Los banners de cookies zumban a nuestro alrededor como moscas molestas. Algunos son completamente superfluos, otros simplemente pretenden cumplir con el GDPR y la gran mayoría no lo cumplen. Por eso, a continuación intentaré arrojar algo de luz sobre los puntos clave más importantes.
1. ¡el GDPR no tiene la culpa de todo!
El motivo real por el que debe obtenerse el consentimiento previo del visitante del sitio web para determinados servicios de los sitios web no es el RGPD, sino el artículo 5 (3) de la Directiva sobre privacidad y comunicaciones electrónicas:
Los Estados miembros velarán por que el almacenamiento de información o el acceso a información ya almacenada en el equipo terminal de un abonado o usuario sólo se autorice si el abonado o usuario en cuestión ha dado su consentimiento sobre la base de una información clara y completa que se le haya facilitado, entre otras cosas, sobre los fines del tratamiento. .....
Dado que la Directiva ePrivacy prevalece sobre el GDPR, la base jurídica para el uso de dichos servicios no puede ser el art. 6, párr. 1, lit. f "interés legítimo" del GDPR, sino que solo se aplica el art. 6, párr. 1, lit. a, GDPR "consentimiento".
La forma en que debe obtenerse el consentimiento puede encontrarse de nuevo en el GDPR.
2. ¿para qué se necesita realmente el consentimiento y para qué no?
a. El consentimiento no es necesario, por ejemplo, para
- Información del dispositivo final del cliente (por ejemplo, direcciones IP, resolución de pantalla, sistema operativo) para la visualización de sitios web/aplicaciones y para la seguridad del sitio web/aplicación.
- Cookies técnicamente necesarias para la configuración del idioma y el tipo de letra, para la autenticación del usuario al iniciar sesión, para la configuración del usuario, para una función de cesta de la compra o la provisión de formularios en línea (cookies de sesión).
- Integración de servicios para mejorar la presentación, reducir los tiempos de carga u optimizar el sitio web (por ejemplo, entrega de contenidos a través de CDN, fuentes web, etc.)
Por lo tanto, en principio Ningún consentimiento necesarias para cookies/servicios que garanticen el funcionamiento del sitio web o sean necesarias para la prestación de un servicio expresamente solicitado por el usuario. Si solo utiliza este tipo de funciones en su sitio web, no necesita en absoluto un banner de cookies o consentimiento, sino que basta con que complemente su política de privacidad en consecuencia.
Los infames banners "Utilizamos cookies bla, bla, bla... OK" son innecesarios y sólo sirven para confundir y atontar a los usuarios.
El consentimiento tampoco suele ser necesario para las herramientas que se utilizan para realizar análisis web puramente estáticos (por ejemplo, para optimizar el sitio web). Matomo, por ejemplo, entra en esta categoría, especialmente porque el servicio también puede alojarse en nuestros propios servidores. El uso de tales servicios puede basarse en el fundamento jurídico del interés legítimo (art. 6, apdo. 1, lit. f, GDPR). En algunos casos, tiene sentido realizar y documentar una ponderación de intereses. Sin embargo, esto es puramente una cuestión de protección de datos y no tiene nada que ver con el diseño de banners.
Google Analytics es una excepción en este caso, ya que se trata de una herramienta de seguimiento "real" desde el punto de vista de las autoridades de control -aunque el operador del sitio web en realidad solo esté interesado en las estadísticas del sitio web-. Por tanto, Google Analytics requiere consentimiento.
b. Se requiere consentimiento para:
- Análisis estadístico y medición del alcance
- Publicidad basada en el comportamiento y la localización
- Plugins de redes sociales
Una posible alternativa para los plugins de redes sociales puede ser la solución Heise 2-click (botón Shariff). O simplemente puede utilizar gráficos o iconos con un enlace en lugar de los plugins. En este caso, no se requiere el consentimiento y sólo es necesario incluir la información pertinente en la política de privacidad. Opcionalmente, también puede utilizar una ventana emergente al pasar el ratón con un aviso (por ejemplo, "Está siendo redirigido a la página de Facebook" o similar). Así ya estarás a la vanguardia.
Lo más importante con los elementos que requieren consentimiento es que este siempre debe obtenerse antes de que se produzca cualquier recopilación y/o transferencia de datos.
3. servicios de mapas y plataformas de vídeo y streaming
Actualmente no hay consenso al respecto. Algunos expertos en protección de datos suponen que el consentimiento previo también será necesario para estos servicios una vez que se haya adoptado el Reglamento sobre privacidad electrónica (en realidad debería entrar en vigor al mismo tiempo que el RGPD, pero llevará algún tiempo). Las sentencias actuales del TJUE (otoño de 2019) y del Tribunal Federal de Justicia (mayo de 2020) también apuntan en esta dirección.
