El Comité Europeo de Protección de Datos publicó en febrero de 2023 las Directrices 03/2022 sobre patrones engañosos en redes sociales. La Agencia incorpora a la nueva versión de la Guía el criterio del Comité Europeo, que recoge que las acciones de aceptar o rechazar cookies tienen que presentarse en un lugar y formato destacados, y ambas acciones deben estar al mismo nivel, sin que sea más complicado rechazarlas que aceptarlas. La Guía incluye nuevos ejemplos sobre cómo deben mostrarse estas opciones ofreciendo indicaciones sobre, entre otros, el color, tamaño y lugar en el que aparecen.

En paralelo a esa incorporación, se han realizado una serie de modificaciones:

En el caso de las cookies de personalización, cuando el propio usuario toma decisiones sobre ellas (por ejemplo, la elección del idioma de la web o la moneda en la que desea realizar transacciones), se trata de cookies técnicas que no requieren de consentimiento, sin que puedan ser utilizadas para otras finalidades.

Sin embargo, cuando es el editor el que adopta este tipo decisiones sobre las cookies de personalización basándose en la información que obtiene del usuario deberá informar sobre ello ofreciendo de forma destacada la opción de aceptarlas o rechazarlas. En este caso, el editor tampoco podría utilizarlas para otras finalidades. (…)

Los criterios recogidos en la Guía deberán implementarse, a más tardar, el 11 de enero de 2024,

Fuente: AEPD

La entrada La AEPD actualiza su Guía sobre el uso de cookies para adaptarla a las nuevas directrices del Comité Europeo de Protección de Datos se publicó primero en Adaptación RGPD.

Ya sea a través de las cookies informáticas, Google Analytics permite a los administradores de la página web conocer una amplia variedad de información respecto a sus visitantes y sus usuarios, como puede ser el tiempo que pasan en un artículo, los enlaces en los que hacen clic, desde dónde provienen y hacia dónde salen una vez abandonan la página, qué recorrido siguen antes de hacer una compra o suscribirse, etc. Datos e información valiosa y útil para establecer o mejorar estrategias de marketing digital.

Pese a que, por defecto, Google Analytics no cumple con el RGPD y sus requisitos, hasta ahora, las páginas web que lo usan, han podido adaptarlo activando la anonimización de la IP y siendo muy meticulosos con la descripción de las cookies empleadas por la herramienta, asegurándose así de que las cookies de Google Analytics cumplen el RGPD.

Sin embargo, tras los pronunciamientos de las autoridades de control de Austria y Francia y del propio Supervisor Europeo de Protección de Datos (SEPD), el uso de Google Analytics podría contravenir el RGPD.

Google Analytics recoge un gran número de datos que se refieren a individuos específicos como por ejemplo las palabras claves de búsqueda que emplean para encontrar un determinado sitio web o los enlaces en los que clica. Sin embargo, Google Analytics no proporciona información personal sobre los usuarios que han visitado las páginas web y por lo tanto su uso se consideraba hasta el momento seguro.

La conclusión llega después de una investigación sobre el sitio web netdoktor.at que proporciona servicios sanitarios online y que, aunque intentó anonimizar las IP, no consiguió configurar la opción correctamente.

Las cookies también son un problema ya que ayudan a Google Analytics a identificar a un mismo usuario en distintas visitas para saber si es un usuario que repite. Aunque el usuario de Google Analytics no tiene acceso a ningún dato personal, la empresa que está detrás, Google, tiene datos suficientes como para identificar a los usuarios. Además se da el hecho de que esos datos son enviados a Estados Unidos para su almacenamiento y procesado.

Este último hecho fue el que llevó a las autoridad austríaca a optar por una sanción por violación del RGPD dado que, aunque la web en Europa no va a ser capaz de identificar a los usuarios finales, la información que se envía a Estados Unidos constituye un conjunto de “piezas de puzzle” que se pueden poner juntas para identificar a una persona.

En definitiva, si quieres cumplir el RGPD al usar Google Analytics lo más importante es incluir toda la información al respecto en tu política de privacidad y tu política de cookies y asegurarte que sus opciones están configuradas para anonimizar los datos recabados.

La entrada ¿Google Analytics cumple con el RGPD? se publicó primero en Adaptación RGPD.

Han sido varios los reclamantes que han denunciado ante la AEPD la falta de información sobre el uso de las cookies en las diferentes URLs de la entidad sancionada.

