Facebook-f X-twitter Linkedin Instagram Rss
Buscar
Cerrar este cuadro de búsqueda.
Buscar
Cerrar este cuadro de búsqueda.

Entradas de la etiqueta: # Comité Europeo de Protección de Datos

Cookie walls: “Consentir el uso de cookies o pagar por el servicio”

Publicado el 22-04-2024

El pasado 17 de abril, el Comité Europeo de Protección de Datos (CEPD) emitió un dictamen analizando si la práctica seguida por las grandes plataformas en línea, consistente en ofrecer a los usuarios la opción entre pagar por el servicio o acceder a él de forma gratuita pero con publicidad comportamental, es conforme al Reglamento General de Protección de Datos, en especial en lo tocante a los requisitos que deben observarse a la hora de recabar el consentimiento de los interesados.

Previamente al análisis de fondo resulta necesario mencionar que el ámbito subjetivo del Dictamen se circunscribe a “grandes plataformas en línea” las cuales se definen en el apartado 2.1.3 del Dictamen. No obstante, la limitación en el alcance del Dictamen, resulta interesante para el resto de agentes que hayan abrazado esta práctica tener presente las conclusiones que se alcanzan porque, al igual que sucediera con dictámenes anteriores con similar alcance subjetivo, pueden resultar finalmente aplicables también a estos últimos, aunque no tengan la condición de “Gran plataforma en línea”, y así lo menciona el propio CEPD en su Dictamen.

Aclarado lo anterior, procede analizar el fondo del asunto que no es otro que establecer las directrices que deben respetarse para adoptar el modelo denominado: “consentimiento o pago” y cuya definición pormenorizada se ofrece en el apartado 2.1.1 del Dictamen, y que en resumen consiste en ofrecer al usuario la opción de pagar una cuantía económica a cambio de ofrecerle el servicio sin cookies de publicidad comportamental (definido en el apartado 2.1.2 del Dictamen) pero pudiendo realizar otro tipo de tratamientos de datos que impliquen el seguimiento de los hábitos de navegación del usuario para finalidad distinta de la de ofrecerle publicidad personalizada.

Así, la cuestión a dilucidar es si las opciones y la información asociada a las mismas que se facilitan al interesado son suficientes para entender que el interesado esta eligiendo libremente entre las opciones y por ende si su consentimiento es conforme al RGPD. A este respecto, el CEPD concluye que en la mayor parte de los casos en los que se está empleando esta modalidad de acceso a grandes plataformas en línea no se estarían cumpliendo los principios del RGPD ni los requisitos específicos relativos al consentimiento. En concreto, en cuanto al consentimiento el CEPD establece que debe analizarse si el consentimiento:

Se otorga de forma libre: Esto implica que:

  • La negativa a otorgar el consentimiento no puede tener consecuencias negativas para el interesado. En el caso de las grandes plataformas en línea esto puede ser difícil de acreditar en la medida en que la negativa a pagar supone en la práctica la imposibilidad de usar un servicio lo que tiene un impacto importante en la vida social y/o profesional del interesado o en su forma de comunicarse.

  • No puede existir desequilibrio entre las Partes: Este elemento suele ser especialmente relevante a la hora de analizar la validez del consentimiento otorgado en el ámbito laboral. En este caso, el CEPD ofrece una serie de elementos a analizar por las grandes plataformas en línea a los efectos de determinar si existe desequilibro, a saber, por ejemplo, la posición de la plataforma en el mercado, el posible bloqueo de acceso a redes sociales o de trabajo…

  • Que se ofrezca una alternativa equivalente: Este punto es especialmente interesante porque si bien el servicio de “pago por datos” y el de “pago económico” son equivalentes en la práctica, el CEPD matiza que ofrecer únicamente una alternativa de pago dificulta el poder acreditar que se ofrece una alternativa real al usuario complicando el considerar que el consentimiento se ha otorgado de forma libre. Así, se recomienda facilitar opciones de acceso gratuitas con tratamientos menos invasivos que la publicidad comportamental y dejar el acceso mediante pago para aquellos accesos libres de tratamientos de datos no necesarios para la prestación del servicio.

