¿Permiso para servir cookies?

Por Sergio Maldonado el 25/01/2011 Ir a comentarios

Me sorprende que estemos tan tremendamente perdidos con algo que afecta de semejante manera a nuestro bolsillo y vida cotidiana, pero esto es lo que tiene la inercia del día a día: nos emocionamos con un tweet futil y la legislación, por lenta y predecible, suele causar pocas pasiones.

Hasta que nos dicen algo como esto: “en mayo de 2011 estará prohibido servir cookies sin permiso expreso del usuario”. Como no he dejado de percibir un tremendo pánico entre quienes ya se han leído la nueva redacción del artículo 5(3) de la Directiva comunitaria popularmente conocida como ePrivacy (Directiva 2002/58/CE relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas, endurecida a manos de la Directiva 2009/136/CE), se me ocurre adelantar un pequeño resumen de lo considero que se avecina. A lo mejor así evitamos alarmismos innecesarios y, mejor aún, vamos ayudando al legislador nacional a discernir el verdadero espíritu de la normativa comunitaria que ahora tendrá que traducir a derecho español a velocidades supersónicas.

Por delante, el propio artículo 5(3): “[…] únicamente se permita el almacenamiento de información, o la obtención de acceso a la información ya almacenada, en el equipo terminal de un abonado o usuario, a condición de que dicho abonado o usuario haya dado su consentimiento después de que se le haya facilitado información clara y completa […]” y la simple interpretación del mismo: permiso previo antes de servir cookies o acceder a su contenido.

Con ello, aunque es aún temprano, toca discernir dos escenarios paralelos:

  • a) el que tiene lugar cada vez que servimos una cookie en nuestra web; y
  • b) el específico de la publicidad basada en perfiles unificados de usuario para una multiplicidad de webs (ejemplo: a través de ad networks).

Servir y leer cookies

En el primer caso, no parece que se presenten nuevas preocupaciones (si estamos cumpliendo ya con las exigencias de información básica actualmente en vigor a través de la Ley General de Telecomunicaciones 2003 y la LSSI en su actual redacción), pues el propio artículo 5(3) continúa de este modo: “[…]Lo anterior no impedirá el posible almacenamiento o acceso de índole técnica […] o en la medida de lo estrictamente necesario a fin de que el proveedor […] preste un servicio expresamente solicitado por el abonado o el usuario”. Lo cual deja claro que no será requerido solicitar permiso en el caso de las cookies vinculadas al funcionamiento técnico de la propia web (aquí entra la persistencia de datos entre páginas, carritos de la compra, sesiones de usuario, etc.) o vinculadas a la gestión primaria de la misma por parte de sus responsables.

Publicidad basada en comportamiento

En el segundo caso tenemos un problema: se encuentra en el punto de mira del legislador. Sin duda es en este el ámbito que han quedado al desnudo las divergencias entre diferentes miembros de la UE en la aplicación de una normativa que se suponía común (con multa incluida al Reino Unido por su excesiva transigencia tras el caso BT-Phorm).

Al tiempo que varias agrupaciones profesionales buscan aún el acuerdo común en la interpretación de la nueva normativa en torno a la capacidad que tiene el usuario de ajustar preferencias en su navegador (por ejemplo, descartando cookies de tercera parte), y mientras surgen iniciativas diversas de “opt-out” al otro lado del charco (caso de la propuesta “do not track” de la Universidad de Stanford o el plan de la FTC), las agencias nacionales de protección de datos (agrupadas en el Grupo del 29 o “G29”) han aportado su propio punto de vista en el Dictamen 2/2010 “sobre publicidad comportamental” publicado en junio del año pasado. Entre otras cosas, el G29 descarta abiertamente la posibilidad de satisfacer la normativa sin mediar una acción positiva del usuario medio (poco acostumbrado a introducir cambios en las preferencias de un navegador).

¿Qué hago?

Con todo ello y otras cosas sobre la mesa, así es como podemos ir preparándonos para estar cubiertos en el peor de los casos (esto es, que el texto sea transpuesto mediante una mera copia literal de la Directiva y su interpretación relegada, en primera instancia, a la Agencia Española de Protección de Datos):

Si representas a un ad network, el grueso de las nuevas obligaciones cae sobre ti. Según el G29 tendrías que buscar la manera de que solicitar permiso expreso al usuario allí donde aparezca la publicidad que distribuyes, si bien bastará con hacerlo una única vez (al servir la cookie) para múltiples lecturas, siempre y cuando haya un límite temporal a este tiempo (el G29 habla de un año). ¿Cómo hacerlo? La fórmula queda por ahora a tu imaginación, pudiendo consistir en pop-ups o el aprovechamiento de un espacio facilitado por la web en que se muestra la publicidad a estos efectos.

Si eres un medio (editor) y comercializas espacios publicitarios a través de un ad network, se espera de ti una colaboración con el propio ad network para facilitar información al usuario e incluso facilitar tu real estate para la notificación y la obtención de permiso previo.

Si eres un anunciante, por ahora no se presentan preocupaciones adicionales. El G29 asume tu capacidad para vincular navegación o conversiones a campañas de origen, pero estamos hablando de tareas que no están dirigidas a permitir a terceros optimizar promoción alguna, sino a ayudarnos a nosotros mismos a supervisar, optimizar y garantizar la prestación óptima de esos servicios.

La situación ha despertado una imaginación desbordante en la industria, llegando a ofrecerse el uso de iconos contiguos a los banners que faciliten al usuario información sobre el seguimiento a que está siendo sometido. Otras ideas están en la probeta.

Ante esta encrucijada, me planteo: ¿no sería más fácil articular en la futura ley los mecanismos que obliguen (de forma indirecta) a los cuatro principales navegadores a bloquear cookies de tercera parte de serie, obligando a una acción expresa para aceptarlas? Uno de ellos ya funciona así y no sería difícil por parte del editor forzar al usuario a la migración a éste si el uso de navegadores non compliant conllevara un pago por el acceso a contenidos que de otro modo subvenciona la publicidad.

¿Tú qué piensas?

(este post es una versión extendida del artículo publicado en Interactiva Digital en diciembre de 2010)

Compartir en Facebook Ir a comentarios
Posts, , , , , , , , , , ,
Deja un comentario

5 Comentarios.

  1. Nicolás D'Angelo 27/01/2011 en 12:49

    Interesante artículo, sobre todo para los que no estamos muy puestos en temas de derecho (se agradece recibir la información “masticada”).

    Me surge una pregunta sobre tu pregunta del final (valga la redundancia): Indudablemente, sería mucho más fácil que los propios navegadores bloqueen las cookies por defecto, pero ¿Conocerá un “usuario medio” las ventajas, inconvenientes e implicaciones de volver a activarlas? O peor aún, ¿Encontrará la opción para hacerlo?

    Creo que todo lo que venga desactivado por defecto se quedará así para siempre.

    Saludos!

  2. Sergio Maldonado 27/01/2011 en 20:22

    Gracias, Nico! Coincido, todo lo que venga de serie tiene muchas posibilidades de quedarse como está :)

    De un modo u otro, todo apunta a una discriminación de las cookies de tercera parte en la próxima ola legislativa…

    Saludos

Deja una respuesta

Su dirección de correo electrónico no será publicada. Debe rellenar los campos obligatorios *

Connect with Facebook

*


You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

Trackbacks and Pingbacks: