Carlos B Fernández. El próximo 31 de octubre las empresas titulares de sitios web deberán tener implementados los nuevos criterios establecidos por la última versión de la “Guía sobre el uso de las cookies”, presentada por la Agencia Española de Protección de Datos (AEPD) a finales de julio pasado, para adaptarse a las nuevas directrices del Comité Europeo de Protección de Datos sobre el consentimiento.
Entre estos criterios destaca, por una parte, que la utilización de las cookies podrá tener lugar cuando el usuario disponga de la información preceptiva sobre las mismas y la forma de obtención del consentimiento y el mismo se preste de acuerdo con los procedimientos indicados. En este sentido, la Guía destaca que la “utilización de las cookies debería ir acompañada por un consentimiento informado de los usuarios para tal utilización, de forma que los destinatarios tengan la oportunidad de examinar la información y decidir si aceptan o no la utilización de estos dispositivos”.
Por ello, resulta particularmente relevante la indicación de que, según ha establecido el Comité Europeo de Protección de Datos (CEPD), la opción “’seguir navegando’ no es una forma válida de prestar el consentimiento”, en la medida en que tales acciones pueden ser difíciles de distinguir de otras actividades o interacciones del usuario, por lo que no sería posible entender que el consentimiento es inequívoco tal como exige el RGPD.
Y respecto a los denominados “muros de cookies”, destaca la precisión de que, para que el consentimiento pueda considerarse otorgado libremente, el acceso al servicio ofrecido por una página web y a sus funcionalidades no debe estar condicionado a que el usuario consienta el uso de cookies si no se informa adecuadamente al respecto al usuario y se le ofrezca una alternativa de acceso al servicio sin necesidad de aceptar el uso de cookies.
Este conjunto de circunstancias ha provocado una notable inquietud en las empresas que centran su actividad en internet y, muy en particular, en las dedicadas a la publicidad digital.
Y de ahí el interés de una sesión virtual organizada por la Asociación Profesional Española de Privacidad (APEP), entre cuyas conclusiones destaca que quizá la actual dependencia de la industria de las cookies, podría cambiar en el futuro.
En la sesión, moderada por Elena Pages, abogada corporativa, responsable de protección de datos y de comercio electrónico de Uriach, intervinieron Jesús Rubí, vocal coordinador de la Unidad de Apoyo y Relaciones Institucionales de la AEPD; Paula Ortiz, directora jurídica y de relaciones institucionales en IAB Spain; Borja Adsuara, abogado experto en derecho digital; Analore García, directora jurídica y de privacidad del Grupo Antevenio; Jesús Fernández Acevedo, abogado y delegado de protección de datos y Pepe Cerezo, director de Evoca Media.
Principales novedades de la Guía. Información a ofrecer y requisitos del consentimiento
En primer lugar, Jesús Rubí recordó que cualquier tecnología que sirva para recuperar información de los terminales está sometida a la Ley 34/2002 (LA LEY 1100/2002), de Servicios de la Sociedad de la Información y del comercio electrónico (LSSI), en las condiciones establecidas en el art. 22.2 de la misma, en cuya virtud “los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos”.
Y dado que el CEPD ha revisado los requisitos para el otorgamiento del consentimiento informado, que es la garantía para la implantación de cookies, la Agencia lo ha hecho también.
La consecuencia es que el usuario no tiene que buscar la información sobre las cookies en la página a la que desee acceder, sino que esta tiene que ser evidente para él (lo que determina, entre otras cosas, que el enlace al contenido de la información no debería estar en la parte inferior de la página).
Esa información debe ser concisa, transparente e inteligible; utilizar un lenguaje claro y sencillo, evitando el uso de frases que induzcan a confusión o desvirtúen la claridad del mensaje y de fácil acceso. Por eso las expresiones genéricas como “utilizamos cookies para mejorar o personalizar nuestra oferta” o “puede que utilicemos cookies”, no se consideran fórmulas informativas aceptables y pueden dar lugar a infracción.
Además, el editor de cookies de terceros debe proporcionar información sobre las posibilidades del navegador o remitir a los sistemas habilitados por dichos terceros.
Por otra parte, dado que el RGPD establece garantías en relación con decisiones automatizadas que produzcan efectos sobre los usuarios, la Guía establece que en esos casos se debe informar sobre la lógica utilizada y las consecuencias de su uso.