  • Coste del acceso: El CEPD señala que el importe establecido puede impedir en la práctica que los interesados sean libres de tomar una decisión por lo que establece la importancia de analizar caso por caso el importe que se establece y recuerda que los datos de carácter personal no son un objeto de comercio y que en ningún caso puede convertirse la privacidad en un derecho únicamente ejercitable por quienes ostentan un poder adquisitivo elevado.

  • Que se otorga de forma informada: El consentimiento para que sea válido debe otorgarse tras haber recibido información suficiente sobre el tratamiento sobre el que se está consintiendo. En este sentido el CEPD señala que se debe hacer un ejercicio didáctico importante a la hora de facilitar la información para garantizar que esta se adapte a la audiencia a la que va dirigida, en especial si son menores.

  • Que es específico: La forma de recabar el consentimiento debe garantizar que el interesado únicamente consiente aquellos tratamientos sobre los que quiere consentir de forma separada, para ello se deben evitar patrones oscuros y se debe ofrecer una granularidad suficiente evitando, por ejemplo, unir el consentimiento a la publicidad comportamental con otros tratamientos de datos.

  • Que resulta fácilmente revocable: Se debe evitar el uso de patrones oscuros encaminados a impedir la retirada del consentimiento una vez otorgado.

Así, si bien el CEPD manifiesta que resulta improbable el cumplimiento de las Grandes Plataformas en Línea con los requisitos recogidos en este Dictamen no concluye ni menciona incumplimiento por ninguna de ellas, limitándose, en el marco de sus funciones, a otorgar directrices claras a las Autoridades de Control para que puedan evaluar el cumplimiento de estos principios por parte de los Responsables, que se encuentren bajo su jurisdicción.

En el caso de la Agencia Española de Protección de Datos, habrá que ver los próximos movimientos en especial en materia de cookies ya que, en la recientemente actualizada Guía de Cookies editada por dicha entidad, se recogía expresamente la posibilidad de ofrecer una alternativa no necesariamente gratuita para el caso de que el usuario no quisiera consentir el uso de cookies.

 

Publicado en Blog, Fiscal, Nuevas Tecnologías, Protección de Datos, Sede-Madrid, Sede-Pamplona, Sede-San Sebastián | Etiquetado como , , , , , , Comentarios desactivados en Cookie walls: “Consentir el uso de cookies o pagar por el servicio”

Principales novedades de la nueva Guía de Cookies

Publicado el 30-10-2020

El próximo 31 de octubre finaliza el plazo de tres meses establecido por la nueva Guía sobre el uso de las Cookies aprobada por la Agencia Española de Protección de Datos (AEPD) para la adaptación de nuestra página web.

Esta adaptación surge de la necesidad de cumplir con las Directrices 05/2020 sobre consentimiento del Comité Europeo de Protección de Datos (CEPD) que modificaban algunos puntos clave de la Guía de Cookies publicada por la AEPD en noviembre de 2019.

¿Cuáles son las principales modificaciones establecidas por la nueva Guía?

  1. Consentimiento expreso: esta nueva Guía establece que el consentimiento del usuario debe ser expreso e inequívoco. O lo que es lo mismo, se prohíbe la formula “seguir navegando” en cualquier de sus formas.

 

  1. Prohibición de los llamados “muros de Cookies”: Este punto está directamente relacionado con el consentimiento del usuario, se establece que, por el hecho de no haber aceptado las Cookies, no puede impedirse el acceso a los servicios o funcionalidades de la página web.

Es decir, el contenido de la página no puede estar supeditado a la aceptación de las Cookies, salvo, y así lo permite la Guía, que pueda ofrecerse una alternativa válida al usuario.

  1. Transparencia: ya lo recogía la anterior Guía de Cookies, pero el cumplimiento del deber de información al usuario será una cuestión fundamental a la hora de cumplir con la normativa. La información se podrá dar en dos capas que deberán contener el detalle entre otras cuestiones de qué tipos de cookies se utilizan, finalidad, quién las sirve, etc., de forma y manera que los visitantes del sitio pueden otorgar su aceptación de manera informada.

