Entradas

IAB Spain junto con la Agencia Española de Protección de Datos (AEPD) y las asociaciones Autocontrol, aea y adigital han presentado la Guía sobre el uso de las cookies, actualización a la nueva normativa de la primera guía en Europa sobre esta materia elaborada conjuntamente por la autoridad de protección de datos y los representantes de la industria.

La Guía, cuya versión anterior acumula más de dos millones de descargas, recoge las orientaciones, garantías y obligaciones que la industria debe aplicar para utilizar tanto cookies como tecnologías similares (fingerprinting y otras) cumpliendo la legislación vigente. El papel esencial que juegan las cookies para la prestación de numerosos servicios en Internet y, a la vez, las implicaciones que tienen en la privacidad de los usuarios ha determinado la necesidad de implantar un sistema en el que el usuario sea consciente de quién, cómo y para qué se están utilizando sus datos personales.

Durante la presentación de la Guía, la Directora General de IAB Spain, Reyes Justribo, ha puesto de relieve que esta actualización marcará un hito “puesto que sitúa al consumir en el centro, promueve que la industria digital tenga una herramienta útil para aplicar lo dicta la ley y consigue que el negocio siga evolucionando”.

El documento analiza la necesidad de obtener el consentimiento informado de usuario antes de instalar las cookies, recogiendo tanto la obligación de transparencia en la información como el consentimiento en sí mismo, teniendo en cuenta que la nueva normativa de protección de datos establece unos requisitos más estrictos. Además, la Guía se complementa con ejemplos prácticos de fórmulas válidas para recabar el consentimiento de los usuarios.

En cuanto a la transparencia a la hora de ofrecer información, la Guía determina que la información debe ser concisa, transparente e inteligible, utilizando un lenguaje claro y sencillo. Por tanto, debe evitarse el uso de frases confusas como “usamos cookies para personalizar su contenido y crear una mejor experiencia para usted” o “para mejorar su navegación”, o frases como “podemos utilizar sus datos personales para ofrecer servicios personalizados” para referirse a cookies publicitarias que almacenan información sobre el comportamiento de los usuarios mediante el análisis de los hábitos de navegación.

En el caso de que un usuario preste su consentimiento para el uso de cookies, la información debe seguir siendo fácilmente accesible, promoviendo la información por capas. La Guía clarifica también que esta información se debe facilitar antes del uso o instalación de las cookies mediante un formato visible, y que deberá mantenerse hasta que el usuario realice la acción requerida para otorgar el consentimiento o rechazar la instalación.

Modalidades de consentimiento

Como ejemplo de modalidad válida para recabar el consentimiento, la Guía incluye las opciones de aceptar, rechazar o configurar las cookies. Se admite la opción de “seguir navegando” como fórmula válida para obtener el consentimiento tras haber informado de ello, reforzando las garantías para que pueda ser considerada como una clara acción afirmativa e incorporando procedimientos para que denegar el consentimiento pueda ser tan sencillo como prestarlo.

En este sentido, la Guía indica que será necesario que el usuario realice una acción que pueda calificarse como una clara acción afirmativa. A modo de ejemplo, podrá considerarse así navegar a una sección distinta del sitio web (que no sea la segunda capa informativa sobre cookies ni la política de privacidad), deslizar la barra de desplazamiento, cerrar el aviso de la primera capa o pulsar sobre algún contenido del servicio, sin que pueda considerarse una aceptación el hecho de permanecer visualizando la pantalla, mover el ratón o pulsar una tecla del teclado.

El enlace o botón para administrar las preferencias debe llevar al usuario directamente al panel de configuración y podrá integrarse en la segunda capa informativa. La Guía recoge que en el panel podrán implementarse dos botones: uno para aceptar todas las cookies y otro para rechazarlas todas. Estas posibilidades se admiten con el fin de facilitar la navegación del usuario evitando que tenga que ir marcando una por una las cookies que acepta o rechaza, partiendo de la premisa de que se le ha ofrecido una información granular que le permita tomar decisiones de forma selectiva.