Pero, destacó Rubí, las principales novedades contenidas en la Guía se refieren al consentimiento.
En este sentido destacó que la aceptación del interesado a la instalación de cookies debe ser clara. Por ello, aunque no se rechace expresamente su instalación, ello no significa que se acepte la misma. No aceptar implica rechazar, porque no cabe el consentimiento tácito.
La aceptación debe provenir de una acción sobre el botón “Aceptar”, aunque se aceptan expresiones equivalentes como “Ok”.
El panel debe gestión del consentimiento debe incluir tanto la opción de “Aceptar todas las cookies”, como el de “Rechazar todas las cookies”, porque el Comité ha insistido en que el RGPD señala que las opciones de retirar el consentimiento deben ser igual de claras que las de otorgarlo.
En relación con las categorías especiales de datos son preceptivas casillas específicas sobre la aceptación de su tratamiento.
Rubí señaló también que las plataformas de gestión de consentimiento, siempre que estén correctamente configuradas, constituyen una fórmula asequible para los editores que sirve para acreditar que se ha obtenido el consentimiento, pero hay que ser rigurosos con su uso.
En cuanto a la prestación del consentimiento a través de la configuración del navegador, Rubí destacó que este debe servir para dar el consentimiento para cada fin por separado, sin que quepa que este sea el único mecanismo para aceptar o revocar el consentimiento, hay que aceptar fórmulas alternativas.
Y por lo que se refiere a los muros de cookies (Cookie’s wall), señaló que estos se han previsto de manera de equilibrada, aceptándose si cabe una alternativa para el uso de las cookies, excepto que el único medio de acceso a una página sea electrónica. La posible denegación de acceso debe permitir acceder a servicios equivalente, que pueden no ser gratuitos.
Finalmente, en cuanto a los aspectos relacionados con la responsabilidad derivada de este tema, destacó que siempre hay que acudir a las decisiones adoptadas por cada uno de los intervinientes.
Concluyó señalando que las cookies pueden tener una pluralidad de finalidades, por lo que las Guía de la Agencia debe considerarse orientativa y sin que quepa que sus criterios se puedan aplicar con carácter genérico, debiendo considerarse cuidadosamente cada caso.
Una industria preocupada, pero cumplidora
Ante este nuevo conjunto de exigencias, Paula Ortiz destacó que el sector de la industria publicitaria es el mejor autorregulado del mundo, porque se siente muy responsable de la información que trata. En el mismo sentido, Analore García añadió que el sector publicitario está muy interesado en cumplir con esta normativa, porque es algo que afecta a su negocio fundamental, a su core business.
Por ello, como recordó Paula Ortiz, tuvo oportunidad de colaborar con la Agencia en la elaboración de la Guía de cookies, algo que no sucedió en el resto de Europa.
Ortiz recordó que ya con el RGPD la publicidad digital se vio muy tensionada, pues la exigencia de un consentimiento previo e informado para la instalación de identificadores en línea dimanante del Considerando 30 y del art. 4 del mismo, afecta radicalmente a una industria basada en el ofrecimiento de servicios gratuitos.
Subrayó también que uno de los problemas más complejos a los que debe enfrentarse la industria es el de la atribución de responsabilidad por incumplimiento de la obligación de facilitar información sobre las cookies y sobre la obtención del consentimiento para su uso. Un tema que no está regulado en la LSSI pero sobre el que el Reglamento destaca que no es desplazable contractualmente.
En este sentido destacó el papel de la industria, con iniciativas como la de que la posibilidad de solicitar el consentimiento en el propio editor se pudiera extender a toda la cadena de actores de Ad Tech o las plataformas de gestión de consentimiento (CMR), que sirven de puerta de entrada a todos los actores que están detrás, usando un sistema de capas.
Por ello, y dada esa capacidad autonormativa de la industria, Ortiz se mostró poco partidaria de una rápida llegada del futuro Reglamento Europeo sobre privacidad de las comunicaciones electrónicas o ePrivacy, cuya tramitación está sufriendo notables retrasos, presidencia tras presidencia europea.
En la actualidad, el impulso del proyecto está en manos de la presidencia alemana, que se muestra más bien dura respecto de temas como el interés legítimo para la instalación de cookies y más partidaria de la anterior propuesta finlandesa, que aceptaba los cookies wall con condicionalidad de un servicio equivalente.
