionada que va a entorpecer y dificultar la entrada en una plataforma de comunicaciones que está aportanto muchos más beneficios que riesgos a nuestros hijos. No existe alarma social ni estadísticas negativas que aconsejen tal medida.

Mi propuesta es que estudiemos soluciones más imaginativas, que eduquemos a nuestros hijos ayudándolos a asumir responsabilidades, que definamos modelos de tutela colaborativa, que estemos más con ellos, que aprendamos juntos. Por muchos cerrojos que pongamos no conseguiremos que dejen de comunicarse. Sólo haremos que la brecha sea mayor.

En vez de contenerla, canalicemos esa ilusión.

Derechos ARCO y derechos AR

Posted on por

La búsqueda de lo simple y sencillo a veces viene determinado por el espacio disponible. Un ejemplo de ello es el esfuerzo histórico que hemos tenido que hacer para cumplir la obligación de información al interesado, establecida en el artículo 5 de la LOPD, en un espacio reducido como un ticket, un cupón, un anuncio, la pantalla de un móvil o una locución telefónica. La falta de espacio puede llegar al extremo de que el texto no quepa por dos palabras.

Algunas empresas han decidido que estas dos palabras sean “cancelación” y “oposición”, es decir, la C y la O de los derechos ARCO.

Pero el argumento principal de esta supresión no ha sido la falta de espacio, sino lo que podríamos llamar una adecuada gestión de las expectativas del cliente, dado el carácter vinculante del texto informativo y la imposibilidad de atender las solicitudes de cancelación y oposición en determinados casos.

El artículo 5 de la LOPD establece, entre otras obligaciones,  que los interesados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco de la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición. Ello puede entenderse como una obligación de informar al interesado que le corresponden estos cuatro derechos, pero también como la obligación de informar sobre los derechos que podrá ejercitar.

Esta segunda interpretación cubriría los supuestos en los que el interesado no pueda ejercitar algún derecho, en su totalidad, referido a determinados datos, o durante un plazo de tiempo.

Por ello, algunas empresas han decidido no crear una falsa expectativa al interesado sobre un derecho que no podrán ejercitar, o al menos de forma plena. Por ejemplo, en el caso de los tickets de compra con tarjeta, algunos comercios han suprimido el derecho de cancelación, por entender que los datos recogidos son exclusivamente los referidos a la transacción, y deberán ser conservados por motivos fiscales y contables, así como para poder acreditar el cumplimiento de las obligaciones contractuales con el cliente y con el emisor de la tarjeta de crédito.

Otras empresas han optado por informar sobre todos los derechos existentes y aplazar para el momento de la solicitud de acceso, rectificación o cancelación, la decisión de atenderla o no.

Cookies, publicidad contextual y publicidad basada en el comportamiento

Posted on por

El 24 de febrero de 2010, con motivo de mi participación como ponente en el I Congreso Internacional IAB Spain de regulación publicitaria en medios digitales, pude asistir a la ponencia de IAB UK en la que se presentaba una guía sobre Behavioral Advertising.

El ponente comentó que, en un estudio que habían realizado sobre la disposición de los usuarios a recibir publicidad online personalizada, se había confirmado que, a la hora de consumir contenidos en Internet, los usuarios preferían un modelo basado en la publicidad frente a un modelo basado en el pago por contenidos. Y puestos a aceptar la publicidad como contrapartida a la gratuidad del servicio, los usuarios preferían que esa publicidad se adaptase a sus gustos y preferencias.

Esta posición del consumidor queda patente en las revistas especializadas. Nunca veremos un anuncio de zapatos o de coches en una revista de informática, debido al rechazo que una publicidad descontextualizada tendría entre los lectores.

