Aviso de cookies (fijado en la cabecera debido a que algunos navegadores y extensiones ahora ocultan los banners): Al navegar por este sitio web, tus datos de conexión (IP) y navegación (URL) son obtenidos y mantenidos durante un máximo de 90 días exclusivamente para mantener la seguridad del sitio web a través de los servicios de cortafuegos y antivirus de Defiant Inc, prestador de servicios ubicado en EE.UU. con el que Pablo (responsable) mantiene un contrato de encargado del tratamiento. Puedes oponerte o ejercitar otros derechos, así como obtener más información consultando el aviso de cookies.
El contenido de este sitio web está basado en normas de España, salvo indicación expresa en contrario.

Guía GDPR para el uso legal de rastreadores analíticos (fingerprinting, pixels, cookies…)

Hoy hablo de rastreadores. ¿Sabes cómo funcionan los tracking pixels, qué es el browser fingerprinting o cómo usar cookies bajo la nueva normativa (GDPR / RGPD, LOPDGDD…)? Vamos a ello.

Resumen ejecutivo:

En los sitios web y en las aplicaciones, el uso de rastreadores analíticos, como las cookies o los tracking pixels, exige obtener el consentimiento previo del usuario en relación con el tratamiento de datos personales que se va a realizar. Esta información que ha de darse en primera capa puede servirse a través de los llamados «banners de cookies». Los obligados son, además de los prestadores de servicios de la sociedad de la información, cualquier otro sujeto obligado a cumplir la normativa de protección de datos personales. Estos obligados deben esperar a que el usuario haya aceptado el tratamiento, aceptación que puede revocar en cualquier momento, para empezar a recabar sus datos y elaborar con ellos perfiles de navegación. La obligación de esperar abarca también a los rastreadores de terceros, implementados a través de widgets o botones sociales, sobre los cuales existe corresponsabilidad del tratamiento en cuanto a la extracción del dato en sí mismo para ese fin. El usuario tiene derecho a navegar sin ser rastreado, lo que invalida las llamadas cookie walls. Y debe existir una segunda capa de protección de datos siempre accesible que muestre de manera clara, completa y honesta la información de protección de datos personales y, en su caso, sobre los dispositivos usados que corresponda.

1.- Diferentes tipos de rastreadores

Los rastreadores más conocidos son las cookies (de tipo analítico, publicitarias, etc.), aunque no son los únicos. Los rastreadores son herramientas que nos permiten seguir el rastro a los usuarios de manera que podamos conocer sus acciones y ciertos hábitos de conducta.

Se emplean estos rastreadores para obtener datos que, solos o combinados con otros, permiten medir el impacto del contenido, personalizar la publicidad, ofrecer (o no) ventajas a los usuarios, seleccionar las noticias que se desea mostrar al usuario en páginas y aplicaciones propias y en otras de terceros… a lo largo del tiempo. En definitiva, sirven para crear fichas de conducta que, vinculadas con las de otros usuarios con los que tenemos afinidad o cercanía, podrían permitir a las empresas tomar decisiones individuales automatizadas.

La toma de datos exige cumplir la normativa de protección de datos, incluso en los casos en los que no es posible identificar con nombre y apellidos a un sujeto concreto. Que no se pueda conocer el nombre y apellidos de una persona no quiere decir que no permita identificar de forma unívoca a esa persona.

El cumplimiento de la normativa de protección de datos se realiza permitiendo que sea el usuario el que decida si desea o no ser rastreado. Esta opción de adhesión debe ser ofrecida antes de que se activen estas herramientas de extracción de datos, no después. La información de protección de datos (art. 11 LOPDGDD) debe ofrecerse de manera clara, completa y fácil de entender. La forma de obtener el consentimiento debe ser la correcta conforme al tipo de dato y tratamiento: inequívoca a través de una clara acción afirmativa (art. 4.11 RGPD) o, cuando proceda, expresa (arts. 22, 49 y otros del RGPD y los que correspondan del resto de normas).