 

Publicado en Circulares, Empresas TIC, Propiedad Intelectual e Industrial, Protección de Datos, Sede-Madrid, Sede-Pamplona, Sede-San Sebastián, Sede-Valladolid | Etiquetado como , , , , , , , , , Comentarios desactivados en Principales novedades de la nueva Guía de Cookies

Nueva Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales

Publicado el 29-11-2018

Éste es sin duda uno de los años más apasionantes que en materia de protección de datos hemos vivido desde hace mucho tiempo: si el pasado 25 de mayo el protagonista absoluto fue el Reglamento General de Protección de Datos (RGPD o GDPR, que tuvo aplicación directa en toda la Unión Europea), ahora es el turno de la Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales.  Esta Ley acaba de ser aprobada por nuestro Senado y tiene por objeto no sólo adaptar al ordenamiento jurídico español el Reglamento Europeo sino que incorpora todo un capítulo dedicado a los denominados “los derechos digitales” (regulándose cuestiones novedosas tales como el derecho a la desconexión digital en el ámbito laboral o el “testamento digital”). Asimismo, no podemos obviar una de las cuestiones más polémicas de la norma que ha sido la modificación legal que permite a los partidos políticos recopilar datos relativos a opiniones políticas (modificación que ha generado opiniones encontradas sobre su alcance y alineamiento con el reglamento general de protección de datos).

A continuación, exponemos brevemente las principales novedades de esta norma:

