Finalizado el plazo de adaptación del uso de cookies
El plazo para implementar los cambios necesarios para la utilización de cookies, según los criterios previstos en la Guía sobre el uso de cookies, ya ha finalizado, tras un período transitorio de seis meses.
El pasado 11 de julio de 2023 la Agencia Española de Protección de Datos (AEPD) publicó una nueva versión de su Guía sobre el uso de cookies, con la finalidad de adaptar la misma a las Directrices 03/2022 del Comité Europeo de Protección de Datos (CEPD) sobre patrones de diseño engañosos.
Las Directrices 03/2022 establecieron las recomendaciones de buenas prácticas tanto para los titulares de páginas web, aplicaciones informáticas o plataformas como para los usuarios de las mismas sobre cómo detectar y evitar esos patrones engañosos que infringen los requisitos del Reglamento General de Protección de Datos (RGPD).
Según se indican en estas Directrices 03/2022 “los patrones de diseño engañosos pretenden influir en el comportamiento de los usuarios y pueden obstaculizar su capacidad para proteger eficazmente sus datos personales y tomar decisiones conscientes. Las autoridades de protección datos son los responsables de sancionar el uso de patrones de diseño engañosos si incumplen los requisitos del RGPD.
Por tal razón, la AEPD incorporó las recomendaciones del CEDP en la última versión de su Guía que, entre otros nuevos criterios, recoge los siguientes:
- Las acciones de aceptar o rechazar cookies tienen que presentarse en un lugar y formato destacados, y ambas acciones deben estar al mismo nivel, sin que sea más complicado rechazarlas que aceptarlas. En este sentido, ya no son válidos los banners que sólo dispongan de las opciones de “ACEPTAR” y “CONFIGURAR COOKIES”, asimismo, el botón de “RECHAZAR TODAS LAS COOKIES” debe estar claramente visible y accesible, y no debe estar oculto o dificultarse su uso.
- La política de cookies ha de ser clara y transparente sobre el uso de cookies en la web o aplicación. La información que contenga debe ser clara y concisa, utilizando un lenguaje sencillo y comprensible para los usuarios.
- Respecto de las cookies de personalización, cuando es el propio usuario quien decide sobre el uso de estas cookies no es necesario obtener el consentimiento, siempre que esos datos no se utilicen para otras finalidades (por ejemplo, cuando el usuario selecciona el idioma del sitio web al clicar en la opción correspondiente).
En caso de querer utilizar estas cookies para otros fines como personalizar contenidos publicitarios, o elaborar perfiles de usuario, se ha de requerir el consentimiento.
Estos nuevos criterios suponen un avance más en el ámbito de la protección de datos personales y la privacidad, asegurando una mayor transparencia en las obligaciones que han de cumplir los titulares de los páginas web, aplicaciones informáticas o plataformas que emplean el uso de cookies. Por tanto, la finalización del plazo dado por la AEPD para la adaptación a estos criterios deja abierta la puerta, a partir de ahora, a la aplicación de sanciones y multas económicas en caso de incumplimiento.
Autora: Melanie Díaz
Departamento de Compliance de Molins Defensa Penal.
Compliance y protección de datos: integración y gobernanza
Gestionar adecuadamente la protección de los datos personales dentro de una organización es hoy en día una cuestión de vital importancia. Constantemente somos testigos de sanciones administrativas y juicios reputacionales a las que se ven expuestas aquellas organizaciones que no cumplen con la regulación en esta materia y/o no han adecuado sus actividades a los estándares mínimos que prevé la normativa.
Por ello, incardinar dentro de nuestro Sistema de Compliance lo previsto en el Reglamento (UE) 2016/679 de 27 de abril de 2016, la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales, así como las guías elaboradas por la Agencia Española de Protección de datos y las directrices emitidas por el Comité Europeo de Protección de Datos, es asumir una postura proactiva en la adopción de lo que tal normativa prevé y denomina como privacidad desde el diseño (“Privacy by design”) y privacidad por defecto (“Privacy by default”).
Partiendo de lo que conocemos como Sistema de Compliance, tener presente desde el diseño del mismo o incorporar en nuestro sistema ya desarrollado la regulación sobre protección de datos, nos permitirá integrar las obligaciones, requisitos y recomendaciones que la regulación, guías y directrices en esta materia nos afecten, con la finalidad última de fortalecer nuestra cultura ética y de cumplimiento, ampliándola a aquellos ámbitos en los que también nos podamos ver afectados por riesgos de compliance no previstos.
Retomando los conceptos señalados de privacidad desde el diseño y privacidad por defecto, por un lado, siempre que tengamos previsto realizar una nueva actividad en nuestra organización, una de las primeras cuestiones que deberíamos plantearnos es si en tal actividad vamos a tratar datos personales, con la finalidad de tener en cuenta los requisitos y recomendaciones mínimos y adecuar e implementar las medidas técnicas y organizativas necesarias, y así evitar riesgos de compliance y reputacionales desde un principio, desde el diseño de la actividad.
