Jornada APEP: Cookies & Privacy by Design

Miniatura noticia

Hoy, 11 de diciembre en la Sala Profesor Botella de la Facultad de Medicina de la Complutense de Madrid, estábamos convocados por la Asociación Profesional Española de la Privacidad a una jornada sobre “la nueva”[1] regulación de cookies y la privacidad desde el diseño que se incluye en la propuesta de Nuevo Reglamento que se prevé que se apruebe a finales del año 2014 o primeros del 2015… 

Tras las palabras de bienvenida de Ricard Martínez como Presidente de APEP, se dio paso a la primera de las dos mesas redondas previstas en el programa. Dedicada a “la nueva” normativa, fue moderada por Cecilia Álvarez Riagaudias, que dejó claro en su introducción que en este tema existen tres partes implicadas: los usuarios (que sufrimos las “temidas” cookies), la industria (que son los que instalan las cookies) y la Autoridad de Control (que es la encargada de velar que los segundos no vulneren los derechos de los primeros al instalarlas y usarlas)  y por este motivo, la organización contó con la participación de Ofelia Tejerina como Secretaria General de la Asociación de Internautas, Paula Ortiz como Directora Jurídica del IAB, y Jesús Rubí, como Adjunto al Director AEPD.

En su intervención, Ofelia Tejerina se refirió a que como internauta, el uso de cookies por los editores, puede llegar a vulnerar una serie de derechos reconocidos en la propia Constitución, como los relativos a la dignidad de la persona, la libertad de movimiento, y, como no, a la protección de sus datos personales, puesto que una de las finalidades de estas cookies es precisamente el control del comportamiento de los usuarios en su navegación por La Red. Por este motivo, el usuario precisa que se le ofrezca de forma previa a su instalación y/o uso información completa, pero además necesita que se realice desde el Estado un control de cumplimiento por parte de la industria de estos extremos.

Tomó la palabra después la representante de la industria, Paula Ortiz. Manifestó que la industria asume un papel “evangelizador” en esta materia por estar muy cerca del usuario. Afirmó que no se debe demonizar al anunciante y menos teniendo en cuenta el negocio que representa… Desde la industria apuestan por la accountability y por la autorregulación. Opina que quizá lo mejor que puede hacer es “educar” al usuario, dotándole de herramientas que le permitan proteger su privacidad.

El tercer participante, Jesús Rubí, inició su intervención puntualizando que el margen de actuación de la Agencia está condicionado por la literalidad de la transposición de la directiva europea a la norma española. Manifestó que la Agencia está trabajando, acompañada por la industria, y con algunas guías elaboradas por otras autoridades europeas, en la confección de una guía práctica de aplicación, pero conviene no olvidar que la norma ya está en vigor. Por ello, recomienda realizar una auditoría de cookies para estudiar que cookies emplea una web, entablar contacto con aquellos terceros que puedan usar cookies en web, sus finalidades, las opciones de información y solicitud de consentimiento…. Demanda que la información sea clara y accesible y reclama un necesario equilibrio entre la claridad de la información y la obtención del consentimiento…

En relación a la posibilidad contenida en la norma de obtener el consentimiento mediante la personalización de la configuración del navegador, en su opinión, no parece la más adecuada teniendo en cuenta que era el sistema que se empleaba en el derogado enfoque opt-out.

Tras esta ronda de intervenciones, a propuesta de la moderadora, se vieron a modo de ejemplos algunas páginas web- extranjeras buscando “no herir susceptibilidades”- para recabar las opiniones de los tres “actores” representados en la mesa sobre las soluciones adoptadas por los responsables de estas webs, y aprovechando esta dinámica para generar y alimentar el debate que los asistentes quizá esperásemos que finalizaría con unas conclusiones claras (cosa que en mi humilde opinión no se produjo, ya que la sensación que me traigo de vuelta es que de momento, ni la propia Agencia tiene claro cómo se cumple o cómo no, pero repito, esta es una conclusión estrictamente personal) Entre las webs analizadas, resaltar las del ICO Británico, la CNIL francesa (ambos, autoridades de control en sus respectivos países), la de la Cámara de Comercio Internacional en Londres, todas ellas en ámbito público, o las de Zinga o Arrakis en el sector privado.

