Cookies como datos personales.
El problema de endurecer los requisitos para el uso de cookies se ha debatido desde la entrada en vigor del Reglamento Europeo de Protección de Datos (en adelante, GDPR), así como la publicación de los proyectos de enmiendas a la Directiva de privacidad electrónica (mejor conocida como la "Declaración de privacidad y comunicaciones electrónicas"). Son estos documentos los que definen oficialmente las cookies como datos personales y proporcionan responsabilidad extraterritorial, así como la imposición de multas colosales a los propietarios del sitio por el uso ilegal de dichos archivos. Ya hemos llevado a caboUna descripción general de las sanciones por violar los principios básicos del RGPD, sin embargo, ninguna de ellas incluía violaciones relacionadas con el manejo de cookies. A menudo, en ausencia de prácticas judiciales y castigos reales, los representantes empresariales crean un sentimiento de seguridad, en otras palabras: "Hasta que caiga el trueno, el hombre no se persignará". Pero los truenos se han escuchado durante mucho tiempo: una de las multas más grandes por infracciones relacionadas con las cookies es una multa de € 30,000 emitida en octubre de 2019 por la autoridad de protección de datos española Vueling por no poder optar por no recibir cookies de terceros.
Debido a la naturaleza de la profesión, cuando visita varios sitios, los analiza involuntariamente para verificar el cumplimiento de actos legales regulatorios conocidos en el campo de la protección de datos personales. Como resultado de otro análisis de este tipo, quedó claro que, en la búsqueda de la implementación de los requisitos del RGPD, muchas empresas están preocupadas por el tema de "poner las cosas en orden" en sus recursos web. Sin embargo, debido a la falta de comprensión de los requisitos o en ausencia de un deseo de "estropear" la interfaz de usuario del sitio, parece que cada segunda organización implementa incorrectamente la política de uso de cookies en sus recursos.
Reglamento de desarrollo de la política de uso de cookies -limas
Desde el punto de vista de GDPR y ePrivacy, las reglas para usar cookies no son diferentes de las reglas para procesar todos los demás datos personales y deben seguirse si el sitio usa cookies que le permiten formar un perfil de usuario en la red. Sin embargo, esto no se aplica a:
- cookies estrictamente necesarias para el correcto funcionamiento del sitio;
- cookies estrictamente necesarias para proporcionar un servicio en línea al usuario, por ejemplo, cuando un usuario completa un formulario en línea, utiliza un carrito de compras o se autentica en un sitio para iniciar sesión en un servicio en línea
Volviendo a las reglas, su esencia es la siguiente:
- La instalación de una cookie solo debe llevarse a cabo con el consentimiento previo del usuario.
- , , , , /, .
- cookie, , , , .
- .
- – cookie- , , , .
Errores importantes en la implementación de la política de cookies o cómo no hacerlo
Veamos tres ejemplos de implementación incorrecta de la política de cookies que son más comunes entre los sitios de controladores y procesadores de datos personales.
Ejemplo 1. Banner que advierte que al continuar usando el sitio, usted acepta el uso de cookies.
Esta práctica está muy extendida entre los recursos web rusos y europeos. Como ejemplo, considere el sitio web de una tienda de cosméticos italiana. De acuerdo con la política de cookies presentada en el sitio web, las cookies técnicas, las cookies funcionales y las cookies de campañas de marketing de terceros se configuran para el usuario.
Sin embargo, la traducción literal de la advertencia en el banner en la parte inferior de la página dice: “Este sitio utiliza cookies técnicas, analíticas y de perfiles de terceros. Si elige "Continuar" o accede a cualquier contenido de nuestro sitio sin determinar su elección, acepta el uso de cookies. Para obtener más información y rechazar el consentimiento para la instalación de cookies, haga clic aquí ".
En este caso, se violan todas las reglas mencionadas anteriormente:
- Las cookies se instalan inmediatamente cuando el usuario abre el sitio.
- Continuar usando el sitio o hacer clic en el botón Continuar no es una acción clara de confirmación, ya que el usuario no tiene una opción y no puede negarse a instalar una cookie.
- , cookie, cookie.
- cookie , cookie .
- , , , , .
Ejemplo 2. Banner con el formulario de consentimiento correcto, que NO funciona en todas las páginas del sitio.
Por ejemplo, considere la versión francesa de huppe.com.
El banner de consentimiento que se muestra en el sitio cumple con las reglas que estamos considerando, y el manual de protección de datos mencionado en el texto describe con suficiente detalle la política de la compañía con respecto a las cookies. En la versión rusa, el banner de consentimiento se ve así:
Sin embargo, si profundiza e intenta abrir no la página principal del sitio, pero, por ejemplo , resulta mágico.
La magia radica en el hecho de que el banner, que parece cumplir con todos los requisitos, de hecho no funciona. La configuración de cookies, que no sean estrictamente necesarias, no se bloquea hasta que se toman las medidas de autorización, lo que significa que el sitio definitivamente ya no es un "excelente". En este caso, de 5 reglas, podemos decir que solo se observan las reglas 2 y
3. Ejemplo 3. Política insuficientemente transparente para el uso de cookies
También sucede que una empresa está preocupada por un mecanismo de trabajo para obtener el consentimiento, pero perdió un detalle importante: información proporcionada de manera transparente sobre el propósito de cookies específicas y condiciones de su almacenamiento. Esta situación se desarrolla en el sitio castrol.com.
El sitio tiene un banner de consentimiento con la opción de administrar cookies individuales.
Y, lo que es más importante, el mecanismo de bloqueo funciona:
Antes de obtener el consentimiento
Después de recibir el consentimiento
Sin embargo, la información sobre el uso de cookies contiene muy poca especificidad: ni se proporciona una lista de personas cuyas cookies de terceros son instaladas por el sitio, ni los períodos de almacenamiento de al menos grupos individuales de cookies en el sitio. En tales casos, se viola uno de los principios principales del GDPR: la transparencia del procesamiento, por lo tanto, no se cumple la regla 3. Un ejemplo de una política de cookies completamente transparente es la política publicada en el sitio web de la Comisión Europea.
Además de ser indicativos de errores comunes en la implementación de los requisitos europeos de protección de datos y privacidad, los ejemplos revisados demuestran que el trabajo de los reguladores europeos obliga a muchos Controladores y Procesadores a preocuparse por los problemas de cumplimiento. Y si hace dos años en la abrumadora mayoría de los sitios el tema del uso de cookies no se planteó en absoluto, ahora la situación está cambiando dramáticamente, lo que no puede dejar de complacer a los usuarios interesados en obtener el control de sus datos; después de todo, según la Comisión Europea para la Protección de Datos, esta es precisamente la razón fue desarrollado por el GDPR.
La práctica muestra que en las realidades actuales, los propietarios de sitios que son controladores o procesadores tienen dos opciones:
- ;
- - cookie-, , , .
,