La Directiva de Cookies

 

Reproduzco a continuación la entrada del estupendo blog Privacidad práctica la entrada publicada por el experto don Santiago Bermell:

¿Por qué ha vuelto a saltar a los medios de comunicación una directiva de diciembre de 2009?

Me refiero a la Directiva 2009/136/CE del parlamento europeo y del consejo, de 25 de noviembre de 2009, por la que se modifican la Directiva 2002/22/CE relativa al servicio universal y los derechos de los usuarios en relación con las redes y los servicios de comunicaciones electrónicas, la Directiva 2002/58/CE relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas y el Reglamento (CE) no 2006/2004 sobre la cooperación en materia de protección de los consumidores.

Pues es su entrada en vigor, que como indica en su artículo 4. Transposición:

“1. Los Estados miembros adoptarán y publicarán, a más tardar el 25  de mayo de 2011, las disposiciones legales, reglamentarias y administrativas necesarias para dar cumplimiento a lo establecido en la presente Directiva. Comunicarán inmediatamente a la Comisión el texto de dichas disposiciones.

Pero vamos a empezar con la definición de cookie.

Definición de cookie (wikipedia):

Una cookie (literalmente galleta) es un fragmento de información que se almacena en el disco duro del visitante de una página web a través de su navegador, a petición del servidor de la página. Esta información puede ser luego recuperada por el servidor en posteriores visitas. En ocasiones también se le llama “huella”. Las inventó Lou Montulli, un antiguo empleado de Netscape Communications.

Al ser el protocolo HTTP incapaz de mantener información por sí mismo, para que se pueda conservar información entre una página vista y otra (como login de usuario, preferencias de colores, etc), ésta debe ser almacenada, ya sea en la URL de la página, en el propio servidor, o en una cookie en el ordenador del visitante.

De esta forma, los usos más frecuentes de las cookies son:

• Llevar el control de usuarios: cuando un usuario introduce su nombre de usuario y contraseña, se almacena una cookie para que no tenga que estar introduciéndolas para cada página del servidor. Sin embargo una cookie no identifica a una persona, sino a una combinación de computador-navegador-usuario.

• Conseguir información sobre los hábitos de navegación del usuario, e intentos de spyware, por parte de agencias de publicidad y otros. Esto puede causar problemas de privacidad y es una de las razones por la que las cookies tienen sus detractores.

Originalmente, sólo podían ser almacenadas por petición de un CGI desde el servidor, pero Netscape dio a su lenguaje Javascript la capacidad de introducirlas directamente desde el cliente, sin necesidad de CGIs. En un principio, debido a errores del navegador, esto dio algunos problemas de seguridad. Las cookies pueden ser borradas, aceptadas o bloqueadas según desee, para esto sólo debe configurar convenientemente el navegador web.

También es interesante resaltar la diferencia siguiente (de zonavirus)

Hay dos clases de cookies: las de origen y las de terceros. Las primeras las emite el mismo sitio web que se está visitando y sólo él puede consultar la información.

Muchos sitios además sirven cookies de terceros, que están diseñadas para que otras compañías, generalmente publicitarias, accedan a los datos.

O la clasificación de Microsoft

Las cookies persistentes o guardadas: permanecen en su equipo después de cerrar Internet Explorer. Los sitios web las usan para almacenar información, como el nombre y la contraseña de inicio de sesión, para que no tenga que iniciar sesión cada vez que vaya a un sitio determinado. Las cookies persistentes pueden permanecer en el equipo durante días, meses e incluso años.

Las cookies de origen proceden del sitio web que está viendo y pueden ser persistentes o temporales. Los sitios web pueden utilizar estas cookies para almacenar información que volverán a utilizar la próxima vez que usted vaya al sitio.

Las cookies de terceros proceden de anuncios de otros sitios web (como anuncios de pancarta o emergentes) situados en el sitio web que está viendo. Los sitios web pueden usar estas cookies para realizar un seguimiento del uso que da a Internet a efectos de marketing.