  • Menores de edad: tras mucho debate en la tramitación de la norma sobre cuál debería ser la edad idónea en la que los menores pueden dar su consentimiento para el tratamiento de sus datos (el Reglamento daba una horquilla para que cada país seleccionara la edad), finalmente la cuestión ha quedado como hasta ahora. En consecuencia, en España será necesario que los menores tengan más de 14 años para que el consentimiento sea válido (en el resto de países de la UE esta edad puede ser diferente). También se recuerda la necesidad por parte de los centros educativos de contar con el consentimiento del menor (o sus representantes legales) para la publicación o difusión de los datos de éstos en Internet, garantizando la protección del interés superior del menor y sus derechos fundamentales.
  • Cláusulas de protección de datos: en la línea con lo que viene recomendado el Comité Europeo de Protección de Datos y la Agencia Española de Protección de Datos, se recoge expresamente la posibilidad de información “en dos capas”. Es decir, se tolera que en un primer momento se presente al afectado una información básica que incluya por ejemplo un enlace electrónico a otro espacio con el resto de la información.
  • Sistemas de exclusión publicitaria: la Agencia Española de Protección de Datos hará pública una relación de estos sistemas (como, por ejemplo, el conocido como “Listas Robinson”), siendo necesario que, quienes pretendan realizar comunicaciones comerciales, consulten previamente dichos sistemas (salvo cuando el afectado hubiera prestado su consentimiento para recibir dicha comunicación comercial).
  • Sistemas de información de denuncias internas:  se aclara que se permiten los sistemas anónimos de whistleblowing si bien es necesario adoptar las medidas necesarias para preservar la identidad y garantizar la confidencialidad de los datos, tanto de la persona que plantea la denuncia como de las personas afectadas. Se debe limitar el acceso a la información, quedando únicamente accesible a quienes desarrollen las funciones de control interno y de cumplimiento, y a los que tengan que adoptar medidas disciplinarias o de tramitación de los procedimientos judiciales que, en su caso, procedan. La Ley indica que el plazo de conservación debe ser “el imprescindible para decidir sobre la procedencia de iniciar una investigación sobre los hechos denunciados” (que, en todo caso, no debe superar los tres meses).
  • Publicación del Registro de las actividades de tratamiento: las administraciones públicas (y algunos otros organismos enumerados en el artículo 77, entre otros las fundaciones del sector público y las Universidades Públicas) tienen la obligación de dar publicidad a su registro de actividades de tratamiento (por ejemplo, en su página web).
  • Delegado de protección de datos: complementariamente con los supuestos recogidos en el Reglamento, la Ley Orgánica incluye una serie de entidades que tienen la obligación de nombrar esta figura. Entre ellos: i) centros docentes que ofrezcan enseñanzas en cualquiera de los niveles establecidos en la legislación reguladora del derecho a la educación ii) o prestadores de servicios de la sociedad de la información cuando elaboren, a gran escala, perfiles de los usuarios del servicio. En cualquier caso, la nueva normativa pretende favorecer el nombramiento voluntario de este perfil, siendo una de las circunstancias a valorar positivamente a la hora de graduar una sanción o medida correctiva por parte de la Agencia Española de Protección de Datos.
  • Derecho de rectificación e Internet: se impone, a los responsables de redes sociales y servicios equivalentes, la obligación de contar con protocolos para gestionar el ejercicio del derecho de rectificación ante los usuarios que difundan contenidos que atenten contra el derecho al honor, la intimidad personal y familiar en Internet y el derecho a comunicar o recibir libremente información veraz.
  • Medios de comunicación digitales: se establece el derecho de toda persona a solicitar motivadamente, a estos medios, la inclusión de un aviso visible junto a las noticias que le conciernan cuando éstas, por no reflejar su situación actual por haber cambiado sus circunstancias tras la publicación, le causen un perjuicio. Esto se concreta en la obligación, de los medios de comunicación digitales que deban atender la solicitud, de incorporar un aviso aclaratorio que ponga de manifiesto que la noticia original no refleja la situación actual del individuo.
  • Derecho a la desconexión digital en el ámbito laboral:  las organizaciones deberán elaborar una política interna en la que definirán las modalidades de ejercicio del derecho a la desconexión, debiendo adoptar “acciones de formación y de sensibilización del personal sobre un uso razonable de las herramientas tecnológicas que evite el riesgo de fatiga informática”.
  • Videovigilancia y geolocalización de trabajadores: se regulan las obligaciones de información a los trabajadores cuando los empresarios decidan adoptar este tipo de medidas de vigilancia y control para la verificación del cumplimiento de las obligaciones y deberes laborales.
  • Derecho al olvido en búsquedas de Internet y en servicios de redes sociales y equivalentes: en línea con la doctrina jurisprudencial que viene produciéndose, se regula el derecho de supresión en este tipo de servicios cuando, por ejemplo, la información hubiere devenido, por el transcurso del tiempo, inadecuada o inexacta teniendo en cuenta los fines para la que se recogió.
  • Derecho al testamento digital: se regula en qué situaciones los herederos y personas vinculadas a un fallecido pueden dirigirse a un prestador de servicios de la sociedad de la información para acceder a los contenidos allí alojados o decidir sobre el mantenimiento o eliminación de perfiles en, por ejemplo, redes sociales.  Esto no será posible cuando la persona fallecida lo hubiese prohibido expresamente o así lo establezca una ley. Dicha prohibición no afectará al derecho de los herederos a acceder a los datos de carácter patrimonial del causante.
  • Medidas de seguridad en el ámbito del sector público: cuando un tercero preste un servicio en régimen de concesión, encomienda de gestión o contrato, se aclara que las medidas de seguridad se corresponderán con las de la Administración pública de origen y se ajustarán al Esquema Nacional de Seguridad.
  • Tratamientos de datos de salud en materia de investigación:  lo más destacable sin duda es que se abre la puerta a que, las autorizaciones obtenidas para una finalidad de investigación concreta, se puedan extender “para finalidades o áreas de investigación relacionadas con el área en la que se integrase científicamente el estudio inicial”. También se establece la necesidad de realizar una evaluación de impacto para los tratamientos con fines de investigación en salud pública y, en particular, biomédica.
  • Modificación de la Ley Orgánica del Régimen Electoral General: sin duda, uno de los puntos más polémicos de esta norma ha sido la posibilidad de recopilación de datos relativos a las opiniones políticas que pueden llevar a cabo los partidos políticos en el marco de sus actividades electorales y la posibilidad de envío de propaganda electoral electrónica sin que sea considerada “spam”.
  • Derecho a la neutralidad de Internet: dicha neutralidad se establece como un derecho de los usuarios quedando prohibido, a los proveedores de servicios de Internet, discriminar por motivos técnicos o económicos.

 

Publicado en Empresas TIC, Nuevas Tecnologías, Propiedad Intelectual e Industrial, Protección de Datos | Etiquetado como , , , , , Comentarios desactivados en Nueva Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales
Suscríbete a nuestra newsletter

Información sobre protección de datos: ARPA tratará tus datos con el fin de remitirte periódicamente nuestro boletín, con información tanto de ARPA A&C S.L. como de Fundación ARPA y ARPA Accounting S.L. Tienes la posibilidad de ejercitar los derechos de acceso, rectificación, supresión, portabilidad, limitación u oposición del tratamiento de tus datos. Puedes consultar una versión ampliada de esta política aquí.
He leído y acepto la Política de Privacidad
X