Blog de Borja Fdez. Burgueño

Blog especializado en derecho administrativo, derechos humanos, asilo y protección internacional.

¿Las ONG tienen que cumplir la ley de cookies?

He hecho una auditoría de cookies a Cáritas, la Cruz Roja y el Comité Español de ACNUR. Éstos son los resultados:

RESUMEN:

El aviso que hacen las ONG al usuario de su página web sobre el uso de cookies no cumple con los requisitos de la ley de cookies.

Para cumplir con la normativa, habría que hacer dos cosas:

1. Cambiar el mensaje que aparece en el pop-up y poner algo así: “¿Acepta que XXXX utilice cookies propias y de terceros para analizar su tráfico en este sitio y facilitar así su navegación?”

2. Que no se instale ninguna cookie hasta que el usuario haya aceptado.

No obstante, las ONG no estarían obligadas a cumplir con dicha normativa. Así que propongo que:

– o se corrige el pop-up y se cumple con la ley de forma voluntaria

– o se elimina el pop-up de la página ya que actualmente no sirve para nada y molesta en la navegación

ONG cookies

1. ¿Qué pop-up de cookies tienen las ONG?

Comité Español de ACNUR (http://www.eacnur.org/)

“Uso de cookies: Las cookies nos permiten ofrecer un mejor servicio. Al usar este sitio, aceptas el uso de cookies. Aceptar. Más información”

cookies acnur

Cáritas (http://www.caritas.es/)

“Uso de cookies Utilizamos cookies propias y de terceros para mejorar la experiencia de navegación, y ofrecer contenidos y publicidad de interés. Al continuar con la navegación entendemos que se acepta nuestra política de cookies.”

Cookies Cáritas

Cruz Roja (http://www.cruzroja.es/)

“Cruz Roja Española utiliza cookies para mejorar su navegación y ofrecer contenidos de interés. Al navegar entendemos que autoriza a Cruz Roja Española a almacenar y acceder a las cookies Pinche el siguiente enlace si desea información sobre el uso de cookies y como deshabilitarlas.    Mas información. Aceptar”

Cookies Cruz Roja

2. ¿Por qué el pop-up de Cáritas, ACNUR y la Cruz Roja no son suficiente?

La ley de cookies está recogida en el artículo 22.2 de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico.

“Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal.

Cuando sea técnicamente posible y eficaz, el consentimiento del destinatario para aceptar el tratamiento de los datos podrá facilitarse mediante el uso de los parámetros adecuados del navegador o de otras aplicaciones.

Lo anterior no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión de una comunicación por una red de comunicaciones electrónicas o, en la medida que resulte estrictamente necesario, para la prestación de un servicio de la sociedad de la información expresamente solicitado por el destinatario.”

Esta ley establece que se podrán instalar cookies a condición de que los usuarios “hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos”.

Esta ley exige que el consentimiento sea previo a la instalación de las cookies. Ninguna cookie  se debería de instalar si el usuario no ha consentido previamente. Por tanto, el mensaje “al usar este sitio, aceptas el uso de cookies” no es suficiente (aunque extremadamente frecuente). El pop-up no debe advertir que se han instalado cookies, sino peguntar por el consentimiento del usuario para hacerlo.

He hecho una auditoría de cookies a las tres ONGs analizadas y ninguna aprueba el test. Por ejemplo, eacnur.org instala 21 cookies antes de que el usuario preste su consentimiento. El botón de “aceptar” es inútil ya que no expresa consentimiento real alguno. A continuación relejo las cookies que se han instalado sin el consentimiento del usuario durante la auditoría:

Auditoría de cookies realizada el 12 de octubre de 2015 a las 21:23

Herramienta usada: Attacat Cookie tool – Full Cookie Log

Web analizada: eacnur.org

Explorador utilizado:  Google Chrome (Versión 45.0.2454.101 m)