Esta adaptación de la publicidad a los gustos y preferencias del usuario puede hacerse de forma objetiva o subjetiva:

  • Objetiva: la publicidad se adapta al contexto, es decir, al tema tratado en la página web o a las palabras introducidas en un motor de búsquedas, en un mensaje o en un comentario. La selección del anuncio puede basarse en información facilitada en tiempo real por el usuario, a través de la que expresa un interés inmediato y tal vez efímero.
  • Subjetiva:  la publicidad se adapta a la información generada por el usuario de forma acumulativa, a través del comportamiento demostrado en una secuencia de tiempo que puede ser de horas, días, semanas e incluso meses. La selección de los anuncios se basa en el perfil del usuario, los intereses, gustos y preferencias que ha manifestado al visitar sitios web, realizar búsquedas y expresar opiniones. Ya no hablamos de intereses efímeros, sino de rasgos de personalidad.

Mientras la publicidad basada en el contexto puede prescindir de datos acumulativos, la publicidad basada en el comportamiento del usuario convierte la ruta seguida por el usuario en la clave de su efectividad. (NOTA: En este post utilizo el término “contextual” porque me gusta y no utilizo el término “comportamental” porque no me gusta, independientemente de que el primero esté en el diccionario de la RAE y el segundo no.)

El problema aparece cuando, aceptada la adecuación de la publicidad a mis gustos y preferencias, los anunciantes (o sus agentes o encargados del tratamiento) tienen que recogerlos y tratar estos datos para poder ofrecerme los anuncios más adecuados a ellos. No estamos hablando ya de segmentación o inclusión de mi perfil en una categoría donde puedo convivir con otros usuarios parecidos a mi. Estamos hablando de un segmento en el que sólo voy a estar yo y por lo tanto, de una publicidad basada en lo que he hecho en Internet durante los últimos meses.

Es en ese momento cuando, salvo que sea un nativo digital que publica en las redes sociales hasta la última radiografía de sus cervicales, me debería empezar a preocupar quién recaba esos datos, con qué finalidad y para quién.

Dado que estos datos se recogen a través de las cookies y de otros mecanismos análogos, es lógica la preocupación del legislador para regular su uso, y prueba de ello es la reciente modificación de la LSSI en este sentido.

Pero lo que no podemos hacer es tratar todos los tipos de cookies por igual. Analizando la normativa y las finalidades posibles, se me ocurren varias categorías:

1. Cookies orientadas a cuestiones técnicas de las comunicaciones: no necesitan consentimiento.

2. Cookies necesarias para la prestación de un servicio online: aceptación a través de las CGC que regulan el servicio.

3. Cookies orientadas a personalizar el diseño gráfico, mejorar la experiencia de usuario, realizar estadísticas y perfiles disociados de la actividad de los usuarios en ese sitio web únicamente y cualquier otra finalidad que pueda ser considerada no intrusiva: aceptación a través del aviso legal (consentimiento tácito)

4. Cookies obtenidas en las páginas web visitadas y orientadas a almacenar datos de navegación y datos del comportamiento del usuario a lo largo de las páginas que visita con fines de publicidad: necesitan consentimiento previo e informado. La cuestión es cómo se materializan tanto la información como el consentimiento, y cómo se obtienen y conservan las evidencias electrónicas de ambos actos. Si el navegador bloquea este tipo de cookies por defecto, la acción expresa de modificar esta configuración equivaldría a consentimiento, pero entonces el log del servidor debería conservar el tipo y versión del navegador como evidencia. Una combinación de aviso legal, configuración del navegador y log podría ser suficiente, pero las empresas más prudentes podrían recabar el consentimiento a través de un popup, un interstitial o un banner en la página web visitada.

5. Cookies de terceros, es decir, de páginas web no visitadas: implican un acuerdo de cesión de datos o de encargado del tratamiento entre los responsables de las páginas web visitadas y las no visitadas, y exigen un consentimiento previo e informado. Al no existir relación con el tercero, debería analizarse en profundidad el protocolo de aceptación de este tipo de cookies. Lo ideal sería que la configuración del navegador diferenciase entre cookies de páginas web visitadas y cookies de terceros para poder discriminar estas últimas. El navegador debería bloquear este tipo de cookies por defecto, requiriéndose una acción expresa del usuario para aceptarlas.

