Archivos de la etiqueta: cookies

13Jul/18

¿A un administrador de una página de fans de Facebook se le aplica el GDPR?

Muchas veces, las actividades cotidianas que solemos realizar a lo largo del día pueden acarrear algún riesgo que solemos tener presente o, inocentemente, no nos percatamos de ello. Por ejemplo, quién iba a decir que el mero hecho de ser administrador de una página de fans de Facebook te hacía ser responsable de datos personales de todos los visitantes de dicha página (sean usuarios de Facebook o no), pues ha sido el Tribunal de Justicia de la Unión Europea quien lo ha dicho.

SI no era suficiente el revuelo causado por la aplicación del RGPD, esta nueva resolución del tribunal iba a constatar que una actividad tan “inofensiva” conllevarse la aplicación de toda la legislación sobre protección de datos cayese sobre el administrador.

En efecto, el Tribunal de justicia se basa para ello, que un administrador de páginas de fans trata una serie de datos personales tales como edad, sexo, situación sentimental y profesión, información sobre el estilo de vida y los intereses de su audiencia destinataria, así como información relativa a las compras y comportamiento de compras en línea de los visitantes de su página, las categorías de productos o servicios que más les interesan, además de datos geográficos.

Toda esta recogida de datos que puede realizar dicho administrador permite configurar y dirigir los contenidos que puede crear el administrador de una página de Facebook, con lo que, a ojos del RGPD y del Tribunal, supone determinar la finalidad en el tratamiento de dichos datos personales, lo que automáticamente lo convierte en “responsable del tratamiento”.

Pero el administrador no está solo: para que este pueda recabar toda esa información, Facebook instala “cookies” en dicha página para recabar los datos de los usuarios no solo para facilitar la labor del administrador, sino también para tratarlos con el fin de configurar su propia publicidad. Esto convierte a Facebook en corresponsable junto con el administrador; pero no son responsables por igual, sino que hay que determinar cuál de las partes interviene más en el tratamiento.

La relación entre el administrador y Facebook como corresponsables debe regularse mediante un contrato donde determine las responsabilidades que tiene cada parte en el tratamiento, por lo que tendremos que estar atentos a las políticas de Facebook para páginas de fans para los posibles cambios en esta de cara a los administradores.

A partir de ahora, los administradores deberán informar sobre la finalidad de la recogida de los datos, el ejercicio de los derechos, uso de cookies, y todas las obligaciones de información que se recogen en el artículo 13 del RGPD, y que cuyo incumplimiento podría acarrear sanciones de diversas índoles, como advertencias o multas.

Para más información, consulte la sentencia

Juan José Gonzalo Domenech

Legal Department

Áudea Seguridad de la Información

01Ene/15

Facebook como «actividad de riesgo»

Facebook como «actividad de riesgo»

Facebook otra vez en el punto de mira y de nuevo desde Alemania. Esta vez ha sido el presidente del Tribunal Constitucional alemán, Andreas Vosskuhle, quien carga contra la red social calificándola como «actividad de riesgo» debido a la desprotección de los datos de los usuarios.

La red social por excelencia ha sido cuestionada en varias ocasiones desde diferentes organismos alemanes por sus políticas de privacidad, sobre todo por el rastreo de usuarios que realiza a través de las cookies que se instalan automáticamente en sus equipos. En este sentido, la Agencia de Protección de Datos de Hamburgo señala en un informe que las cookies pueden permanecer hasta dos años en el ordenador del usuario aun después de haberse dado de baja en el servicio. Según Johannes Caspar, director de la Agencia de Protección de Datos, «el argumento de que todos los usuarios deben seguir siendo identificables después de que cierren su cuenta en Facebook para garantizar el servicio no se sostiene legalmente».

Estos nuevos estudios pueden poner en peligro el futuro de Facebook en Alemania y es que las actividades que realiza la compañía estadounidense pueden considerarse contrarias a derecho, incluso creando indefensión a los usuarios, ya que según palabras de Vosskuhle «existe un grave desequilibrio entre el poder de la compañía, cuyos servidores se encuentran fuera de Alemania, y los estados federados, cuya judicatura dispone de una competencia fragmentaria en materia de protección de datos».

Áudea Seguridad de la Información,
Departamento de Gestión
www.audea.com

Fuente: www.elmundo.es

01Ene/15

Los blogs también están sujetos a la normativa de cookies

Los blogs también están sujetos a la normativa de cookies

El pasado mes de mayo, la Agencia Española de Protección de datos emitió una resolución imponiendo una sanción de 25.000 € a la entidad GOOGLE INC, en condición de prestador de servicio de blog a través de los dominios blogspot.com y blogspot.com.es, por no recabar el consentimiento informado previo de los visitantes para la utilización de cookies.

La Agencia Española de Protección de datos, como autoridad competente en la materia, ha determinado que la entidad no ha cumplido con la obligación impuesta en la LSSI de informar al internauta a efectos de obtener su consentimiento previo a la instalación y uso por su parte de cookies analíticas y de publicidad, ni de la finalidad a la que responde el tratamiento de la información recogida, mecanismos de rechazo para su instalación ni medios previsto para la revocación del consentimiento. Asimismo, la Agencia ha estimado que la información proporcionada por la entidad no resulta directamente accesible, encontrándose ésta dispersa, fragmentada y bajo distintas rúbricas.

