Gestion_cookies

La gestión de cookies

    La cuestión de la gestión de cookies es un tema actual en el ámbito de la protección de datos de los sitios web.

    Tras haber examinado este año diversos aspectos individuales del uso de cookies y tecnologías similares, así como de las soluciones de gestión del consentimiento, hoy nos gustaría centrarnos en la aplicación concreta de soluciones de gestión del consentimiento en los sitios web y en los escollos jurídicos y técnicos asociados para ayudar a los operadores de sitios web que se enfrentan actualmente a la elección de un sistema de este tipo.

    Requisitos generales de los sistemas de gestión del consentimiento

    Al menos hasta que se disponga de sistemas de gestión de información personal (PIMS), los operadores de sitios web que deseen utilizar algo más que cookies y otras tecnologías similares técnicamente necesarias tendrán que recurrir a las soluciones de gestión del consentimiento actualmente disponibles en el mercado.

    Para que el uso de cookies y tecnologías similares sea lo más legal posible, los responsables de la toma de decisiones deben considerar no sólo el coste de la solución de gestión del consentimiento, sino también su funcionalidad y el cumplimiento de la protección de datos del propio sistema antes de decidirse por un proveedor concreto.

    Dado que las soluciones habituales de gestión del consentimiento trabajan con seudónimos para distinguir a los usuarios individuales y su estado de consentimiento, esto requiere regularmente también la celebración de un contrato de encargado de tratamiento, lo que actualmente no es posible con todos los proveedores.

    Sin embargo, como demuestra la reciente decisión de un tribunal alemán, las plataformas de gestión del consentimiento (plugins) que se utilizan con frecuencia, no se garantiza necesariamente un uso completamente conforme a la ley. Por lo tanto, no debe subestimarse la cuestión de la transferencia de datos a terceros países por parte de los proveedores de gestión del consentimiento, que constituye la base de la decisión. Esto se aplica a los casos en los que los proveedores terceros tienen su sede fuera de la Unión Europea o del Espacio Económico Europeo, así como a los casos en los que se utilizan proveedores de servicios de alojamiento o en la nube en terceros países como subcontratistas del proveedor.

    En estos casos, es esencial prestar atención a la eficacia de las cláusulas contractuales estándar con el proveedor o el correspondiente compromiso contractual del subcontratista del proveedor, que cumplen los requisitos. En particular, la evaluación de impacto de la transferencia de datos debería dar un resultado positivo.

    Además, un sistema de gestión del consentimiento debe permitir al responsable del tratamiento documentar la obtención del consentimiento, así como la aplicación de las revocaciones, de manera reproducible y probatoria, con el fin de cumplir los requisitos de responsabilidad previstos en el artículo 5, apartado 2, del RGPD.

    Las opciones de control en los sistemas de gestión del consentimiento y su aplicación efectiva pueden.


    Cumplimiento de las obligaciones de información.

    Al implantar una solución de gestión del consentimiento, hay que asegurarse de que se cumplen las obligaciones legales de información o de que no se ven perjudicadas. En primer lugar, esto se refiere tanto al contenido de la información como a la estructura de un banner de consentimiento.

    Aunque las autoridades de control suelen considerar admisible trabajar con diferentes niveles de información debido al alcance de la información que se debe proporcionar al visitante del sitio web, se debe tener cuidado de garantizar que la información esencial se proporcione a los interesados en el primer nivel.

    Según la autoridad, los fines del tratamiento también deben describirse en términos concretos en los carteles de consentimiento y no sólo en clichés. Lo mismo ocurre con la transmisión a destinatarios específicos y la elaboración de perfiles que es habitual en el sector del marketing.

    Para ello, no basta con una mera enumeración de información en forma de palabras clave, en particular sobre las categorías de tratamiento de datos y las descripciones de la finalidad en el cartel de consentimiento y la referencia a una «información completa» en la declaración de protección de datos, que rara vez es más amplia en la práctica.

