Unido a las tradicionales cookies que todos conocemos, aunque nunca lleguemos a saber el alcance de los datos personales que sus proveedores “vampirizan” a través de las mismas (nadie está mirando a Google Analytics), tenemos entre nosotros todas esas técnicas que intentan escapar de esta consideración, y que llevan al cambio normativo que el Reglamento e-privacy, como norma específica, traerá el día que acabe el tira y afloja entre las Instituciones de la UE (también entre ellas) y los actores del mercado del marketing digital.
A pesar de que la AEPD aún no ha lanzado la prometida (y esperada) guía actualizada de cookies, en múltiples Resoluciones ha enmendado esa definición dada en la última guía en la que parece acotarlas a los archivos o dispositivos que se “descarguen”, en el sentido de incluir dentro de la categoría de cookies a todos estos sistemas que permita almacenamiento y recuperación de datos del equipo o dispositivo.
Como principales ejemplos de estas “cookies 2.0” cada vez más sofisticadas, invisibles y persistentes, tenemos:
- Fingerprinting o huella digital: técnica que es capaz de identificar al usuario gracias a herramientas como javascript o flash al darle un identificador único y considerar que cada dispositivo pertenece a una persona distinta, aun cuando comparte el mismo núcleo familiar. En definitiva, al igual que una cookie analítica, realiza una monitorización en la navegación del usuario (la huella digital de cada usuario) llegando incluso captar el desplazamiento del ratón, las teclas pulsadas, o el sistema de bloqueo de anuncios utilizado. La AEPD en esa nueva deriva más “techie” que está tomando, lo concreta en su informe de febrero del presente 2019 sobre fingerprinting devices: “Dicho en términos más comprensibles, la huella digital del dispositivo es un conjunto de datos extraídos del terminal del usuario que permiten individualizar de forma unívoca dicho terminal. Dado que lo habitual es que las personas no compartan sus equipos, ya sea este un teléfono móvil, tableta, portátil u ordenador de trabajo, individualizar el terminal supone individualizar a la persona que lo utiliza. Las entidades que utilizan los mecanismos de huella digital realizan una recopilación sistemática de información de todos los terminales que se conecten a sus servidores con el objetivo de singularizarlos y poder hacer un seguimiento de la navegación del usuario para construir un perfil”.
- Tracking pixel o web beacon: técnica que inserta en una imagen del tamaño de un pixel en formato html para poder detectar las interacciones del usuario sin que este dé cuenta. El más conocido es Facebook pixel, y se utiliza también en los sistemas de mailing para poder emitirle un informe al cliente sobre cuántos usuarios han abierto su newsletter.
- Evercookies o cookies persistentes: cookie que se aloja en sitios anómalos o escondidos del navegador o dispositivo para evitar que el sistema de borrado las pueda eliminar fácilmente.
- Cookie syncing: tecnología que permite reconstruir y volver a identificar al usuario que haya borrado la determinada cookie, a través del identificador que se asignó en un principio, y que se envió fuera del dispositivo a un tercero.
La avanzadilla del ICO
Sin perjuicio de que el Reglamento e-privacy de un viraje brusco, las distintas autoridades europeas están publicando sus directrices sobre cookies adaptadas a los nuevos paradigmas que han llegado para quedarse, como la implantación del sistema que permite al usuario modificar las cookies permitidas en todo momento, o el no poder expulsar al usuario que no las consienta.
El ICO (autoridad británica) ha ido un pasa más allá de otras agencias, como la francesa, y ha entrado, en su reciente Guía del uso de cookies y tecnologías similares ,a incluir ejemplos concretos de estas nuevas técnicas bajo la denominación de tecnologías similares o equivalentes a las cookies (amparado por su norma nacional de sociedad de la información, aunque extrapolable por ser ejemplos de técnicas que aplican en este materia) .
En concreto, nos da una lista abierta sobre ejemplos del 1º tipo de tecnologías que hemos mencionado en el apartado anterior (device fingerprinting o huella digital), sentando las bases de una nueva visión de la cookie de manera integral y panorámica, al incluirse todos esos procesos técnicos que acaben afectado al dato personal del usuario, y que hasta ahora eran invisibles y muy desconocidos (sin olvidar tampoco, esa sombra de corresponsabilidad sobre lo que permitamos en nuestro sitio o app que nos trajo el TJUE a través de Fashion ID – Concisa explicación de esta resolución por Elena Gil González en el blog de Secuoya)-
¿Qué opina el sector del marketing online?
Se puede destacar la opinión de la mayor asociación o entidad a nivel mundial que agrupa a las empresas de publicidad digital llamada IAB (Interactive Advertising Bureau), que en su propio página ha publicado el pasado 4 de septiembre del presente 2019, bajo el título de: “HOW COOKIES AND TRACKING EXPLODED, AND WHY WE NEED NEW STANDARDS FOR CONSUMER PRIVACY”
Ante el nuevo panorama de reforzamiento de la privacidad, proponen los siguientes cambios y garantías para poder seguir realizando la actividad propia de monitorización con fines comerciales (Ad tech -sobre esto, el ICO ha publicado un interesante informe al respecto)
- Asignar un identificador neutral y estandarizado de cada usuario en su navegación por la red.
- Qué cualquier empresa que acceda al mismo, deba demostrar que cumple con la obligación de darle al usuario la posibilidad de modificar sus “preferencias de privacidad”, so pena de no poder obtener rédito económico.
- Implantar un sistema conjunto de rendición de cuentas y control del cumplimiento, que permita revocar el acceso a aquellas entidades que no cumplan.
- Estandarización y control en materia de ad delivery.
- Que todos los estándares mencionados se configuren como servicios públicos sujetos al control de los organismos públicos competentes, (en este caso, entendemos que más como un servicio de interés económico general al estilo de las telecomunicaciones) y, la participación de los actores de la industria.
Bonus clip – ¿Consent war en cookies? – AEPD vs ICO
Aunque este artículo no va sobre el consentimiento aplicable en cookies, sí que cabe mencionar esa posibilidad de mantener el consentimiento de “seguir navegando” que la AEPD sigue mencionado en la Sesión abierta nº10 y concretado, un poquito, en el VII Congreso de Regulación Publicitaria Digital, (a la espera de si finalmente lo ponen en la “deseada guía de cookies), frente al cerrojazo que el ICO a esta posibilidad.
Lo que dice nuestro AEPD (salvo que la futura guía se olvide de ello):
Lo que dice el ICO:
No se debe olvidar, que esta posibilidad que da la AEPD implica un problema de prueba para el responsable al tener que buscarse la vida para poder monitorizar esa navegación por la web durante el “tiempo razonable” que se propone para considerar que se ha prestado consentimiento real.
Conclusiones
- El concepto de cookie va más allá de las típicas que todo el mundo está pensando, y se deber incluir dentro del mismo a estas “tecnologías equivalentes”. Teniendo en cuenta el posible efecto para el titular del sitio o app en relación la Resolución Fashion ID.
- Es necesario un acuerdo entre la UE y los actores del marketing digital para salga definitivamente el Reglamento e-privacy. En este sentido, las propuestas realizadas por IAB parece adecuadas, siempre que sean las Autoridades de protección europeas las que realicen ese control de manera coordinada.
- Cabe esperar a la guía de cookies de la AEPD para ver si ese consentimiento “tácito 2.0” que despierta ciertas dudas, sigue su rumbo, o pasa a ser una mera nota al pie de página de la historia de la privacidad.