Exposición detallada del estado actual de los sistemas de cookies y otros de monitorización y rastreo, desde diferentes puntos de vista: legal, tecnológico y de negocio
2. ESIC Eventos - Workshop
¿Estamos preparados para un futuro sin “cookies”?
@Pablofb
Í
N
D
I
C
E 1. Presentación del caso
2. Contexto general sobre cookies
3. Soluciones tecnológicas
4. Tendencias por parte de los usuarios
5. Normativa española y de la Unión Europea
6. Documentación previa al tratamiento de datos
7. Banner de cookies e implementación técnica
8. Preguntas frecuentes
9. Conclusiones
10.Dudas y comentarios
4. ESIC Eventos - Workshop
¿Estamos preparados para un futuro sin “cookies”?
@Pablofb
Presentación del caso
E-Commerce multiplataforma con mercado objetivo en España
Necesidad: seguridad, funcionalidad, analítica y publicidad
Comunicaciones por Email y notificaciones emergentes (push)
Objetivo: Comprender y cumplir la llamada “ley de cookies”
6. ESIC Eventos - Workshop
¿Estamos preparados para un futuro sin “cookies”?
@Pablofb
Finalidad de la identificación univoca de usuarios / terminales
Seguridad
Publicidad
Funcionalidad
Analítica
7. ESIC Eventos - Workshop
¿Estamos preparados para un futuro sin “cookies”?
@Pablofb
Finalidad de la identificación univoca de usuarios / terminales
Seguridad
Publicidad
Funcionalidad
Analítica
8. ESIC Eventos - Workshop
¿Estamos preparados para un futuro sin “cookies”?
@Pablofb
Finalidad de la identificación univoca de usuarios / terminales
Seguridad
Publicidad
Funcionalidad
Analítica
9. ESIC Eventos - Workshop
¿Estamos preparados para un futuro sin “cookies”?
@Pablofb
Cookies propias y de terceros
Cookies
Cookies propias (1st)
• Servidas y consultadas por el
propio dominio
• Recuerdan la actividad en el
propio dominio
Cookies de terceros (3rd)
• Servidas y consultadas por un
tercero (adTech)
• Recuerdan actividad cruzada en
varios dominios
Funciones
10. ESIC Eventos - Workshop
¿Estamos preparados para un futuro sin “cookies”?
@Pablofb
Cookies propias y de terceros
Cookies
Cookies propias (1st)
• Servidas y consultadas por el
propio dominio
• Recuerdan la actividad en el
propio dominio
Cookies de terceros (3rd)
• Servidas y consultadas por un
tercero (adTech)
• Recuerdan actividad cruzada en
varios dominios
- Reconocen al usuario nuevo
- Recuerdan el acceso (credenciales)
- Almacenan datos sobre la
navegación por páginas del sitio
- Monitorizan el camino de compra
- Crean perfiles de usuario únicos
- Añaden etiquetas de consumo
- Permiten limitar el número de
impactos publicitarios por usuario
- Ofrecen analítica mejorada
Funciones
11. ESIC Eventos - Workshop
¿Estamos preparados para un futuro sin “cookies”?
@Pablofb
Google Chrome no admitirá cookies de terceros a partir de 2022
https://blog.chromium.org/2020/01/building-more-private-web-path-towards.html
12. ESIC Eventos - Workshop
¿Estamos preparados para un futuro sin “cookies”?
@Pablofb
Bloqueo de cookies de terceros en los principales navegadores (últimas
versiones)
4 de agosto de 2020
Protección Antirrastreo Mejorada (ETP) 2.0
Borra rastreadores de sitios rastreo cada 24h
3 de mayo de 2020
Protección contra el rastreo inteligente (ITP)
Bloquea cookies de 3º y limita la duración de las cookies de 1ª parte
14 de enero de 2020
Caja de Arena de Privacidad (Privacy Sandbox)
A partir de 2022, se prevé que bloquee cookies de terceros
13. ESIC Eventos - Workshop
¿Estamos preparados para un futuro sin “cookies”?
@Pablofb
Usuarios por navegador, en Europa
https://gs.statcounter.com/browser-market-share/all/europe/
14. ESIC Eventos - Workshop
¿Estamos preparados para un futuro sin “cookies”?