Actualmente, la Oficina Estatal de Supervisión de Protección de Datos de Baviera (LDA Bayern) sigue indicando en su página web que la integración de vídeos sin consentimiento previo está permitida si el vídeo sólo se inicia después de que el usuario haya hecho clic activamente en él y no se ha producido ninguna transferencia de datos hasta ese momento (solución de 2 clics o Embetty). Además, los vídeos de YouTube deben integrarse en modo de protección de datos ampliada (no-cookie).
La LDA Bayern tiene una opinión similar sobre la situación de Google Maps. El contenido de Google Maps solo debería cargarse cuando el usuario utilice activamente el servicio de mapas, por ejemplo, con un clic adicional (solución de 2 clics).
He preguntado al respecto a la autoridad de protección de datos del Estado de Baviera. Actualmente, la descripción anterior sigue correspondiendo a la valoración de la autoridad. No obstante, se ha señalado que aún deben analizarse en detalle los motivos de la sentencia. Esto podría dar lugar a un cambio en la evaluación.
Así pues, si quiere estar preparado para el futuro, debería plantearse trabajar ya con el consentimiento para estos servicios. Porque en protección de datos siempre se puede hacer más.
4. principios para el consentimiento
El consentimiento debe darse por adelantado, informado y voluntario. Es decir, en lenguaje llano:
a. ANTES:
Al abrir un sitio web por primera vez, deben desactivarse primero todas las secuencias de comandos que potencialmente recopilan datos del usuario y los transmiten a terceros.
b. INFORMADO:
El usuario debe recibir información compacta sobre los servicios implementados en un lenguaje sencillo y claro. Un diseño claro realmente tiene sentido aquí. Después de todo, el usuario debe ser informado y no desanimado.
c. GRATUITO:
El consentimiento no debe estar preasignado para ninguna casilla de verificación. El usuario debe estar de acuerdo activamente, no tener que anular la selección.
Nota:
La información general como "Este sitio utiliza cookies para análisis web y publicidad" o "... para mejorar su experiencia de navegación" no es suficiente porque el procesamiento asociado no es transparente.
Además, la voluntariedad significa que el visitante tiene una opción real, es decir, puede utilizar el sitio web aunque no dé su consentimiento al uso de servicios opcionales.
Prueba Trackboxx gratis durante 30 días
¡Sin introducir datos de pago! Sin renovación automática
Su Trackboxx estará listo en 1 minuto.
5 Documentación y obligación de aportar pruebas
El consentimiento debe estar documentado y ser verificable. En opinión de muchos expertos en protección de datos, la prueba mediante información "abstracta" es suficiente (por ejemplo, texto de consentimiento con fecha, script o código del banner con sello de fecha, hora y versión, ID de cookie del usuario, etc.). La recopilación de datos adicionales del usuario para proporcionar la prueba no es necesaria y contradice el principio de minimización de datos.
6. función de cancelación/exclusión
Los usuarios tienen derecho a retirar su consentimiento en cualquier momento. Esto significa que siempre debe haber una solución de exclusión voluntaria para los servicios utilizados. Esta función de exclusión voluntaria debe ser de fácil acceso para los visitantes del sitio en cualquier momento y, por supuesto, debe funcionar realmente.
7. ¿qué aspecto puede tener la pancarta de consentimiento?
Los siguientes contenidos son obligatorios en el banner:
- Persona responsable (si no está suficientemente claro en la página)
- Nombre de la herramienta
- Finalidad del tratamiento
- Destinatario de los datos
- Referencia al carácter voluntario con opción de revocación (solución opt-out)
- Enlace a la política de privacidad
- Tenga cuidado con el lugar donde coloca el banner: ¡el acceso al aviso legal y a la política de privacidad no debe quedar oculto!
Sólo se especifica el contenido necesario; usted es libre de diseñar el banner como desee. Para no sobrecargar la pantalla, la información puede estar disponible en varios submenús. Así es como podría diseñarse la 1ª capa de un banner que cubriera los requisitos mínimos:
Este ejemplo es sólo una de las muchas posibles variantes de diseño de la primera capa de información y sirve sólo como orientación.
Existe toda una gama de herramientas de proveedores de gestión del consentimiento (CMP). Puede informarse sobre el alcance de los servicios y las diferencias en Internet. Algunos ejemplos de las herramientas más conocidas son Cookiebot, Borlabs Cookie, Usercentrics o Consentmanager.