Por otro lado, si tenemos en cuenta en el desarrollo de nuestra actividad, en la que tengamos previsto tratar datos personales, la privacidad por defecto, ello nos llevará a aplicar desde un inicio los principios de minimización de datos y limitación de la finalidad, asegurándonos así que podemos garantizar el cumplimiento en esta materia.
En tal sentido, no sólo nos basta con disponer de una Política de privacidad, una Política de cookies, un registro de actividades y diversas políticas que muchas veces desconocemos que tenemos o cómo nos pueden ayudar a gestionar nuestra actividad, sino que es necesario realizar una revisión interna de las actividades que realizamos para conocer en cuales de ellas tratamos efectivamente datos personales y bajo qué premisas y con qué medidas de seguridad lo estamos haciendo. En base a tal evaluación, podremos determinar aquellos aspectos que tenemos que adaptar, adecuar y/o actualizar para asegurar un efectivo cumplimiento que nos garantice que estamos aplicando las medidas técnicas y organizativas que nos exige la regulación.
Al incluir dentro de nuestro Sistema de Compliance la regulación en materia de protección de datos, podremos realizar una valoración de los riesgos a los que se puede ver expuesta nuestra organización siguiendo el modelo de gobernanza empleado para la incorporación de las demás regulaciones normativas que nos afectan, y elaborar las respuestas proactivas, preventivas y reactivas mediante políticas, protocolos y procedimientos que sirvan de guía y referencia en el modo de desarrollar la cultura ética y de cumplimiento que los miembros de la organización han de observar respecto también de la privacidad y la protección de datos personales.
El desarrollo constante de las actividades que puede realizar una organización, así como el empleo de los datos personales y las actividades de tratamiento que se realizan sobre los mismos, han hecho que la regulación sobre la protección de los datos personales resulte de aplicación transversal a la organización y por ende, ello está ligado con la función de compliance, siendo por tanto una normativa más como se ha indicado antes – tan relevante como las otras- a tener en cuenta dentro de nuestro Sistema de Compliance.
Tal es así que, la evolución normativa en materia de protección de datos personales de la que hemos sido testigos estos últimos años, surge de la necesidad de contar con una regulación tecnológicamente resistente que nos permita salvaguardar los derechos y libertades de las personas de los tratamientos de datos personales que se realizan en la nueva sociedad digital, como consecuencia del desarrollo y evolución de la tecnología.
Por ello, resulta necesario conocer cómo estamos gestionando nuestras actividades de tratamiento sobre los datos personales, en función de las medidas técnicas y organizativas que hemos aplicado, así como verificar el empleo que realizamos de la tecnología de conformidad con lo que la regulación prevé y en particular, poder demostrar que las medidas que hemos adoptado en determinado momento, continúan siendo lo suficientemente robustas para garantizar como mínimo la confidencialidad, integridad y disponibilidad de los datos personales que tratamos.
No podemos perder de vista que, para la gran mayoría de organizaciones, el tratamiento de datos personales constituye un activo esencial, y el hecho de poder garantizar que realizan un empleo seguro y correcto de los mismos refuerza su reputación y confianza por parte de la ciudadanía y de sus socios de negocio.
En definitiva, como tareas a realizar para asegurar el cumplimiento en materia de protección de datos y la implicación de toda la organización con la finalidad de interiorizar esta cultura ética y de cumplimiento, podemos listar las siguientes, sin ánimo de exhaustividad:
- Determinar la gobernanza y el nombramiento del Delegado de Protección de Datos (en los supuestos previstos por la regulación, y/o de forma voluntaria).
- Evaluación de riesgos de las actividades de tratamiento de datos personales.
- Inventario de tratamientos y análisis de bases de licitud.
- Análisis de riesgos y evaluaciones de impacto.
- Registro de actividades de tratamiento.
- Política de privacidad y Política corporativa de privacidad.
- Revisión de cláusulas informativas y de Contratos de encargados de tratamiento.
- Procedimientos para el ejercicio de derechos, brechas de seguridad, conservación de datos, etc.
- Gestionar las medidas de seguridad pertinentes, involucrando a todos los miembros de la organización.
- Formación y concienciación de los miembros de la organización.
- Seguimiento y monitorización continua.
Departamento de Compliance de Molins Defensa Penal.
Compliance y privacidad: riesgos penales del teletrabajo en el contexto del Covid-19
Los gobiernos y las empresas están adoptando una serie de medidas extraordinarias y muchas han recurrido a las nuevas tecnologías, acelerando así su proceso de transformación digital.