Por ello Ortiz se declaró partidaria de que se pueda seguir trabajando con el sistema de gestión del consentimiento de la industria (“cuanto más tarde llegue el nuevo reglamento, mejor”).
La necesidad de concienciar a usuarios … y también a las empresas
Paula Ortiz, que ya había indicado que todavía hay que concienciar mucho a los usuarios sobre las cookies, dio paso a Jesús Fernández Acevedo, quien coincidió en que “la gente no sabe lo que son ni lo que significan las cookies”, algo que en última instancia puede afectar a los derechos de los ciudadanos.
La realidad, señaló coincidiendo también con Borja Adsuara a este respecto, es que se lleva mucho tiempo hablando de ellas pero la gente las sigue aceptando sin más (“aunque luego se preocupan por si los teléfonos escuchan…”, añadió).
Por eso insistió en que hay que hacer un esfuerzo por explicar qué son o qué significan, sin esperar a que la Agencia explique cual debe ser el modelo a seguir en una página web (y eso que, añadió, en relación con este tema la Agencia se viene mostrando más partidaria de apercibir o amonestar que de sancionar con dureza)
Algo a lo que no es ajeno el hecho de “las empresas suelen querer esconderlas, vulnerando el derecho de información de los usuarios”.
Por ello insistió en que “las empresas deben contar con DPO formados y competentes, porque cada página es única y tiene su problemática concreta” y no dejar el tema de las cookies para el final de un proyecto. Y tener en cuenta, además, que las cookies no solo se usan en las webs, sino también en las aplicaciones para dispositivos móviles o apps, donde se les puede dar un uso comercial que vulnere derechos de los usuarios.
El cumplimiento como elemento positivo para las empresas
Profundizando en esa idea, Analore García se planteó cómo implementar las pautas de la Guía de forma que sean positivas para las empresas.
Y es que, como añadió, la guía aclara algunas cosas, por ejemplo, en aspectos con aceptar o rechazar todas las cookies (aunque sea en un segundo nivel) pero no todas y, sobre todo, “la tecnología en este sector va muy rápida” y no todos los sectores que están igual de avanzados.
Un factor clave es la dificultad de explicar por qué una fórmula de obtención de consentimiento vale o no vale. En este sentido, destacó que el enfoque tiene que ser positivo: contar con el consentimiento siempre es positivo para la empresa. Por eso, añadió, “las empresas de publicidad que viven del dato tienen que integrar los requisitos de su tratamiento en su core”. No hay que descartar el consentimiento, pero sí buscar las soluciones para los dos partes, buscando el valor para el cliente y la confianza en el mercado. Lo importante es que el usuario pueda entender lo que se va a hacer con sus cookies.
Por eso los CMP (Cookies Consent Platform) como los de IAB son muy útiles para gestionar los consentimientos, aunque no siempre cumplen con los requisitos establecidos. Y aunque la responsabilidad por incumplimiento no se puede trasladar, siempre hay dudas sobre hasta dónde llega su exigencia.
¿Hacia una industria sin cookies?
Para concluir y en relación con el futuro de la industria de la publicidad, Paula Ortiz subrayó que el actual escenario, predominantemente digital, es complejo de monetizar por la industria y de gestionar por el usuario.
Por tanto se preguntó si, como anticipan algunos expertos en el sector, vamos hacia un mundo sin cookies (un cookieless world).
Un aspecto en el que coincidió con Pepe Cerezo, quien indicó que si bien en la actualidad “hemos asumido que las cookies son el eje del negocio, quizás se puede hacer otra publicidad no tan dependiente de ellas”.
Y puso el ejemplo de la corporación de medios holandesa que decidido prescindir de las cookies para ir a una publicidad vinculada al contenido, no al traking de los usuarios, con buenos resultados.
En opinión de estos expertos, si bien la privacidad es una exigencia para la industria porque es una demanda de los usuarios, esta no puede ser un impedimento para la industria. Por ello plantean si es el momento de replantearse el ecosistema en su conjunto, si ir hacia un modelo de webs públicas de alto crecimiento u hacia otro de jardines cerrados.
En su opinión, seguramente habrá una transición hacia un mundo en el que los usuarios puedan gestionar mejor su privacidad, en un mundo mixto, con-sin cookies.