Domain Name Expires Information
http://www.eacnur.org/
http://www.eacnur.org has_js Drupal? – We know Drupal uses this and there is a discussion about it’s implications for the cookie directive hee: http://drupal.org/node/1153064
.youtube.com VISITOR_INFO1_LIVE 2016-06-12 – YouTube – Looks like you know how to embed YouTube videos. That’s Google so care required (did you know they have a cookie free version?)
.youtube.com YSC – YouTube – Looks like you know how to embed YouTube videos. That’s Google so care required (did you know they have a cookie free version?)
.youtube.com PREF 2016-06-12 – YouTube – Looks like you know how to embed YouTube videos. That’s Google so care required (did you know they have a cookie free version?)
.eacnur.org _ga 2017-10-11 – –
.doubleclick.net test_cookie 2015-10-12 – DoubleClick – Uh oh – is your name Ernst Stavro Blofeld? You gonna have to get consent for this advertising network. May not have an HQ in a crater but they do do banner ads etc. Make sure you know if you are doing remarketng or not (either through DoubleClick or their owners Google as remarketing needs serious consent.)
.eacnur.org _dc_gtm_UA-4192886-1 2015-10-12 – –
.eacnur.org _dc_gtm_UA-1473340-18 2015-10-12 – –
.adnxs.com sess 2015-10-13 – –
.doubleclick.net id 2017-10-11 – DoubleClick – Uh oh – is your name Ernst Stavro Blofeld? You gonna have to get consent for this advertising network. May not have an HQ in a crater but they do do banner ads etc. Make sure you know if you are doing remarketng or not (either through DoubleClick or their owners Google as remarketing needs serious consent.)
t.qservz.com quisma_t_uk 2016-10-12 – –
t.qservz.com session_session – –
t.qservz.com quisma_t_user 2016-10-11 – –
.adnxs.com uuid2 2016-01-10 – –
tags.qservz.com tuuid 2016-10-11 – –
.qservz.com uuidm 2016-10-11 – –
tags.qservz.com user_data_synced 2016-10-11 – –
.adnxs.com anj 2016-01-10 – –
.bidswitch.net tuuid 2017-10-11 – –
.bidswitch.net c 2017-10-11 – –

3. Información clara y completa.

Muchas de las cookies que se han instalado no son propias, sino que están gestionadas por terceros. El inciso “información clara y completa” del artículo 22.2 exige que el usuario conozca si las cookies que se van a instalar son propias o ajenas. Por tanto, el aviso de EACNUR debería informar que el usuario estaría prestando su consentimiento para que se instalen cookies propias y ajenas.

Además, hay que informar de la finalidad por la que se instalan las cookies. La frase “Las cookies nos permiten ofrecer un mejor servicio” no es suficiente. Hay que ser más específico. Por ejemplo, valdría con “Las cookies nos permiten analizar su tráfico en este sitio y facilitar así su navegación”.

4. ¿Es posible gestionar el momento en el que se instalan las cookies?

Sí. El segundo párrafo del artículo 22.2 establece que “cuando sea técnicamente posible y eficaz, el consentimiento del destinatario para aceptar el tratamiento de los datos podrá facilitarse mediante el uso de los parámetros adecuados del navegador o de otras aplicaciones”. Para ello existen plugins y herramientas que un buen informático debería conocer. Por ejemplo, a través de la herramienta gratuita “Abanlex/EU-Cookie-Law” disponible en github.com (https://github.com/Abanlex/EU-Cookie-Law) se puede evitar que algunas cookies se instalen antes que el usuario pinche en “aceptar”.

5. ¿Están Cáritas, Cruz Roja y el Comité de ACNUR obligados a cumplir la ley de cookies?

No. De acuerdo con el artículo 1 de la Ley 34/2002 y con la reciente Resolución E/04745/2015 de la Agencia Española de Protección de Datos, las entidades sin ánimo de lucro no estarían obligadas a cumplir con la ley de cookies al no estar incluidas en el grupo “servicios de la sociedad de la información”.

Por tanto, no es necesario que aparezca un pop-up (tapando la parte inferior de la web) pidiendo consentimiento al usuario antes de instalar cookies.

6. Conclusión

El aviso de cookies actual es innecesario e ineficaz. Por tanto, creo que o bien se corrige (para defender los derechos de los usuarios) o se elimina. Mantener el pop-up como está ahora no tiene sentido.

ACNUR dona

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s

Información

Esta entrada fue publicada el octubre 13, 2015 por en Cooperación, Derecho.
A %d blogueros les gusta esto: