Blog de Borja Fdez. Burgueño
Blog especializado en derecho administrativo, derechos humanos, asilo y protección internacional.
¿Las ONG tienen que cumplir la ley de cookies?
He hecho una auditoría de cookies a Cáritas, la Cruz Roja y el Comité Español de ACNUR. Éstos son los resultados:
RESUMEN:
El aviso que hacen las ONG al usuario de su página web sobre el uso de cookies no cumple con los requisitos de la ley de cookies.
Para cumplir con la normativa, habría que hacer dos cosas:
1. Cambiar el mensaje que aparece en el pop-up y poner algo así: “¿Acepta que XXXX utilice cookies propias y de terceros para analizar su tráfico en este sitio y facilitar así su navegación?”
2. Que no se instale ninguna cookie hasta que el usuario haya aceptado.
No obstante, las ONG no estarían obligadas a cumplir con dicha normativa. Así que propongo que:
– o se corrige el pop-up y se cumple con la ley de forma voluntaria
– o se elimina el pop-up de la página ya que actualmente no sirve para nada y molesta en la navegación
1. ¿Qué pop-up de cookies tienen las ONG?
Comité Español de ACNUR (http://www.eacnur.org/)
“Uso de cookies: Las cookies nos permiten ofrecer un mejor servicio. Al usar este sitio, aceptas el uso de cookies. Aceptar. Más información”
Cáritas (http://www.caritas.es/)
“Uso de cookies Utilizamos cookies propias y de terceros para mejorar la experiencia de navegación, y ofrecer contenidos y publicidad de interés. Al continuar con la navegación entendemos que se acepta nuestra política de cookies.”
Cruz Roja (http://www.cruzroja.es/)
“Cruz Roja Española utiliza cookies para mejorar su navegación y ofrecer contenidos de interés. Al navegar entendemos que autoriza a Cruz Roja Española a almacenar y acceder a las cookies Pinche el siguiente enlace si desea información sobre el uso de cookies y como deshabilitarlas. Mas información. Aceptar”
2. ¿Por qué el pop-up de Cáritas, ACNUR y la Cruz Roja no son suficiente?
La ley de cookies está recogida en el artículo 22.2 de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico.
«Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal.
Cuando sea técnicamente posible y eficaz, el consentimiento del destinatario para aceptar el tratamiento de los datos podrá facilitarse mediante el uso de los parámetros adecuados del navegador o de otras aplicaciones.
Lo anterior no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión de una comunicación por una red de comunicaciones electrónicas o, en la medida que resulte estrictamente necesario, para la prestación de un servicio de la sociedad de la información expresamente solicitado por el destinatario.»
Esta ley establece que se podrán instalar cookies a condición de que los usuarios “hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos”.
Esta ley exige que el consentimiento sea previo a la instalación de las cookies. Ninguna cookie se debería de instalar si el usuario no ha consentido previamente. Por tanto, el mensaje “al usar este sitio, aceptas el uso de cookies” no es suficiente (aunque extremadamente frecuente). El pop-up no debe advertir que se han instalado cookies, sino peguntar por el consentimiento del usuario para hacerlo.
