Las cookies, el consentimiento y las multas que vienen: si no quieres cookies, no te las comas

O de cómo el RGPD llegó también a las cookies

Desde que entró en funcionamiento el Reglamento General de Protección de Datos (RGPD o GDPR) cualquier recogida de datos personales exige un por qué «legítimo».

Las cookies, además de ser esas galletitas adorables que se comen, son también un medio para recoger datos personales durante la navegación por Internet. Algunas cookies sirven para que no tengamos que elegir idioma cada vez que entramos a una web, por ejemplo. Pero otras, tienen como misión acompañarnos en nuestra navegación y perfilar nuestras preferencias; ahora visitas un periódico, ahora haces la compra, ahora te metes en los deportes, ahora buscas un viaje… Es una forma, bastante eficaz, de conocer los hábitos y preferencias de los usuarios. Pero claro, si de esa monitorización no nos enteramos, parece que la cosa no se está haciendo bien.

¿Por qué? Porque según establece la Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSICE) se pueden instalar cookies pero «a condición de que los destinatarios hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular sobre los fines del tratamiento de los datos«.

Ese consentimiento, con el RGPD, ha de ser expreso. Es más debe darse opción a los usuarios para que se opongan a la instalación de las mismas. Es decir, si no quieres cookies, «no te las comas».

La Agencia Española de Protección de Datos está trabajando en una nueva guía de cookies que sustituirá a la anterior. En ella probablemente nos aclararán qué fórmulas de consentimiento son aceptables y cuáles no, cómo rechazar las cookies y cómo configurarlas. Se había anunciado para este verano pero parece que se ha retrasado un poco.

No obstante, se acaba de dictar la primera resolución tras un procedimiento sancionador (PS/00300/2019) que impone una multa de 24000 euros a la compañía VUELING AIRLINES, S.L. . La sanción viene por no dar la opción de oponerse a la instalación de cookies al usuario más allá de remitirle a la configuración de los navegadores para que las bloqueen.

La AEPD afirma: «no se facilita un sistema de gestión o panel de configuración de cookies que permita al usuario eliminarlas de forma granular. Para facilitar esta selección el panel podrá habilitar un mecanismo o botón para rechazar todas las cookies, otro para habilitar todas las cookies o hacerlo de forma granular para poder administrar preferencias. A este respecto se considera que la información ofrecida sobre las herramientas proporcionadas por varios navegadores para configurar las cookies sería complementaria a la anterior, pero insuficiente para el fin pretendido de permitir configurar las preferencias en forma granular o selectiva

Es decir que la propia AEPD ya nos está diciendo cómo configurar las cookies:

1.- Consentimiento explícito (como no podía ser de otra forma) con posibilidad de aceptar todas o rechazar todas las cookies.

2.- Consentimiento granular: es decir que sea posible elegir unas sí y otras no (a lo mejor no me importa que se hagan estadísticas de mi navegación pero sí me importa que me inserten cookies de terceros con fines comerciales)

3.- Información y transparencia: informar siempre y dejar claro qué cookies hay y que sea el usuario el que pueda elegir.

Abro aquí un paréntesis: puesto que «Internet somos todos», yo siempre pienso, no ya en los que nos dedicamos a esto, sino en los usuarios que todavía no saben para qué sirven las cookies (que son muchos, ojo). Si hasta la fecha creo que no he conocido a nadie (salvo insisto, los del gremio) que no le dé al «seguir navegando» o «aceptar cookies» sin leer ni una línea, me pregunto cómo explicarles, claramente, qué cookies hay, cuáles son necesarias y cuáles no, cuáles son de terceros y para qué sirven para que, con toda la información puedan aceptarlas o rechazarlas. Más de uno, ante un «pop up» amenazador con tres o cuatro botones saldrá de la página y dirá «quita, quita que me ha salido una cosa muy rara». Una vez más, habrá que ir educando al consumidor.

Hasta la fecha, todas las denuncias sobre el tema habían dado lugar a un «apercibimiento» como mucho por parte de la Agencia Española de Protección de Datos; algo así como un tirón de orejas con propósito de enmienda. Parece que la racha ha terminado y toca ponerse las pilas.

Entre la esperada guía, las sanciones y estas pautas (además de lo que han ido marcando otras autoridades de control de otros países) ya no tenemos excusa para ponernos manos a la obra…

Así que, si no quieres cookies… no te las comas.