En este debate surgido del análisis de las referidas webs, Ofelia Tejerina hizo hincapié en que para el usuario, lo más importante es la información clara y accesible… Añadió que sería importante facilitar información también de cómo se puede revocar el consentimiento, y remarcó la conveniencia de “enseñar” a la industria que sólo debe usar lo que realmente precisa… Y lanzó una última reflexión sobre la hipotética aunque más que probable futura aplicación de tecnologías biométricas de identificación (¿qué información recogerán las cookies cuándo, por ejemplo, los bancos nos permitan autenticarnos a través de una huella digital?)

Paula Ortiz coincidió en bastante de lo comentado por Ofelia, pero recalcando que las cookies son esenciales en el funcionamiento de las webs…

Por su parte, Rubí trajo a escena posibilidad y/o conveniencia de ofrecer al usuario la información por capas…. Cree que lo recomendable es extraer de la información general sobre privacidad la relativa a las cookies buscando destacar la misma y que dicha información debe contener con suficiente claridad qué se instala, quién lo instala, y para qué se instala. Advirtió de los riesgos con guardar preferencias del usuario en relación a cookies… ¿Qué ocurre si emplea otro usuario desde el mismo terminal? Pues bien, por esta razón, se hace recomendable que las soluciones adoptadas ofrezcan información y recaben consentimiento, al menos, en cada sesión.

En la ronda de intervenciones del público, Jesús Rubí fue consultado sobre cómo actuar en el caso de terminales móviles, y su respuesta no podemos decir que fuera precisa e inequívoca o dicho de otra forma, que se refirió a un “Iremos viendo con el tiempo”…

Parece claro que la información que debe facilitarse al usuario debe contener de forma clara y concisa la finalidad del tratamiento a que se someterá la información recabada por las cookies, y cuando hablamos de cookies con finalidad analítica (para crear estadísticas de navegación en webs), dichas cookies suelen ser “aportadas” por un tercero que nos provee de estas estadísticas. Concretamente existe una aplicación de “la gran G” que por su potencia y usabilidad quizá sea la más empleada por los webmasters. Pues bien, no pude resistirme y, a pesar de intuir por donde iría la respuesta, lancé al representante de la Agencia cuestión sobre cómo actuar cuando empleamos esta herramienta, ya que si bien puedo informar de forma clara, precisa e incluso inequívoca sobre el uso que yo le doy a esas métricas, ni de lejos conozco la finalidad con que ese proveedor californiano puede tratar la información recopilada (que seguro que la tiene, porque si no, no me ofrecería su uso de forma “gratuita”)… En una primera fase de la respuesta, Jesús Rubí afirmó que cada parte debe obtener el consentimiento para el uso que dicha parte va a hacer de la información por lo que debe  informar sobre “su” finalidad, pero después y como me temía, la matizó en el sentido “adivinado” –de hecho, juraría que en alguna intervención suya o de algún compañero o compañera de la Agencia ya he escuchado en varias ocasiones, pero referida al uso de servicios en la nube-: Deberás “hablar” con tu proveedor. Si no te escucha o no te contesta, deberás acudir a las condiciones de uso que te impone (contrato de adhesión) y si estas condiciones no cumplen con la legalidad, ¡cambia de proveedor!… Y es en este punto donde personalmente me cuestiono seriamente si los criterios que aplica la Agencia, tal y como aventuró en su introducción la moderadora de la mesa, demuestran “una especial comprensión” hacia la generación de negocio que representa la actividad on line, o casi, casi, empresarial… Ojalá existieran proveedores nacionales, o europeos, que ofrecieran los mismos servicios y “a los mismos precios” que estos chicos de Santa Clara con su herramienta de analítica web o sus vecinos “dropboxeros” –por ejemplificar- con su control de versiones y demás, en la nube… A veces, pensando en todo lo tratado en el SICARM 2012, creo que efectivamente, muchas veces la privacidad sí que puede representar un freno para la innovación, o al menos, en este caso, para la rentabilidad de las empresas y un lastre para su competitividad, y más cuando nos encontramos ante mercados cada vez más globales…

