Configurar su CMP permite estar conforme al RGPD y a las últimas recomendaciones de la CNIL y del G29.
Recordemos en preámbulo que, según el artículo 4 del RGDP, el consentimiento está definido como “toda manifestación de voluntad, libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen”. La autorización del usuario es una de las seis bases legales posibles cuando se efectúa un tratamiento de datos.
Una CMP (Consent Management Platform), es una plataforma que permite recopilar el consentimiento de los usuarios para el uso de sus datos personales. La CMP tiene también como función grabarlo, restituirlo y transmitirlo a diferentes socios cuando sea necesario. Esta herramienta vuelve la experiencia del usuario mas fluida y facilita el proceso de recolección de consentimiento.
{{discover-our-cmp}}
Sin embargo, como lo ha recordado recientemente Armand Heslot (Privacy and Security Expert en la CNIL, la version française de la AEPD) en una entrevista para Mind Media, tener una CMP no significa estar conforme a la RGDP ni obtener adecuadamente el consentimiento del usuario.
¿Cuáles son entonces las diferentes condiciones que se deben respetar para estar conforme al RGDP cuando se colecta el consentimiento de los usuarios a través de una CMP?
{{discover-didomi-for-compliance}}
¿Cuáles son los lineamientos y las nuevas recomendaciones de la AEPD sobre las cookies de seguimiento?
El consentimiento debe ser libre, específico, informado e inequívoco. La Agencia Española de la Protección de Datos (AEPD) vigila que todas estas condiciones se respeten. De hecho, desde julio de 2018, apenas algunos meses después de la entrada en vigor de la RGPD, la autoridad de protección de datos francesa (la CNIL) exige a Teemo y Fidzup cumplir con el reglamento. Estas empresas permiten recolectar datos como el identificador de publicidad y los datos de geolocalización por medio de un SDK implementado en la aplicación del socio comercial.
Ahora bien, la CNIL nota que las dos empresas francesas no recolectan correctamente el consentimiento de los usuarios al momento de recopilar sus datos para hacer publicidad personalizada. Estos no son informados de que sus datos sirven para personalizar la publicidad que recibirán ni de la identidad del responsable de la gestión de datos. Ni siquiera de que este tratamiento de su información personal es aplicado por Fidzup.
El 23 de octubre de 2019 la CNIL hace un requerimiento formal a una tercera empresa por las mismas razones. Comprueba que Singlespot no recopila el consentimiento de los usuarios para la gestión de datos de geolocalización y de personalización de la publicidad efectuados siempre por medio de un SDK instalado en las aplicaciones móviles. La CMP utilizada por la empresa no permite “rechazar claramente la personalización de la publicidad”. Por otra parte, la CNIL afirma en sus decisiones que un socio comercial que pone un SDK en la aplicación móvil del editor es considerado como un responsable del tratamiento de datos ante el RGDP.
Para evadir la sanción, las startups cumplen con la norma e instalan banners para recolectar el consentimiento de los usuarios, lo que responde a los criterios del RGDP. Según la AEPD, el usuario debe conocer la finalidad de la gestión de sus datos, la identidad de los responsables de su tratamiento y los datos que son colectados. Estas son tres informaciones que deben imperativamente figurar en una CMP.
No obstante, es con el requerimiento de la empresa Vectaury, el 9 de noviembre de 2018, que la CNIL da recomendaciones más precisas sobre la configuración de las CMP. La autoridad de protección de datos señala la ausencia de la recopilación del consentimiento para los datos de geolocalización con fines publicitarios a través de SDK instalados en el código de las aplicaciones móviles.
Revela también que Vectaury utilizó en tiempo real y sin consentimiento previo las informaciones recopiladas durante ofertas publicitarias. Fue así como la startup extrajo 42 millones de identificaciones publicitarias y los datos de geolocalización con más de 32 000 aplicaciones. Por otro lado, la CNIL recuerda que los socios comerciales instalando SDK en las aplicaciones móviles son también responsables de la gestión de datos.
¿Qué pasa con el estándar de IAB Europa?
Vectaury hace parte del Consent and Transparency Framework establecido por IAB Europa que propone un conjunto de reglas comunes para respetar al momento de recolectar el consentimiento de los usuarios a través de una CMP. El objetivo es el de enmarcar en una norma los consentimientos publicitarios. Mathias Moulin, director de la protección de derechos y sanciones en la CNIL, precisa en una entrevista para el Journal du Net, que “la CNIL no se ha pronunciado sobre el marco de la IAB sino sobre la implementación del marco que Vectaury ha adopatado” y que “ el requerimiento de Vectuary no es un fallo sobre el marco de IAB”. Es así que la CNIL en esta carta de requerimiento hace precisiones importantes sobre la manera de configurar una CMP para estar completamente conforme al RGDP y a las recomendaciones del G29 sin por ello invalidar los trabajos realizados por IAB Europa.