Los rastreadores más habituales son:

  • Browser fingerprinting pasivo. El navegador a través del cual el usuario desea ver una página web entrega a un programa instalado en el servidor (desde el que se envía la web o el archivo que el usuario desee recibir) algunos datos con los que se pueden hacer estadísticas de navegación, entre los que pueden estar: IP, puerto, tipo de archivo solicitado y configuración de idioma y caracteres, así como, la web de procedencia y el sistema operativo.
  • Browser fingerprinting activo. El browser fingerprinting activo permite al programa instalado en el servidor donde se aloja la web conocer más datos, adicionales a los adquiridos por medio de su versión pasiva, como, por ejemplo, el tamaño de la pantalla o el conjunto de extensiones instaladas por el usuario en su navegador, lo que permite una analítica exhaustiva.
  • Tracking pixels. El tracking pixel, web beacon o gif transparente, en sus diferentes modalidades, habitualmente es una imagen insertada en la web (o en el archivo que corresponda) que, al cargarse en el terminal del usuario, permite conocer parte de la actividad de este (como, por ejemplo, la apertura de una web determinada).
  • Cookies. Las cookies son líneas de texto creadas en el navegador del usuario para registrar parte de su actividad en el sitio web.

Algunos ejemplos: Los prestadores de servicios de alojamiento suelen tener instalado y activo AWStats, un sistema de browser fingerprinting. El widget de Twitter está configurado por defecto para, al invocarse el contenido, permitir al titular de esta red social la extracción de datos de los usuarios por medio de cookies que se crean en el navegador a través de la web en el que está embebido el código. Los responsables de sitios creados sobre el CMS WordPress en servidor propio que han instalado el plugin JetPack by WordPress y han activado el servicio de estadísticas permiten a Automattic, por medio de la carga de un píxel, la extracción de datos de los usuarios.

2.- El uso de rastreadores exige primera capa de protección de datos

A través de webs y apps, los responsables pueden usar rastreadores sobre sus usuarios. En el caso de las conocidas cookies, estas se pueden usar en los terminales de los usuarios «a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la ley […] de protección de datos personales» (art. 22.2 Ley 34/2002).

La primera capa de información se suele ofrecer habitualmente a través de un «banner de cookies».

Existe la creencia de que el banner de cookies solo afecta al uso de cookies y que únicamente tiene que ser empleado por los prestadores de servicios de la sociedad de la información (por ejemplo, una tienda online de galletas). La realidad, sin embargo es diferente: la obligación de informar con primera (y segunda) capa también afecta a todo tipo de herramienta de rastreo y la información debe ser mostrada por todo sujeto obligado a cumplir la normativa de protección de datos personales, entre los que están las administraciones públicas, los partidos políticos y otros sujetos.

Los sistemas de fingerprinting, a pesar de no encajar en la definición de «dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios» (art. 22.2 Ley 34/2002) reciben el mismo tratamiento que las cookies, según se dispone en la Guía de Cookies (2019) publicada por la AEPD. A pesar de que no estoy de acuerdo con esta interpretación (no ya solo extensiva, sino errónea), considero que hay que tenerla en cuenta. Todo ello en relación con la aplicación del citado artículo de la Ley 34/2002, no con la aplicación de la normativa de protección de datos personales sobre los tratamientos, que va a parte.

El banner de rastreadores debe mostrar:

  1. La información correspondiente a los dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios. Los prestadores de servicios de la información (ejemplo: una tienda online) tienen una especial carga en este sentido dispuesta a través de art. 22.2 Ley 34/2002, la guía de cookies de la AEPD y las resoluciones e informes dictados al respecto.
  2. La información de primera capa de protección de datos personales, sin distinción entre prestadores de servicios de la información u otros sujetos (ejemplo: un partido político), conforme se establece a través del art. 11 LOPDGDD y los correspondientes del RGPD.

En relación con las resoluciones e informes que mencionaba antes, destaco estas:

  • Resolución: R/02990/2013 del PS/00321/2013 que impulsé desde Abanlex para un cliente y dio lugar a la primera resolución sancionadora por uso ilegal de cookies, mencionada en la página 53 de la Memoria AEPD 2013.
  • Informes: Informe 83/2014 sobre la obligación de cumplir la normativa de cookies por la pública Universidad de Valencia; Informe 93/2014 sobre las obligaciones en relación con el banner; e Informe 196/2014 en relación con la información en segunda capa.