El representante de la AEPD remarcó que la guía que se está elaborando, al menos de momento, es “de la industria” y que luego, hablará la Autoridad… Como nota “positiva” anunció que en la Agencia ya han tenido entrada algunas denuncias por incumplimiento de esta “ley de cookies”, así que al menos, en algún momento, la Agencia resolverá estas denuncias y de sus procedimientos sancionadores, o en su caso, de sus archivos de actuaciones, podremos sacar conclusiones sobre cómo interpretarán cuando se cumple y cuando no con estos preceptos modificados por la trasposición.

Y para finalizar la mesa, resaltó que en relación al consentimiento para el uso de datos de menores, en relación a estos mecanismos de recabar datos, anunció que no será válida la presunción de consentimiento ni nada parecido a la misma.

Tras la pausa del café, se abordó la segunda de las mesas, esta vez dedicada al Privacy by Design, Privacidad desde el Diseño, que se incluye en el futuro Nuevo Reglamento.

Moderó la mesa Marcos Judel y participaron en la misma Rafael García Gozalo como Responsable de Relaciones Internacionales de la AEPD, Oscar Casado Oliva, como Director Jurídico de Tuenti y Norman Heckh, con idéntico cargo en la Consultora Delloite.

Según Rafael García resulta difícil de definir el propio concepto de Privacy by Design. Refiere los trabajos de la Comisionada Canadiense o a un reciente trabajo de Jeff Jonas…

No comparte lo contenido en la propuesta de reglamento, porque en su opinión, no lo trata con la suficiente profundidad… En su opinión, el reglamento no parece tener claro el término y lo emplea con “diversas acepciones”… Se refiere a responsables, pero luego amplia a encargados… Y para colmo, lo pone en relación a la privacidad por defecto… No lo impone como un principio orientador, sino como un requisito a cumplir incluyéndolo en ese concepto de accountability, y por ello en algún momento puede tener que demostrarse… ¿y dónde y cómo se pone el listón para comprobar ese cumplimiento?

Por su parte para Oscar Casado el esquema imprescindible en un buen negocio digital se sustenta en el tridente Tecnologia + Usuario + Privacidad. Según Oscar, en Tuenti ven la privacidad como una oportunidad, como un elemento que puede proveer de ventajas competitivas a su negocio… Defiende la proactividad frente a reactividad… Por ello es importante esa Privacidad desde el diseño.  Visibilidad, transparencia y control son sumamente importantes en el negocio de Tuenti, según su representante. Y hace una llamada a la autorregulación de la privacidad por parte del usuario, para lo cual, es necesario dotarle de herramientas accesibles y de conocimientos para su correcto uso.

Y lanzó otra reflexión: cuantas más imposiciones locales asumamos, más negocio estaremos desestimando, y más en un internet global…. Es preciso que todos los actores de un mercado, estén sujetos a las mismas normas.

En la intervención inicial, Norman Heckh defendió equilibrio entre desarrollo y cumplimiento. Aun teniendo conciencia de la necesidad de cumplimiento, muchas veces no se identifican riesgos reales. Otro problema es que muchas veces las empresas no ven beneficios en ese cumplimiento, y para colmo, compiten con “incumplidores de éxito”. Si en este cóctel añades los costes que supone el cumplimiento, lo que suele salir de allí es un “no-compliance” asegurado… Por poner un ejemplo, si desde el origen no se respeta el principio de calidad, luego resultará más costoso depurar…

En la ronda de discusión, que quizá se desvió un poco del tema original hacia el “cómo vender cumplimiento”,  me encantó ver como todo un Director Jurídico de una enorme Consultora comparaba la optimización fiscal en la empresa con el cumplimiento sobre privacidad, cosa que vengo defendiendo en multitud de foros desde hace mucho tiempo.

Y otra de las reflexiones vertidas en esta ronda de debate, y que también vengo defendiendo desde hace tiempo, pero esta vez por el representante de la Agencia, versó sobre la conveniencia o no –dado que una enorme parte de las empresas recurren a soluciones estandarizadas- de que el Nuevo Reglamento incorporase un mandato para los fabricantes o desarrolladores para que trabajen en proveer productos y/o servicios “estándar” que permitan cumplir la normativa…Al estilo del “brindis al sol” que supuso la Disposición Adicional que incorporó el RD 1720/2007 en relación a la obligación de desarrolladores de software para indicar el nivel de protección que permiten adoptar sus productos…

Para concluir esta crónica, solo me resta agradecer a los organizadores su esfuerzo y a los ponentes por lo puesto…

Muy buenos días…

Imagen: nettsu


[1] Conviene recordar que la directiva europea data de noviembre de 2009, el plazo de trasposición finalizó en mayo de 2011 y la trasposición real se produjo en marzo de 2012, por lo que no puedo hablar de “nueva” normativa sin entrecomillar este adjetivo, a pesar de que pocas son las webs que cumplen con lo establecido en esta “nueva” normativa.


8 comentarios

  1. María González (@meryglezm)
    12 de diciembre de 2012 @ 12:49

    D. Luis, mil gracias por tan excelente resumen…
    Un abrazo
    meryglezm

    Responder

    • Luis Salvador
      12 de diciembre de 2012 @ 13:53

      Como siempre, María, un placer escribir para que me lea gente como tú… por no hablar del café que compartimos ayer 😉

      Gracias por comentar.

      Responder

  2. Mamen Fernández
    13 de diciembre de 2012 @ 10:06

    Muchísmas gracias por esta aclaración de posturas respecto a la regulación de las cookies.
    Un cordial saludo.

    Responder

    • Luis Salvador
      13 de diciembre de 2012 @ 12:31

      A tí por tu comentario, Mamen, aunque como muy bien indicas en él, o al menos esa es mi sensación, se trata de una aclaración de la postura individual de cada uno de los actores que intervinieron… Ya me hubiera gustado a mí hablar de una única consensuada por todos ellos, pero no, para eso, como comentaba, me da que tendremos que esperar a que vea la luz la anunciada guía de la Agencia, o lo que intuyo que será antes, las resoluciones a que den lugar las denuncias que anunciaron ya existen…

      Muy buen día

      Responder

  3. JI Osete
    14 de diciembre de 2012 @ 11:53

    Muy completo, una cosilla más que has comentado de pasada (seguramente por que no se dijo nada más) es sobre las denuncia que la Agencia ha recibido ya por el tema. ¿en base a qué? ¿al uso? ¿a la información previa?
    Gracias como siempre como difundir.

    Responder

    • Luis Salvador
      14 de diciembre de 2012 @ 12:30

      Gracias por tu comentario, José Ignacio… Y en respuesta a tu pregunta, ya la has contestado tú mismo: No se dijo nada más, solo que “ya había denuncias”… Habrá que estar atentos a lo que resuelvan… 😉

      Muy buenos días.

      Responder

Enviar una respuesta

Protección de datos de carácter personal: con el envío del comentario, el usuario admite haber leído y aceptado la información en materia de protección de datos de carácter personal que se incluye en la información legal existente en esta página, al que se accede a través de pestaña bajo ese título, "Información legal" , situada en la parte superior de la página de inicio de este blog, y donde se informa de los titulares del blog, de las finalidades para las que se utilizarán los datos personales comunicados, así como la dirección para el ejercicio de los derechos reconocidos en el artículo 5 de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal. Los datos marcados con asterisco, son de obligado cumplimiento para aceptar la publicación del comentario. Si tales datos no fuesen facilitados, el comentario enviado será eliminado sin proceder a su publicación.

*