En la segunda capa, se añade la obligación de facilitar información sobre las transferencias de datos a terceros países realizadas por el editor; sobre la elaboración de perfiles, cuando implique la toma de decisiones automatizadas con efectos jurídicos para el usuario o que le afecten significativamente; y sobre el periodo de conservación de los datos, para que de este modo la información que se suministra contenga los extremos del artículo 13 del Reglamento General de Protección de Datos.

Por otro lado, la Guía también incluye un apartado sobre “actualización del consentimiento” en el que se destaca como buena práctica que la validez del mismo para el uso de una determinada cookie no tenga una duración superior a 24 meses y, que durante este tiempo, se conserve la selección realizada por el usuario sobre sus preferencias, sin que se le solicite un nuevo consentimiento cada vez que visite la página en cuestión.

Normativa aplicable

Las soluciones propuestas en la presente guía pretenden ofrecer orientaciones sobre cómo cumplir las obligaciones previstas en el apartado segundo del artículo 22 de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (LSSI), en relación con el Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica 3/2018 de Protección de Datos y garantía de los derechos digitales (LOPDGDD).

Dadas las múltiples complejidades que plantea el uso de las cookies, estas orientaciones no pretenden ofrecer una solución general y uniforme para el cumplimiento de la ley, sino que deben servir de guía para que las entidades adopten decisiones sobre la solución más adecuada a sus intereses y modelo de negocio.

Por último, hay que recordar que existen una serie de cookies exentas (cookies técnicas), que quedan excluidas del ámbito de aplicación del artículo 22.2 de la LSSI y sobre las que, por lo tanto, no es necesario informar ni obtener el consentimiento sobre su uso. No obstante, por razones de transparencia la Agencia recomienda informar de su utilización y recoge el siguiente ejemplo de cláusula informativa: “Este sitio web utiliza cookies que permiten el funcionamiento y la prestación de los servicios ofrecidos en el mismo”.

En la imagen, de izquierda a derecha: la Directora General de IAB Spain, Reyes Justribo; el Presidente de IAB Spain, Ángel Fernández Nebot; el Vocal Coordinador de la UA y Relaciones Institucionales AEPD, Jesús Rubí;  la Directora Jurídica de IAB Spain, Paula Ortiz y el Vicepresidente de IAB Spain, Tacho Orero.

Puedes descargarte la Guía aquí 

Paula Ortiz, Directora Jurídica de IAB Spain, ha participado en el Curso de Verano de la UIMP, ‘Tecnologías de seguimiento, perfilado y protección de datos’, patrocinado por la Agencia Española de Protección de Datos.

Paula Ortiz ha representado a IAB Spain en una mesa de debate moderada por Luis de Salvador Carrasco, Subdirector adjunto de Inspección en la Agencia Española de Protección de Datos. En el debate participará también Narseo Vallina Rodríguez, Research Assistant Professor de IMDEA Networks Institute (Berkley, California).

Puedes conocer todo el programa aquí 

Mientras continua el proceso de negociación de salida de Reino Unido de la Unión, las dudas sobre cómo afectará el Brexit a la protección de datos se va acrecentando. Por eso, IAB Spain se ha reunido con representantes del Gobierno de Reino Unido en España para analizar los diferentes escenarios en la transferencia de datos. A raíz de esa reunión, IAB Spain ha preparado unas FAQ sobre el tema que se pueden consultar aquí

En la imagen, la Directora General de IAB Spain, Reyes Justribo y Paula Ortiz, Directora Jurídica y de Relaciones Institucionales de la Asociación, junto a los representantes del Gobierno de Reino Unido en España.

Esta semana se han recibido reclamaciones presentadas ante cuatro Autoridades Europeas de Protección de Datos, entre ellas España, además de Bélgica, Luxemburgo, y Países Bajos por parte de varios activistas de la privacidad. Esto sigue a otras reclamaciones como parte de un enfoque coordinado para generar una “cascada de reclamaciones” a un amplio abanico de autoridades de protección de datos.

Como la naturaleza de las reclamaciones es muy similar, esto sugiere que todavía existe cierta confusión con respecto al funcionamiento de la industria publicitaria digital, el papel que juega una asociación comercial sin ánimo de lucro como IAB y la finalidad del marco Transparency & Consent Framework (TCF) de IAB Europe.

Si bien este no es el foro para entrar en detalles sobre la naturaleza del Real Time Biding (RTB), se aporta a continuación información sobre el Marco de Transparencia y Consentimiento de IAB Europa (TCF).