En el proceso de investigación sobre las diferentes URLs que llevó a cabo la AEPD se llegaron a las siguientes conclusiones:

1ª URL; Existe un gestor de cookies que permite aceptar y rechazar las cookies, pero no llega a ejecutarse correctamente, pues hay que aceptar todas para seguir navegando.  En la segunda capa informativa no se indican cuáles son las cookies utilizadas por la web. Sanción de 2.000 euros.

2ª, 3ª y 4ª URL; Se comprueba que se cargan cookies no necesarias sin realizar ninguna acción. No hay un banner informativo en la página principal de la web. Además, en la segunda capa informativa, aunque existe una información clara sobre el tipo de cookies utilizadas, no se ha incluido un gestor que permita rechazar las cookies. Sanción 6.000 euros.

IMPORTANTE

Como agravante de la sanción se tuvo en cuenta la intencionalidad de la entidad. Esta no incluyó un sistema de obtención del consentimiento adecuado con la normativa de protección de datos.

La entrada Sanción con 8.000 euros por no informar debidamente sobre las cookies se publicó primero en Adaptación RGPD.

La reclamante presenta una denuncia ante la AEPD puesto que en la página web, a través de la cual se pueden adquirir juegos de placa de matrícula, es necesario facilitar datos personales tales como, nombre y apellidos, DNI, matrícula del vehículo y nº de bastidor no existían medidas de seguridad ya que se accedía sin protocolo de seguridad “htpp” y tampoco había ninguna política de privacidad. La reclamante intentó ponerse en contacto con el titular de la web sin conseguirlo.

La AEPD en el proceso de investigación constató las siguientes deficiencias:

1º Protocolo de seguridad; Sanción1.000 euros. Incumplimiento art. 32 RGPD. El acceso a la página se hacía con protocolo “http”, lo que facilitaba que otros usuarios pudieran interceptar la información.

2º Política de privacidad; Sanción 1.000 euros. Incumplimiento art. 13 RGPD. La página hacía referencia a la antigua normativa (Ley 15/1999 de Protección de datos de carácter personal).

3º Política de cookies; Sanción 1.000 euros. Incumplimiento art.22.2 LSSI. No existe banner informativo de primera capa ni mecanismo que permita rechazarlas en la segunda capa informativa.

IMPORTANTE

Existe una creciente concienciación por parte de los usuarios de los servicios de información por saber cómo se recogen sus datos personales.

La entrada Sancionado por incumplir los requisitos legales en su página web se publicó primero en Adaptación RGPD.

El Comité Europeo de Protección de Datos ha revisado en mayo de 2020 las Directrices 05/2020 sobre consentimiento con el fin de aclarar su posición en relación con dos cuestiones: la validez de la opción “seguir navegando” como forma de prestar el consentimiento por parte de los usuarios y la posibilidad de utilizar los conocidos como “muros de cookies”, es decir, de limitar el acceso a determinados servicios o contenidos sólo a los usuarios que acepten el uso de cookies.

En relación con el primero de estos puntos, el Comité considera que la opción de “seguir navegando” no constituye en ninguna circunstancia una forma válida de prestar el consentimiento, en la medida en que tales acciones pueden ser difíciles de distinguir de otras actividades o interacciones del usuario, por lo que no sería posible entender que el consentimiento es inequívoco.

Respecto a los “muros de cookies”, el Comité ha precisado que, para que el consentimiento pueda considerarse otorgado libremente, el acceso al servicio y a sus funcionalidades no debe estar condicionado a que el usuario consienta el uso de cookies.

Por ello, la Guía explicita que no podrán utilizarse los denominados “muros de cookies” que no ofrezcan una alternativa al consentimiento. Este criterio resulta especialmente importante en aquellos supuestos en los que la denegación de acceso impediría el ejercicio de un derecho legalmente reconocido al usuario, por ser, por ejemplo, el acceso a un sitio web el único medio facilitado al usuario para ejercitar tal derecho.

Podrán existir determinados supuestos en los que la no aceptación de la utilización de cookies impida el acceso al sitio web o la utilización total o parcial del servicio, siempre que se informe adecuadamente al respecto al usuario y se ofrezca una alternativa de acceso al servicio sin necesidad de aceptar el uso de cookies.

Fuente: AEPD

La entrada Guía sobre el uso de cookies para adaptarla a las nuevas directrices del Comité Europeo se publicó primero en Adaptación RGPD.

