Nuevo contenido y formato de las capas de información sobre las cookies

En 2013, tras la elaboración de la Guía sobre cookies por parte de la AEPD, Adigital, Autocontrol e IAB, publicamos una infografía que resumía los puntos más importantes de la guía.

Este año la AEPD ha modificado los criterios relativos al consentimiento y a las capas de información, con el fin de adaptarlos al RGPD. Posteriormente, Adigital ha publicado un resumen de los cambios que suponen los nuevos criterios de la AEPD.

A continuación relacionamos, a modo de checklist, los puntos a tener en cuenta en las dos capas de información sobre las cookies de un sitio web.

Primera capa

  1. Identificación del titular de la página web.
  2. Advertencia sobre el uso de cookies propias.
  3. Advertencia sobre el uso de cookies de terceros.
  4. Información sobre las finalidades de las cookies.
  5. Información sobre la elaboración de perfiles, en su caso.
  6. Información sobre la monitorización de los hábitos de navegación, en su caso.
  7. Opción del usuario de aceptar o rechazar las cookies.
  8. Opción del usuario de configurar las cookies.
  9. Ver el detalle de estas opciones en el resumen de Adigital.
  10. Acceso directo al panel de configuración de las cookies

Segunda capa

  1. Información sobre el tipo de cookies y su finalidad.
  2. Panel de configuración de las cookies.
  3. Botón para habilitar las cookies.
  4. Posibilidad de seleccionar las cookies a habilitar agrupadas por finalidad.
  5. Posibilidad de agrupar las cookies en función de la empresa que las instala.
  6. El nivel de detalle o granularidad de las cookies activables no debe ser excesivo.
  7. Botón para desactivar todas las cookies.
  8. Identificación de los terceros cuyas cookies se utilizan en la página web.

Presentación en vídeo sobre la Guía de Cookies

Vídeo de 35 minutos relativo a la Guía sobre el uso de cookies publicada en mayo de 2013 por la Agencia Española de Protección de Datos y las asociaciones aDigital, Autocontrol e IAB.

Se recomienda ver el vídeo en resolución 1.080 y a pantalla completa tras hacer clic en el icono de YouTube.

Infografía resumen de la nueva Guía sobre el uso de las cookies de la AEPD

En esta infografía resumo los puntos que considero más importantes de la nueva Guía sobre el uso de cookies de la Agencia Española de Protección de Datos y las asociaciones adigital, Autocontrol e IAB, que ha sido publicada hoy.

Infografía Cookies 2013 en formato PDF

Para ampliar la imagen haz clic en la infografía

Infografía resumen de la Guía sobre el uso de cookies de la Agencia Española de Protección de Datos - Xavier Ribas

Infografía resumen de la Guía sobre el uso de cookies de la Agencia Española de Protección de Datos – Xavier Ribas

Cookies, publicidad contextual y publicidad basada en el comportamiento

El 24 de febrero de 2010, con motivo de mi participación como ponente en el I Congreso Internacional IAB Spain de regulación publicitaria en medios digitales, pude asistir a la ponencia de IAB UK en la que se presentaba una guía sobre Behavioral Advertising.

El ponente comentó que, en un estudio que habían realizado sobre la disposición de los usuarios a recibir publicidad online personalizada, se había confirmado que, a la hora de consumir contenidos en Internet, los usuarios preferían un modelo basado en la publicidad frente a un modelo basado en el pago por contenidos. Y puestos a aceptar la publicidad como contrapartida a la gratuidad del servicio, los usuarios preferían que esa publicidad se adaptase a sus gustos y preferencias.

Esta posición del consumidor queda patente en las revistas especializadas. Nunca veremos un anuncio de zapatos o de coches en una revista de informática, debido al rechazo que una publicidad descontextualizada tendría entre los lectores.

Esta adaptación de la publicidad a los gustos y preferencias del usuario puede hacerse de forma objetiva o subjetiva:

  • Objetiva: la publicidad se adapta al contexto, es decir, al tema tratado en la página web o a las palabras introducidas en un motor de búsquedas, en un mensaje o en un comentario. La selección del anuncio puede basarse en información facilitada en tiempo real por el usuario, a través de la que expresa un interés inmediato y tal vez efímero.
  • Subjetiva:  la publicidad se adapta a la información generada por el usuario de forma acumulativa, a través del comportamiento demostrado en una secuencia de tiempo que puede ser de horas, días, semanas e incluso meses. La selección de los anuncios se basa en el perfil del usuario, los intereses, gustos y preferencias que ha manifestado al visitar sitios web, realizar búsquedas y expresar opiniones. Ya no hablamos de intereses efímeros, sino de rasgos de personalidad.

Mientras la publicidad basada en el contexto puede prescindir de datos acumulativos, la publicidad basada en el comportamiento del usuario convierte la ruta seguida por el usuario en la clave de su efectividad. (NOTA: En este post utilizo el término “contextual” porque me gusta y no utilizo el término “comportamental” porque no me gusta, independientemente de que el primero esté en el diccionario de la RAE y el segundo no.)

