En pocas palabras:
Este artículo incluye fragmentos de los documentos elaborados por las autoridades de protección de datos de Italia, Bélgica, España y Reino Unido. Todas ellas respaldan los puntos señalados anteriormente, con el fin de evitar cargas innecesarias e irrazonables para las empresas.
Postulados:
El requisito de proporcionar los mecanismos de autoexclusión también recae sobre el tercero en cuestión, tal y como establecen las legislaciones analizadas:
Tal y como han establecido las autoridades de protección de datos, el enfoque que hay que seguir para cualquier proceso relacionado con las cookies y para las soluciones de recopilación del consentimiento implementadas en un sitio web es el siguiente:
Este es el proceso que ha elegido adoptar iubenda. Creemos que cualquier otro enfoque sería prohibitivo para el titular de un sitio web, ya que los nombres de las cookies de terceros pueden cambiar en cualquier momento y sin previo aviso, lo que impone al titular del sitio web la carga de vigilar constantemente a cada tercero, en busca de cambios en las cookies que están fuera de su control.
En los cuatro países mencionados anteriormente, no existe ninguna disposición según la cual se deban mencionar los nombres de las cookies uno por uno ni un requisito explícito para que la obligación de la autoexclusión recaiga exclusivamente en el proveedor del sitio web. Por el contrario, la implementación exacta parecer dejarse en gran medida en manos del proveedor del sitio web. Las autoridades tan solo señalan algunas pautas y ejemplos de mejores prácticas, que se encuentran recogidas en este documento.
El enfoque que hemos adoptado en iubenda consiste en proporcionar a nuestros usuarios soluciones que cumplen con las directrices emitidas por las autoridades competentes, sin añadir ninguna complejidad innecesaria al exponer al titular a procedimientos (como enumerar los nombres de las cookies de terceros) que no solo no son obligatorios, sino que además son propensos a provocar errores. Por esta razón, nuestras políticas de privacidad y cookies se centran en destacar las finalidades del tratamiento de datos (obligatorio), identificar a los terceros involucrados en el mismo (obligatorio), dónde tratan los datos (obligatorio), sus políticas de privacidad y cookies (obligatorio) y sus enlaces de autoexclusión (cuando los proporcionen).
*También cabe destacar en este punto que el Marco de Transparencia y Consentimiento (TCF) de IAB tampoco admite la enumeración de los nombres de todas y cada una de las cookies.
El término “decisión de participación” se refiere a que se necesita una acción positiva/afirmativa por parte del usuario para otorgar el consentimiento. Por su parte, en el caso de la “autoexclusión”, se asume que se ha otorgado el consentimiento, dando al usuario la sola opción de retirar su consentimiento.
Así, por ejemplo, si tu formulario de registro usa una casilla de verificación previamente seleccionada, deberías implementar un método de “autoexclusión”, ya que es obligatorio que el usuario tenga una opción que le permita retirar el consentimiento (que se asumía como otorgado por defecto).
Por el contrario, si tu formulario de registro usa una casilla de verificación que no está marcada y que, por lo tanto, requiere que el usuario realice una acción positiva (marcar la casilla) para otorgar su consentimiento, deberías implementar una opción de “decisión de participación”.
En general, la autoexclusión está permitida para los mensajes de email marketing en EE. UU., mientras que el método de decisión de participación es obligatorio según las normativas de protección de datos de la UE y Canadá. La decisión de participación también se considera habitualmente como la “mejor práctica” en muchos países, incluso si no es obligatoria. Por esta razón, a menudo es la mejor línea de acción y la más segura.
La autoridad de protección de datos italiana (Garante Privacy) declaró expresamente lo siguiente en la resolución pertinente (consulta: “Identificación de procedimientos simplificados para la divulgación y obtención del consentimiento para el uso de cookies” del 8 de mayo de 2014, “Disposición de la APD”):
(…) se debe tener en cuenta la entidad que instala las cookies en el dispositivo del usuario, que puede ser el administrador del sitio web que visita el usuario (que se puede denominar “editor”) o el administrador de otro sitio web que instala las cookies a través del primero (que recibe el nombre de “tercero”)… Son muchas las razones por las que no es posible imponer al editor la obligación de proporcionar la información y obtener el consentimiento para la instalación de cookies dentro de su sitio web, además de para aquellas instaladas por “terceros”.
En primer lugar, el editor debe siempre disponer de las herramientas y las capacidades legales y profesionales para asumir las obligaciones de terceros y, por tanto, también debe verificar periódicamente la correspondencia entre lo que declaran los terceros y las finalidades que realmente persiguen con el uso de cookies. Esto es algo muy difícil porque el editor a menudo no conoce directamente a todos los terceros que instalan cookies a través de su web y, por lo tanto, tampoco sabe cuál es la lógica que hay detrás del respectivo tratamiento. Además, no es raro que haya otros intermediarios que se interponen entre el editor y los terceros, lo que hace que para el editor sea muy complejo controlar las actividades de todos los involucrados.