La Guía, cuya versión anterior acumula más de dos millones de descargas, recoge las orientaciones, garantías y obligaciones que la industria debe aplicar para utilizar tanto cookies como tecnologías similares (fingerprinting y otras) cumpliendo la legislación vigente. El papel esencial que juegan las cookies para la prestación de numerosos servicios en Internet y, a la vez, las implicaciones que tienen en la privacidad de los usuarios ha determinado la necesidad de implantar un sistema en el que el usuario sea consciente de quién, cómo y para qué utiliza sus datos personales.

El documento analiza la necesidad de obtener el consentimiento informado del usuario antes de instalar las cookies, recogiendo tanto la obligación de transparencia en la información como el consentimiento en sí mismo, teniendo en cuenta que la nueva normativa de protección de datos establece unos requisitos más estrictos. Además, la Guía se complementa con ejemplos prácticos de fórmulas válidas para recabar el consentimiento de los usuarios.

En cuanto a la transparencia a la hora de ofrecer información, la Guía determina que la información debe ser concisa, transparente e inteligible, utilizando un lenguaje claro y sencillo. Por tanto, debe evitarse el uso de frases confusas como “usamos cookies para personalizar su contenido y crear una mejor experiencia para usted” o “para mejorar su navegación”, o frases como “podemos utilizar sus datos personales para ofrecer servicios personalizados” para referirse a cookies publicitarias que almacenan información sobre el comportamiento de los usuarios mediante el análisis de los hábitos de navegación.

En el caso de que un usuario preste su consentimiento para el uso de cookies, la información debe seguir siendo fácilmente accesible, promoviendo la información por capas.

Puede ver más información en el siguiente enlace:

Guía sobre el uso de las cookies

https://www.aepd.es/media/guias/guia-cookies.pdf

La entrada La AEPD presenta junto a la industria una guía sobre el uso de cookies adaptada a la nueva normativa se publicó primero en Adaptación RGPD.

Con fecha 04/01/2019 y 08/01/2019, se presentaron ambos escritos en la sede electrónica de la AEPD en los que se exponían que “en la Web de Vueling no se permite al usuario utilizar las cookies estrictamente necesarias y que no existe una acción afirmativa y positiva de consentimiento”.

A la vista de los hechos denunciados y de conformidad con las evidencias presentadas, la Inspección de Datos de la Agencia consideró que la entidad reclamada no cumple con las condiciones del art. 22.2 de la LSSI. Por un lado, el consentimiento a que se cedan datos a terceros a través de las cookies es implícito ya que no permite su denegación. Por otro lado, no facilita un panel de configuración para que el usuario pueda eliminarlas de forma granular. En la resolución se indican pautas para facilitar esa selección mediante botones en el panel, uno para rechazar todas las cookies y otro para habilitar todas las cookies o hacerlo de forma granular. La inspección de Datos considera que la información ofrecida sobre las herramientas proporcionadas por los navegadores no es suficiente y debe ser complementaria con lo anterior.

IMPORTANTE

La sanción por utilizar dispositivos de almacenamiento y recuperación de datos cuando no se haya obtenida el consentimiento puede llegar hasta los 30.000 euros.

La entrada VUELING AIRLINES, S.L sancionada por no informar debidamente sobre la utilización de cookies se publicó primero en Adaptación RGPD.

La entrada Información en dos capas sobre cookies se publicó primero en Adaptación RGPD.

Las cookies son archivos de texto que guardan información sobre el usuario. Mediante la utilización de estos dispositivos las páginas web obtienen datos que posteriormente podrán ser utilizados para distintos fines. Su uso en España es necesario indicarlo desde el año 2002. Y a pesar de la última reforma que exige un plus a los editores, lo cierto es que casi nadie la cumple.

No hay más que darse un paseo por la mayoría de sites para comprobar que la mayoría no incluye un aviso de cookies. ¿La razón? Según muchos editores que aún no lo han hecho, la falta de tiempo o desconocimiento.

El artículo 22.2 de la citada ley exige que los editores web informen sobre el uso de cookies y obtengan el consentimiento de los usuarios para su instalación: “los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización”.

A diferencia de la normativa de 2002, ahora la ley solicita que además de informar al usuario se obtenga un consentimiento tácito o expreso

Es decir, que no vale con colocar un banner anunciando que se utilizan cookies, sino que además de hacerlo se informe al usuario de los tipos y definiciones de cookies, su naturaleza, y si son propias o de terceros.

Las multas por infringir la Ley 34/2002 pueden ascender hasta 30.000. €

Guía de política de Cookies AEPD

La Agencia de Protección de Datos impone 3.500 euros a una joyería ‘on line’

Fuente: El periódico

La entrada LSSI y la política de Cookies se publicó primero en Adaptación RGPD.