Para otro artículo dejo la legalidad o, en su caso, la información que habría que ofrecer si se quieren emplear scripts de minería para minar criptoactivos usando los recursos de la CPU desde la que un usuario visita un sitio web (¿qué es la minería web?), asunto que hemos tratado ya desde NevTrace en congresos en los que hemos participado para formar sobre blockchain.

3. Cómo investigar si tu web cumple la normativa sobre rastreadores

La persona que tiene la obligación de saber si tu web cumple o no cumple es tu Responsable de Seguridad (RS) o, en su caso, tu Delegado o Delegada de Protección de Datos (DPD). Pregúntale.

Si quieres hacer un primer acercamiento para saber si cumple o no, puedes realizar una auditoría no intrusiva. Una de las muchas formas es la siguiente:

  1. ¿Se usan rastreadores solo con consentimiento? En una nueva ventana de incógnito, que ha de ser la única abierta, carga la web y comprueba el número que ofrece la extensión Ghostery, que has de tener activa en tu navegador. Si el número es cero (0) es probable que no se usen rastreadores a través de la web. Comprueba que tampoco se usen al hacer scroll o al permanecer un tiempo en la web, ya que mi interpretación es que ninguna de estas acciones se debe considerar como «navegar por la web» (navegar por la web es cambiar de página web dentro de un mismo sitio web), dado que son estas acciones las que pueden permitir al usuario acceder al pie de la web donde se encuentra el aviso legal, leer la política de privacidad o comprobar si el aspecto general de la página (no el sitio) en el que se encuentra le genera la confianza suficiente como para aceptar ser rastreado. La Comisión Europea confirma mi interpretación en respuesta, que puede ser leída aquí, a una consulta directa realizada por un interesado. Sin embargo, en la Guía de Cookies de 2019 publicada por la AEPD se indica que la aceptación puede ser suficiente si, simplemente, se hace scroll por la página (incluso en apps y versiones para móvil) o se cierra el banner de cookies, con la condición, para ambos casos, de que el aviso de primera capa no contenga un botón de aceptar, pero sí uno de rechazar o, en su caso, uno adicional para configurar los rastreadores.
  2. ¿Existe un banner de cookies o de rastreadores? Si el número indicado en el punto anterior es superior a cero, es probable que se estén usando rastreadores y, por tanto, la web debería mostrar un banner en el que se informe de manera clara y completa sobre el tipo de rastreador, su finalidad, la manera de aceptarlas y un enlace a una segunda capa (aviso de cookies) en la que se complete esta información. Si no se usan dispositivos de almacenamiento y recuperación de datos o estos son de los exceptuados por la norma o los usan sujetos no obligados por la Ley de Cookies, no hay información que ofrecer a este respecto, pero sí, en lo que proceda, en lo relativo a la protección de datos personales.
  3. ¿Se tratan datos personales? Para saber si se tratan datos personales o no, debes preguntar al RS / DPD, que tiene la obligación de saberlo o, en su caso, al desarrollador de la web / app, que es quien lo ha hecho posible por medio de la programación o de la integración de código. Por lo general, siempre se tratan datos a través de rastreadores ofrecidos por terceras empresas como, por ejemplo: Charbeat, Full Circle Studies -ScoreCard Research Beacon-, Omniture -Adobe Analytics-, DoubleClick -Google-, Krux Digital, Facebook Custom Audience…
  4. ¿Se ofrece información completa, clara y fácil de entender en la primera capa de protección de datos? La información básica deberá contener, al menos: la identidad del responsable del tratamiento, la finalidad del tratamiento, la posibilidad de ejercer los derechos (arts. 15 a 22 RGPD) y un enlace a la segunda capa (aviso de cookies) en la que se debe ampliar esta información. Son jurídicamente inaceptables fórmulas como «utilizamos cookies para mejorar su experiencia» debido a que ofuscan la finalidad real del rastreador. Si los datos fueran a ser tratados para la elaboración de perfiles, se deberá indicar esta circunstancia. La información que se ofrezca a través de este particular contrato de adhesión de protección de datos, en el que aceptas o rechazas sin poder negociar los términos, deberá estar siempre en español, sin perjuicio de que, adicionalmente, pueda o tenga que estar en otro idioma, ya sea por el público destinatario o por imperativo legal. Si la web va dirigida a menores de edad (y, en particular, a menores de 14 años, para el caso español), una práctica adecuada es impulsar al menor, a través del banner, a que solicite a su responsable legal que lea y, en su caso, configure y acepte o rechace el uso de rastreadores.