    Sin embargo, una información suficientemente transparente de los interesados es un requisito obligatorio para la eficacia de cualquier consentimiento. Por lo tanto, los déficits de información en la gestión del consentimiento pueden dar lugar a un tratamiento de datos sin base legal.

    Además, a la hora de seleccionar y configurar el banner de consentimiento, hay que procurar que el anidamiento excesivo de información o un número excesivo de niveles de información no ponga en peligro la transparencia.

    A la hora de diseñar la función de banner de contenido, hay que prestar especial atención a que la política de privacidad y otra información obligatoria, como el pie de página, puedan ser consultadas y percibidas sin restricciones. Además de un enlace suplementario en un lugar destacado del banner, también es aconsejable evitar que el sitio web aparezca en gris en el fondo o que se superponga la declaración de protección de datos y el pie de página con el banner de consentimiento o los enlaces correspondientes en el pie de las páginas web.

    Esto también debe aplicarse a las visualizaciones del sitio web en dispositivos móviles, como teléfonos inteligentes o tabletas, lo que a menudo no se garantiza en la práctica.


    Textos estándar, escaneos automáticos y actualización de la información de las cookies.

    Los proveedores de sistemas de gestión del consentimiento ofrecen textos informativos «listos para usar». Sin embargo, éstas suelen ser incompletas cuando se comparan con los requisitos reglamentarios relativos al alcance y la transparencia de la información y, por lo tanto, son muy arriesgadas.

    Aunque casi todos los sistemas disponibles en el mercado permiten también una adaptación de los textos estándar, la experiencia ha demostrado que a menudo los responsables y sus proveedores de servicios no tienen claro cómo se pueden hacer esas adaptaciones.

    Además, a veces surgen problemas considerables debido a las limitaciones técnicas del número de caracteres en los respectivos textos informativos, por ejemplo en las descripciones de las categorías o de las cookies, debido al uso de párrafos y caracteres especiales como las diéresis. Esto afecta negativamente tanto a la cantidad de información requerida como a la legibilidad y, por tanto, a la transparencia en su conjunto.

    Los sistemas de gestión de consentimientos ofrecen regularmente la opción de que los sitios web sean escaneados en busca de nuevas cookies y técnicas similares o servicios de terceros integrados durante la configuración inicial y a determinados intervalos.

    Posteriormente, las cookies y técnicas similares identificadas se clasifican automáticamente y se complementan con más información, en particular con descripciones de la finalidad y detalles del proveedor.

    Sin embargo, la fiabilidad y la utilidad de los resultados de la exploración dependen de la clasificación realizada por los proveedores de las plataformas de gestión del consentimiento y a menudo no se corresponden con las opiniones actuales de las autoridades de supervisión. Por ejemplo, Google Anslytics se clasifica habitualmente como un servicio de «análisis» o «estadística», aunque en opinión de las autoridades de control, Google Analytics hace tiempo que dejó de ser una mera herramienta de medición del alcance estadístico.

    Además, los propios proveedores de gestión del consentimiento no suelen conocer todas las cookies y técnicas similares utilizadas, por lo que éstas aparecen como «no clasificadas» en los escaneos y sin la correspondiente información detallada.

    La experiencia ha demostrado que las descripciones proporcionadas por los proveedores de gestión del consentimiento sobre el alcance del tratamiento de datos y los fines de las cookies y tecnologías similares ya clasificadas no son lo suficientemente precisas ni comprensibles. A veces incluso faltan traducciones adecuadas.

    La evaluación automatizada de las cookies, sólo se nombra regularmente el dominio que establece una cookie en lugar del proveedor real de terceros. Esto hace que, por ejemplo, youtube.com aparezca como proveedor, aunque Google sea el verdadero proveedor externo. Del mismo modo, en la práctica a veces se indica que el «proveedor» de la cookie de Google Analytics utilizada es el dominio del sitio web en lugar del proveedor tercero Google.