Los requisitos básicos de una herramienta de contenidos deben incluir
- Visualización de la herramienta de consentimiento inmediatamente al visitar la página (también se aplica a las APP).
- Mostrar el banner sin cubrir la información legal obligatoria del sitio web, como el aviso legal, los términos y condiciones o la política de privacidad.
- Las cookies o los identificadores de publicidad de los dispositivos móviles finales sólo se pueden instalar o procesar si el usuario da su consentimiento de forma activa (es decir, no se puede dar el consentimiento a través de un comportamiento pasivo como navegar por el sitio web, el cierre automático después de un periodo de tiempo o hacer clic en la herramienta de consentimiento).
- También debe ser posible visitar el sitio web o la aplicación si los usuarios rechazan las cookies o los identificadores de publicidad, etc.
- Función de exclusión voluntaria
- Registro e informes para respaldar la obligación del sistema de aportar pruebas
Encontrará más información, por ejemplo, en la guía para proveedores de telemedios de la conferencia de protección de datos y en unalista de preguntas frecuentes sobre cookies y rastreo de la autoridad de protección de datos de Baden-Württemberg.
Cada operador de sitios web -también con el asesoramiento de su agencia web- debe decidir en última instancia qué solución es la adecuada para él. Merece la pena comprobar y comparar las herramientas de todos los proveedores relevantes si quiere ahorrarse el esfuerzo de programar una solución usted mismo.
Desde el punto de vista de la protección de datos, los criterios de selección también deberían incluir si el proveedor garantiza el cumplimiento de la GDPR o qué ubicaciones de servidor se utilizan.
8 ¿Y el marketing?
No se puede negar que muchos visitantes de sitios web no desean ser rastreados y, por tanto, harán clic en "rechazar todo". Incluso si esto puede ser lamentable desde un punto de vista de marketing y análisis, los visitantes del sitio están simplemente ejerciendo su derecho legalmente consagrado a la autodeterminación informativa.
Hace poco asistí a un acto informativo en el que un empleado del proveedor sueco de gestores de consentimiento Jaohawi AB hizo una presentación. La presentación contenía algunas cifras muy interesantes al respecto:
Al analizar la tasa de aceptación, nuestros colegas determinaron, por ejemplo, que por término medio 40-50% de los visitantes del sitio seleccionan el botón "Aceptar todos los servicios". A la inversa, por supuesto, esto significa que 50-60% se niegan a dar su consentimiento.
Según el ponente, el índice de aprobación puede aumentar hasta unos 65% optimizando el banner. Con clientes habituales fieles, el índice de aprobación aumenta hasta aproximadamente 70%.
Según sus explicaciones, cabe suponer que, por término medio, alrededor de la mitad de los datos de comercialización faltan en los análisis en cuanto se implanta un banner de consentimiento. Estos valores pueden compensarse estadísticamente incluyéndolos en la previsión.
Es posible tener en cuenta la protección de datos y, al mismo tiempo, desde una perspectiva de marketing, intentar convencer a más visitantes del sitio de que permitan los servicios que requieren consentimiento optimizando el banner (por ejemplo, mediante la posición, el color, la redacción, etc.).
Pero, por favor, no se exceda!
La visualización sobredimensionada del botón "Aceptar", los botones "Rechazar" casi imposibles de encontrar o un diseño excesivamente manipulador no hacen justicia a la ley.
El hecho es: el consentimiento que no se ha obtenido de conformidad con la ley es 100% ilegal. Además de los expertos en protección de datos, las organizaciones de protección de los consumidores también son cada vez más activas en este ámbito y siguen de cerca la evolución de la situación.
9. conclusión
Adopte un enfoque justo y de sentido común. Compruebe qué funciones que requieren consentimiento son realmente necesarias y útiles para sus clientes. Respete los principios y las obligaciones de aportar pruebas, diseñe el banner de forma equilibrada y recuerde la función de exclusión voluntaria.
10. más enlaces e información
Encontrará más información y ayuda en la Infothek de la DSK (Conferencia de Protección de Datos) o en las páginas web de las respectivas autoridades de control. En Baviera, hay que tener en cuenta que existen dos autoridades supervisoras diferentes (una para el sector público y otra para el sector no público).
Mientras tanto, también existen publicaciones bastante comprensibles y prácticas en la literatura especializada. También puede preguntar a un experto en protección de datos.
Prueba Trackboxx gratis durante 30 días
¡Sin introducir datos de pago! Sin renovación automática
Su Trackboxx estará listo en 1 minuto.