  5. ¿Se ofrecen casillas no premarcadas para cada uno de los tratamientos diferenciados? Debería haber tantas casillas como tratamientos separados fuera a haber, así como otras por cada responsable que fuera a extraer y usar autónomamente los datos. Igualmente, debería existir una única casilla para aceptar en bloque, por tratamiento, si con este sistema se facilita la acción volitiva y libre al usuario. El acto de permitir a terceros la extracción de datos es en sí mismo un tratamiento realizado en corresponsabilidad (Stc. TJUE C-40/17 – Fashion ID y Stc. TJUE C-210/16 – Wirtschaftsakademie Schleswig-Holstein), sin perjuicio de que después el otro receptor del dato (diferente al responsable del sitio web corporativo) sea responsable unitario del tratamiento que él realice, por tanto, debería tenerse en cuenta este hecho como parte de la primera capa de protección de datos.
  6. ¿Se permite al usuario marcar libre y voluntariamente los tipos de rastreos que desea que se realicen sobre él? El usuario debe poder manifestar su voluntad de adherirse de manera libre, específica, informada e inequívoca en caso de que desee aceptar los rastreos. Esta aceptación debe ser previa a la activación de las herramientas de rastreo, incluida la obtención inicial del dato, y ha de poder ser manifestada mediante una declaración o mediante una clara acción afirmativa para cada uno de los tratamientos de rastreo que le conciernan (Informe 11/2014: se requiere un consentimiento, que se debe poder revocar, expreso separado al de suscripción para usar rastreadores y se requerirá que se preste de nuevo si cambia la finalidad). Esta clara acción afirmativa sobre los rastreadores analíticos debería permitirse mediante los correspondientes botones de aceptación. Solo en caso que se hayan ofrecido botones de rechazo que el usuario no haya pulsado en relación con rastreos analíticos aún no iniciados, y siempre que este botón de rechazo permanezca muy fácilmente disponible, podría bastar la mera navegación por el sitio web, entendida esta como el cambio de página dentro del sitio web, después de que el usuario haya sido notablemente advertido al respecto. La mera navegación considero que no es suficiente para el uso de rastreadores destinados a la creación de perfiles con fines publicitarios o para la toma de decisiones individuales automatizadas, especialmente cuando se abre la puerta a que puedan ser realizadas por un tercero.
  7. ¿Los rastreadores usan un protocolo de envío cifrado de datos? Esta información estará, nuevamente, en manos del RS / DPD. Si no lo tiene claro, un esnifado de datos realizado por el técnico en ciberseguridad de la empresa le sacaría de dudas. Por lo general, los datos han de transmitirse a través de un conducto cifrado, siendo de especial importancia este hecho en el caso de determinados sujetos como bufetes, partidos políticos o clínicas.
  8. ¿Se puede seguir navegando sin aceptar ser rastreado y, de hecho, sin ser rastreado? El usuario debe poder seguir navegando sin ser rastreado si no ha aceptado este rastreo. Por norma general, no debería implementarse una cookie wall, es decir, una barrera que impida visitar una web salvo que se acepte ser rastreado. Informe CNIL (AEPD francesa) sobre cookies, de 18 de julio de 2019 (traducción automática al español): «la pratique qui consiste à bloquer l’accès à un site web ou à une application mobile pour qui ne consent pas à être suivi (cookie walls) n’est pas conforme au RGPD» (La práctica consistente en bloquear el acceso a un sitio web o a una aplicación móvil por no aceptar ser rastreado (cookie walls) no es conforme al RGPD). Sin embargo (y totalmente en contra de mi interpretación), en la Guía de Cookies (2019) publicada por la AEPD se indica que las cookie walls son lícitas, salvo en el caso de que «el usuario desee ejercitar un derecho que le está legalmente reconocido (por ejemplo, la baja en un servicio telefónico, de acceso a Internet o de otro tipo) y la aplicación o servicio es el único medio facilitado«.
