Cookies, más que galletas…

A mi hermano, amante del fútbol, cuando se conecta a Internet, le aparecen anuncios relacionados con este deporte, sorprendentemente a mí nunca me ocurre. En mi caso, es más común encontrarme con ofertas de restaurantes o salidas de fin de semana. A mi padre  las últimas novedades editoriales y a mi maratoniano marido, le suelen aparecer anuncios de geles milagrosos que le ayudarán a mejorar su marca personal en la próxima carrera o las últimas novedades en materia de motor.

Esto  no es ni puro azar, ni ciencia ficción. Es simplemente publicidad comportamental o lo que en ocasiones he visto descrito como “la vigilancia silenciosa de Internet”, “el Gran Hermano que todo lo ve” o “el anuncio que nos persigue”.

¿Qué son las cookies? ¿Qué es la publicidad comportamental (Online Behavioural Advertising)?

La principal tecnología de rastreo utilizada para controlar a los usuarios en internet se basa en «cookies de rastreo». Las cookies dan la posibilidad de rastrear las búsquedas del usuario a lo largo del tiempo y en dominios diferentes.

Lo habitual es que el proveedor de redes de publicidad coloque un cookie de rastreo en el terminal del usuario la primera vez que éste visita un sitio web con un anuncio de su red. En la publicidad comportamental, el cookie permitirá al proveedor de la red de publicidad reconocer a un antiguo visitante, analizar el tráfico de visitas, gestionar patrones de comportamiento y una vez construido el perfil del usuario, confeccionar publicidad personalizada.

La publicidad comportamental supone para la industria/anunciantes que la eficacia de la comunicación sea exponencial, pero también implica aspectos positivos para los usuarios, en la medida en que recibe publicidad menos masiva y más orientada a sus intereses. Ello no obstante, está claro que dicho uso debe realizarse dentro del marco regulatorio especifico en materia de privacidad y protección de datos, de tal forma que todos los derechos estén debidamente garantizados.

¿Qué sistema se utiliza comúnmente para el tratamiento de las cookies?

El sistema utilizado más comúnmente es el sistema opt out en el que se informa de la existencia de dispositivos de almacenamiento y recuperación de datos y del modo de rechazarlos.

Ahora bien, con las modificaciones operadas en noviembre de 2009 por la Directiva 2009/136/CE, se introdujo una importante diferencia en cuanto a la publicidad comportamental en línea, modificando el sistema de autoexclusión voluntaria por el del consentimiento fundamentado. Los países miembros de la UE tenían hasta el 25 de mayo de 2011 para transponer dicha modificación, estando España pendiente de dicha transposición.

A nivel europeo, el sector de publicidad aprobó en abril de 2011 un Código de Autorregulación  -Código EASA/IAB- para la publicidad en línea, que como veremos a continuación, el Grupo de Trabajo del Artículo 29 –órgano europeo independiente de asesoramiento en material de protección y privacidad de datos- ha considerado que en algunos aspectos no cumple con la Directiva 2002/58/CE sobre privacidad en las comunicaciones electrónicas.

¿Qué sistemas son los correctos con la actual normativa?

De conformidad con la actual normativa europea de protección de datos, se requiere un consentimiento fundamentado, y ello sólo se consigue (en palabras del Grupo de Trabajo del artículo 29) mediante el correspondiente aviso informativo –que debe ser claro y comprensible- antes de que los datos sean tratados, no siendo suficiente con que la información esté “disponible” en algún punto del sitio web que el usuario visita.

En este contexto, el referido Grupo de Trabajo –Dictamen 16/2011-  considera que la solución del icono propuesto por el Código EASA/IAB no es suficiente. Sí es visto como algo útil para el usuario en un futuro (cuando llegue a reconocer el significado subyacente) y como recordatorio después de que el usuario haya dado su consentimiento, pero no como provisión previa.

Asimismo, el Grupo de Trabajo del artículo 29 aclara que las cookies podrán estar exentos del consentimiento fundamentado siempre que sean necesarios para efectuar o facilitar la transmisión de una comunicación a través de una red de comunicaciones electrónicas o en la medida de lo estrictamente necesario a fin de proporcionar un servicio de la sociedad de la información expresamente solicitado por el usuario. De este modo, estarían exentos las cookies de acceso seguro, las utilizadas en las cestas de compra –el “añadir a mi carrito de la compra”- y las de seguridad.

Y frente a las críticas de los que consideran que el consentimiento expreso incidirá negativamente en la navegación en la medida que ello implica el uso de ventanas desplegables, el Grupo de Trabajo del artículo 29 hace una relación de ejemplos de formas más sencillas para obtener el consentimiento, y entre ellos propone:

    • Una banda informativa estática en la parte superior de los sitios web en la que se solicita el consentimiento del usuario para instalar algunas cookies, con un hiperenlace a una declaración de privacidad con una explicación más detallada sobre los distintos controladores y los fines del tratamiento (ej. http://www.ico.gov.uk)
    • Una pantalla introductoria en la que se explique, al entrar en el sitio web, qué cookies se instalarán y por parte de quién (ej. Como el sistema utilizado por anunciantes de cerveza para asegurarse que sus visitantes tienen la edad suficiente para poder visitar su sitio web).
    • Un ajuste de configuración por defecto que prohíba la transferencia de datos a terceros, que requiera al usuario pulsar un botón para indicar su consentimiento a fines de seguimiento.
    • Un ajuste de configuración por defecto que en los navegadores que permita evitar la recogida de datos comportamentales (No recoger datos). Por lo tanto, para que se pueda entender que existe consentimiento válido y efectivo, debe realizarse una acción afirmativa por el usuario que acepte la instalación y la transmisión continua de datos contenidos en las cookies.

 

Finalmente, se indica por el mencionado Grupo de Trabajo del artículo 29, que en caso de optarse por ventanas desplegables, una vez el usuario haya expresado su consentimiento o su rechazo, no es necesario volver a solicitarle su autorización para una cookie que tenga el mismo propósito y proceda del mismo proveedor.

Con dichas directrices claras, ahora sólo falta esperar la transposición que se realice de la Directiva de Privacidad en nuestro ordenamiento jurídico español.

yolanda
Other posts by yolanda
Related Articles
Leave a Reply