Pero, ¿qué cambios se han introducido en la Directiva 2002/58/CE en materia de cookies? Vamos a ver el texto anterior y el nuevo:

Redacción anterior. Redacción actual.
3. Los Estados miembros velarán por que únicamente se permita el uso de las redes de comunicaciones electrónicas con fines de almacenamiento de información o de obtención de acceso a la información almacenada en el equipo terminal de un abonado o usuario a condición de que se facilite a dicho abonado o usuario información clara y completa, en particular sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Directiva 95/46/CE y de que el responsable del tratamiento de los datos le ofrezca el derecho de negarse a dicho tratamiento.La presente disposición no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar o facilitar la transmisión de una comunicación a través de una red de comunicaciones electrónicas, o en la medida de lo estrictamente necesario a fin de proporcionar a una empresa de información un servicio expresamente solicitado por el usuario o el abonado. 3. Los Estados miembros velarán por que únicamente se permita el almacenamiento de información, o la obtención de acceso a la información ya almacenada, en el equipo terminal de un abonado o usuario, a condición de que dicho abonado o usuario haya dado su consentimiento después de que se le haya facilitado información clara y completa, en particular sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Directiva 95/46/CE.Lo anterior no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión de una comunicación a través de una red de comunicaciones electrónicas, o en la medida de lo estrictamente necesario a fin de que el proveedor de un servicio de la sociedad de la información preste un servicio expresamente solicitado por el abonado o el usuario.

Por lo tanto pasamos del conocido sistema opt-out (información y procedimiento posterior de baja u oposición), al sistema opt-in (información previa y consentimiento).

No obstante, es importante resaltar la última parte de este párrafo, que es la prestación de un servicio expresamente solicitado por el usuario. Esto va a permitir a todos las tiendas o webs donde el usuario se registre previamente, y se identifique para poder acceder, la utilización de cookies propias o variables de sesión, imprescindibles para el buen funcionamiento de estos servicios. Pero tanto el usuario como el prestador (sobre todo este último), deben establecer medidas para que estas variables de sesión se eliminen al cerrar la sesión. Lamentablemente de forma muy extendida, esto solo sucede cuando el usuario cierra el navegador, no solo la pestaña abierta de la página en la que se identificó. Pero se puede avanzar un poco más estableciendo el cierre de sesión tras varios minutos de inactividad (habitual en entidades financieras).

En cuanto al usuario, debería acostumbrarse a cerrar el navegador cuando se haya identificado en cualquier web, como parte de su rutina. Por no decir que un borrado de los ficheros temporales de navegación, también sería una tarea a tener en cuenta como habitual.

¿Y como está actualmente en nuestro ordenamiento jurídico?

Está recogido en el artículo 22.2 de la Ley de Servicios de la Sociedad de la Información y Correo Electrónico, y todavía no recoge la modificación de la directiva., como se puede ver en el texto a continuación (es una pena que no se haya aprovechado “también” la Ley de Economía Sostenible para hacer la adaptación).

Cuando los prestadores de servicios empleen dispositivos de almacenamiento y recuperación de datos en equipos terminales, informarán a los destinatarios de manera clara y completa sobre su utilización y finalidad, ofreciéndoles la posibilidad de rechazar el tratamiento de los datos mediante un procedimiento sencillo y gratuito.

Lo anterior no impedirá el posible almacenamiento o acceso a datos con el fin de efectuar o facilitar técnicamente la transmisión de una comunicación por una red de comunicaciones electrónicas o, en la medida que resulte estrictamente necesario, para la prestación de un servicio de la sociedad de la información expresamente solicitado por el destinatario.

Navegadores. Configuración y cambios.

El usuario debe conocer que todos los navegadores incorporan la posibilidad de configurar su comportamiento ante las cookies. Vamos a ver como se puede hacer en los 4 más usados:

Internet Explorer. A través de la opción del menú “Herramientas”, “Opciones de Internet”, en la pestaña de “Privacidad”, tenemos 5 opciones diferentes a escoger.

ie_cookies

1. Aceptar todas las cookies.

2. Baja: Bloquea cookies de terceros que no tienen una directiva de privacidad sólida. Restringe cookies de terceros que guardan información de contacto que se puede usar sin su consentimiento explícito.

3. Media (predeterminada): Bloquea cookies de terceros que no tienen una directiva de privacidad sólida. Bloquea cookies de terceros que guardan información de contacto que se puede usar sin su consentimiento explícito. Restringe cookies de origen que guardan información de contacto que se puede usar sin su consentimiento explícito.

4. Media alta: Bloquea cookies de terceros que no tienen una directiva de privacidad sólida. Bloquea cookies de terceros que guardan información de contacto que se puede usar sin su consentimiento explícito. Bloquea cookies de origen que guardan información de contacto que se puede usar sin su consentimiento explícito.

