Las infracciones de la protección de datos pueden salir caras. Pero no todo está claramente regulado. Las cookies, por ejemplo, pueden convertirse en un problema. No siempre tiene sentido rechazarlas de plano, ni para el proveedor ni para el usuario. La abogada Linda Krüpe explica lo que hay que tener en cuenta en este caso.
Por el momento, la eterna disputa sobre las cookies opt-in o opt-out ha terminado: el Tribunal Federal de Justicia ha dictaminado que los operadores de sitios web sólo pueden establecer y leer las cookies en el dispositivo final del usuario si éste lo acepta expresamente. Los banners de cookies con diferentes diseños que uno encuentra cada día revelan que no todas las cuestiones se han aclarado ni mucho menos.
Para la cuestión de si el operador de un sitio web requiere el consentimiento del usuario para establecer y leer las cookies, hay que considerar tres factores en particular: ¿Son las cookies técnicamente necesarias? ¿Cuánto tiempo se almacenan? ¿Los fija el propio operador o un tercero? Las cookies técnicamente necesarias son aquellas que son absolutamente necesarias para prestar un servicio expresamente solicitado por el usuario. También pueden almacenarse sin el consentimiento del usuario.
Entre ellas se encuentran, por ejemplo, las "cookies de cesta de la compra", que identifican al usuario para poder ofrecer la función de cesta de la compra deseada por el cliente, o las cookies de "autenticación", que permiten que el usuario no tenga que iniciar sesión una y otra vez. Si el operador quiere almacenar cookies durante varias sesiones del navegador, normalmente debe obtener el consentimiento del usuario para ello. Esto puede hacerse, por ejemplo, en forma de una casilla de verificación -no marcada previamente- que se complementa con una nota como "Permanecer conectado (utiliza cookies)" junto al formulario de registro.
Las cookies de terceros que no son instaladas por el propio operador, sino por ejemplo por los anunciantes, también es muy probable que requieran el consentimiento - ya que la publicidad no suele ser el servicio explícitamente solicitado por el usuario. En este contexto, están surgiendo métodos alternativos de rastreo para la recogida de datos de los usuarios sin su consentimiento, con el fin de seguir diseñando una publicidad basada en intereses y personalizada que respete la privacidad. Esto es tanto más cierto cuanto que la protección de datos en Internet es cada vez más importante para muchos usuarios, de modo que los sitios web dispondrán en el futuro de menos datos de los usuarios para la publicidad personalizada. Los proveedores de motores de búsqueda están integrando tecnologías como el aprendizaje federado de cohortes (FLoC-API) como compromiso entre la protección de datos y la personalización. Esto permite que los datos de los usuarios individuales se agreguen a un grupo mapeado y que el individuo se pierda en la multitud.
Protección de datos desde el principio
La aplicación de los requisitos legales en la práctica es un reto, al menos si los proveedores de servicios quieren estar en el lado seguro legalmente y seguir ofreciendo productos innovadores y atractivos. Por lo tanto, los operadores de las páginas deben tener primero una visión general de qué cookies se instalan y con qué propósito, y cuánto tiempo se almacenan. En el primer paso, vale la pena "hacer limpieza" según el lema "Lo que no necesitas: ¡tíralo!". Especialmente en áreas en las que la situación legal aún no está clara, como las cookies permanentes. Esto ahorra un riesgo residual evitable y posiblemente multas elevadas.
Para conciliar la protección de datos y la innovación, es esencial hacer que la protección de datos a través del diseño de la tecnología (Privacy by Design) y la configuración por defecto favorable a la protección de datos (Privacy by Default) sea la norma y se centre en la confianza del usuario. Para lograrlo, tiene sentido que las distintas áreas colaboren estrechamente de forma interdisciplinar incluso en la fase inicial de desarrollo de los productos: Por ejemplo, en el diseño de los banners de cookies, los abogados definen el marco legal, los técnicos se aseguran, entre otras cosas, de que no se carguen cookies sin consentimiento previo, y los diseñadores de la experiencia del usuario y de la interfaz de usuario se aseguran de que el aspecto del banner sea visualmente comprensible y atractivo, por ejemplo, mediante una usabilidad intuitiva por parte del usuario.
En principio, el operador del sitio web debe permitir al usuario comprender fácilmente las consecuencias del consentimiento que ha dado. La información debe ser lo suficientemente clara y detallada para que el usuario pueda comprender la finalidad del tratamiento y el funcionamiento de las cookies utilizadas. Esto incluye también el tiempo que se almacenan los datos y si terceros -por ejemplo, empresas de publicidad- tienen acceso a los datos almacenados. Actualmente, muchos de los anuncios que ven los usuarios no responden a esta demanda de transparencia.