En segundo lugar, los terceros podrían modificar las cookies con el paso del tiempo y no resultaría práctico exigir a los editores que también realicen un seguimiento de estos cambios posteriores. Además, también se debe tener en cuenta que los editores (una categoría que incluye a las personas físicas y las pequeñas empresas) suelen ser la parte más “débil” en este contexto. Por el contrario, los terceros suelen ser grandes empresas con un peso económico considerable que, por regla general, trabajan con varios editores, por lo que un editor a menudo puede tener relación con un número considerable de terceros.
Por todos estos motivos, esta APD opina que no se puede exigir a los editores que incluyan los avisos con la información relativa a las cookies instaladas por terceros a través de sus sitios web en la página de inicio. A partir de todo lo anterior, podemos concluir que el titular del sitio web (el “editor” en la Disposición de la APD) no tiene que enumerar las cookies de terceros una a una, porque como el editor no es capaz de distinguirlas, tampoco podrá nombrarlas una por una en su aviso de privacidad.
La disposición de la APD no responde expresamente a esta pregunta, pero la respuesta se puede inferir implícitamente a partir de las siguientes líneas, que se refieren al aviso ampliado de cookies:
El aviso debe contener un enlace actualizado a la información pertinente y a los formularios de consentimiento de terceros a los que el editor ha permitido instalar cookies a través de su web. Si el editor no está en contacto directo con terceros, deberá incluir los enlaces a los sitios web de los que actúan como intermediarios entre él y dichos terceros… Con el fin de mantener las responsabilidades de los editores separadas de las atribuidas a terceros, en lo que respecta a la información facilitada y el consentimiento obtenido a través de los sitios web de los editores para las cookies de terceros, es necesario que los editores adquieran los enlaces de dichos terceros (incluidos los licenciatarios, si los hubiera) en el momento de cerrar los respectivos contratos.
Si, tal y como se mencionó anteriormente, el editor no tiene ningún control sobre las cookies instaladas por terceros, es evidente que no puede proporcionar a los usuarios un método de autoexclusión. Por lo tanto, se debería proporcionar un enlace a las políticas de privacidad de los terceros y, estos terceros, deberían facilitar la opción de autoexclusión para dichas cookies.
Finalmente, la APD italiana enfatiza que se debe informar al usuario sobre la posibilidad de comunicar sus preferencias a través de la configuración de su navegador. Si la tecnología subyacente al sitio web es compatible con la versión del navegador del usuario, el editor puede poner a su disposición un enlace directo a la sección de ajustes del navegador.
La autoridad de protección de datos belga (la Commission de la protection de la vie privée) ha publicado una recomendación sobre las cookies (Projet de recommandation concernant l’utilisation des cookies). De este documento podemos extraer lo siguiente:
La información que se debe proporcionar a los usuarios con respecto a las cookies incluye: las finalidades de cada tipo o categoría de cookies, los datos personales recopilados, el período de conservación, los mecanismos de autoexclusión y la transferencia de datos a terceros (ver página 37).
L’information relative aux cookies sera de préférence fournie par types de cookies ou finalités de ces cookies (m.n. 156). (…) Elle porte aumoins sur les points suivants:
- les finalités des accès et/ou des inscriptions pour chaque type de cookie ou catégorie de finalités de ces cookies;
- les catégories d’informations stockées;
- les durées de conservation des informations;
- les modalités pour l’effacement des informations;
- les éventuelles communications à des tiers et les informations qui leur sont communiquées. (m.n. 157)
No hay ninguna mención a la necesidad de enumerar las cookies una a una.
Este documento simplemente establece que los titulares de sitios web deben informar a los usuarios sobre la manera en la que pueden retirar su consentimiento para aceptar las cookies (ver página 40).
176. L’utilisateur doit pouvoir à tout moment et de manière aisée retirer le consentement qu’il a précédemment donné. Cette possibilité lui sera donnée dans le cadre de l’information relative à la politique d’utilisation des cookies
Por último, el documento proporciona algunos ejemplos sobre las prácticas recomendadas para las políticas de cookies, que incluyen expresamente una referencia a la configuración del navegador o a herramientas de terceros (en su ejemplo mencionan a Google Analytics) para optar por la autoexclusión para no recibir cookies (ver página 54).
Cookies statistiques (…) Pour certaines analyses, nous utilisons Google Analytics qui peut être désactivé de différentes façons selon les navigateurs utilisés (modules et extensions tierces, blocage du site www.google-analytics.com/*, …)
Cookies tiers (…)
Ces cookies peuvent être bloqués ou effacés par les options de votre navigateur.
