Cookies y RGPD/GDPR: La cocina del infierno

A estas alturas de la película ya todos deberíamos saber lo que son las cookies y para qué se utilizan y sirven. Deberíamos saber ya que no debemos meternos con ellas, que son las chicas malas del barrio.  Pero resulta que hay gente pidiendo parar un momento porque no se ha enterado de nada. Mal asunto. No podemos darle al pause y mucho menos rebobinar.

Tenemos lo que parecen unas inofensivas galletas pero el horno en que se cuecen es auténtico Hell’s Kitchen. Y eso no hay quién lo apague. El barrio es el barrio.

Veamos un ejemplo de lo que ocurre en nuestro peligroso vecindario. Pensemos en esa pequeña librería de la calle de al lado que un día decidió que para las próximas navidades vendería online pero no tiene ni idea de qué son las cookies, para qué sirven y, lo que es peor, si les preguntásemos si su web usa cookies no sabría qué responder.  ¿Por qué? Porque quien ha hecho su web sabe lo que son las cookies y para qué sirven pero generalmente no sabe cuáles son las implicaciones legales y la responsabilidad que conlleva su uso.

Por eso pululan las webs de e-commerce que no sólo no cumplen con el RGPD sino que de condiciones de contratación no han oído hablar nunca. Total pa’ qué! Pero me desvío del asunto, porque lo del cumplimiento de la normativa de consumidores y usuarios, condiciones generales de contratación, etc, es un caso aparte. Volvamos al tema de las cookies.

Cómo decía, todos deberíamos saber lo que son las cookies y lo que hacen pero, sino es el caso, resulta que la Agencia Española de Protección de Datos sí que lo sabe.Y eso puede generar situaciones incómodas.

La Agencia Española de Protección de Datos (de la que se dice tiene una guía de cookies en su propio horno) ha sancionado a Vueling por la gestión de cookies que lleva a cabo en su web.  Sanción que, por otra parte, no supone un vuelco a lo que ya se sabía, a lo que ya decía el propio TJCE, el Comité Europeo de Protección de Datos y en general lo que se comentaba por el barrio.

Da igual que seas Vueling o la pequeña librería de barrio. Esto va para ti. Vamos a preparar la masa para las galletas.

  • Una cookie recopila datos de carácter personal.
  • Si recopila datos de carácter personal es que lleva a cabo un tratamiento de datos sujeto a la normativa de protección de datos (RGPD/GDPR y LOPDGDD)
  • Si es un tratamiento de datos de carácter personal debe llevarse a cabo sobre alguna de las bases legales del artículo 6 del RGPD.
  • Si la base legal de este tratamiento es el consentimiento del interesado (no me mire así, no hay otro) la única forma de conseguirlo es de manera informada, explícita o mediante una acción claramente afirmativa.

Cosas a tener en cuenta.

  • Ese consentimiento o esa acción claramente afirmativa tiene que ser lo que su propio nombre indica; ya no vale eso de ‘’si navegas por aquí aceptas todo lo que se te viene encima’’.
  • Tampoco es válido el cuento chino de que uso cookies para mejorar tu experiencia; no, usas cookies para gulusmear y saber quién visita tu web.
  • La información se muestra por capas o niveles.

La normativa de protección de datos me pide además ser responsable en el uso de los datos, en la ejecución de los tratamientos de datos y, como tantas y tantas veces he dicho, esto del RGPD/GDPR va de empoderar al usuario, a ti y a mí frente a quien recopila datos. Así que olvidémonos de eso de si quieres configurar las cookies vete a este enlace y búscate la vida con tu navegador.

Las cookies, como cualquier consentimiento, se deben gestionar desde la transparencia y desde el efectivo poder de disposición del interesado.

  • Ya no vale lo de mandar a la guerra al usuario a pelear en el menú herramientas para configurar las cookies. Dáselo masticado. Lo que estabas haciendo -y lo sabes- era quitarte la pelota de encima y pasársela al usuario para que hiciese lo que tú ni siquiera sabes que haces.
  • El usuario debe poder aceptar o rechazar las cookies con la misma facilidad.
  • Si usas tropecientas cookies no me hagas rechazarlas todas una por una a modo de interminable sesión de desesperación. Si acepto en bloque debo poder también rechazar en bloque (o individualmente).

Seguramente Vueling no hay más que una. Seguramente nunca lleguemos a cabrear a nadie como lo ha hecho Vueling hasta el punto de recibir una denuncia. Pero hacer las cosas bien cuesta muy poco y encima mola mucho. Cómo el rock n’ roll.

Deja un comentario