El tribunal superior de Europa dictaminó que las casillas de consentimiento previamente marcadas para colocar cookies no son legalmente válidas.
Se debe obtener el consentimiento antes de almacenar o acceder a cookies no esenciales, como el seguimiento de cookies para publicidad dirigida. El consentimiento no puede ser implícito o asumido.
Es una decisión que, de golpe, sumerge sitios web en agua caliente legal en Europa si sus avisos de cookies no solicitan su consentimiento primero. Como muchos no, prefieren no arriesgar su capacidad de rastrear a los usuarios para la orientación de anuncios.
Ahora podrían estar arriesgando una gran multa bajo Leyes de privacidad de la UE si no obtienen un consentimiento válido para el seguimiento.
Los sitios que se han basado en optar por los usuarios de la UE para usar cookies de seguimiento de anuncios con la esperanza de que simplemente hagan clic en Aceptar para hacer que desaparezca el banner de cookies están en un rudo despertar.
O, para decirlo de otra manera, el fallo debería poner fin a algunas interpretaciones "creativas" de las reglas en torno a las cookies que logran perder completamente el sentido de la ley …
ehem
Es probable que la decisión también influya en el curso reforma de las reglas de privacidad electrónica – que rigen el seguimiento en línea.
Si bien el resultado de esa legislación muy fuertemente presionada aún está por verse, el fallo de hoy es claramente una victoria para la privacidad.
Caso Planet49
La historia de fondo del fallo de hoy es que un tribunal alemán solicitó al TJUE una decisión en un caso relacionado con un sitio web de lotería, Planet49, que había requerido a los usuarios a consentir el almacenamiento de cookies para jugar un juego promocional.
En un opinión anterior un asesor influyente del tribunal también consideró que la acción afirmativa, no la simple inacción, debe ser necesaria para constituir el consentimiento.
Hoy, el TJUE acordó, emitiendo un juicio final que deja en claro que no se puede asumir el consentimiento: requiere una participación activa de los usuarios.
En un breve breve presione soltar la corte escribe:
En la sentencia de hoy, el Tribunal decide que el consentimiento que un usuario del sitio web debe dar para el almacenamiento y el acceso a las cookies en su equipo no está válidamente constituido por medio de una casilla de verificación previamente verificada que ese usuario debe anular para rechazar su consentimiento. .
Esa decisión no se ve afectada por si la información almacenada o accedida en el equipo del usuario es información personal. La ley de la UE tiene como objetivo proteger al usuario de cualquier interferencia con su vida privada, en particular, del riesgo de que identificadores ocultos y otros dispositivos similares ingresen al equipo terminal de esos usuarios sin su conocimiento.
El Tribunal señala que el consentimiento debe ser específico para que el hecho de que un usuario seleccione el botón para participar en una lotería promocional no sea suficiente para concluir que el usuario dio su consentimiento válido para el almacenamiento de cookies.
Además, según el Tribunal, la información que el proveedor de servicios debe proporcionar a un usuario incluye la duración del funcionamiento de las cookies y si terceros pueden tener acceso a esas cookies.
Por lo tanto, para resumir, las casillas de consentimiento previamente marcadas (o las pancartas de cookies que le dicen que una cookie ya se ha eliminado y que invitan sin sentido a hacer clic en "ok") no son válidas según la legislación de la UE.
Además, el consentimiento de cookies no se puede agrupar con otro propósito (en el caso de Planet49, la lotería promocional), al menos si esa señal difusa se usa para representar el consentimiento.
También hay un nuevo requisito interesante que parece reducir la capacidad de los operadores de servicios para ofuscar la persistencia en el seguimiento de los usuarios de Internet.
Para que el consentimiento de las cookies sea legalmente válido, el tribunal ahora dice que se debe proporcionar al usuario cierta información específica sobre el seguimiento, a saber: cuánto tiempo funcionará la cookie y con quién se compartirán sus datos. Entonces, er, incómodo …
"Ampliar el requisito de información para incluir detalles de configuración de cookies es un giro interesante que proporcionará más información a los usuarios", Dr. Lukasz Olejnik, un asesor independiente de seguridad cibernética y investigación asociar en el Centro de Tecnología y Asuntos Globales en Oxford Universidad, nos dijo.
“Los sitios deberán ser cautelosos para asegurarse de que el texto orientado al usuario coincida con los valores realmente utilizados de max-age o expire atributos. También es interesante preguntarse si los sitios querrán proporcionar información similar sobre otros atributos de cookies ".
Es seguro decir que habrá algunas caras largas en la industria publicitaria hoy.
“El Tribunal ha dejado en claro que el consentimiento siempre debe manifestarse de manera activa y no puede presumirse. Por lo tanto, los operadores en línea deben asegurarse de no obtener el consentimiento pidiéndoles a los usuarios que deshicieran una declaración de consentimiento preformulada ”, dijo Luca Tosoni, investigador en informática y derecho de la Universidad de Oslo, y también comentó sobre el fallo judicial.
Reforma de ePrivacy
Como hemos informado antes, muchos sitios y servicios en Europa, en el mejor de los casos, han estado jugando al labio a los requisitos de consentimiento de cookies de la UE, a pesar de la llegada de normas más estrictas que entraron en vigor el año pasado en virtud del Reglamento General de Protección de Datos (GDPR), que dice que el consentimiento debe ser específico, informado y otorgado libremente para ser una base legal válida. Y a pesar de, más recientemente, más orientación de las DPA que aclaran las reglas sobre el consentimiento de las cookies.