El usuario también es responsable
Una explicación comprensible de la finalidad del tratamiento y del funcionamiento de las cookies utilizadas sólo cumple completamente su objetivo cuando los usuarios de Internet, por otra parte, se forman una opinión de lo que entienden personalmente por autodeterminación informativa y ponen esta comprensión en relación con el significado económico de los datos. Algunos se alegrarán de la comodidad del servicio cuando la aplicación de navegación muestre automáticamente la ruta más rápida de camino al trabajo, o cuando los banners publicitarios mientras se navega por Internet escupan ofertas planas que coincidan con los criterios de búsqueda individuales en otro portal. Otros, por el contrario, se sentirán incómodos o preferirán controlar ellos mismos esas consultas de búsqueda. Sólo cuando los usuarios hayan resuelto estas cuestiones podrán tratar conscientemente los banners de cookies y decidir qué tratamiento de datos consienten.
Tightrope
Un manejo responsable de las cookies se ve dificultado por ambas partes -operadores de sitios web y usuarios- por la confusa situación legal: la Directiva de ePrivacy de 2002 estableció una norma de exclusión voluntaria a nivel europeo, de modo que las cookies podían instalarse mientras el usuario no se opusiera activamente. Desde que la Directiva sobre privacidad electrónica fue modificada por la llamada "Directiva sobre cookies" en 2009, esta normativa, que aún se aplica en la actualidad, fue cambiada por lo contrario: El Opt-Out se convirtió en Opt-In, de modo que ahora se requiere el consentimiento informado previo para la instalación y lectura de cookies en el dispositivo terminal del usuario.
Como todas las directivas de la UE, ésta no se aplica directamente, sino que debería haber sido transpuesta a la legislación alemana, pero eso no ocurrió. En cambio, la "normativa de exclusión" nacional alemana de la Ley de Telemedia no se modificó. El resultado fue la inseguridad jurídica en Alemania hasta que el Tribunal Federal de Justicia confirmó la normativa europea el año pasado.
Cambiar el mecanismo de exclusión voluntaria técnicamente es un reto; obtener el consentimiento del usuario, teniendo en cuenta los elevados requisitos legales, es otro. En este sentido, también están cobrando importancia los diseños de interfaz de usuario como el "nudging", en el que se induce a los usuarios a dar su consentimiento, y los "patrones oscuros", en los que se induce a los usuarios a actuar de forma contraria a sus intereses. El diseño visual de los banners de cookies con el objetivo de conseguir el comportamiento de clic deseado por los usuarios debe mantenerse dentro del marco legal. Cualquiera que sea el diseño concreto, debe ser transparente y respetuoso con la protección de datos.
Ver la protección de datos como una oportunidad
Este conflicto pone de manifiesto la importancia del derecho fundamental a la autodeterminación informativa, por un lado, y el valor de los datos para los procesos económicos, por otro. Para sobrevivir en este campo de tensión y seguir siendo innovadoras, las empresas deben replantearse y entender la protección de datos no sólo como un factor de coste, sino también como un factor de crecimiento. Esto es así, al menos, si consiguen afianzar la importancia de los "productos de confianza" en la empresa y también trasladar este entendimiento al exterior. Sólo una empresa que se haya ganado la reputación de manejar los datos personales de sus usuarios de forma especialmente responsable se ganará su confianza. Y sólo los usuarios que confían en la empresa le confiarán sus datos o le darán su consentimiento. Una empresa innovadora puede utilizar los datos obtenidos de esta manera de forma rentable.
Otras cuestiones legales abiertas
El Reglamento de privacidad electrónica proporcionará la claridad final sobre las cuestiones legales abiertas en relación con las cookies y el rastreo en Internet en forma de legislación directamente aplicable. En realidad, el reglamento debería haber entrado en vigor junto con el GDPR. Sin embargo, el proceso legislativo estuvo atascado durante años en el Consejo de la Unión Europea. Ahora, la Presidencia portuguesa del Consejo ha llevado el Reglamento sobre privacidad electrónica al siguiente nivel: El Consejo de la UE pudo acordar una posición en febrero de este año, de modo que el texto final del Reglamento sobre privacidad electrónica puede negociarse ahora en las conversaciones a tres bandas con la Comisión y el Parlamento de la UE. Seguirá siendo necesario un estrecho intercambio entre la política y las empresas para aclarar las cuestiones jurídicas abiertas y encontrar un equilibrio entre la enorme importancia de los datos para los procesos económicos y la autodeterminación informativa de cada individuo.