  9. ¿Permanece el banner accesible para que el usuario rechace tratamientos? El usuario que haya aceptado ser rastreado tiene derecho a cambiar de opinión y rechazar el rastreo. A este fin, el banner de rastreadores no debería desaparecer completamente de la vista del usuario, de forma que pueda ser desplegado a demanda. Si la usabilidad de la web desaconsejan este sistema, el desplegable podría ser incluido en el propio aviso de cookies, siempre que se determine que el usuario puede así acceder a este de manera igual o mejor.
  10. ¿Rechazado el tratamiento desaparecen los rastreadores? En caso de que el usuario rechace los rastreadores que previamente había aceptado, estos deberían cesar en su empeño de rastrear. Una forma sencilla de comprobarlo es, tras rechazar, volver a consultar el número que ofrece la extensión mencionada en el primer punto: si el número es igual a cero (0) la probabilidad de que se hayan desactivado será bastante alta. Este rechazo y el consecuente cese debe ser aplicado sobre todos los rastreadores, sean propios o de terceros. Sin embargo (y en contra de mi interpretación y del estado de la técnica), la Guía de Cookies (2019) publicada por la AEPD señala en uno de sus ejemplos que se podrá informar al usuario de que recae sobre él mismo la carga eliminar las cookies de terceros, para lo que tendrá que acceder a la configuración de su navegador para suprimirlas manualmente.
  11. ¿Existe una segunda capa de información de rastreadores y, en su caso, de protección de datos personales? Para los sujetos obligados por la Ley de Cookies, la segunda capa (comúnmente conocida como ‘aviso de cookies’) debe incluir información sucinta y concisa sobre qué son las cookies, qué tipos se usan en la web / app (no sus nombres), cuál es su finalidad, cuál es su duración (Sentencia TJUE sobre cookies – Asunto C-673/17 (nota de prensa) – «La información que el proveedor de servicios debe facilitar al usuario incluye el tiempo durante el cual las cookies estarán activas y la posibilidad de que terceros tengan acceso a ellas«), cómo rechazarlas y cómo borrarlas, para lo cual son bienvenidos los enlaces a las páginas en español con instrucciones útiles para los principales navegadores (Firefox, Chrome, IESafari). Tanto para estos sujetos, como para cualquier otro a través de cuya web / app se usen rastreadores, la segunda capa de protección de datos personales deberá contener todo lo que la norma indique para el caso concreto de que se trate, siguiendo las indicaciones del RGPD (en especial, aunque no solo, arts. 12 y 13 RGPD) y de las demás normas que en cada caso sean de aplicación. Una recomendación de buenas prácticas es crear un único «Aviso legal, de privacidad y cookies» en el que el usuario lo encuentre todo ordenado por pestañas o con anclajes, siempre separado de cualquier otro documento legal de contratación (por ejemplo, Cláusulas Generales de Contratación de un producto o un servicio).
  12. ¿Se usan otras herramientas analíticas? Una vez más, el RS / DPD tendrá esta información. Habitualmente, los servicios de alojamiento tienen activada por defecto la herramienta AWStats en el servidor para funciones de browser fingerprint pasivo, lo cual es imperceptible para el usuario y no fácilmente auditable en remoto. Este sistema, salvo que se añada una capa de software por encima, almacena todos los datos de los usuarios, incluyendo datos sobre su IP, tiempo en la web, navegador…, de forma parecida a lo que se puede extraer por medio de la analítica que parte del filtrado por medio de proxis o (de cara a conocer hábitos de navegación de los usuarios de una red) por medio del empleo de una VPN y, en especial, cuando almacene logs. Si está implementada la API reCAPTCHA, que recoge información de software y hardware, como datos de la aplicación y del dispositivo, y los envía a Google para que los analice, también ha de ser tenida en cuenta, al igual que servicios de ciberseguridad que se implementan por medio de la instalación y activación de plugins o códigos al efecto. En cualquier caso, es deber del responsable conocer los sistemas analíticos activos y tomar la decisión que corresponda al respecto, sabiendo que el interés social, el interés comercial o el interés en la monitorización de los usuarios o clientes no es ni puede ser considerado interés legítimo suficiente.