6. Cookies del proveedor de hosting: analizando el almacén de cookies de mi navegador he comprobado que todos los blogs que he visitado, incluido el mío propio, han instalado cookies en mi ordenador. En realidad no han sido los blogs, sino los proveedores del servicio de albergue del blog. Dado que las cookies de publicidad y de terceros están bloqueadas por defecto, entiendo que las cookies instaladas son meramente técnicas. En cualquier caso, sería recomendable confirmar este extremo con el proveedor, y modificar el aviso legal advirtiendo sobre sobre el origen y la finalidad de las cookies instaladas por el proveedor. En mi blog en WordPress y en Typepad no inserto publicidad, pero en el de Expansión, sí hay un banner que no gestiono ni exploto. Si los responsables del servicio instalan cookies y obtienen datos que van más allá de los meramente técnicos, entiendo que deben advertirlo a los usuarios en su aviso legal y comunicarlo a los bloggers que utilizan el servicio. Aunque estos proveedores pudiesen llegar a ser considerados encargados de tratamiento, es evidente que generan un nuevo vínculo con los usuarios y son responsables de los datos que recaben de ellos. Lo mismo sucede con los datos suministrados por los lectores del blog al publicar un comentario.

Las opciones de configuración de los navegadores en materia de cookies han tenido una gran evolución en los últimos años. De una lista original de dos opciones: bloquear o no bloquear, se ha pasado a la posibilidad de discriminar distintos tipos de cookies.

Mi navegador, por ejemplo, conserva la configuración de origen, de manera que por defecto bloquea las cookies de publicidad y de terceros. Prueba de ello es que, al visitar la sección de preferencias de la guía antes comentada, un popup me confirma que la configuración del navegador bloquea la instalación de cookies destinadas a realizar publicidad basada en el comportamiento. Esta página actúa como una especie de lista Robinson, en la que el usuario puede seleccionar los proveedores (encargados del tratamiento en su mayor parte) que pueden instalar cookies en su equipo por cuenta de sus cliente, y los que no.

Finalmente, cabe añadir que el GT29 se ha pronunciado recientemente en relación al protocolo DO NOT TRACK (DNT), recomendando un consentimiento basado en una opción informada y activa en el momento de configurar la función DNT en el navegador y estableciendo un sistema OPT-OUT que permita el borrado de toda la información almacenada en el caso de que el usuario decida aplicar la opción DNT para evitar el seguimiento o rastreo de su actividad en Internet.

Como todo lo relacionado con la red, la evolución es imparable y vamos a asistir a cambios ante los que, como usuarios, anunciantes, encargados del tratamiento y profesionales tendremos que tomar decisiones, aprendiendo a convivir con las nuevas formas de personalización de la publicidad. Y el legislador tendrá que hacer un esfuerzo para no convertirse en el amigo gordete y entrañable que nos acompañaba a todas partes cuando éramos niños y nos pedía que lo esperásemos cuando nos poníamos a correr.

Nuevas obligaciones en relación a las cookies

Posted on por

1. CAMBIO LEGISLATIVO

Tal como avanzamos en el post de 18 de noviembre de 2009, mañana entrará en vigor una modificación del artículo 22.2 de la Ley de servicios de la sociedad de la información y del comercio electrónico (LSSI) con el fin de adecuarlo a la nueva redacción dada por la Directiva 2009/136/CE a la Directiva 2002/58/CE.

La nueva redacción del artículo 22.2 exige el consentimiento del usuario sobre los archivos o programas informáticos que, como en el caso de las cookies, almacenan información en el equipo del usuario y permiten posteriormente acceder a ellas con distintas finalidades.

Como decíamos en el post de 12 de noviembre de 1997, estos dispositivos pueden facilitar la navegación por la red, pero también pueden desvelar aspectos de la esfera privada del usuario. Esta visión de las cookies, que entonces considerábamos exagerada, ha adquirido una nueva dimensión con el llamado behavioral marketing, o marketing del comportamiento y de las cookies flash o LSO.