La autoridad nacional de protección de datos (la Agencia Española de Protección de Datos) ha publicado una serie de documentos sobre las cookies, de los que destaca una “Guía de Cookies” y un dictamen legal (Informe Jurídico 196/2014, “Informe”) sobre la necesidad de mencionar los nombres de las cookies uno por uno.
Las respuestas a esta pregunta se pueden resumir en las siguientes ideas:
Las cookies no tienen que enumerarse una a una. Es suficiente informar a los usuarios sobre los tipos de cookies implementadas, sus finalidades y el procedimiento diseñado para la autoexclusión (ver página 4 del Informe).
Comenzaremos indicando que en opinión de esta Agencia la normativa estudiada pretende que el usuario sea suficientemente informado sobre la utilización de dispositivos de almacenamiento y recuperación de datos en su equipo terminal, siendo esencial que dicha información verse sobre las finalidades de dichos dispositivos. Ahora bien, la normativa no exige que la información detalle el nombre de los dispositivos, puesto que lo esencial es informar sobre los extremos indicados más arriba, y singularmente sobre el uso de cookies, quién las utiliza y para qué. Por tanto, no es necesario mostrar la segunda capa de información en una tabla o de otro modo en que se especifiquen los nombres de todas y cada una de las cookies.
Para informar al usuario sobre cómo puede autoexcluirse de la recepción de cookies, el responsable del tratamiento puede utilizar sus propias herramientas, instrucciones sobre cómo establecer preferencias en el navegador del usuario u otras “herramientas comunes de autoexclusión” (consulta la página 18 de la Guía de Cookies).
Información sobre la forma de desactivar o eliminar las cookies enunciadas a través de las funcionalidades facilitadas por el editor, las herramientas proporcionadas por el navegador o el terminal o través de las plataformas comunes que pudieran existir, para esta finalidad, así como la forma de revocación del consentimiento ya prestado
No se menciona explícitamente que las herramientas proporcionadas por los propios terceros sean suficientes, pero lo podemos deducir del hecho de que las tres soluciones mencionadas (herramientas propias, configuración del navegador, herramientas comunes) se consideran equivalentes e igualmente válidas.
Además, el documento establece que el responsable del tratamiento debe simplemente “proporcionar información sobre cómo retirar el consentimiento para aceptar las cookies” (página 23) y que la ley de protección de datos española no establece quién es el responsable de proporcionar información sobre las cookies de terceros (el responsable del tratamiento o el tercero en cuestión), de forma que ambas organizaciones deben cooperar para alcanzar estos objetivos (página 24) y ambas son consideradas responsables (página 25).
No hay ninguna mención a que el responsable del tratamiento deba proporcionar las herramientas de autoexclusión.
Por cierto: el Informe Jurídico 0011/2014 tan solo se ocupa de que las cookies deben ser aceptadas y no habla de la autoexclusión. Lo único que dice sobre las herramientas de autoexclusión es que los responsables del tratamiento deben proporcionar una forma sencilla y gratuita de rechazar la recepción de cookies (lo que esencialmente repite el punto anterior: estas herramientas no tienen que ser proporcionadas, necesariamente, por el responsable del tratamiento).
En el sitio web de la ICO encontramos (PECR, por sus siglas en inglés Privacy in Electronic Communications Regulations, es decir, protección de la privacidad en las comunicaciones electrónicas):
PECR do not set out exactly what information you must provide or how to provide it – this is up to you. The only requirement is that it must be “clear and comprehensive” information about your purposes.
La ICO también ha publicado una Guía de cookies (Guidance on the rules on use of cookies and similar technologies). Este documento establece que:
It could be an option to provide long lists of all cookies implemented, but for most users a broader explanation of the way cookies operate and of the categories of cookies used will be helpful (see p. 18). Long tables or detailed lists of all the cookies operating on the site may be the type of information that some users will want to consider. For most users it may be helpful to provide a broader explanation of the way cookies operate and the categories of cookies that you use on your website. A description of the types of things analytical cookies are used for on the site will be more likely to satisfy the requirements than simply listing all the cookies you use with basic references to their function.
En cualquier caso, no es obligatorio enumerar las cookies una a una. De hecho, el documento también incluye un ejemplo sobre las prácticas recomendadas en el que las cookies tan solo se describen por categorías.
Example: The cookies we use are “analytical” cookies. They allow us to recognise and count the number of visitors and to see how visitors move around the site when they’re using it. This helps us to improve the way our website works, for example by making sure users are finding what they need easily. Read more about the individual analytical cookies we use and how to recognise them [link]
Con respecto a la retirada del consentimiento, el documento (o sitio web) de la ICO no contiene mucha información.
El documento tan solo establece que los titulares de sitios web deben proporcionar información a los usuarios sobre cómo retirar su consentimiento. No indica nada sobre qué herramientas se consideran aceptables para cumplir con esta obligación, pero menciona repetidamente la configuración del navegador como un medio válido para retirar el consentimiento.