¿Estamos preparados para un futuro sin “cookies”?

www.esic.edu
Madrid
Barcelona
Valencia
Sevilla
Zaragoza
Málaga
Galicia
Pamplona
Bilbao
Granada
E S I C E v e n t o s
Workshop
¿Estamos preparados para
un futuro sin “cookies”?

ESIC Eventos - Workshop
¿Estamos preparados para un futuro sin “cookies”?
@Pablofb
Í
N
D
I
C
E 1. Presentación del caso
2. Contexto general sobre cookies
3. Soluciones tecnológicas
4. Tendencias por parte de los usuarios
5. Normativa española y de la Unión Europea
6. Documentación previa al tratamiento de datos
7. Banner de cookies e implementación técnica
8. Preguntas frecuentes
9. Conclusiones
10.Dudas y comentarios

@Pablofb
Presentación del caso
E-Commerce multiplataforma con mercado objetivo en España
Necesidad: seguridad, funcionalidad, analítica y publicidad
Comunicaciones por Email y notificaciones emergentes (push)
Objetivo: Comprender y cumplir la llamada “ley de cookies”

2.- Contexto general
sobre cookies

@Pablofb
Finalidad de la identificación univoca de usuarios / terminales
Seguridad
Publicidad
Funcionalidad
Analítica

@Pablofb
Cookies propias y de terceros
Cookies
Cookies propias (1st)
• Servidas y consultadas por el
propio dominio
• Recuerdan la actividad en el
propio dominio
Cookies de terceros (3rd)
• Servidas y consultadas por un
tercero (adTech)
• Recuerdan actividad cruzada en
varios dominios
Funciones

@Pablofb
Cookies
propio dominio
propio dominio
tercero (adTech)
varios dominios
- Reconocen al usuario nuevo
- Recuerdan el acceso (credenciales)
- Almacenan datos sobre la
navegación por páginas del sitio
- Monitorizan el camino de compra
- Crean perfiles de usuario únicos
- Añaden etiquetas de consumo
- Permiten limitar el número de
impactos publicitarios por usuario
- Ofrecen analítica mejorada
Funciones

@Pablofb
Google Chrome no admitirá cookies de terceros a partir de 2022
https://blog.chromium.org/2020/01/building-more-private-web-path-towards.html

@Pablofb
Bloqueo de cookies de terceros en los principales navegadores (últimas
versiones)
4 de agosto de 2020
Protección Antirrastreo Mejorada (ETP) 2.0
Borra rastreadores de sitios rastreo cada 24h
3 de mayo de 2020
Protección contra el rastreo inteligente (ITP)
Bloquea cookies de 3º y limita la duración de las cookies de 1ª parte
14 de enero de 2020
Caja de Arena de Privacidad (Privacy Sandbox)
A partir de 2022, se prevé que bloquee cookies de terceros

@Pablofb
Usuarios por navegador, en Europa
https://gs.statcounter.com/browser-market-share/all/europe/

@Pablofb
Cookies
propio dominio
propio dominio
tercero (adTech)
varios dominios
- Reconocen al usuario nuevo
- Recuerdan el acceso (credenciales)
- Almacenan datos sobre la
navegación por páginas
- Monitorizan el camino de compra
- Crean perfiles de usuario únicos
- Añaden etiquetas de consumo
- Permiten limitar el número de
impactos publicitarios por usuario
- Ofrecen analítica mejorada
Funciones

@Pablofb
Soluciones tecnológicas
Cookies
Huella digital
Web bug (pixel)
Canvas
fingerprint
Canvas font
fingerprint
webRTC fingerprint Audio fingerprint Base band
GSM/GPRS
Bluetooth
Giroscopio
Acelerómetro
Presión
Cadencia Batería

@Pablofb
Información recabada
IP
Modelo y versión
del navegador
Tamaño de la
Pantalla
Batería
Tecleo
Pulsaciones
Movimientos
del ratón
Versión
del SO
Resolución de la
pantalla
Procesador
Posición del
terminal
Extensiones
plugins
Dispositivos
instalados
Listas de
fuentes de
texto
Bloqueador
de publicidad

@Pablofb
Borrar las cookies cambia poco o nada la identificación unívoca de un
usuario

@Pablofb
Identificar al usuario a través de sus hábitos y de los sensores en los
terminales

@Pablofb
Tendencias del mercado para combatir la desaparición de las cookies de
terceros
People-based
Creación de un ID único
a partir de la recogida
tradicional de datos
personales (móvil,
email, etc.).
Requiere enviar email
hasheado a un DSP
ID Universal
Creación de un ID único
cruzando datos entre
empresas dentro de un
jardín amurallado.
Requiere acuerdos entre
AdTech y Martech
Google Privacy Sandbox
El navegador almacena y
procesa los datos, sin
compartirlos con el
anunciante.
APIs: Trust, Privacy
Budget, Measurement,
FLOCs y PIGIN

4.- Tendencias por parte
de los usuarios

@Pablofb
Do not track, solución propuesta por W3C
• DNT activo = rastreo prohibido
• DNT inactivo o sin configurar = obligación
de dar la oportunidad de aceptar el rastreo

@Pablofb
Instalación de bloqueadores
El bloqueador no debería detectar ninguna
cookie bloqueable hasta después de que el
usuario haya, en su caso, consentido el rastreo.

