Una «nueva» directiva sobre la protección de la privacidad en línea se está implementando activamente en la Unión Europea desde su creación en noviembre del 2009. Su objetivo es dar a los usuarios el control sobre cómo se utilizan las cookies en los sitios que visitan, al fin que dan su consentimiento para su uso antes de que se copian en su máquina. Vamos a ver en este post que dice exactamente la presente Directiva, y como se implementa en las leyes locales, concentrándonos en el Reino Unido, Francia, España y Portugal.
Datando del 25 de noviembre del 2009, la directiva 2009/136/EC (pdf) modifica dos otras directivas sobre los derechos de los usuarios en relación con las redes de comunicaciones electrónicas y los servicios (Directiva 2002/22/EC) y el procesamiento de datos personales y la protección de la privacidad en el sector de las comunicaciones electrónicas (Directiva 2002/58/EC).
Estamos interesados aquí en el artículo 66:
Una cookie es un pequeño bloque de datos enviado desde un sitio web y almacenado en el navegador web de un usuario durante su visita al sitio en cuestión. Se puede recuperar durante la sesión del usuario o durante visitas posteriores al mismo sitio, incluso en un futuro lejano.
Hay diferentes tipos de cookies: la cookie de sesión (utilizada el tiempo de una sesión o de una visita a un sitio web), la cookie persistente o cookie de rastreo (utilizada para almacenar datos entre sesiones), la cookie segura (utilizada en una conexión cifrada https, y por lo tanto también cifrada), la cookie HttpOnly (utilizada durante la transmisión de pedido http/https), la cookie de terceros (de otros dominios del sitio visitado para seguir el historial de navegación del usuario) y la cookie zombi (casi imposible de eliminar, porque utiliza mecanismos de almacenamiento diferentes de los de las cookies convencionales: http ETag, flash, png, Silverlight…).
Cualquier usuario de la web, empezando por usted y por mí, debería ser libre de compartir sus datos personales con cualquier empresa u organización si se desea, y sólo si se desea. Simplemente navegando por la internet, estamos rastreados por centenares de empresas diferentes que hacen perfiles de nuestros hábitos. Estos perfiles son los datos que utilizan para proporcionarnos anuncios publicitarios específicos a través del Behavioral Targeting o segmentación por comportamiento, o para venderlos a otras empresas.
Aquí es donde el retargeting entra en acción. Por ejemplo, usted visita el sitio de un vendedor de zapatos y, dos días después, en otro sitio, digamos, sobre coches, usted tiene un anuncio de zapatos. Hay una buena probabilidad de que una empresa de publicidad (Google AdSense o otra) ha seguido a usted del primer sitio al último para retarget usted con un producto al que ya ha sido expuesto.
Además, el perfil creado con sus huellas en la web también se registra si usted pertenece a una red social. Cada vez que se encuentra con un botón de compartir, que usted sea conectado o no a su red preferida, y que sea un Facebook Like o un botón Twitter o Google+, la red social sabe dónde está y añade esta página a su historial de navegación en su lado.
El principio que recordar es éste: si un producto es gratuito, usted es el producto.
En su dictamen 2/2010 sobre publicidad comportamental en línea, el grupo de trabajo de protección de datos del artículo 29 sobre la protección de datos indica que la publicidad comportamental (…) no debe realizarse a expensas de los derechos a la intimidad y a la protección de datos de las personas. Define después el marco legal y detalla la obligación de obtener el consentimiento informado previo.
Vamos ver las transposiciones adoptadas por tres países: el Reino Unido, Francia y España.
Ya que el Reglamento 2003 transponía una directiva europea relativa a la protección de la vida privada en el sector de las comunicaciones electrónicas (la directiva 2002/58/EC), la transposición de la nueva Directiva 2009/136/EC tomó la forma de un cambio del artículo 5(3) de la E-Privacy Directive. El Reino Unido ha introducido las enmiendas el 25 de mayo del 2011 a través del Reglamento 2011 sobre la privacidad y las comunicaciones electrónicas, enmienda conocida bajo el nombre «enmienda de las cookies», cuyo texto es:
Ofrece un Guía de las normas relativas al uso de cookies y tecnologías similares (pdf, en inglés) para ayudar a implementar las normas para cumplir con la ley.