    Por último, los proveedores de soluciones de gestión del consentimiento no suelen proporcionar información, o no lo hacen de forma suficiente, sobre los terceros países a los que se transfieren los datos o sobre el nivel de protección de los datos en ellos de forma automatizada en los primeros niveles de información del banner de consentimiento. En este caso, el operador del sitio web debe intentar añadir la información correspondiente manualmente, por ejemplo, en las descripciones de propósito.

    Esto significa que la información sobre la protección de datos en los banners de consentimiento, que se crea exclusivamente sobre la base de los escaneos del sitio web por parte de los proveedores de gestión de consentimiento, regularmente resulta no ser legalmente segura.

    Debido a las insuficiencias de la información proporcionada por los escaneos de sitios web, es imperativo que cada operador de sitios web examine críticamente los resultados del escaneo, los aclare con el responsable de la protección de datos y, si es necesario, ajuste o complemente manualmente la información.

    Por último, también es aconsejable permitir futuras comprobaciones y ajustes críticos mediante un seguimiento adecuado.


    Aplicación de las adaptaciones: Dos caras de la misma moneda

    Además, los responsables y sus proveedores de servicios deben ser conscientes de que los ajustes en el sistema de gestión del consentimiento pueden no ser suficientes por sí solos.

    Por ejemplo, un cambio en Google Analytics de la categoría «Estadísticas» a la categoría «Marketing» debe ir acompañado regularmente de ajustes en el propio sitio web. Si sólo se ajusta la categoría en la gestión del consentimiento, existe el riesgo de que las etiquetas HTML o JavaScript integradas en el sitio web sigan activándose al seleccionar y deseleccionar la categoría «Estadísticas», aunque el visitante del sitio web en cuestión no haya dado su consentimiento expreso a las cookies y técnicas similares en la categoría «Marketing» o a Google Analytics como servicio.

    En la medida en que se realicen los correspondientes cambios en la configuración de la gestión del consentimiento por parte de diferentes departamentos o proveedores de servicios, los responsables del tratamiento deben garantizar la coordinación entre las partes implicadas (por ejemplo, los diseñadores de la web y los departamentos de marketing) para no poner en peligro la aplicación técnica efectiva de los ajustes.

    La experiencia en la consultoría de protección de datos también enseña que los cambios posteriores en la gestión del consentimiento y los correspondientes activadores en el sitio web pueden suponer importantes costes por cambios en la programación del sitio web y afectar negativamente a los calendarios corporativos.

    Por ello, para evitar costes adicionales, cumplir los plazos y excluir o reducir los riesgos, se recomienda que los responsables de la protección de datos, los diseñadores de páginas web y los departamentos de marketing colaboren estrechamente incluso antes de dar los primeros pasos de implantación.

    Integración en las declaraciones de cookies o de protección de datos

    Además, los sistemas de gestión del consentimiento suelen ofrecer la posibilidad de transferir el contenido informativo de los banners a las declaraciones de protección de datos mediante JavaScript.

    Esto garantiza que la política de privacidad contenga siempre la misma información, y en el mejor de los casos, igual de actualizada que el banner de consentimiento. Sin embargo, los responsables deben aclarar en cada caso concreto si se puede adoptar la información y cuál es. En cualquier caso, estas posibilidades no deben dejarse de lado.

    Sin embargo, una transferencia automática de información desde el Banner de Consentimiento no exime regularmente al responsable del tratamiento de datos de comprobar, revisar o completar las descripciones del tratamiento de datos por parte de los respectivos servicios de terceros utilizados.

    Este es el caso, en particular, de las soluciones de gestión del consentimiento que se centran en la obtención del consentimiento para el uso de cookies y tecnologías similares o categorías correspondientes, en lugar de obtener el consentimiento en función del servicio o la herramienta.

    En el caso de los primeros, el alcance del tratamiento de datos no suele ser suficientemente claro debido a la falta de asignación de las cookies individuales y tecnologías similares a los respectivos servicios integrados, lo que puede conducir a una falta de transparencia de la información y, por tanto, a la invalidez del consentimiento.