@Pablofb
Cookies propias y de terceros
Cookies
Cookies propias (1st)
• Servidas y consultadas por el
propio dominio
• Recuerdan la actividad en el
propio dominio
Cookies de terceros (3rd)
• Servidas y consultadas por un
tercero (adTech)
• Recuerdan actividad cruzada en
varios dominios
- Reconocen al usuario nuevo
- Recuerdan el acceso (credenciales)
- Almacenan datos sobre la
navegación por páginas
- Monitorizan el camino de compra
- Crean perfiles de usuario únicos
- Añaden etiquetas de consumo
- Permiten limitar el número de
impactos publicitarios por usuario
- Ofrecen analítica mejorada
Funciones
16. ESIC Eventos - Workshop
¿Estamos preparados para un futuro sin “cookies”?
@Pablofb
Soluciones tecnológicas
Cookies
Huella digital
Web bug (pixel)
Canvas
fingerprint
Canvas font
fingerprint
webRTC fingerprint Audio fingerprint Base band
GSM/GPRS
Bluetooth
Giroscopio
Acelerómetro
Presión
Cadencia Batería
17. ESIC Eventos - Workshop
¿Estamos preparados para un futuro sin “cookies”?
@Pablofb
Información recabada
IP
Modelo y versión
del navegador
Tamaño de la
Pantalla
Batería
Tecleo
Pulsaciones
Movimientos
del ratón
Versión
del SO
Resolución de la
pantalla
Procesador
Posición del
terminal
Extensiones
plugins
Dispositivos
instalados
Listas de
fuentes de
texto
Bloqueador
de publicidad
18. ESIC Eventos - Workshop
¿Estamos preparados para un futuro sin “cookies”?
@Pablofb
Borrar las cookies cambia poco o nada la identificación unívoca de un
usuario
19. ESIC Eventos - Workshop
¿Estamos preparados para un futuro sin “cookies”?
@Pablofb
Identificar al usuario a través de sus hábitos y de los sensores en los
terminales
20. ESIC Eventos - Workshop
¿Estamos preparados para un futuro sin “cookies”?
@Pablofb
Tendencias del mercado para combatir la desaparición de las cookies de
terceros
People-based
Creación de un ID único
a partir de la recogida
tradicional de datos
personales (móvil,
email, etc.).
Requiere enviar email
hasheado a un DSP
ID Universal
Creación de un ID único
cruzando datos entre
empresas dentro de un
jardín amurallado.
Requiere acuerdos entre
AdTech y Martech
Google Privacy Sandbox
El navegador almacena y
procesa los datos, sin
compartirlos con el
anunciante.
APIs: Trust, Privacy
Budget, Measurement,
FLOCs y PIGIN
22. ESIC Eventos - Workshop
¿Estamos preparados para un futuro sin “cookies”?
@Pablofb
Do not track, solución propuesta por W3C
• DNT activo = rastreo prohibido
• DNT inactivo o sin configurar = obligación
de dar la oportunidad de aceptar el rastreo
23. ESIC Eventos - Workshop
¿Estamos preparados para un futuro sin “cookies”?
@Pablofb
Instalación de bloqueadores
El bloqueador no debería detectar ninguna
cookie bloqueable hasta después de que el
usuario haya, en su caso, consentido el rastreo.
24. ESIC Eventos - Workshop
¿Estamos preparados para un futuro sin “cookies”?
@Pablofb
Otras tendencias de mejora de la privacidad
Dos medidas no efectivas:
- Navegación privada
- Navegación por VPN
Medidas efectivas:
- Deshabilitar JavaScript
- Cambiar de navegador
26. ESIC Eventos - Workshop
¿Estamos preparados para un futuro sin “cookies”?
@Pablofb
Acercamiento a la Ley de Cookies o normativa sobre rastreadores
1.- Norma de la Unión Europea:
Reglamento General de
Protección de Datos
1. Legitimación del tratamiento
2. Documentación propia
3. Información al usuario
4. Prueba de cumplimiento
2.- Norma local española:
Ley 34/2002, de Servicios de la
Sociedad de la Información
1. Obligación de informar
2. Condición: consentimiento
3. DNT. Obligación de atender a
la configuración del navegador
28. ESIC Eventos - Workshop
¿Estamos preparados para un futuro sin “cookies”?
@Pablofb
Documentación básica que debe ser elaborada antes del tratamiento de
datos
1. Registro de actividades del tratamiento (RAT)
2. Sopesamiento o Juicio de ponderación sobre el interés legítimo debidamente concretizado
3. Análisis sobre la necesidad de designar un Delegado de protección de datos (DPD)
4. Análisis sobre la necesidad de hacer una Evaluación de Impacto sobre la Protección de Datos (EIPD)
1. Negativo: Análisis básico de riesgos
2. Positivo: EIPD
29. ESIC Eventos - Workshop
¿Estamos preparados para un futuro sin “cookies”?