He hecho una auditoría de cookies a las tres ONGs analizadas y ninguna aprueba el test. Por ejemplo, eacnur.org instala 21 cookies antes de que el usuario preste su consentimiento. El botón de “aceptar” es inútil ya que no expresa consentimiento real alguno. A continuación relejo las cookies que se han instalado sin el consentimiento del usuario durante la auditoría:
| Auditoría de cookies realizada el 12 de octubre de 2015 a las 21:23
Herramienta usada: Attacat Cookie tool – Full Cookie Log Web analizada: eacnur.org Explorador utilizado: Google Chrome (Versión 45.0.2454.101 m) |
|||
| Domain | Name | Expires | Information |
| http://www.eacnur.org/ | |||
| http://www.eacnur.org | has_js | – | Drupal? – We know Drupal uses this and there is a discussion about it’s implications for the cookie directive hee: http://drupal.org/node/1153064 – |
| .youtube.com | VISITOR_INFO1_LIVE | 2016-06-12 | – YouTube – Looks like you know how to embed YouTube videos. That’s Google so care required (did you know they have a cookie free version?) |
| .youtube.com | YSC | – | – YouTube – Looks like you know how to embed YouTube videos. That’s Google so care required (did you know they have a cookie free version?) |
| .youtube.com | PREF | 2016-06-12 | – YouTube – Looks like you know how to embed YouTube videos. That’s Google so care required (did you know they have a cookie free version?) |
| .eacnur.org | _ga | 2017-10-11 | – – |
| .doubleclick.net | test_cookie | 2015-10-12 | – DoubleClick – Uh oh – is your name Ernst Stavro Blofeld? You gonna have to get consent for this advertising network. May not have an HQ in a crater but they do do banner ads etc. Make sure you know if you are doing remarketng or not (either through DoubleClick or their owners Google as remarketing needs serious consent.) |
| .eacnur.org | _dc_gtm_UA-4192886-1 | 2015-10-12 | – – |
| .eacnur.org | _dc_gtm_UA-1473340-18 | 2015-10-12 | – – |
| .adnxs.com | sess | 2015-10-13 | – – |
| .doubleclick.net | id | 2017-10-11 | – DoubleClick – Uh oh – is your name Ernst Stavro Blofeld? You gonna have to get consent for this advertising network. May not have an HQ in a crater but they do do banner ads etc. Make sure you know if you are doing remarketng or not (either through DoubleClick or their owners Google as remarketing needs serious consent.) |
| t.qservz.com | quisma_t_uk | 2016-10-12 | – – |
| t.qservz.com | session_session | – | – – |
| t.qservz.com | quisma_t_user | 2016-10-11 | – – |
| .adnxs.com | uuid2 | 2016-01-10 | – – |
| tags.qservz.com | tuuid | 2016-10-11 | – – |
| .qservz.com | uuidm | 2016-10-11 | – – |
| tags.qservz.com | user_data_synced | 2016-10-11 | – – |
| .adnxs.com | anj | 2016-01-10 | – – |
| .bidswitch.net | tuuid | 2017-10-11 | – – |
| .bidswitch.net | c | 2017-10-11 | – – |
3. Información clara y completa.
Muchas de las cookies que se han instalado no son propias, sino que están gestionadas por terceros. El inciso “información clara y completa” del artículo 22.2 exige que el usuario conozca si las cookies que se van a instalar son propias o ajenas. Por tanto, el aviso de EACNUR debería informar que el usuario estaría prestando su consentimiento para que se instalen cookies propias y ajenas.
Además, hay que informar de la finalidad por la que se instalan las cookies. La frase “Las cookies nos permiten ofrecer un mejor servicio” no es suficiente. Hay que ser más específico. Por ejemplo, valdría con “Las cookies nos permiten analizar su tráfico en este sitio y facilitar así su navegación”.
4. ¿Es posible gestionar el momento en el que se instalan las cookies?
Sí. El segundo párrafo del artículo 22.2 establece que “cuando sea técnicamente posible y eficaz, el consentimiento del destinatario para aceptar el tratamiento de los datos podrá facilitarse mediante el uso de los parámetros adecuados del navegador o de otras aplicaciones”. Para ello existen plugins y herramientas que un buen informático debería conocer. Por ejemplo, a través de la herramienta gratuita “Abanlex/EU-Cookie-Law” disponible en github.com (https://github.com/Abanlex/EU-Cookie-Law) se puede evitar que algunas cookies se instalen antes que el usuario pinche en “aceptar”.
5. ¿Están Cáritas, Cruz Roja y el Comité de ACNUR obligados a cumplir la ley de cookies?
No. De acuerdo con el artículo 1 de la Ley 34/2002 y con la reciente Resolución E/04745/2015 de la Agencia Española de Protección de Datos, las entidades sin ánimo de lucro no estarían obligadas a cumplir con la ley de cookies al no estar incluidas en el grupo “servicios de la sociedad de la información”.
Por tanto, no es necesario que aparezca un pop-up (tapando la parte inferior de la web) pidiendo consentimiento al usuario antes de instalar cookies.
6. Conclusión
El aviso de cookies actual es innecesario e ineficaz. Por tanto, creo que o bien se corrige (para defender los derechos de los usuarios) o se elimina. Mantener el pop-up como está ahora no tiene sentido.
Blog de Borja Fdez. Burgueño 