    Por lo tanto, es aconsejable consultar regularmente la información complementaria sobre los servicios utilizados en el resto de la declaración de protección de datos en el caso de los contenidos de los banners integrados a través de JavaScript.

    A la inversa, la información sobre la protección de datos en los servicios utilizados en estos casos debería enumerar específicamente las cookies y tecnologías similares utilizadas por el servicio respectivo con la respectiva información requerida sobre los fines, los destinatarios, la transmisión a terceros países y la duración del almacenamiento o, al menos, hacer referencia al contenido del banner integrado automáticamente.

    En cambio, en el caso de las soluciones de gestión del consentimiento que presentan la información en función del servicio o de la herramienta, normalmente ya se incluye una asignación de las cookies individuales y tecnologías similares. A este respecto, sólo bastan los controles de contenido y, si es necesario, los ajustes.

    En cualquier caso, el responsable debe asegurarse de que la información del banner de contenidos y la política de privacidad no se contradicen. Por esta razón, también es aconsejable utilizar un documento uniforme en lugar de declaraciones separadas de «cookies» y «protección de datos», ya que la experiencia ha demostrado que las presentaciones separadas aumentan el riesgo de información contradictoria.

    Facilitar la aplicación del derecho de desistimiento

    Por último, a la hora de implantar un sistema de gestión del consentimiento, hay que procurar que sea tan fácil retirarlo como darlo. Si el consentimiento se obtiene mediante un banner de consentimiento, debe ser posible que el visitante del sitio web revoque su consentimiento de la misma manera.

    Para ello, los sistemas de gestión del consentimiento disponibles en el mercado suelen ofrecer la opción de revocar el banner a través de un enlace, por ejemplo, la configuración de las cookies o la configuración de la privacidad, a través de un icono de huella digital o de cookie, que puede estar disponible en la parte inferior o en el pie de página de cualquier página web.

    En la práctica, sin embargo, los operadores de sitios web no utilizan repetidamente estas posibilidades técnicas de los sistemas de gestión del consentimiento, lo que aumenta considerablemente el riesgo de reclamaciones. Por lo tanto, es aconsejable aplicar realmente las funciones correspondientes del sistema de gestión del consentimiento.

    Conclusión:

    El cumplimiento de los requisitos para la gestión del consentimiento en los sitios web está asociado a numerosos retos legales y reales. Por lo tanto, antes de que los responsables pongan en marcha sus sitios web, debe garantizarse una gestión eficaz del consentimiento. Para evitar costes y esfuerzos innecesarios, así como riesgos, es aconsejable tener en cuenta los puntos mencionados y garantizar una estrecha colaboración entre los responsables de la protección de datos como Alisios Consultores, los departamentos de marketing y los desarrolladores de sitios web ya en la fase de planificación de un nuevo sitio web, a fin de encontrar y aplicar correctamente una solución de gestión del consentimiento que se adapte al contenido del sitio web y cumpla los requisitos legales.

    Fecha

    La cuestión de la gestión de cookies es un tema actual en el ámbito de la protección de datos de los sitios web.

    SOLICITE INFORMACIÓN

    NOS PONDREMOS EN CONTACTO EN MENOS DE 24H.

    Más
    artículos

    Alisios Consultores

    Somos líderes en certificación, auditoría y evaluaciones en las áreas de calidad, medioambiente, seguridad alimentaria y salud en el trabajo.

    Certificación de Sistemas

    Cambio Climático - ODS

    Seguridad Alimentaria

    Oficinas en:

    Santa Cruz de Tenerife – Las Palmas de G.C. – Lanzarote – Madrid – Barcelona – Murcia – Zaragoza – País Vasco – Sevilla – Málaga – Valencia –  Mallorca – Salamanca

    ©2004-2025 – ALISIOS CONSULTORES®

    Protección de Datos | ISO 9001 | ISO 14001 | ISO 27001| ISO 45001 | ISO 22000 | Huella de Carbono | ENS | CompliancePlanes de Igualdad

    error: Contenido protegido!!