En principio, la ICO tiene el poder de cobrar hasta 500 000 libras (630 000 euros) de multa a las organizaciones por infracciones graves de la Ley de Protección de Datos. Así, desde el 26 de mayo del 2012, los sitios de cualquier organización con sede en el Reino Unido (incluso si el sitio está alojado en el extranjero) deben obtener el consentimiento para almacenar cookies en el ordenador o el dispositivo de un usuario, puesto que el defecto para dar cumplimiento podría resultar en una multa.
En la práctica, no obstante, la ICO «investiga las quejas sobre las cookies en conformidad con su enfoque habitual en la gestión de quejas conforme a los Reglamentos. En la mayoría de los casos, contactará la organización responsable del establecimiento de las cookies en primera instancia, la invitará a responder a la queja, y a especificar las medidas que haya adoptadas para cumplir con dichas normas.»
Una vez que haya tomado «acción esperada y moderada para acercarse al cumplimiento», no parece haber nada que temer. En sus propias palabras: «las sanciones pecuniarias serán reservadas para los delitos los más graves al Reglamento.»
La transposición al derecho francés de esta directiva europea tuvo lugar el 24 de agosto del 2011 en la ordenanza n°2011-1012 sobre las comunicaciones electrónicas (en francés). El artículo 37 especifica que:
La CNIL (para Commission Nationale de l'Informatique et des Libertés, o Comisión nacional de la informática y de las libertades) exime del consentimiento previo las cookies para la medición de la audiencia, bajo ciertas condiciones (información, derecho de acceso y de oposición, propósito limitado, geolocalización por IP a la medida de la ciudad al máximo, duración de conservación).
Las sanciones expuestas en caso de incumplimiento de esta ley pueden ser de hasta 300 000 euros, pero «en caso de reclamación o de control, la Comisión evaluará los esfuerzos realizados por el responsable del tratamiento para alcanzar el cumplimiento» (fuente CNIL, en francés).
La transposición de esta Directiva se hizó mediante el Real Decreto-ley 13/2012 (pdf), de 30 de marzo de 2012, que dice:
Sin embargo, la modificación de la ley no ha supuesto la incorporación de una sanción: la falta de obtención del consentimiento para el uso de cookies no puede ser sancionada (bueno, por el momento, fuente).
Publicado en el Diário da República el 29 de agosto de 2012 (pdf, en portugués), el artículo 5 establece lo siguiente:
También se debe responder a la pregunta de los sitios alojados fuera de la Unión Europea. ¿Un país o incluso la totalidad la Unión podría prohibir Google AdSense o Facebook por no cumplir con la legislación local cuando la mayoría de los sitios web gubernamentales todavía están lejos del cumplimiento?
En un próximo post, veremos las soluciones que se pueden implementar para cumplir con la directiva de las cookies.
Fuente de la ilustración: Veggieburgerfan vía Wikimedia Commons
La directiva europea 2009/136/EC
¿Qué dice?
Datando del 25 de noviembre del 2009, la directiva 2009/136/EC (pdf) modifica dos otras directivas sobre los derechos de los usuarios en relación con las redes de comunicaciones electrónicas y los servicios (Directiva 2002/22/EC) y el procesamiento de datos personales y la protección de la privacidad en el sector de las comunicaciones electrónicas (Directiva 2002/58/EC).
Estamos interesados aquí en el artículo 66:
Puede que haya terceros que deseen almacenar información sobre el equipo de un usuario o acceder a información ya almacenada, con distintos fines, que van desde los fines legítimos (como algunos tipos de cookies) hasta aquellos que suponen una intrusión injustificada en la esfera privada (como los programas espía o los virus). Resulta, por tanto, capital que los usuarios reciban una información clara y completa cuando realicen una acción que pueda dar lugar a dicho almacenamiento u obtención de acceso. El modo en que se facilite la información y se ofrezca el derecho de negativa debe ser el más sencillo posible para el usuario. Las excepciones a la obligación de facilitar información y proponer el derecho de negativa deben limitarse a aquellas situaciones en las que el almacenamiento técnico o el acceso sean estrictamente necesarios con el fin legítimo de permitir el uso de un servicio específico solicitado específicamente por el abonado o usuario. Cuando sea técnicamente posible y eficaz, de conformidad con las disposiciones pertinentes de la Directiva 95/46/CE, el consentimiento del usuario para aceptar el tratamiento de los datos puede facilitarse mediante el uso de los parámetros adecuados del navegador o de otra aplicación.