Algunos servicios online gratuitos, adicionales al Ghostery mencionado y explicado arriba, que [a lo mejor] funcionan para acercamientos de aficionado en materia de rastreadores son los siguientes:

  • Cookie Audit Tool: Extensión para Chrome para descubrir el uso de cookies.
  • Cookieq (Baycloud): Escanea la página web y muestra cookies y pixels propios y de terceros.
  • CookiemetrixEscaneador online de cookies y banners.
  • Cookie Serve: Escaneador online de cookies.
  • Cookieviz: Escaneador online de cookies ofrecido por CNIL.

4. Conclusiones y reflexiones

La normativa relativa al uso de rastreadores tiene como objeto la protección de las personas físicas en relación con el tratamiento de datos personales. No estamos hablando de una mera cuestión económica, que es importante, sino del respeto a un derecho fundamental, a la autodeterminación informativa, a nuestra capacidad de mantener el control sobre quién, cuándo, dónde y para qué tienen datos sobre nosotros. Hagamos un esfuerzo por cumplir. Será complicado, pero os invito a destinar los recursos necesarios para hacerlo posible.

Guía de Cookies 2019 de la AEPD: Tres días después de la publicación de este post, la AEPD publicó su Guía de Cookies (2019), que sustituye a la Guía sobre las normas de uso de las cookies (nota de prensa). Mi opinión es que esta nueva guía, que (según se indica en ella misma) será de utilidad a los sujetos obligados por el artículo 22.2 de la Ley 34/2002 (olvidando al resto), es poco precisa, bastante ambigua y contiene errores de base, algunos de los cuales he señalado a lo largo de este post y otros de los cuales señala la propia Comisión Europea (ver aquí). No obstante, dado que es la interpretación de la AEPD, recomiendo su lectura reflexiva. Adicionalmente, puedes revisar estos posts que he ido publicando: Cómo cumplir la ley de cookies (2012); Sanción por instalar cookies de Google Analytics (y otras) (2013); Primeras multas por vulnerar la ley de cookies (2014);  Cómo hacer una auditoría de cookies (2014) y Cómo usar Adsense en WordPress y cumplir la Ley de Cookies (2017).

No quería dejar escapar la ocasión para citar al gran olvidado estándar Do Not Track, que recomiendo, al desarrollador, su implementación en la web y, al usuario, mantener activada la opción en su navegador. Y, por último, para despistar a los sistemas de fingerprinting, invito al usuario a hacer uso del navegador TOR o de alguna VPN confiable.

Recuerda: una auditoría de cookies correctamente ejecutada requiere un trabajo con profundos conocimientos especializados legales y técnicos. Si eres profesional y te dedicas al derecho, acompáñate de un equipo técnico competente (y viceversa). Yo hoy confío, para estos y otros asuntos del ramo, en el departamento ciber de SmartHC (+34 911 735 181), que forma parte del grupo desde el que presto servicios.

Aviso importante: los documentos que cito o enlazo, publicados por la AEPD, por otras agencias o por el WP29 con anterioridad al 25 de mayo de 2018, solo deben servir para tomar ideas y mejorar nuestra interpretación del RGPD para proteger a las personas a través del correcto tratamiento de datos personales.

Photo by Alex on Unsplash

En caso de que deje un comentario, sus datos serán tratados por Pablo Fernández Burgueño con la finalidad de mantener publicado su mensaje hasta que decida suprimirlo. Tiene derecho a acceder, suprimir, rectificar los datos y otros derechos, como se explica en la política de privacidad
Ir al contenido