{{discover-didomi-for-compliance}}
Los principios para respetar sobre la recolección del consentimiento
Para comenzar, la autoridad de protección de datos indica que el idioma utilizado debe ser claro, comprensible, redactado en términos simples, de manera que permita a los usuarios entender a qué cosas dan su consentimiento.
Las finalidades del tratamiento de datos deben ser claras y estar presentes desde la primera página del banner. Los botones “Acepto” “Rechazo” “Configuro mis preferencias” que le permiten globalmente al usuario aceptar o rechazar, pueden ponerse en la primera página, ubicados después de la lista detallada de las diferentes finalidades.
En la segunda página puede pedir el consentimiento según la finalidad. Pero cuidado, las casillas pre-determinadas no son aceptadas por la CNIL ni por el G29. La autoridad francesa de protección de datos ha sido muy clara con la cuestión en la carta de requerimiento de Vectuary: “El hecho de que el conjunto de las finalidades de la recolección de datos esté pre-aceptada por defecto, no implica que el usuario haya dado su consentimiento. De hecho, solo se le pide actuar para desactivar las casillas correspondientes a las diferentes finalidades”
Además, los responsables de la gestión de datos deben aparecer también desde la primera página del banner. Eso permite al usuario dar su consentimiento conociendo la identidad de las empresas que recopilan sus datos.
Por otro lado, el texto no debe dar a entender que rechazando el consentimiento de cookies no se podrá acceder a la página web o que tendrá que pagar para hacerlo.
Revisa nuestro artículo sobre 10 ejemplos de banners de cookies españoles para saber cómo se ve un banner de conformidad versus uno de no conformidad.
{{discover-our-cmp}}
La cuestión específica del tratamiento de datos de geolocalización
Cuando se colectan datos de geolocalización se debe pedir un consentimiento especifico al usuario. La CNIL lo recuerda una vez más en su carta de requerimiento “Una aceptación global, sin que el usuario sea claramente informado de la existencia de los diferentes tipos de tratamientos de datos o de las diferentes finalidades, no responderá al criterio de especificidad del consentimiento exigido por el G29. Los usuarios de las aplicaciones móviles de los socios comerciales, no aceptan específicamente el tratamiento de sus datos de geolocalización para la creación de perfiles personales y de publicidad personalizada.
¿Es válido el consentimiento por scroll ?
Recientemente, el consentimiento por scroll no es autorizado en la nueva guía de la AEPD sobre el uso de los cookies. Los editores tienen que estar en conformidad antes de la fecha límite del 31 octubre 2020.
¿Quiere asegurar el cumplimiento?
No hay que olvidar que se le debe permitir al usuario poder volver a ver su consentimiento y cambiar la configuración haciendo clic sobre un vínculo presente en la parte baja de la página web o incluso en la política de confidencialidad.
Hay que pedirle entonces automáticamente al usuario, volver a escoger sus preferencias una vez este tiempo haya pasado. La duración de las cookies Google Analytics está a veces configurada a 24 meses por defecto. Para reducir la duración de las cookies, esta es la documentación:
{{technical-documentation}}
¿Se pueden considerar imprescindibles las cookies analytics ?
Tenga cuidado. Las cookies de medición de audiencia como Google Analytics no son consideradas esenciales salvo si ellas respetan un cierto número de condiciones. Se debe entonces pedir el consentimiento al usuario cuando se desea ponerle una cookie en su terminal.
Resumen de los puntos de supervisión en la configuración de la CMP
- Para que el consentimiento sea válido, el usuario debe conocer la finalidad del tratamiento de sus datos, la identidad del responsable de su manejo y también la información que es recolectada.
- El lenguaje utilizado para informar al usuario debe ser claro y comprensible, redactado en términos sencillos para permitirle entender exactamente lo que acepta al dar su consentimiento.
- Los botones “Acepto” “Rechazo” “Configuro mis preferencias”, pueden ubicarse en primera página pero deben ponerse después de la lista de las diferentes finalidades de las cookies (no antes).
- Las casillas pre-seleccionadas no son toleradas.
- El texto no debe hacer creer al usuario que sin su consentimiento no podrá acceder a la página web o que deberá pagar para ello. Sin embargo, si están actualizadas, las cookies wall son aceptadas por el Consejo de Estado.
- Cuando se realiza una recolección de datos de geolocalización, se debe pedir al usuario la autorización especifica.
- Con respecto al consentimiento por scroll o clic, no se acepta más por la AEPD
- La duración del consentimiento de cookies por el usuario es de seis meses por la CNIL, y 24 por la AEPD. Se debe preguntarle automáticamente de nuevo sus preferencias por las cookes una vez este tiempo haya pasado.
- Las cookies que miden la audiencia no son consideradas como indispensables, salvo si respetan ciertas condiciones.
¿Quiere asegurar la conformidad de los datos mientras sigue optimizando la monetización? Contáctenos.