¿Qué es una cookie?
Una cookie es un pequeño bloque de datos enviado desde un sitio web y almacenado en el navegador web de un usuario durante su visita al sitio en cuestión. Se puede recuperar durante la sesión del usuario o durante visitas posteriores al mismo sitio, incluso en un futuro lejano.
Hay diferentes tipos de cookies: la cookie de sesión (utilizada el tiempo de una sesión o de una visita a un sitio web), la cookie persistente o cookie de rastreo (utilizada para almacenar datos entre sesiones), la cookie segura (utilizada en una conexión cifrada https, y por lo tanto también cifrada), la cookie HttpOnly (utilizada durante la transmisión de pedido http/https), la cookie de terceros (de otros dominios del sitio visitado para seguir el historial de navegación del usuario) y la cookie zombi (casi imposible de eliminar, porque utiliza mecanismos de almacenamiento diferentes de los de las cookies convencionales: http ETag, flash, png, Silverlight…).
¿Cuál es el propósito de esta directiva?
Cualquier usuario de la web, empezando por usted y por mí, debería ser libre de compartir sus datos personales con cualquier empresa u organización si se desea, y sólo si se desea. Simplemente navegando por la internet, estamos rastreados por centenares de empresas diferentes que hacen perfiles de nuestros hábitos. Estos perfiles son los datos que utilizan para proporcionarnos anuncios publicitarios específicos a través del Behavioral Targeting o segmentación por comportamiento, o para venderlos a otras empresas.
Aquí es donde el retargeting entra en acción. Por ejemplo, usted visita el sitio de un vendedor de zapatos y, dos días después, en otro sitio, digamos, sobre coches, usted tiene un anuncio de zapatos. Hay una buena probabilidad de que una empresa de publicidad (Google AdSense o otra) ha seguido a usted del primer sitio al último para retarget usted con un producto al que ya ha sido expuesto.
Además, el perfil creado con sus huellas en la web también se registra si usted pertenece a una red social. Cada vez que se encuentra con un botón de compartir, que usted sea conectado o no a su red preferida, y que sea un Facebook Like o un botón Twitter o Google+, la red social sabe dónde está y añade esta página a su historial de navegación en su lado.
El principio que recordar es éste: si un producto es gratuito, usted es el producto.
En su dictamen 2/2010 sobre publicidad comportamental en línea, el grupo de trabajo de protección de datos del artículo 29 sobre la protección de datos indica que la publicidad comportamental (…) no debe realizarse a expensas de los derechos a la intimidad y a la protección de datos de las personas. Define después el marco legal y detalla la obligación de obtener el consentimiento informado previo.
Transposición de la directiva europea a la legislación local
En septiembre del 2012, la mayoría de los países europeos ya han implementado la directiva europea en su legislación local, incluso Austria, Bélgica, Bulgaria, Chipre, Dinamarca, Eslovaquia, España, Estonia, Finlandia, Francia, Hungría, Irlanda, Italia, Letonia, Lituania, Luxemburgo, los Países Bajos, la República Checa, el Reino Unido, Rumania y Suecia. Polonia y Portugal todavía tienen que transponer la directiva, aunque se han presentado proyectos de ley (fuentes: Two birds, Field Fisher Waterhouse).Vamos ver las transposiciones adoptadas por tres países: el Reino Unido, Francia y España.
Reino Unido: la directiva ePrivacy
Ya que el Reglamento 2003 transponía una directiva europea relativa a la protección de la vida privada en el sector de las comunicaciones electrónicas (la directiva 2002/58/EC), la transposición de la nueva Directiva 2009/136/EC tomó la forma de un cambio del artículo 5(3) de la E-Privacy Directive. El Reino Unido ha introducido las enmiendas el 25 de mayo del 2011 a través del Reglamento 2011 sobre la privacidad y las comunicaciones electrónicas, enmienda conocida bajo el nombre «enmienda de las cookies», cuyo texto es:
Los Estados miembros deben asegurarse de que el almacenamiento de información, o la obtención de acceso a la información ya almacenada en el equipo terminal de un suscriptor o usuario se permite solamente si el suscriptor o usuario interesado haya dado su consentimiento, después de recibir unas informaciones claras y comprensibles, en conformidad con la Directiva 95/46/EC, sobre las finalidades del tratamiento, entre otros. Esto no debería impedir cualquier almacenamiento o acceso técnico con el único objetivo la ejecución de la transmisión de una comunicación en una red de comunicaciones electrónicas, o de manera estrictamente necesaria, para que el proveedor de servicio de la sociedad de la información, y a la petición expresa del suscriptor o usuario, pueda proporcionar este servicio.Como podemos ver, su método fue copiar directamente la letra de la directiva y referirse a los elementos de la redacción del Considerando 66 que consideran que la configuración del navegador puede dar a los consumidores una manera de indicar su consentimiento a las cookies.