@Pablofb
Otras tendencias de mejora de la privacidad
Dos medidas no efectivas:
- Navegación privada
- Navegación por VPN
Medidas efectivas:
- Deshabilitar JavaScript
- Cambiar de navegador

5.- Normativa española y
de la Unión Europea

@Pablofb
Acercamiento a la Ley de Cookies o normativa sobre rastreadores
1.- Norma de la Unión Europea:
Reglamento General de
Protección de Datos
1. Legitimación del tratamiento
2. Documentación propia
3. Información al usuario
4. Prueba de cumplimiento
2.- Norma local española:
Ley 34/2002, de Servicios de la
Sociedad de la Información
1. Obligación de informar
2. Condición: consentimiento
3. DNT. Obligación de atender a
la configuración del navegador

6.- Documentación
previa al tratamiento de
datos

@Pablofb
Documentación básica que debe ser elaborada antes del tratamiento de
datos
1. Registro de actividades del tratamiento (RAT)
2. Sopesamiento o Juicio de ponderación sobre el interés legítimo debidamente concretizado
3. Análisis sobre la necesidad de designar un Delegado de protección de datos (DPD)
4. Análisis sobre la necesidad de hacer una Evaluación de Impacto sobre la Protección de Datos (EIPD)
1. Negativo: Análisis básico de riesgos
2. Positivo: EIPD

@Pablofb
No es válido para:
- Finalidad funcional
- Finalidad analítica
- Finalidad publicitaria
Sí es válido para:
- Medidas de ciberseguridad sobre la web
- Adaptar los contenidos al tipo de terminal
- Finalidades técnicas de transmisión
Interés legítimo
concretizado

@Pablofb
Evaluación de impacto sobre la protección de datos (EIPD)
Ejemplos de posibles aspectos a tratar en la EIPD:
1. ¿Cómo impactará la filtración de la información de perfilado?
2. ¿Y si acceden a esta información organizaciones gubernamentales o políticas?
3. ¿Cómo se usarán sesgos sociales, culturales, raciales, etc. que conlleven decisiones
4. ¿ Cómo se evitará el acceso por empleados o terceros a datos de usuarios
5. ¿Los datos podrían dar lugar a acoso social, político o de género?
6. Justificación de la finalidad concreta a la que se destinará cada dato recabado
7. Justificación del mínimo tiempo posible para la conservación de los datos
8. ¿Qué límites se impondrán al uso de los perfiles?
9. ¿Podría dar lugar a la manipulación de los deseos, creencias y estado emocional de
10. Si se anonimiza o el usuario revoca su autorización, ¿existe riesgo de

@Pablofb
03 04
02
01
32
Algunos
requisitos a
definir en la
EIPD con
privacidad por
defecto
Confidencialidad Disponibilidad
Integridad
Autenticación y
trazabilidad

7.- Banner de cookies e
implementación técnica

@Pablofb
1.- Soluciones gratuitas para banner de cookies y bloqueo de cookies
1. Cookie Consent Kit, de
Comisión Europea
2. Cookie Consent, de Silktide
3. Abanlex / EU-Cookie-Law
4. Cookie Control CIVIC
5. OneTrust
6. Cookiebot Cybot

@Pablofb
2.- Rastreadores siempre deshabilitados por defecto
Mantener los rastreadores
analíticos, funcionales o
publicitarios activados por
defecto es una práctica
contraria a la norma
Los rastreadores han de
permanecer deshabilitados
por defecto hasta que el
usuario los acepte

@Pablofb
3.- Solo aceptar es ACEPTAR
Es ilegal instalar cookies por:
- Continuar navegando
- Hacer clic en cualquier lado
- Hacer scroll
- Dejar pasar el tiempo
Es legal instalar cookies solo
cuando el usuario ha realizado
una clara acción afirmativa, tal
como “aceptar” después de
haber sido informado.

@Pablofb
4.- Navegar no es aceptar. El aviso de cookies se tiene que llamar “aviso de
cookies”
Es ilegal instalar cookies al
usuario que no las ha aceptado
aún, por el mero hecho de que
acceda a la política de cookies
Es obligatorio dar acceso a la
política de cookies y que su
título en el enlace incluya la
palabra “Cookies”.

