Semblava un tema més que superat però una recent sentència del Tribunal de Justicia de la Unió europea ha establert que la col·locació de cookies requereix el consentiment actiu dels usuaris. Per tant, una casella marcada per defecte és insuficient.

Comencem per explicar que les cookies són fitxers que el proveïdor d’un lloc d’Internet col·loca a l’ordinador dels usuaris d’aquest lloc i als quals es pot accedir novament quan aquests tornen a visitar el lloc amb la finalitat de facilitar la navegació en Internet o les transaccions o d’obtenir informació sobre el comportament d’aquests usuaris.

L’obligació del responsable del lloc web, diu el Tribunal, és obtenir el consentiment abans d’emmagatzemar o accedir a cookies no essencials (entenen per “essencials” aquelles cookies tècniques, necessàries per el funcionament del lloc web). Les cookies no essencials són, per exemple, aquelles que permeten fer el seguiment de l’usuari amb la finalitat d’enviar-li publicitat segmentada o recollir dades estadístiques. El consentiment no pot ser tàcit, implícit o assumit. Ha de ser exprés o no es.

La decisió del Tribunal posa en qüestió milers de webs que, hores d’ara, no sol·liciten primer el consentiment abans d’instal·lar les cookies. I això significa un clar incompliment que, a banda de costos reputacionals, suposa arriscar-se a ser multat. No cal dir-ho que la comprovació la pot fer qualsevol només entrant en mode incògnit des del seu navegador.

Consells

1. Reviseu i ajusteu, si cal, la Política de Cookies. Comproveu quines cookies instal·la la vostra web en el ordinador del usuari (i mireu si totes us interessen o us en falta alguna). Assegureu-vos que les cookies instal·lades estan clarament explicades en la Politica de Cookies (en especial, si compartiu les dades que recopileu amb tercers). Si és necessari, redacteu-ne una nova versió i feu-ho saber als visitants del vostre lloc web.
2. Implementeu a la pàgina una solució tècnica que permeti a l’usuari, d’acord amb la Política de cookies que hem definit, triar quines vol permetre que s’instal·lin en el seu ordinador (al marge de les essencials). La solució, a més, ha d’informar de com l’usuari pot canviar o retirar el consentiment.

Complir amb el Reglament General de Protecció de Dades quan fem e-mail màrqueting, no és complex. Només cal observar unes bones pràctiques i afegir-hi dosis de prudència i sentit comú. A continuació en repassem algunes.

1. Mantenir llistes netes demanant confirmació (“double opt-in“)

Quan l’interessat ens envií les seves dades a través d’un formulari, enviem un correu de confirmació en el que ha de confirmar la seva subscripció. Així tindrem llistes més netes i confiables.

2. Processar les dades personals sota la base de legitimació correcte

Podem tractar les dades dels interessats per diferents propòsits però hem de determinar sempre quina és la base legal que ens legitima a fer-ho: Consentiment inequívoc, Necessitat contractual, Obligació legal, Interès legítim, Interès públic i Interès vital de l’interessat.

3. Obtenir el consentiment explícit abans de enviar correus de màrqueting

Si la base legal és la de Consentiment inequívoc, enviem els e-mails de consentiment als subscriptors. D’aquesta manera, ens assegurem que aquells subscriptors que han mostrat interès, per exemple en fires, convencions, webinars, …, han expressat explícitament el seu consentiment per rebre les nostres comunicacions. I haurem d’oferir també la possibilitat de denegar el consentiment.

4. Informar a l’usuari

L’usuari té el dret a que se l’informi, expressament o per remissió a la Política de Privacitat, de qui és el responsable del tractament, la finalitat, la base de legitimació, la conservació i comunicació de les dades, els drets que assisteixen als usuaris i forma d’exercir-los. A més de complir amb la normativa, generem confiança en l’usuari.

5. Ser transparents amb les dades dels usuaris

En virtut al Dret d’accés que reconeix el RGPD, l’usuari te que poder accedir a les seves dades personals quan ho demani. Pot demanar, també, que se li facilitin aquestes dades en format digital, llegible per màquines.

6. Dir clarament qui som

Facilitem les nostres dades: nom de l’empresa responsable de les dades, CIF, adreça electrònica (específica per protecció de dades) i postal i un número de telèfon de contacte. Generem confiança i facilitem la comunicació.

7. Explicar d’on hem tret les dades

O, el que és el mateix, explicar als subscriptors com els hem conegut i perquè estan en la nostra llista.

8. Deixem triar el que volen rebre

Diferenciem la nostra oferta de manera que es pugui triar, amb una acció positiva, la informació que els subscriptors volen rebre, sense condicionar-ho. Fem-ho fàcil per tothom.

9. Permetre la modificació / eliminació de dades personals

Els subscriptors ens podem demanar modificar o eliminar la seva informació personal dels nostres registres. Són drets que recull el RGPD. I és la nostra obligació facilitar els mecanismes necessaris per poder exercir-los.

10. Protegim la informació

La protecció de les dades és un aspecte clau del RGPD. Hem de tenir cura d’emmagatzemar les dades personals amb la màxima seguretat, controlant-ne l’accés, xifrant-la i fent les preceptives còpies de seguretat.

11. Garantir-ho tot amb una Política de Privacitat

A totes les comunicacions hem d’afegir-hi un enllaç a la Política de Privacitat. I a l’hora de recollir el consentiment, hem de disposar d’una casella que l’usuari ha de marcar conforme ha llegit i accepta la Política de Privacitat. Aquesta Política ha d’explicar, com a mínim, qui és el responsable del tractament, la finalitat, la base de legitimació, la conservació i comunicació de les dades, els drets que assisteixen als usuaris i forma d’exercir-los.