Cuando sea técnicamente posible y eficaz (…) el consentimiento del usuario al tratamiento se puede expresar mediante la configuración adecuada del navegador o de cualquier otra aplicaciónEl Reglamento 6 del Reglamento sobre la Vida Privada y las Comunicaciones Electrónicas 2003 (PECR) establece que:
Una persona no debe almacenar o accesar informaciones almacenadas en el equipo terminal de un suscriptor o usuario a menos que los requisitos [siguientes] sean cumplidos:Sin embargo, sigue siendo una excepción a la obligación de proporcionar información sobre las cookies y a obtener el consentimiento cuando la cookie se utiliza:
- El suscriptor o usuario de este equipo terminal ha recibido una información clara y completa sobre las fines del almacenamiento o del acceso a esta información; y
- ha dado su consentimiento.
- con el único propósito de llevar a cabo la transmisión de una comunicación en una red de comunicaciones electrónicas; o
- cuando el almacenamiento o el acceso es estrictamente necesario para la prestación de un servicio de la sociedad de la información solicitado por el suscriptor o usuario.
Ofrece un Guía de las normas relativas al uso de cookies y tecnologías similares (pdf, en inglés) para ayudar a implementar las normas para cumplir con la ley.
En principio, la ICO tiene el poder de cobrar hasta 500 000 libras (630 000 euros) de multa a las organizaciones por infracciones graves de la Ley de Protección de Datos. Así, desde el 26 de mayo del 2012, los sitios de cualquier organización con sede en el Reino Unido (incluso si el sitio está alojado en el extranjero) deben obtener el consentimiento para almacenar cookies en el ordenador o el dispositivo de un usuario, puesto que el defecto para dar cumplimiento podría resultar en una multa.
En la práctica, no obstante, la ICO «investiga las quejas sobre las cookies en conformidad con su enfoque habitual en la gestión de quejas conforme a los Reglamentos. En la mayoría de los casos, contactará la organización responsable del establecimiento de las cookies en primera instancia, la invitará a responder a la queja, y a especificar las medidas que haya adoptadas para cumplir con dichas normas.»
Una vez que haya tomado «acción esperada y moderada para acercarse al cumplimiento», no parece haber nada que temer. En sus propias palabras: «las sanciones pecuniarias serán reservadas para los delitos los más graves al Reglamento.»
Francia: el Paquet Télécom
La transposición al derecho francés de esta directiva europea tuvo lugar el 24 de agosto del 2011 en la ordenanza n°2011-1012 sobre las comunicaciones electrónicas (en francés). El artículo 37 especifica que:
Cualquier suscriptor o usuario de un servicio de comunicaciones electrónicas debe ser informado de forma clara y completa, a menos que lo haya sido previamente, por el responsable del tratamiento o su representante:Por lo tanto, se debe informar a los visitantes del sitio el depósito de la cookie antes de que se lleva, su consentimiento siendo requerido. El término cookie se usa en el sentido amplio e incluye cualquier técnica inscribiendo informaciones del lado del cliente.Estos accesos o inscripciones sólo pueden tener lugar si el suscriptor o usuario individual haya expresado, después de recibir esta información, su acuerdo que puede resultar en ajustes apropiados del dispositivo de conexión suyo o de cualquier otro dispositivo bajo su control.
- del propósito de cualquier acción tendiendo a acceder, por medio de transmisión electrónica, a informaciones ya almacenadas en su equipo terminal de comunicaciones electrónicas, o a inscribir información en este equipo
- de los medios a su alcance para oponerse a eso
Estas disposiciones no son aplicables si el acceso a la información almacenada en el equipo terminal del usuario o la inscripción de información en el equipo terminal del usuario:
- o tiene el propósito exclusivo de permitir o facilitar la comunicación electrónica
- o es estrictamente necesario para la prestación de un servicio de comunicación en línea a petición expresa del usuario.