@Pablofb
No es válido para:
- Finalidad funcional
- Finalidad analítica
- Finalidad publicitaria
Sí es válido para:
- Medidas de ciberseguridad sobre la web
- Adaptar los contenidos al tipo de terminal
- Finalidades técnicas de transmisión
Interés legítimo
concretizado
30. ESIC Eventos - Workshop
¿Estamos preparados para un futuro sin “cookies”?
@Pablofb
No es válido para:
- Finalidad funcional
- Finalidad analítica
- Finalidad publicitaria
Sí es válido para:
- Medidas de ciberseguridad sobre la web
- Adaptar los contenidos al tipo de terminal
- Finalidades técnicas de transmisión
Interés legítimo
concretizado
31. ESIC Eventos - Workshop
¿Estamos preparados para un futuro sin “cookies”?
@Pablofb
Evaluación de impacto sobre la protección de datos (EIPD)
Ejemplos de posibles aspectos a tratar en la EIPD:
1. ¿Cómo impactará la filtración de la información de perfilado?
2. ¿Y si acceden a esta información organizaciones gubernamentales o políticas?
3. ¿Cómo se usarán sesgos sociales, culturales, raciales, etc. que conlleven decisiones
4. ¿ Cómo se evitará el acceso por empleados o terceros a datos de usuarios
5. ¿Los datos podrían dar lugar a acoso social, político o de género?
6. Justificación de la finalidad concreta a la que se destinará cada dato recabado
7. Justificación del mínimo tiempo posible para la conservación de los datos
8. ¿Qué límites se impondrán al uso de los perfiles?
9. ¿Podría dar lugar a la manipulación de los deseos, creencias y estado emocional de
10. Si se anonimiza o el usuario revoca su autorización, ¿existe riesgo de
32. ESIC Eventos - Workshop
¿Estamos preparados para un futuro sin “cookies”?
@Pablofb
03 04
02
01
32
Algunos
requisitos a
definir en la
EIPD con
privacidad por
defecto
Confidencialidad Disponibilidad
Integridad
Autenticación y
trazabilidad
34. ESIC Eventos - Workshop
¿Estamos preparados para un futuro sin “cookies”?
@Pablofb
1.- Soluciones gratuitas para banner de cookies y bloqueo de cookies
1. Cookie Consent Kit, de
Comisión Europea
2. Cookie Consent, de Silktide
3. Abanlex / EU-Cookie-Law
4. Cookie Control CIVIC
5. OneTrust
6. Cookiebot Cybot
35. ESIC Eventos - Workshop
¿Estamos preparados para un futuro sin “cookies”?
@Pablofb
2.- Rastreadores siempre deshabilitados por defecto
Mantener los rastreadores
analíticos, funcionales o
publicitarios activados por
defecto es una práctica
contraria a la norma
Los rastreadores han de
permanecer deshabilitados
por defecto hasta que el
usuario los acepte
36. ESIC Eventos - Workshop
¿Estamos preparados para un futuro sin “cookies”?
@Pablofb
2.- Rastreadores siempre deshabilitados por defecto
Mantener los rastreadores
analíticos, funcionales o
publicitarios activados por
defecto es una práctica
contraria a la norma
Los rastreadores han de
permanecer deshabilitados
por defecto hasta que el
usuario los acepte
37. ESIC Eventos - Workshop
¿Estamos preparados para un futuro sin “cookies”?
@Pablofb
3.- Solo aceptar es ACEPTAR
Es ilegal instalar cookies por:
- Continuar navegando
- Hacer clic en cualquier lado
- Hacer scroll
- Dejar pasar el tiempo
Es legal instalar cookies solo
cuando el usuario ha realizado
una clara acción afirmativa, tal
como “aceptar” después de
haber sido informado.
38. ESIC Eventos - Workshop
¿Estamos preparados para un futuro sin “cookies”?
@Pablofb
3.- Solo aceptar es ACEPTAR
Es ilegal instalar cookies por:
- Continuar navegando
- Hacer clic en cualquier lado
- Hacer scroll
- Dejar pasar el tiempo
Es legal instalar cookies solo
cuando el usuario ha realizado
una clara acción afirmativa, tal
como “aceptar” después de
haber sido informado.
39. ESIC Eventos - Workshop
¿Estamos preparados para un futuro sin “cookies”?