El problema aparece cuando, aceptada la adecuación de la publicidad a mis gustos y preferencias, los anunciantes (o sus agentes o encargados del tratamiento) tienen que recogerlos y tratar estos datos para poder ofrecerme los anuncios más adecuados a ellos. No estamos hablando ya de segmentación o inclusión de mi perfil en una categoría donde puedo convivir con otros usuarios parecidos a mi. Estamos hablando de un segmento en el que sólo voy a estar yo y por lo tanto, de una publicidad basada en lo que he hecho en Internet durante los últimos meses.

Es en ese momento cuando, salvo que sea un nativo digital que publica en las redes sociales hasta la última radiografía de sus cervicales, me debería empezar a preocupar quién recaba esos datos, con qué finalidad y para quién.

Dado que estos datos se recogen a través de las cookies y de otros mecanismos análogos, es lógica la preocupación del legislador para regular su uso, y prueba de ello es la reciente modificación de la LSSI en este sentido.

Pero lo que no podemos hacer es tratar todos los tipos de cookies por igual. Analizando la normativa y las finalidades posibles, se me ocurren varias categorías:

1. Cookies orientadas a cuestiones técnicas de las comunicaciones: no necesitan consentimiento.

2. Cookies necesarias para la prestación de un servicio online: aceptación a través de las CGC que regulan el servicio.

3. Cookies orientadas a personalizar el diseño gráfico, mejorar la experiencia de usuario, realizar estadísticas y perfiles disociados de la actividad de los usuarios en ese sitio web únicamente y cualquier otra finalidad que pueda ser considerada no intrusiva: aceptación a través del aviso legal (consentimiento tácito)

4. Cookies obtenidas en las páginas web visitadas y orientadas a almacenar datos de navegación y datos del comportamiento del usuario a lo largo de las páginas que visita con fines de publicidad: necesitan consentimiento previo e informado. La cuestión es cómo se materializan tanto la información como el consentimiento, y cómo se obtienen y conservan las evidencias electrónicas de ambos actos. Si el navegador bloquea este tipo de cookies por defecto, la acción expresa de modificar esta configuración equivaldría a consentimiento, pero entonces el log del servidor debería conservar el tipo y versión del navegador como evidencia. Una combinación de aviso legal, configuración del navegador y log podría ser suficiente, pero las empresas más prudentes podrían recabar el consentimiento a través de un popup, un interstitial o un banner en la página web visitada.

5. Cookies de terceros, es decir, de páginas web no visitadas: implican un acuerdo de cesión de datos o de encargado del tratamiento entre los responsables de las páginas web visitadas y las no visitadas, y exigen un consentimiento previo e informado. Al no existir relación con el tercero, debería analizarse en profundidad el protocolo de aceptación de este tipo de cookies. Lo ideal sería que la configuración del navegador diferenciase entre cookies de páginas web visitadas y cookies de terceros para poder discriminar estas últimas. El navegador debería bloquear este tipo de cookies por defecto, requiriéndose una acción expresa del usuario para aceptarlas.

6. Cookies del proveedor de hosting: analizando el almacén de cookies de mi navegador he comprobado que todos los blogs que he visitado, incluido el mío propio, han instalado cookies en mi ordenador. En realidad no han sido los blogs, sino los proveedores del servicio de albergue del blog. Dado que las cookies de publicidad y de terceros están bloqueadas por defecto, entiendo que las cookies instaladas son meramente técnicas. En cualquier caso, sería recomendable confirmar este extremo con el proveedor, y modificar el aviso legal advirtiendo sobre sobre el origen y la finalidad de las cookies instaladas por el proveedor. En mi blog en WordPress y en Typepad no inserto publicidad, pero en el de Expansión, sí hay un banner que no gestiono ni exploto. Si los responsables del servicio instalan cookies y obtienen datos que van más allá de los meramente técnicos, entiendo que deben advertirlo a los usuarios en su aviso legal y comunicarlo a los bloggers que utilizan el servicio. Aunque estos proveedores pudiesen llegar a ser considerados encargados de tratamiento, es evidente que generan un nuevo vínculo con los usuarios y son responsables de los datos que recaben de ellos. Lo mismo sucede con los datos suministrados por los lectores del blog al publicar un comentario.

Las opciones de configuración de los navegadores en materia de cookies han tenido una gran evolución en los últimos años. De una lista original de dos opciones: bloquear o no bloquear, se ha pasado a la posibilidad de discriminar distintos tipos de cookies.

Mi navegador, por ejemplo, conserva la configuración de origen, de manera que por defecto bloquea las cookies de publicidad y de terceros. Prueba de ello es que, al visitar la sección de preferencias de la guía antes comentada, un popup me confirma que la configuración del navegador bloquea la instalación de cookies destinadas a realizar publicidad basada en el comportamiento. Esta página actúa como una especie de lista Robinson, en la que el usuario puede seleccionar los proveedores (encargados del tratamiento en su mayor parte) que pueden instalar cookies en su equipo por cuenta de sus cliente, y los que no.