La CNIL (para Commission Nationale de l'Informatique et des Libertés, o Comisión nacional de la informática y de las libertades) exime del consentimiento previo las cookies para la medición de la audiencia, bajo ciertas condiciones (información, derecho de acceso y de oposición, propósito limitado, geolocalización por IP a la medida de la ciudad al máximo, duración de conservación).
Las sanciones expuestas en caso de incumplimiento de esta ley pueden ser de hasta 300 000 euros, pero «en caso de reclamación o de control, la Comisión evaluará los esfuerzos realizados por el responsable del tratamiento para alcanzar el cumplimiento» (fuente CNIL, en francés).
España: la Ley de las cookies
La transposición de esta Directiva se hizó mediante el Real Decreto-ley 13/2012 (pdf), de 30 de marzo de 2012, que dice:
Por último, se modifican varios artículos de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y del comercio electrónico, a fin de adecuar su régimen a la nueva redacción dada, por la Directiva 2009/136/CE, a la Directiva 2002/58/CE, del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas, debiéndose destacar la nueva redacción que se da a su artículo 22.2, para exigir el consentimiento del usuario sobre los archivos o programas informáticos (como las llamadas «cookies») que almacenan información en el equipo de usuario y permiten que se acceda a ésta; dispositivos que pueden facilitar la navegación por la red pero con cuyo uso pueden desvelarse aspectos de la esfera privada de los usuarios, por lo que es importante que los usuarios estén adecuadamente informados y dispongan de mecanismos que les permitan preservar su privacidad.Así, el artículo 22.2 (página 26947) de la ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico (o LSSI-CE) se convirtió en:
Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.Con la nueva legislación, cada sitio de internet debe informar a los usuarios el uso que va a hacer con la información recabada mediante las cookies, dándole la oportunidad a aceptarla o no. El consentimiento tácito (opt out) de la ley anterior está sustituido por un consentimiento informado (opt in).
Cuando sea técnicamente posible y eficaz, el consentimiento del destinatario para aceptar el tratamiento de los datos podrá facilitarse mediante el uso de los parámetros adecuados del navegador o de otras aplicaciones, siempre que aquél deba proceder a su configuración durante su instalación o actualización mediante una acción expresa a tal efecto.
Lo anterior no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión de una comunicación por una red de comunicaciones electrónicas o, en la medida que resulte estrictamente necesario, para la prestación de un servicio de la sociedad de la información expresamente solicitado por el destinatario.
Sin embargo, la modificación de la ley no ha supuesto la incorporación de una sanción: la falta de obtención del consentimiento para el uso de cookies no puede ser sancionada (bueno, por el momento, fuente).
Portugal: la lei dos cookies
Publicado en el Diário da República el 29 de agosto de 2012 (pdf, en portugués), el artículo 5 establece lo siguiente:
El almacenamiento de información y la capacidad de acceder a la información almacenada en el equipo terminal de un abonado o usuario sólo se permiten si ha dado su consentimiento previo, sobre la base de informaciones claras y completas bajo la Ley de Protección de Datos de Carácter Personal, en particular con respecto a los objetivos de este procesamiento.Por lo tanto, en Portugal también, la directiva de las cookies insiste en el consentimiento previo del usuario.
Conclusión
Como hemos visto, la mayoría de los países europeos ya han implementado la Directiva 2009/136/EC, y el resto seguirá pronto. No obstante, persisten algunas dudas en cuanto a las soluciones técnicas para implementar, o las sanciones por incumplimiento de la ley.También se debe responder a la pregunta de los sitios alojados fuera de la Unión Europea. ¿Un país o incluso la totalidad la Unión podría prohibir Google AdSense o Facebook por no cumplir con la legislación local cuando la mayoría de los sitios web gubernamentales todavía están lejos del cumplimiento?
En un próximo post, veremos las soluciones que se pueden implementar para cumplir con la directiva de las cookies.
Fuente de la ilustración: Veggieburgerfan vía Wikimedia Commons
La loi européenne sur les cookies (en francés)
The European cookies law (en inglés)
A lei europeia dos cookies (en portugués)
No hay comentarios:
Publicar un comentario