@Pablofb
4.- Navegar no es aceptar. El aviso de cookies se tiene que llamar “aviso de
cookies”
Es ilegal instalar cookies al
usuario que no las ha aceptado
aún, por el mero hecho de que
acceda a la política de cookies
Es obligatorio dar acceso a la
política de cookies y que su
título en el enlace incluya la
palabra “Cookies”.
40. ESIC Eventos - Workshop
¿Estamos preparados para un futuro sin “cookies”?
@Pablofb
4.- Navegar no es aceptar. El aviso de cookies se tiene que llamar “aviso de
cookies”
Es ilegal instalar cookies al
usuario que no las ha aceptado
aún, por el mero hecho de que
acceda a la política de cookies
Es obligatorio dar acceso a la
política de cookies y que su
título en el enlace incluya la
palabra “Cookies”.
41. ESIC Eventos - Workshop
¿Estamos preparados para un futuro sin “cookies”?
@Pablofb
5.- Muestra claramente qué cookies usas
Es ilegal ocultar las cookies
analíticas y publicitarias que se
usan bajo la apariencia de que
son únicamente necesarias
Es obligatorio ofrecer un
desglose de los tipos de cookies
que se vayan a activar
42. ESIC Eventos - Workshop
¿Estamos preparados para un futuro sin “cookies”?
@Pablofb
5.- Muestra claramente qué cookies usas
Es ilegal ocultar las cookies
analíticas y publicitarias que se
usan bajo la apariencia de que
son únicamente necesarias
Es obligatorio ofrecer un
desglose de los tipos de cookies
que se vayan a activar
43. ESIC Eventos - Workshop
¿Estamos preparados para un futuro sin “cookies”?
@Pablofb
6.- El usuario tiene derecho a decidir sobre cada uno de tus tipos de cookies
Es ilegal ofrecer un desglose de
cookies que no permita al
usuario elegir unas sí y otras no
Es obligatorio ofrecer un
desglose granular (no excesivo)
de las cookies que se usan para
permitir que el usuario decida
44. ESIC Eventos - Workshop
¿Estamos preparados para un futuro sin “cookies”?
@Pablofb
6.- El usuario tiene derecho a decidir sobre cada uno de tus tipos de cookies
Es ilegal ofrecer un desglose de
cookies que no permita al
usuario elegir unas sí y otras no
Es obligatorio ofrecer un
desglose granular (no excesivo)
de las cookies que se usan para
permitir que el usuario decida
45. ESIC Eventos - Workshop
¿Estamos preparados para un futuro sin “cookies”?
@Pablofb
7.- El banner sirve para explicar qué tratamientos vas a realizar sobre los
datos
Es ilegal incluir frases vacías del
tipo “mejorar su experiencia”
Es obligatorio informar de
manera expresa sobre la
finalidad concreta del
tratamiento de datos
46. ESIC Eventos - Workshop
¿Estamos preparados para un futuro sin “cookies”?
@Pablofb
7.- El banner sirve para explicar a qué tratamientos vas a realizar sobre los
datos
Es ilegal incluir frases vacías del
tipo “mejorar su experiencia”
Es obligatorio informar de
manera expresa sobre la
finalidad concreta del
tratamiento de datos
47. ESIC Eventos - Workshop
¿Estamos preparados para un futuro sin “cookies”?
@Pablofb
8.- Ofrece toda la información obligatoria (art. 11 LOPDGDD)
Es ilegal omitir información de
primera capa de protección de
datos personales.
Es obligatorio informar sobre la
identidad del responsable, la
finalidad, los derechos, los
datos recabados y dar un link
para obtener más información
48. ESIC Eventos - Workshop
¿Estamos preparados para un futuro sin “cookies”?
@Pablofb
8.- Ofrece toda la información obligatoria (art. 11 LOPDGDD)
Es ilegal omitir información de
primera capa de protección de
datos personales.
Es obligatorio informar sobre la
identidad del responsable, la
finalidad, los derechos, los
datos recabados y dar un link
para obtener más información
49. ESIC Eventos - Workshop
¿Estamos preparados para un futuro sin “cookies”?
@Pablofb
9.- No ocultes el botón para acceder al aviso legal, al de privacidad o al de
cookies
Es ilegal ocultar el enlace a la
política de privacidad detrás
del banner de cookies
Es obligatorio permitir el acceso
al banner de configuración de
cookies para que el usuario
pueda reconfigurar o revocar
50. ESIC Eventos - Workshop
¿Estamos preparados para un futuro sin “cookies”?
