A vueltas con las ‘cookies’: Presentación de la ‘Guía de uso’

A vueltas con las ‘cookies’: Presentación de la ‘Guía de uso’

Hace unas horas he asistido a la jornada de presentación de la “Guía de Uso de Cookies en España”, en cuya elaboración han participado la Agencia Española de Protección de Datos, adigital, Autocontrol y Confianza Online y diversos representantes de la industria digital. Dicha jornada se ha organizado con el objetivo de explicar dicha guía, dar a conocer las reglas necesarias para cumplir con la normativa de cookies en España y, en definitiva, tratar de resolver cuestiones relativas a:

• ¿Qué cookies están incluidas y cuáles no?
• ¿Cómo y de qué manera hay que informar sobre las cookies que utiliza mi web o plataforma digital?
• ¿Quién debe informar sobre cookies y recabar ese consentimiento?
• ¿Cómo obtener el consentimiento de los usuarios?
• ¿Cómo influye esta regulación en mis relaciones con proveedores y terceros?

Ha abierto la jornada José Luis Zimmermann (@josezimmer), Director General de adigital y Confianza Online, explicando el desarrollo de la sesión y señalando que es ésta una cuestión estratégica en el ámbito digital, crucial para el desarrollo de la propia industria digital y cuyo alcance no sólo se encuentra en el ámbito publicitario, como se apuntaba hace un tiempo, sino que tiene carácter plenamente general.

 

A continuación José Domingo Gómez Castallo, Director General de Autocontrol y Presidente de Confianza Online,  ha hecho un recorrido histórico sobre el proceso de elaboración de la guía, partiendo de los antecedentes normativos hasta llegar a la situación actual: tomando como punto de partida inicial el escenario regulatorio europeo de opt-out se pasó al salto que a continuación dio el  legislador comunitario al opt-in  (en el que se debe asegurar el consentimiento expreso del usuario antes de que las cookies ‘empiecen a funcionar’), posteriormente se habló sobre el Grupo de trabajo del Artículo 29 formado por las Agencias Europeas de Protección de Datos, y finalmente del propio Equipo de trabajo para la elaboración de la ‘guía española’ que sirviera de ayuda clara (con sugerencias de ejemplos de implantación) en la implantación de la directiva.

Apunta además que obviamente la guía es algo vivo, sujeta a los cambios que la aplicación práctica real y la experiencia de implantación determinen y permitan seguir ayudando al cumplimiento de la ley. Acaba reiterando que la guía, fruto del acuerdo entre la AEPD y la industria digital, da una serie de fórmulas para el cumplimiento de la norma que deben ser adaptadas al ámbito concreto y particular.

 

Retoma la palabra José Luis Zimmermann señalando tres puntos relevantes: que la iniciativa de creación de una guía de ayuda para la implantación es pionera en Europa, que la norma en España lleva en vigor más de un año (¡no debemos olvidarlo!) y que en esencia esta normativa tiene carácter global: se inicia en Estados Unidos, en Europa se le da la relevancia oportuna, se transpone a los distintos Estados Miembros y que afecta a toda la industria digital de forma global.

 

Turno para Jesús Rubí, Adjunto al Director de la AEPD, quien es el encargado de explicar el contenido de la guía. Inicia su exposición señalando que en cuestión de plazos hemos de estar atentos porque la norma, como señalaba anteriormente Zimmermann, está ya en vigor desde hace más de un año. Se incumplió el plazo máximo de incorporación de la directiva al reglamento español por cuestiones varias y posterior cambio de Ejecutivo, y el Gobierno tuvo que incluirla de forma urgente el pasado mes de marzo de 2012. Señala que, de momento, la AEPD no ha intervenido de oficio pero reconoce que sí se han presentado algunas denuncias (pocas, puntualiza) que obviamente están siendo investigadas por la propia agencia.

Afirma que la AEPD siempre vio positiva la iniciativa de la industria para la elaboración de una guía de recomendaciones y como tal participó en la misma. Considera igualmente positiva la normativa en tanto en cuanto ésta genera confianza en los usuarios y confianza en la propia economía digital, y por ende sirve para potenciar el desarrollo de dicha economía.

Antes de entrar en el contenido en sí de la guía explica que ésta debe considerarse como un modelo abierto y flexible que cada uno debe adaptar y configurar a su propia realidad; no se trata de un recopilatorio de dogmas incuestionables y rígidos o de una guía técnica con pasos de instalación. Asimismo apunta que, para su desarrollo, se han tenido en cuenta las experiencias extranjeras y la revisión de los criterios europeos, con objeto de no tener una norma local ‘ad-hoc’ y evitar asimetrías posteriores en un entorno tan global como nos hemos referido.

