Uso correcto de cookies analíticas

por | Nov 10, 2013 | AGPD, cookies

Las cookies son pequeños ficheros de texto que crea un sitio web en el terminal (PC, tablet, Smartphone…) y que sirven para distintas finalidades. Su uso está legislado y regulado dentro del  artículo 22.2 de la LSSI (Ley de Servicios de la Sociedad de la Información) que establece claramente que

Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

Es decir, que la norma general es que el sitio web sólo puede grabar cookies en la terminal del usuario tras haber obtenido su consentimiento después de haberles facilitado información.

La Agencia Española de Protección de Datos ha elaborado una detallada guía de uso de cookies accesible desde este enlace: Guía Cookies AGPD

En dicha guía, recoge, además del contenido de la ley, el dictamen 4/2012 del Grupo de Trabajo del Artículo 29  de la Dirección General de Justicia de la Comisión Europea.

La conclusión es que es admisible que el sitio web cree ciertas cookies sin solicitar permiso del usuario. Pero sólo las denominadas cookies exentas, que son las siguientes:
–    Cookies de entrada del usuario (por ejemplo las que conservan el carrito de la compra en una tienda online)
–    Cookies de sesión de autenticación o identificación de usuario (Las que permiten identificar que el usuario está registrado y ha introducido correctamente la contraseña, para poder mostrarle los contenidos de su zona privada)
–    Cookies de seguridad (por ejemplo las utilizadas para detectar intentos erróneos y reiterados de conexión a un sitio web).
–    Cookies de personalización de la interfaz de usuario (Ej: las que permiten recordar la elección de idioma del usuario)
–    Cookies de sesión de reproductor multimedia o para equilibrar la carga.
–    Cookies de complemento (plug-in) para intercambiar contenidos sociales.

Para cualquier otra cookies, con cualquier otra finalidad ES NECESARIO QUE EL SITIO WEB SOLICITE PREVIAMENTE EL PERMISO DEL USUARIO.

Unas de las cookies más utilizadas en España (y en muchos otros países) son las cookies analíticas de Google.  Pero estas cookies analíticas NO están dentro del grupo de cookies exentas y por tanto, es necesario obtener el permiso del usuario ANTES de grabarlas en su terminal.

Estas cookies analíticas de Google cubren una doble función:

–    A través de la zona privada del propietario de la web, permiten obtener información del número de visitantes, del origen de los mismos, del navegador que utilizan, del tiempo que permanecen en cada página, ect. Por lo que resultan muy útiles para los propietarios de los sitios web.

–    Para Google le dan información del comportamiento de los usuarios, lo que les permite afinar sus algoritmos publicitarios y obtener un mayor rendimiento económico de los anuncios que gestionan.

Pero el hecho de que Google, que controla información personal de muchísimos usuarios, tenga además información de sus hábitos de navegación, preferencias, etc , ha hecho saltar las alertas en materia de protección de datos.

De hecho, en la configuración por defecto del panel de Google Analytics, el propietario del sitio web comparte toda la información con Google, y salvo que se moleste en desactivar esta característica, puede estar incurriendo en una cesión ilegal de datos (Ver artículo previo en este blog:  http://www.adelopd.com/cookies-y-proteccion-de-datos/ )

Tanto es así que el gobierno alemán decidió en su día prohibir Google Analytics en las empresas alemanas, so pena de fuertes sanciones. http://www.adelopd.com/nuevo-tropiezo-de-google-en-alemania-por-la-privacidad/

¿Cómo saber si un sitio web está utilizando correctamente las cookies analíticas?
Veamos un ejemplo: Visitando el presente blog     http://www.adelopd.com

Utilizando el navegador Mozilla Firefox, entramos en Opciones-> Opciones
1)    Pinchamos en la opción “Privacidad”
2)    Pinchamos en el enlace “eliminar cookies de forma individual”

cookies_1

3)    Escribimos en el buscador la url del sitio. En este caso blog.adelopd.com y comprobamos que no encuentra ninguna cookie en el equipo porque no le hemos dado permiso -> CORRECTO

cookies_2

4)    Le damos permiso (Aceptamos el uso de cookies)

cookies_3

5)    Accedemos de nuevo a Opciones -> Opciones -> Privacidad y comprobamos que ahora sí nos ha grabado varias cookies

cookies_4

En concreto las analíticas de google que son _utma, _utmb, _utmc y _utmz, (Además de otra cookie de personalización, denominada cookie_compliance, que permite recordar que el usuario ya ha dado su consentimiento para no volver a pedírselo la próxima vez que navegue por el sitio.