El TCF se desarrolló con la única finalidad de garantizar que los datos personales que se tratan con fines de publicidad digital se traten con una base legal apropiada, cumpliendo los requisitos del RGPD para esa base legal.

La versión actual de TCF permite a los editores de sitios web obtener el consentimiento de un usuario para el tratamiento de datos personales en relación con la personalización de contenido y publicidad, y almacenar o acceder a información relacionada con el tratamiento de datos para cada una de esas finalidades. Durante este proceso, las empresas de tecnología de publicidad (B2B) con las que trabaja el editor para generar ingresos publicitarios para su sitio también se muestran al usuario.

El TCF utiliza un protocolo estandarizado (una serie de reglas, directrices e idioma) para capturar y comunicar de manera coherente las elecciones realizadas por el usuario del sitio web. El protocolo deja claro a todas las partes que operan dentro de una cadena de valor de publicidad digital qué proveedores han recibido el consentimiento del usuario para el tratamiento de datos y para qué fines. Si algún proveedor o Consent Management Platform (CMP) que implementa el TCF comparte los datos personales de un usuario con otro proveedor que no tiene una base legal conforme al RGPD, ese proveedor o CMP está infringiendo las Políticas y los Términos y Condiciones del TCF y será suspendido del Marco.

El TCF se lanzó en abril de 2018 y recientemente se ha publicado una actualización, la versión 2.0, sometida a consulta pública. Una vez implementado, la Versión 2.0 integrará además, la funcionalidad de “derecho de oposición” de los usuarios directamente en la cadena. Esto aumentará la visibilidad y el control para los usuarios y editores y reforzará la confianza a los usuarios de que sus datos no se pueden usar para anuncios personalizados cuando así lo hayan decidido.

Durante el año pasado, la versión 1 del TCF se presentó a un alto número Autoridades de Protección de Datos. De hecho, algunos de los cambios de la Versión 2 reflejan nuestros intentos de tener en cuenta la respuesta de las autoridades para la versión 1. A medida que se implanta la versión 2.0 y los importantes cambios que conlleva (puedes informarte aquí), continuaremos trabajando con las autoridades y buscando su orientación sobre cómo el Marco puede promover el cumplimiento tanto con el RGPD como con el Reglamento de e-Privacidad. En IAB Spain estamos siguiendo el tema de cerca y os iremos informando de todas las novedades.

Para más información puedes contactar con paula@iabspain.es

También puedes leer aquí un artículo escrito por el editor de Exchangewire sobre el valor que aporta el Transparency & Consent Framework (TFC) a la industria.


Hoy se ha realizado en IAB Spain otro de los encuentros del RGPD en el que algunos de los principales actores del ecosistema publicitario han puesto a debate y sobre la mesa las principales cuestiones que les preocupan en cuanto a la aplicación del nuevo Reglamento de Protección de Datos que entró en vigor el pasado 25 de mayo.

En este Desayuno Temático exclusivo para asociados de IAB Spain y sus clientes, han participado: Beatriz Medina, Head of Digital de Atresmedia y Presidenta de IAB Spain, Remi Bourdad, Country Lead for Spain de AppNexus, Cristina Sánchez, Media Strategy Director de Smartclip y Daniel Solís, Head of Legal and DPO en Havas.

En este encuentro se han tratado algunos temas como son la adaptación real que las empresas del sector de la publicidad y la comunicación digital están haciendo y cómo se encuentran a una semana de la aprobación del Reglamento. Además se ha puesto a debate las diferentes visiones de cada actor del ecosistema, y de cómo se han adaptado al reglamento. Sin embargo, a una semana de la aprobación del nuevo Reglamento de Protección de Datos las empresas aún no están preparadas del todo ya que hilar la parte legal con la técnica es muy complicado.

#IABDesayuno

Esta mañana en IAB Spain se ha celebrado el Desayuno Temático: “Dudas con la aplicación del Reglamento de Protección de Datos” en la que Francisco Javier Cayo (abogado de Deloyers) y Jaime Perea Amor ( Abogado -Dtor. Dpto. Legal Grupo Adaptalia) han ayudado a los asistentes a resolver las dudas al respecto del nuevo Reglamento de Protección de Datos que justo entra hoy en vigor.