Primera sanció de l’AEPD per no complir la normativa respecte a la utilització de cookies a la seva pàgina web a la companyia Vueling.

Segons l’usuari denunciant, “la web de la companyia no permet utilitzar les galetes estrictament necessàries i més vaga una acció afirmativa i positiva que no es pugui mal interpretar el consentiment i l’assumeixen simplement en visitar la seva pàgina web”.

Un cop realitzades les comprovacions, segons l’Agència, l’empresa no compleix amb les condicions que imposa la normativa en vigor. En els fonaments de dret diu que “si s’accedeix a la segona capa, el consentiment a què es cedeixin dades a tercers a través de galetes és implícit, ja que en cap moment dóna l’opció de poder oposar-se a la instal·lació d’aquestes en el dispositiu o de qualsevol altra galetes “.

A més, no facilita un sistema de gestió o panell de configuració de galetes que permeti a l’usuari eliminar-les de forma granular. Per facilitar aquesta selecció el panell podrà habilitar un mecanisme o botó per rebutjar totes les galetes, un altre per habilitar totes les galetes o fer-ho de forma granular per poder administrar preferències.

Els fets exposats, prossegueix l’Agència, podrien suposar per part de l’empresa reclamada, la comissió de la infracció de l’article 22.2 de la LSSI¹, segons el qual: “Els prestadors de serveis podran utilitzar dispositius d’emmagatzematge i recuperació de dades en equips terminals dels destinataris, a condició que els mateixos hagin donat el seu consentiment després que se’ls hagi facilitat informació clara i completa sobre la seva utilització, en particular, sobre les finalitats del tractament de les dades, d’acord amb el que disposa la Llei Orgànica 15/1999, de 13 de desembre, de protecció de dades de caràcter personal “.

Aquesta Infracció aquestes tipificada com a lleu en l’article 38.4 g), de la citada Llei, que considera com a tal: “Utilitzar dispositius d’emmagatzematge i recuperació de dades quan no s’hagués facilitat la informació o obtingut el consentiment del destinatari del servei en els termes exigits per l’article 22.2. “, podent ser sancionada amb multa de fins a 30.000 €, d’acord amb l’article 39 de l’esmentada LSSI.

Finalment, l’Agència, després de les evidències obtingudes en la fase d’investigacions prèvies, considera que procedeix graduar la sanció a imposar en la quantia de 30.000 €. Com sigui que hi ha hagut reconeixement de la responsabilitat per part de l’empresa, la sanció s’ha reduït fins als 18.000 €.

Llegir la Resolució completa aquí.

¹ LSSI: Llei 34/2002, de 11 de juliol, de serveis de la societat de la informació i de comerç electrònic

A finales de abril de este año, se han conocido las primeras resoluciones sancionadoras emitidas por la Agencia Española de Protección de Datos (AEPD) en las que se aplica la nueva normativa de protección de datos. Las sanciones impuestas son multas o apercibimientos.

Los principales actos sancionados con multa han sido por las siguientes causas:

Por enviar a una persona al fichero de morosidad:

• Infringiendo el principio de exactitud de los datos 5.000 €- (a Vodafone)
• Vulnerando el consentimiento 28.000 €-
• Vulnerando el principio de calidad en relación con los ficheros de morosidad 24.000 €-.
• Por incumplir los requisitos para enviar una persona al fichero de morosidad 2.500€-

Por recibir más de 200 SMS a pesar de que había ejercitado del derecho de cancelación del servicio

• Por falta de diligencia en el tratamiento de datos al no ejercer el derecho de cancelación de un servicio 45.000 €-. (a Vodafone)

Vodafone es una de las empresas que más sanciones sufre en materia de protección de datos

Las sanciones con multa tienen una reducción del 20% por reconocimiento de responsabilidad y de otro 20% por pago voluntario.

Los principales actos sancionados con apercibimiento -sin sanción económica- han sido por las siguientes causas:

Videovigilancia

• Por grabar en la vía pública y en algún caso por no informar de ello. Se han sancionado con apercibimientos a bares, tabernas y particulares.

Envío de correo electrónico sin copia oculta

• Por envíos a direcciones de correo electrónico sin ocultar las direcciones de los destinatarios por parte de pequeñas empresas. Ninguna de ellas había sido comunicada como brecha de seguridad.

Brechas de seguridad

• Por utilización de terminales de teléfono expuestos a disposición de potenciales clientes desde los que se podía acceder a datos personales de empleados y clientes por parte de 2 tiendas de teléfonos móviles
• Por tener en la basura documentos con datos personales de alumnos por parte de una cooperativa que gestiona un centro de enseñanza. La policía local vio como las trabajadoras de la limpieza tiraban a la basura los documentos y denunció al colegio ante la AEPD. La Junta Directiva tuvo que ser destituida por este motivo.

Imágenes de menores

• Por tomar fotografías a un menor de 5 años sin consentimiento de quien ostenta la patria potestad por parte de una feria de atracciones.
• Por realizar fotos de menores, sin consentimiento, para comercializar unos calendarios denunciado por parte del AMPA. Las familias habían dado el consentimiento al colegio, pero no al AMPA. El padre de uno de los menores interpuso reclamación ante la AEPD.

Publicación de datos en la web

• Un antiguo trabajador cuya imagen seguía apareciendo en la página web de su anterior empresa
• Publicación en la web de una asociación de una sentencia estimatoria de un recurso en el ámbito judicial militar sin estar anonimizados los datos personales

En vista de estas actuaciones, para las sanciones con apercibimiento parece ser suficiente con que se acredite la toma de medidas organizativas y/o técnicas o bien se informe de la intención de no volver a incurrir en la acción sancionada.

Estas han sido las primeras sanciones que se han dado a conocer. Se prevé que, a partir de septiembre, la acción sancionadora de la AEPD se intensifique.