@Pablofb
5.- Muestra claramente qué cookies usas
Es ilegal ocultar las cookies
analíticas y publicitarias que se
usan bajo la apariencia de que
son únicamente necesarias
Es obligatorio ofrecer un
desglose de los tipos de cookies
que se vayan a activar

@Pablofb
6.- El usuario tiene derecho a decidir sobre cada uno de tus tipos de cookies
Es ilegal ofrecer un desglose de
cookies que no permita al
usuario elegir unas sí y otras no
Es obligatorio ofrecer un
desglose granular (no excesivo)
de las cookies que se usan para
permitir que el usuario decida

@Pablofb
7.- El banner sirve para explicar qué tratamientos vas a realizar sobre los
datos
Es ilegal incluir frases vacías del
tipo “mejorar su experiencia”
Es obligatorio informar de
manera expresa sobre la
finalidad concreta del
tratamiento de datos

@Pablofb
7.- El banner sirve para explicar a qué tratamientos vas a realizar sobre los
datos
Es ilegal incluir frases vacías del
tipo “mejorar su experiencia”
Es obligatorio informar de
manera expresa sobre la
finalidad concreta del
tratamiento de datos

@Pablofb
8.- Ofrece toda la información obligatoria (art. 11 LOPDGDD)
Es ilegal omitir información de
primera capa de protección de
datos personales.
Es obligatorio informar sobre la
identidad del responsable, la
finalidad, los derechos, los
datos recabados y dar un link
para obtener más información

@Pablofb
9.- No ocultes el botón para acceder al aviso legal, al de privacidad o al de
cookies
Es ilegal ocultar el enlace a la
política de privacidad detrás
del banner de cookies
Es obligatorio permitir el acceso
al banner de configuración de
cookies para que el usuario
pueda reconfigurar o revocar

@Pablofb
9.- Permite que el banner de configuración de cookies se pueda volver a
mostrar
Es ilegal ocultar el enlace a la
política de privacidad detrás
del banner de cookies
Es obligatorio permitir el acceso
al banner de configuración de
cookies para que el usuario
pueda reconfigurar o revocar

@Pablofb
Preguntas frecuentes
Sentencia TJUE sobre cookies – Asunto C-673/17
«La información que el proveedor de servicios debe facilitar al usuario incluye el
tiempo durante el cual las cookies estarán activas y la posibilidad de que
terceros tengan acceso a ellas».
1.- ¿Es obligatorio informar sobre el tiempo que las cookies tratan los datos?

@Pablofb
Guía de cookies de la AEPD
«Esta Agencia considera buena práctica que la validez del consentimiento
prestado por un usuario para el uso de una determinada cookie
no tenga una duración superior a 24 meses».
2.- ¿El consentimiento que da el usuario sobre las cookies caduca o es eterno?

@Pablofb
Informe CNIL (AEPD francesa) sobre cookies, de 18 de julio de 2019
«La práctica consistente en bloquear el acceso a un sitio web o a una aplicación
móvil por no aceptar ser rastreado (cookie walls) no es conforme al RGPD».
3.- ¿Puedo usar un muro de cookies (o aceptas o no entras)?

@Pablofb
Ley de competencia desleal (art 29)
Reiterar la propuesta de aceptación de las cookies cuando ya ha sido denegada
se considera práctica agresiva por acoso.
4.- Si el usuario no me acepta las cookies, ¿se lo puedo preguntar de nuevo?

@Pablofb
Stc. TJUE C-40/17 – Fashion ID
Stc. TJUE C-210/16 – Wirtschaftsakademie Schleswig-Holstein
El responsable del sitio web está obligado a ofrecer, en su aviso de cookies, un
resumen del acuerdo de corresponsabilidad por el tratamiento de extracción de
datos (1) a través de widgets y botones, así como (2) a través de la página o el
usuario que la empresa mantenga en redes sociales.
5.- ¿Tengo alguna obligación por usar widgets de Facebook o Twitter?

@Pablofb
Informe 11/2014 AEPD
Se requiere un consentimiento (revocable) expreso separado al de suscripción
para usar tracking pixel u otros sistema de rastreo o monitorización de apertura
de correos electrónicos en campañas de e-mail marketing
6.- ¿La ley de cookies afecta también a los emails que envío?

@Pablofb
Conclusiones. Si quieres hacer uso de rastreadores, cumple estos puntos
clave.
 Elabora la documentación previa al tratamiento. Especialmente el RAT.
 Crea un aviso correcto de cookies y de protección de datos personales.
 Implementa un sistema técnico que bloquee todos los rastreadores.
 Muestra en el banner la primera capa completa de protección de datos.
 No uses el interés legítimo para funcionalidad, analítica o publicidad.
 Permite la libre aceptación, configuración y revocación de la autorización.
 Recuerda que la normativa de cookies aplica a email marketing.

¿Estamos preparados para un futuro sin “cookies”?

Recomendados

Recomendados

Más contenido relacionado

Similar a ¿Estamos preparados para un futuro sin “cookies”?

Similar a ¿Estamos preparados para un futuro sin “cookies”? (20)

Más de Pablo Fernández Burgueño

Más de Pablo Fernández Burgueño (20)

Último

Último (20)

¿Estamos preparados para un futuro sin “cookies”?

Notas del editor