5. Alta: Bloquea todas las cookies de los sitios web que no tienen una directiva de privacidad sólida. Bloquea cookies que guardan información de contacto que se puede usar sin su consentimiento explícito.

6. Bloquear todas las cookies: bloquea todas las cookies, y no permite a los sitios webs leer las cookies que ya se encuentran en el equipo.

Mozilla Firefox. En el menú “Opciones”, “Opciones”, en la pestaña “Privacidad”. Engloba historial y cookies, partiendo de tres opciones.

firefox_cookies

1. Recordar historial

2. No recordar el historial.

3. Usar una configuración personalizada para el historial.

En cuanto a cookies, podemos marcar aceptar o no, incluir o no las de terceros. Además nos ofrece la posibilidad de mantenerlas hasta que:

a. Caduquen.

b. Se cierre Firefox.

c. Preguntar siempre

Google Chrome 10. En el menú, “Opciones”, “Avanzadas”, aparece Privacidad en primer lugar y en el botón “Configuración de contenido”, están las opciones que se pueden ver en la imagen a continuación.

chrome_cookies

Llama la atención, que aparece como opción “recomendado”, que se permitan todas las cookies.

Safari 5. En el menú, “”Preferencias”, pestaña seguridad

safari_cookies

Solo da 3 sencillas opciones con respecto a “Aceptar cookies”: Siempre, nunca, o Solo de los sitios que visito.

Aparece el texto “Bloquear cookies de publicidad y de terceros”, pero no como opción.

Vistas las posibles opciones de configuración de los navegadores, ¿hacia dónde están evolucionando los navegadores? O dicho de otra forma, sus nuevas características como Navegación Privada (Exploración InPrivate, Navegación Privada, Navegar de incógnito, Navegar de incógnito, según cada navegador respectivamente), o “Do not track” en su denominación en inglés, ¿son por iniciativa propia? La respuesta es no, éstas vienen impuestas por FTC (Comisión Federal de Comercio – EEUU). Más información en este enlace, en inglés, Huffington Post. Con lo que la Unión Europea, a través de esta directiva, parece estar apretándole también las tuercas a los fabricantes de estas aplicaciones.

¿Y las autoridades de protección de datos en Europa, que opinan al respecto?

Es fundamental la lectura del Dictamen 2/2010 sobre publicidad comportamental en línea, del grupo de trabajo del artículo 29[1].

En este dictamen cabe resaltar lo siguiente:

  • No es válida la fórmula de obtención del consentimiento a través de las opciones del navegador (aunque se explique como bloquear la cookie, no es válido).
  • Se debe limitar a un año como mucho la duración de las cookies.
  • Establecer mecanismos de revocación del consentimiento.
  • No se debe desviar a los avisos legales o condiciones generales el consentimiento.
  • Potenciar el uso de iconos con enlace a información complementaria sobre el uso de las cookies.

Competencia sancionadora.

Si la transposición de la directiva se efectúa en la Ley 34/2002 de servicios de la sociedad de la información y comercio electrónico, en el citado artículo 22, y conforme al 43.2, y al 38.4 g de la misma norma, la potestad sancionadora corresponderá a la Agencia Española de Protección de Datos, salvo que con la transposición se decida traspasar esta competencia al otro organismo público competente según esta norma, la Secretaría de Estado de Telecomunicaciones.

CONCLUSIONES:

  • Si la Directiva comunitaria no es transpuesta en plazo es de aplicación directa.
  • Se debe solicitar el consentimiento de forma previa a la utilización de cookies, con información detallada.
  • No debe superar el año la vida útil de la cookie.
  • Se deben establecer procedimientos sencillos de revocación.
  • Sería muy interesante ir hacia un icono estándar que amplíe la información de las cookies.
  • Para la prestación de servicios al usuario (por ejemplo procesos de compra en tienda, o a usuario que se identifica) no es aplicable, pero sin olvidar la obligación de informar, y solo para la prestación del servicio solicitado o contratado.

Habrá que ver como evolucionan o que soluciones se introducen, para intentar unificar y estandarizar el consentimiento, y no marear a los usuarios.

Sería interesante, que la Agencia Española de Protección de Datos (por cierto su web no usa cookies), diera una opinión práctica sobre este asunto, para que desde el principio estén las cosas claras.

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s