En el mismo se ha hablado de la necesidad de renovación del consentimiento y de cómo hacerlo, las bases legales para el tratamiento de datos con fines publicitarios, la elaboración de políticas de privacidad, la relación de contratos y de la interrelación del RGPD con la LSSI.

Si quieres saber más sobre el RGPD, te invitamos a los siguientes Desayunos que se celebrarán en junio:

  • 1 de junio Debate entre los diferentes actores del ecosistema de publicidad digital, sobre el impacto y los principales aspectos que les preocupan.
  • 8 de junio Aspectos técnicos del Marco de Transparencia y consentimiento de IAB Europe.
  • 15 de junio Informe de la  AEPD sobre RGPD y publicidad.

 

Estos desayunos son exclusivos para asociados de IAB Spain y sus clientes.

Si creíamos que con el Reglamento Europeo de Protección de Datos teníamos suficientes novedades para digerir e implementar, parece que estábamos equivocados.  Esta semana se ha filtrado el borrador de la propuesta de la Comisión para reformar la actual Directiva de Privacidad Electrónica (también conocida como la Directiva de las Cookies).

El texto es un Reglamento, por lo que será de aplicación directa en todos los Estados miembros y entrará en vigor en 6 meses después de su publicación en el Diario Oficial de la Unión Europea, lo que supone un margen de tiempo mucho menor del que da el Reglamento de Protección de Datos (24 meses).

Teniendo en cuenta que es sólo un borrador y estará sujeto a cambios a medida que pase por el proceso legislativo, se apuntan a continuación las principales novedades que afectan a la publicidad digital:

  • La propuesta de Reglamento de e-Privacidad amplía, al igual que el Reglamento Europeo de Protección de Datos, el ámbito territorial, y será de aplicación a los datos de servicios de usuarios finales dentro de la UE, independientemente de si el tratamiento tiene lugar en la UE o fuera.
  • El Reglamento extiende además su aplicación a los Servicios Over The Top (OTT) e Internet de las Cosas.
  • Introduce nuevos conceptos como “metadatos de comunicaciones electrónicas” y los distingue del concepto de “contenido de las comunicaciones electrónicas”. Establece que estos metadatos se podrán tratar para motivos de seguridad, detectar fallos técnicos y evitar fraude o abuso del servicio, o dar servicios de valor añadido (siempre que se cuente con el consentimiento) y se deberán eliminar o anonimizar cuando se haya llevado a cabo la comunicación, excepto cuando existan motivos legales para mantenerla.
  • La nueva norma endurece las exigencias para las cookies de terceros y además incluye las tecnologías de seguimiento (como fingerprinting) requiriendo consentimiento previo para ambas. No obstante, se exceptúa de la necesidad de consentimiento las cookies de analítica web de primera parte.
  • Bajo el título “Privacy by Design” está uno de los elementos con más trascencencia para la publicidad digital, se trata de la activación del sistema Do Not Track, que significa que los fabricantes de dispositivos, proveedores de software y navegadores deberán bloquear las cookies de terceros por defecto, debiendo ser el usuario el que las active.
  • Las comunicaciones comerciales no deseadas, sigue la exigencia de consentimiento previo, y para productos similares el derecho de oposición (opt out)
  • El régimen sancionador establece unas multas similares al del Reglamento Europeo de Protección de Datos de hasta un 4% del volumen de negocios mundial anual o hasta un máximo de 20 millones de euros.

IAB Spain ha enviado una carta, junto con sus colegas de IAB Europe y otros IAB´s nacionales al vicepresidente Ansip señalando el papel fundamental de la publicidad basada en intereses en la financiación de los medios de comunicación online y la importancia de que la nueva normativa sobre privacidad electrónica no aún vaya más allá de las ya rigurosas disposiciones del Reglamento Europeo de Protección de Datos. Aunque hay que ser cautelosos con esta versión y los posibles cambios futuros, lo cierto es que a día de hoy la norma tendría un importante impacto en los medios online, en las compañías de publicidad digital sin necesariamente mejorar la privacidad del usuario, que tendrán que aceptar unos nuevos términos y condiciones para entrar en las webs.