Paz Martin

11 de octubre de 2019

#losdetallesimportan

La privacidad en el puesto de trabajo

La seguridad empieza por quienes tratan la información: los empleados

Un día cualquiera, en una oficina cualquiera.

Nos paseamos por los puestos de trabajo. Es la hora de comer pero tenemos una reunión. Los ordenadores están encendidos y se ven las pantallas. Las mesas tienen documentos y papeles. Muchas notas en post its. Nos acercamos: un listado de clientes por aquí, un par de nombres con sus respectivos teléfonos por allá. En algunos casos, incluso alguna contraseña… En alguna esquina, normalmente cerca de la impresora se acumula una pila de «papel sucio»: dicen que les da pena tirarlo y lo utilizan para «notas». Le damos la vuelta, son emails de trabajo, informes, facturas que no valen… En la propia impresora se acumulan documentos que todavía no han sido recogidos…

Lo que acabamos de describir no es extraño. De hecho es bastante frecuente encontrarlo en pequeñas, medianas y grandes empresas. Probablemente en estas empresas hicieron los deberes e iniciaron el camino de adaptación al Reglamento General de Protección de Datos (RGPD). Deseablemente existirán medidas de seguridad para proteger la información. Seguramente exista un responsable informático, de calidad o de seguridad que vea estas cosas y se tire de los pelos…

Y es que cuando hablamos de seguridad, aunque tengamos que hacer planteamientos holísticos que requieren a menudo inversiones y medios, también tenemos que mirar hacia dentro, hacia el último eslabón y erradicar las malas prácticas que se arrastran normalmente por pura comodidad. Como me tengo que levantar muchas veces, no bloqueo el ordenador; es que nos tenemos que aprender tantas contraseñas que se me olvidan; es que nos da pena tirar el papel sucio… En definitiva, sin malas intenciones y sin reparar en las consecuencias, abrimos «agujeros negros» y exponemos la seguridad y la confidencialidad de la información a riesgos innecesarios y fácilmente evitables.

¿Qué hacer?

Podemos hacer muchas cosas, algunas de ellas un poco impopulares porque son incómodas. Aquí algunos consejos:

1.- Concienciar. Si nuestros empleados y colaboradores no entienden que las malas prácticas suponen un riesgo, no moverán un dedo para solucionarlas. Hay que contarlo a través de formación presencial u online. Suena muy reiterativo pero a fuerza de insistir, las personas terminan mentalizándose. Los números son elocuentes: en una plantilla formada y concienciada existe un riesgo mucho menor por ejemplo de que se abran correos maliciosos.

2.- Establecer políticas y normas. Redactar una política que incluya unos mínimos tendrá dos efectos:

  • Transmitir de forma clara cuáles son las normas internas en materia de seguridad.
  • Demostrar en caso de incumplimiento que hemos establecido «reglas»

3.- Automatizar procesos: bloqueo automático a los pocos minutos, cambio de contraseñas periódico, buzones personales en las impresoras, monitores bien orientados en puesto de paso o de atención al público… Pero también poner destructoras y buzones cerrados para la destrucción confidencial de información. Tal vez sea molesto al principio pero son mínimos irrenunciables. Todo aquello que se pueda configurar «por defecto», hágase. Si esperamos que las personas lo hagan voluntariamente, con el tiempo, no se hará.

4.- Vigilar el cumplimiento. Si nadie denuncia estas situaciones, no se corregirán. Y si se producen, insistir en la formación. En el peor de los casos y ante incumplimientos muy graves la legislación laboral tiene respuestas. Probablemente no hará falta, pero habrá que señalar las cosas que se hacen mal y corregirlas.

5.- Suprimir el papel. En la medida de lo posible, ya que no en todos los negocios es viable. El planeta nos lo agradecerá y evitaremos que en la vida de un documento en papel desaparezcan los múltiples riesgos asociados: dónde se guarda, quién accede, cómo se destruye, etc. Si el papel es imprescindible que sea el mínimo, que tenga su lugar de almacenamiento (a ser posible con llave) y normas claras de uso.

Se dice constantemente que, en seguridad, el eslabón más débil de la cadena siempre es el usuario. No lo descuidemos. Ayudemos entre todos a crear un entorno seguro. Todos los días surgen nuevas amenazas: informemos de ellas y demos herramientas para detectarlas.

La responsabilidad proactiva que nos exige el RGPD empieza por aquí…

Madrid, 2 de octubre de 2019

Paz Martin

LEGAL THINGS ABOGADOS