¿Si quiero utilizar estas cookies analíticas, basta con utilizar un pop-up o un div flotante que informe del uso de cookies?
La respuesta es sencilla: Rotundamente NO.
No basta con “informar” de que le has grabado al usuario las cookies analíticas. La ley es muy clara y obliga a obtener el consentimiento ANTES de hacerlo.
El pop-up o div flotante no puede utilizarse para INFORMAR, sino para PEDIR PERMISO.  El matiz es importante, y las sanciones por incumplimiento leve de la LSSI pueden llegar a 30.000 euros. (Art. 39.1.c de la LSSI)

La Eurocámara aprueba un endurecimiento de las sanciones por protección de datos

por | Oct 28, 2013 | PROTECCION DATOS, SANCIONES

La comisión de Libertades Civiles de la Eurocámara ha aprobado –por una amplia mayoría de 49 votos a favor, 3 en contra y 1 abstención– reforzar las normas de la UE sobre protección de datos personales.

Las compañías que incumplan sus obligaciones de protección de datos se enfrentan a multas de hasta el 5% de su volumen de negocios o 100 millones de euros, la cantidad que resulte mayor. El Parlamento endurece así la propuesta original de Bruselas, que limitaba las sanciones a 1 millón de euros o el 2% del volumen de negocios.

«Esta votación es un momento muy importante para la democracia europea», ha dicho la vicepresidenta de la Comisión y responsable de Justicia, Viviane Reding, principal promotora de la reforma. «Envía una señal clara: a partir de hoy, la protección de datos está hecha en Europa», ha resaltado.

Fuente: Europa Press

Uso de Whatsapp o Spotbros en las comunicaciones entre abogado y cliente

por | Jul 19, 2013 | PROTECCION DATOS

Un colegio de Abogados catalán preguntó a la Autoridad Catalana de Protecció de Dades (www.apd.cat)  si resultaba adecuado el uso de ciertas aplicaciones de mensajería instantánea y comunicación como Whatsapp y Spotbros como una herramienta válida para comunicarse un abogado con sus clientes.

La Agencia, apoyándose en varios dictámenes de autoridades europeas de protección de datos, concluyó lo siguiente:

Tanto Whatsapp como Spotbros explicitan en la información de las respectivas páginas web que no pueden garantizar la seguridad de la información transmitida utilizando las respectivas apps.

Teniendo en cuenta esto, junto con varias vulnerabilidades detectadas, y dado que en el contexto de la relación entre abogado y clientes puede ser habitual la comunicación y tratamiento de datos sensibles (artículo 7 LOPD), la utilización de las aplicaciones de Whatsapp y de Spotbros no resulta recomendable, en relación con la seguridad exigida por la LOPD y el RLOPD.

Por ello recomienda a todos los abogados y profesionales que manejen información sensible que NO utilicen estas aplicaciones de comunicación para ello.

Enlace al texto completo de la consulta. (En catalán)

El contrato con terceros no libera de responsabilidad al Responsable del Fichero

por | Jul 5, 2013 | PROTECCION DATOS, SANCIONES

Una empresa especializada en venta directa (Yves Rocher), tiene encargada a un proveedor el servicio de atención al cliente.

Un cliente solicita la baja en la recepción de correos y el proveedor (Iberphone, SAU) no realiza correctamente el procedimiento de baja, por lo que el cliente sigue recibiendo correos no deseados.

¿De quién es la responsabilidad?

El error claramente lo ha cometido el proveedor encargado del tratamiento, pero la AGPD considera que Yves Rocher (Responsable del Fichero) no adoptó las precauciones para asegurarse de que su proveedor estaba trabajando correctamente.

Por ello, decidió sancionar a Yves Rocher con la cuantía mínima posible esa infracción: 33.000 €

Tienen la resolución aquí: PS-00498-2012, resuelta el 18/1/2013

NOTICIAS

por | Mar 26, 2009 | PROTECCION DATOS

Notificamos a nuestros clientes, que  el 21 de Diciembre de 2007 se aprobó el Reglamento de desarrollo de la Ley Orgánica 15/99, de 13 de Diciembre, de Protección de Datos de Carácter Personal.

El Nuevo Reglamento comprende el tratamiento automatizado y el no automatizado de los datos de carácter personal.