@Pablofb
9.- Permite que el banner de configuración de cookies se pueda volver a
mostrar
Es ilegal ocultar el enlace a la
política de privacidad detrás
del banner de cookies
Es obligatorio permitir el acceso
al banner de configuración de
cookies para que el usuario
pueda reconfigurar o revocar
52. ESIC Eventos - Workshop
¿Estamos preparados para un futuro sin “cookies”?
@Pablofb
Preguntas frecuentes
Sentencia TJUE sobre cookies – Asunto C-673/17
«La información que el proveedor de servicios debe facilitar al usuario incluye el
tiempo durante el cual las cookies estarán activas y la posibilidad de que
terceros tengan acceso a ellas».
1.- ¿Es obligatorio informar sobre el tiempo que las cookies tratan los datos?
53. ESIC Eventos - Workshop
¿Estamos preparados para un futuro sin “cookies”?
@Pablofb
Preguntas frecuentes
Guía de cookies de la AEPD
«Esta Agencia considera buena práctica que la validez del consentimiento
prestado por un usuario para el uso de una determinada cookie
no tenga una duración superior a 24 meses».
2.- ¿El consentimiento que da el usuario sobre las cookies caduca o es eterno?
54. ESIC Eventos - Workshop
¿Estamos preparados para un futuro sin “cookies”?
@Pablofb
Preguntas frecuentes
Informe CNIL (AEPD francesa) sobre cookies, de 18 de julio de 2019
«La práctica consistente en bloquear el acceso a un sitio web o a una aplicación
móvil por no aceptar ser rastreado (cookie walls) no es conforme al RGPD».
3.- ¿Puedo usar un muro de cookies (o aceptas o no entras)?
55. ESIC Eventos - Workshop
¿Estamos preparados para un futuro sin “cookies”?
@Pablofb
Preguntas frecuentes
Ley de competencia desleal (art 29)
Reiterar la propuesta de aceptación de las cookies cuando ya ha sido denegada
se considera práctica agresiva por acoso.
4.- Si el usuario no me acepta las cookies, ¿se lo puedo preguntar de nuevo?
56. ESIC Eventos - Workshop
¿Estamos preparados para un futuro sin “cookies”?
@Pablofb
Preguntas frecuentes
Stc. TJUE C-40/17 – Fashion ID
Stc. TJUE C-210/16 – Wirtschaftsakademie Schleswig-Holstein
El responsable del sitio web está obligado a ofrecer, en su aviso de cookies, un
resumen del acuerdo de corresponsabilidad por el tratamiento de extracción de
datos (1) a través de widgets y botones, así como (2) a través de la página o el
usuario que la empresa mantenga en redes sociales.
5.- ¿Tengo alguna obligación por usar widgets de Facebook o Twitter?
57. ESIC Eventos - Workshop
¿Estamos preparados para un futuro sin “cookies”?
@Pablofb
Preguntas frecuentes
Informe 11/2014 AEPD
Se requiere un consentimiento (revocable) expreso separado al de suscripción
para usar tracking pixel u otros sistema de rastreo o monitorización de apertura
de correos electrónicos en campañas de e-mail marketing
6.- ¿La ley de cookies afecta también a los emails que envío?
59. ESIC Eventos - Workshop
¿Estamos preparados para un futuro sin “cookies”?
@Pablofb
Conclusiones. Si quieres hacer uso de rastreadores, cumple estos puntos
clave.
Elabora la documentación previa al tratamiento. Especialmente el RAT.
Crea un aviso correcto de cookies y de protección de datos personales.
Implementa un sistema técnico que bloquee todos los rastreadores.
Muestra en el banner la primera capa completa de protección de datos.
No uses el interés legítimo para funcionalidad, analítica o publicidad.
Permite la libre aceptación, configuración y revocación de la autorización.
Recuerda que la normativa de cookies aplica a email marketing.
CANVAS: Se hace uso del elemento canvas de HTML5 para renderizar una determinada imagen mediante javascript. Esta imagen será renderizada de forma sutilmente diferente por las diferencias de hardware/software de cada dispositivo. Estas sutiles diferencias pueden detectarse al objeto de identificar los dispositivos.
CANVAS FONT: La lista de fuentes de texto de un dispositivo o navegador web es una característica que unida a otras puede utilizarse para obtener un identificador único para cada usuario
WebRTC: para obtener la IP local
AUDIO: Se utiliza la API AudioContext de HTML5 para realizar una serie de procesamientos sobre una señal de audio fija. Las ligeras diferencias en el resultado del procesamiento según el hardware/software del sistema concreto permiten particularizar el dispositivo.
DSP, una plataforma que representa a los demandantes de espacios publicitarios (los anunciantes)