Finalmente, cabe añadir que el GT29 se ha pronunciado recientemente en relación al protocolo DO NOT TRACK (DNT), recomendando un consentimiento basado en una opción informada y activa en el momento de configurar la función DNT en el navegador y estableciendo un sistema OPT-OUT que permita el borrado de toda la información almacenada en el caso de que el usuario decida aplicar la opción DNT para evitar el seguimiento o rastreo de su actividad en Internet.

Como todo lo relacionado con la red, la evolución es imparable y vamos a asistir a cambios ante los que, como usuarios, anunciantes, encargados del tratamiento y profesionales tendremos que tomar decisiones, aprendiendo a convivir con las nuevas formas de personalización de la publicidad. Y el legislador tendrá que hacer un esfuerzo para no convertirse en el amigo gordete y entrañable que nos acompañaba a todas partes cuando éramos niños y nos pedía que lo esperásemos cuando nos poníamos a correr.

Nuevas obligaciones en relación a las cookies

1. CAMBIO LEGISLATIVO

Tal como avanzamos en el post de 18 de noviembre de 2009, mañana entrará en vigor una modificación del artículo 22.2 de la Ley de servicios de la sociedad de la información y del comercio electrónico (LSSI) con el fin de adecuarlo a la nueva redacción dada por la Directiva 2009/136/CE a la Directiva 2002/58/CE.

La nueva redacción del artículo 22.2 exige el consentimiento del usuario sobre los archivos o programas informáticos que, como en el caso de las cookies, almacenan información en el equipo del usuario y permiten posteriormente acceder a ellas con distintas finalidades.

Como decíamos en el post de 12 de noviembre de 1997, estos dispositivos pueden facilitar la navegación por la red, pero también pueden desvelar aspectos de la esfera privada del usuario. Esta visión de las cookies, que entonces considerábamos exagerada, ha adquirido una nueva dimensión con el llamado behavioral marketing, o marketing del comportamiento y de las cookies flash o LSO.

2. NUEVO RÉGIMEN DE LAS COOKIES

1. Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos (entre ellos las cookies) en los equipos de los destinatarios del servicio.

2. Previamente, los prestadores de servicios tendrán que haber facilitado información clara y completa sobre el uso de estos dispositivos.

3. Dicha información deberá incluir las finalidades del tratamiento de los datos obtenidos.

4. Una vez facilitada esta información, el usuario deberá dar su consentimiento.

5. Cuando sea técnicamente posible y eficaz, el consentimiento del destinatario para aceptar el tratamiento de datos podrá facilitarse mediante el uso de los parámetros adecuados del navegador o de otras aplicaciones.

6. Para que este procedimiento sea válido, el usuario deberá proceder a la configuración de estos parámetros, permitiendo la entrada de cookies, en el momento de la instalación o actualización del navegador mediante una acción expresa a tal efecto.

7. Este nuevo régimen no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión de una comunicación por una red de comunicaciones electrónicas.

8. Tampoco impedirá, en la medida que resulte estrictamente necesario, el posible almacenamiento o acceso para la prestación de un servicio de la sociedad de la información expresamente solicitado por el destinatario.

3. VÍAS PARA INFORMAR Y OBTENER EL CONSENTIMIENTO

1. Aviso legal

En mi opinión, sería desproporcionado exigir a los prestadores de servicios el cumplimiento de la obligación de información y la recogida del consentimiento mediante una ventana emergente o pop-up que con un texto informativo y un botón que el usuario debería aceptar. Ello sería alertar excesivamente al usuario, y podría tener un efecto disuasorio injustificado. Entiendo que resultará suficiente con incluir de forma destacada en el aviso legal del sitio web o en una sección específica para ello, la advertencia del uso de cookies, informando sobre las finalidades del tratamiento de los datos obtenidos.

El uso de un sitio web debe ser interpretado como un consentimiento para el tratamiento de los datos de los visitantes, dada la imposibilidad de obtener de forma individualmente el consentimiento de cada uno de ellos. Hasta ahora se ha considerado suficiente para el tratamiento de direcciones IP la información suministrada en el aviso legal o en la política de privacidad. Lo mismo debería suceder en el caso de las cookies, dado que el legislador habla de “facilitar” la información y no de entregarla con acuse de recibo, y no exige que el consentimiento sea expreso.

2. Configuración del navegador

En este caso el legislador sí exige una acción expresa, permitiendo la entrada de cookies en el equipo en el momento de la instalación o actualización del navegador. Ello significa que la configuración por defecto del navegador a partir de ahora debería impedir la entrada de cookies, y el usuario debería modificar dicha configuración de manera expresa para admitir cookies en el equipo.

3. Aceptación de CGC

El usuario también puede ser informado de las finalidades del uso de las cookies en las Condiciones Generales de Contratación del servicio solicitado, dando su consentimiento para su uso al hacer clic en el botón de aceptación.

En cualquier caso, recomendamos una revisión, caso por caso, del alcance y las finalidades en el uso de cookies y del protocolo de información y aceptación de las mismas, por parte de un experto en la materia.