Por lo tanto, el fallo del TJUE debería sacar algunas cabezas de la arena.
“Antes de la entrada en vigor del GDPR, las condiciones para el consentimiento se interpretaban de manera diferente en toda Europa. El juicio de hoy es importante, ya que aporta cierta claridad sobre lo que debería considerarse un consentimiento válido según la ley de protección de datos de la UE ", también nos dijo Tosoni, diciendo que espera que el fallo resulte en cambios en muchas notificaciones de cookies.
“Los tribunales nacionales y las autoridades de protección de datos en toda la UE deberán seguir la interpretación del Tribunal al evaluar si los controladores han obtenido un consentimiento válido. A su vez, esto debería conducir a una mayor armonización en la aplicación en toda Europa, en particular con respecto a los avisos de cookies. Por lo tanto, esperaría que muchos operadores cambien sus consentimientos no conformes para cumplir con el fallo ".
La ley de la UE sobre el consentimiento de cookies se remonta mucho antes que el RGPD, a la Directiva de protección de datos anterior y a la Directiva de privacidad electrónica aún vigente, cuyo Artículo 5 (3) especifica que para que se utilicen cookies, los usuarios deben dar su consentimiento de aceptación después de haber sido proporcionado con información clara y completa (con solo una excepción limitada para las cookies 'estrictamente necesarias').
Aunque los legisladores europeos han estado intentando durante años acordar una actualización de la Directiva de privacidad electrónica.
UNA proyecto de propuesta de reglamento de privacidad electrónica fue introducido por la Comisión a principios de 2017. Pero las negociaciones han sido todo menos fluidas, con un bombardeo de cabildeo por parte de las industrias adtech y de telecomunicaciones presionando contra un requisito firme de consentimiento para el seguimiento.
La claridad del TJUE de que se requiere el consentimiento para almacenar y acceder a las cookies empuja en la dirección opuesta. Y esa línea legal firme que protege la privacidad individual de las tecnologías de seguimiento de antecedentes debería ser más difícil de ignorar por los legisladores.
"Es probable que el fallo de hoy tenga un impacto significativo en las negociaciones en curso sobre el Reglamento de privacidad electrónica que regulará el uso de cookies, un tema sobre el cual los legisladores europeos están luchando por encontrar un acuerdo", dijo Tosoni, y agregó: "En el pasado, las decisiones de la Corte han tenido un impacto importante en el desarrollo del GDPR ".
Mientras tanto, la sentencia debería al menos forzar a algunos de los banners de cookies más cínicos y / o estúpidos a ser reemplazados silenciosamente por algo que al menos pregunta por consentimiento.
Paredes de galletas
Dicho esto, el fallo no resuelve todos los problemas relacionados con el consentimiento de las cookies.
Específicamente, el tribunal no se ha metido en el controvertido tema de consentimiento forzado / muro de cookies. Aquí es donde un sitio requiere consentimiento para publicitar cookies como el "precio" para acceder al servicio buscado, con la única otra opción que es abandonar.
A principios de este año, el El DPA holandés consideró que las paredes de cookies son ilegales. Pero la interpretación de la agencia está abierta a un desafío legal. Solo el TJUE puede tener la última palabra.
En el caso Planet49, el tribunal eludió el problema, diciendo que el tribunal remitente no le pidió que dictaminara sobre la cuestión de “si es compatible con el requisito de que el consentimiento sea 'otorgado libremente', en el sentido del Artículo 2 (h) de La Directiva 95/46 y el Artículo 4 (11) y el Artículo 7 (4) del Reglamento 2016/679, para que el consentimiento del usuario para el procesamiento de sus datos personales con fines publicitarios sea un requisito previo para la participación de ese usuario en una lotería promocional, como parece ser el caso en el procedimiento principal ”.
"En esas circunstancias, no es apropiado que la Corte considere esa pregunta", escribió.
Probablemente lo esté haciendo porque otro caso ya está listo para considerar esa pregunta. Tosoni dice que espera que el caso de Orange Rumania, que está pendiente ante el tribunal, aclare aún más los requisitos de consentimiento válido en el contexto de que se "entregue libremente".
“Sigue existiendo cierta incertidumbre sobre los requisitos del consentimiento válido. De hecho, a juicio de hoy, el Tribunal ha aclarado principalmente lo que constituye inequívoco y específico consentimiento, pero el Tribunal, por ejemplo, no ha aclarado qué grado de autonomía debe disfrutar un interesado al elegir si da o no consentimiento para que este último se considere "otorgado libremente", dijo.
"El juicio de hoy no proporciona una respuesta sobre la legalidad de las paredes de cookies, que requieren consentimiento para acceder al servicio subyacente. El Tribunal consideró que no podía abordar este punto, ya que el tribunal alemán de referencia no le había pedido al TJCE que evaluara la legalidad de hacer que la participación en una lotería, el servicio en cuestión en el caso, esté sujeto a dar el consentimiento de cookies publicitarias. Una mayor claridad sobre este tema puede provenir del caso Orange Romania, que actualmente está pendiente ante el TJCE ".
Nos hemos comunicado con el IAB Europa para obtener una respuesta a la resolución y para preguntar qué consejo emitirá a sus miembros. Al momento de escribir esto aún no había respondido a estas preguntas.