Al probarse el hecho denunciado, la Agencia ha estimado oportunamente que debía imputar a GOOGLE INC, por la infracción del artículo 22.2 de la LSSI, considerada como leve al no existir reincidencia en la comisión de la infracción (en cuyo caso estaríamos ante una infracción grave de acuerdo a la nueva redacción del artículo 38 LSSI publicado a fecha 10 de mayo de este año)

En este sentido, GOOGLE alegó que las cookies que se descargaban eran estrictamente necesarias para la navegación, argumento que la Agencia ha desestimado al no encontrarse en ninguno de los dos supuestos recogidos por la ley: que la cookie se utilice al solo fin de efectuar la transmisión de una comunicación a través de una red de comunicaciones electrónicas; y que la cookie sea estrictamente necesaria a fin de que el proveedor de un servicio de la sociedad de la información preste un servicio expresamente solicitado por el abonado o el usuario.

Áudea seguridad de la Información
www.audea.com
www.cursosticseguridad.com

01Ene/15

Consentimiento del uso de las Cookies

Consentimiento del uso de las Cookies

Parece ser que se van despejando los interrogantes que generó la transposición de la directiva europea sobre el uso de las cookies. Pero no podemos decir que tengamos buenas noticias. Las autoridades europeas de protección de datos (conocidas como el Grupo de Trabajo del artículo 29) se reunían hace unos días para adoptar un dictamen sobre la exención a la obtención del consentimiento para el uso de las cookies. Se trata de poder explicar que tipo de cookies se podrían utilizar sin necesidad de contar con el consentimiento del usuario que visita la web, y para cuales deberemos utilizarlo.

En primer lugar, y antes de crear más dudas sobre las cookies, creo necesario distanciar las cookies de la normativa de Protección de Datos. Su regulación depende de la Ley de Servicios de la Sociedad de la Información (más conocida como LSSI), que en ningún momento diferencia a aquellas cookies que recaban datos personales, de las que no lo hacen. Por tanto, aunque dispongamos de un tipo de cookies que únicamente recoja datos agregados o anónimos, deberemos disponer de un mecanismo que permita recabar el consentimiento del usuario antes de que éstas sean almacenadas.

La LSSI plantea únicamente dos criterios para exceptúan el uso de este consentimiento, que son aquellas utilizadas para:

Criterio A: «efectuar la transmisión de una comunicación por una red de comunicaciones electrónicas». –

Criterio B: «la prestación de un servicio de la sociedad de la información expresamente solicitado por el destinatario». En estos casos, siempre que las cookies habilitadas tengan como objeto algunos de estos criterios, no se le aplicaría el consentimiento. No obstante, existen posibilidades de que una misma cookie pueda ser empleada con diferentes objetos. Únicamente podrá estar exenta del consentimiento si todas sus finalidades lo están de forma individual. Por ejemplo, si una misma cookie pudiera ser utilizada para recordar las preferencias del usuario y al mismo tiempo sea empleada para analizar el comportamiento del usuario, no podría verse exento del consentimiento. Esta última finalidad no cumpliría con ninguno de los criterios definidos anteriormente.

Los tipos de cookies que si cumplirían con estos criterios serían las siguientes:

  • User input cookies: son las usadas para facilitar la visita del usuario al sitio web, como pueda ser en la elección del idioma para todas las páginas que visite, o el uso del carrito de compra. Podemos catalogarla en el CRITERIO B.
  • Cookies de autenticación: aquellas usadas para poder identificar al usuario una vez se ha logueado correctamente en el sitio web. Son las empleadas por ejemplo en un banco online y por tanto, necesarias para la prestación de este servicio. CRITERIO B.
  • User centric security cookies: aquellas empleadas para la prevención de riesgos de seguridad en el sitio web, como puedan ser las que dispongan de un registro de intentos fallidos y repetidos en una web. Podemos catalogarlas en el CRITERIO B.
  • Cookies de multimedia: son aquellas que de forma técnica son necesarias para la reproducción de contenidos de video o audio, y que por tanto podemos catalogar en el CRITERIO B.
  • Cookies de balanceo de carga: el tipo de cookies que permiten la distribución del procesamiento web en varios servidores en lugar de uno solamente, que permiten una navegación más rápida. En este caso, nos encontramos con el CRITERIO A.
  • Cookies de customización: son las empleadas para la adaptación del sitio web a las preferencias del usuario, como puedan ser para la selección del idioma. Se podría justificar su utilización con lo dispuesto en el CRITERIO B.
  • Cookies de información social: son las cookies que utilizan las redes sociales para los integrantes puedan compartir información con sus contactos, como puedan ser los típicos comentarios en el tablón de Facebook; que funcionarían de acuerdo al CRITERIO B.

Por tanto podemos concluir de forma que quedarían excluidas de la utilización del consentimiento expreso solamente aquellas, que independientemente de que recojan datos o no, sean imprescindibles para la prestación del servicio del sitio web. Entre otras, deberemos modificar el sistema de configuración de las cookies y solicitar el consentimiento expreso para los tipos de analytics, para aquellas utilizadas con objeto publicitario, o simplemente para conocer el comportamiento del usuario durante la navegación web.