2. NUEVO RÉGIMEN DE LAS COOKIES

1. Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos (entre ellos las cookies) en los equipos de los destinatarios del servicio.

2. Previamente, los prestadores de servicios tendrán que haber facilitado información clara y completa sobre el uso de estos dispositivos.

3. Dicha información deberá incluir las finalidades del tratamiento de los datos obtenidos.

4. Una vez facilitada esta información, el usuario deberá dar su consentimiento.

5. Cuando sea técnicamente posible y eficaz, el consentimiento del destinatario para aceptar el tratamiento de datos podrá facilitarse mediante el uso de los parámetros adecuados del navegador o de otras aplicaciones.

6. Para que este procedimiento sea válido, el usuario deberá proceder a la configuración de estos parámetros, permitiendo la entrada de cookies, en el momento de la instalación o actualización del navegador mediante una acción expresa a tal efecto.

7. Este nuevo régimen no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión de una comunicación por una red de comunicaciones electrónicas.

8. Tampoco impedirá, en la medida que resulte estrictamente necesario, el posible almacenamiento o acceso para la prestación de un servicio de la sociedad de la información expresamente solicitado por el destinatario.

3. VÍAS PARA INFORMAR Y OBTENER EL CONSENTIMIENTO

1. Aviso legal

En mi opinión, sería desproporcionado exigir a los prestadores de servicios el cumplimiento de la obligación de información y la recogida del consentimiento mediante una ventana emergente o pop-up que con un texto informativo y un botón que el usuario debería aceptar. Ello sería alertar excesivamente al usuario, y podría tener un efecto disuasorio injustificado. Entiendo que resultará suficiente con incluir de forma destacada en el aviso legal del sitio web o en una sección específica para ello, la advertencia del uso de cookies, informando sobre las finalidades del tratamiento de los datos obtenidos.

El uso de un sitio web debe ser interpretado como un consentimiento para el tratamiento de los datos de los visitantes, dada la imposibilidad de obtener de forma individualmente el consentimiento de cada uno de ellos. Hasta ahora se ha considerado suficiente para el tratamiento de direcciones IP la información suministrada en el aviso legal o en la política de privacidad. Lo mismo debería suceder en el caso de las cookies, dado que el legislador habla de “facilitar” la información y no de entregarla con acuse de recibo, y no exige que el consentimiento sea expreso.

2. Configuración del navegador

En este caso el legislador sí exige una acción expresa, permitiendo la entrada de cookies en el equipo en el momento de la instalación o actualización del navegador. Ello significa que la configuración por defecto del navegador a partir de ahora debería impedir la entrada de cookies, y el usuario debería modificar dicha configuración de manera expresa para admitir cookies en el equipo.

3. Aceptación de CGC

El usuario también puede ser informado de las finalidades del uso de las cookies en las Condiciones Generales de Contratación del servicio solicitado, dando su consentimiento para su uso al hacer clic en el botón de aceptación.

En cualquier caso, recomendamos una revisión, caso por caso, del alcance y las finalidades en el uso de cookies y del protocolo de información y aceptación de las mismas, por parte de un experto en la materia.

Descifrando el interés legítimo

Posted on por

Presentación divulgativa para no expertos en la que se analizan los efectos de la sentencia del Tribunal Supremo que anula el artículo 10.2.b del Reglamento de la LOPD y se dan algunas pistas para descifrar el concepto de interés legítimo exigido en la LOPD y en la Directiva.

El análisis se refiere a una fase anterior al tratamiento, por lo que no se hace referencia a la obligación de informar al interesado, entre otros extremos, sobre la incorporación de sus datos a un fichero con el fin de que pueda ejercitar los derecho de acceso, rectificación, cancelación y oposición.

Para mejorar la visualización se puede seleccionar la resolución 720 (HD) haciendo clic en el engranaje del vídeo.