Sobre el contenido de la guía detalla que podemos encontrar tres apartados diferenciados:

• I. Uno inicial sobre Terminología y definiciones (cookies, usuario, editor, comunicante, red publicitaria, empresa de análisis y medición)Además de las definiciones útiles conviene prestar atención a las cautelas en la recogida de datos de menores, datos sensibles (ideología, afiliación sindical, religión, etc) y con el tratamiento de datos personales (LOPD)
• II. Otro sobre la Información a proporcionar al usuario.Afirma que, en términos generales, el usuario medio tiene un conocimiento reducido sobre esta materia y que debemos por tanto facilitar la información de forma clara y sencilla. Y hete ahí la cuestión: ¿Qué información hemos de dar?
  
  Lo que se propone en la guía (sugerencia y ejemplo, recordemos) es lo siguiente:
  
  Una primera capa de información esencial, donde incluir el uso de cookies, la finalidad, si son propias o de terceros,  la advertencia sobre lo que implica el consentimiento y un enlace a una segunda capa de información.Consideración importante que suscribo plenamente: Por favor evitemos fórmulas de cláusulas informativas extensas; son párrafos y párrafos de texto a los que no se nos obliga, y absurdas en tanto en cuanto el usuario no leerá y posiblemente tienda a ‘hacer desaparecer’. Apliquemos por tanto el principio KISS ;-)
  
  Una segunda capa de información permanente, donde demos información más completa sobre la descripción y detalle de las cookies, cómo desactivarlas e identificación de terceros que las utilizan.
• III. El último sobre el Consentimiento del usuario.En él se detalla dicho consentimiento ‘previo informado’, quién debe prestar el consentimiento (básicamente el usuario) y cuáles son considerados métodos recomendados de obtención de consentimiento, bien fórmulas expresas (clic en ‘consiento’ o ‘acepto’, apropiado para usuarios registrados) o bien por conducta activa que infiera el consentimiento (‘continúe navegando’ o ‘siga utilizando la aplicación’).

Para finalizar su intervención Jesús Rubí hizo una serie de consideraciones que resultan interesantes:

• Debe imperar el principio de proporcionalidad entre la información y la forma de obtención del consentimiento.
• No es necesario para dispositivos que puedan ser utilizados por varios usuarios (pensemos en un ordenador de empresa al que se conectan varios empleados) el que cada uno de ellos deba dar el consentimiento de cookies. Eso debe ser gestionado por los usuarios y no por el editor (propietario de la web) A mi entender tiene todo el sentido del mundo: ¿de qué manera identifico qué usuario se ha conectado a ese dispositivo?…
• Importante el advertir de las consecuencias que supone la revocación del consentimiento (impacto en funcionalidades de la web, menor rendimiento, etc) El usuario debe saber en todo momento qué ocurre si revoca el consentimiento.

 

Por lo tanto, tras todo esto y ya para acabar, mis recomendaciones serían las siguientes:

• Seamos conscientes de que la normativa está en vigor. Aunque, como se apuntaba en la sesión, la AEPD aún no ha intervenido de oficio es importante ser consciente de que la norma legal (de ámbito global, no local) es vigente y debemos ponernos a ello.

• Debemos conocer la Guía sobre el uso de las cookies que se ha presentado en la jornada de hoy. Puedes descargarla desde este enlace de la AEPD

• Hay que entender que no se trata de un conjunto de normas rígidas y que debemos adaptarlo a nuestra propia realidad y circunstancia.

• Considero importante realizar una validación de las cookies que tenemos y estamos sirviendo. Es el primer paso para determinar qué medida aplicar. Empleo el término ‘validación’ porque en la jornada de hoy se nos indicaba que no debiera ser estrictamente ‘auditado’ al tener este término una connotación de obligatoriedad legal, y tal no existe, pues no estamos obligados a dicha revisión de cookies, aunque sí es muy recomendable.

• En todo momento debemos mantener el sentido común y los principios de proporcionalidad y KISS (hazlo fácil!) No es necesario que nos carguemos ni la experiencia de usuario ni la usabilidad, ni atentemos flagrantemente contra nuestros ratios y objetivos de conversión… Nadie está pidiendo un ejercicio de autoinmolación ;-)

• Y, como siempre, si tenemos dudas preguntemos, no nos agobiemos. Hay profesionales que conocen este ámbito y nos pueden ayudar en todo lo relativo a ello. No pretendamos saber todo de todo (con lo bueno que es actuar en equipo! ;-)

 

Seguro que nos asaltan dudas y sugerencias que plantear. Como decíamos, es éste el primer paso de un camino del que hemos hablado, escuchado y compartido mucho en el pasado, y que hemos de recorrer desde ya de forma activa.