19 Abr 2018
GDPR y analítica web
Lectura: 6 mins.
|
Dificultad:

¿Cómo afectará la entrada en vigor de la GDPR al tracking de tu web?

El próximo 25 de mayo entrará en vigor una nueva Ley de Protección de Datos y seguro que te estarás preguntando si tendrá algún impacto en la forma en que se recogen los datos de uso de una web.

La intención de esta nueva regulación es la de reforzar y unificar la recogida de datos de individuos dentro del ámbito geográfico de la UE. Toda empresa que lleve a cabo actividades de tratamiento de datos personales de personas que residan en la UE estará sujeta a esta normativa, tanto en relación con la oferta de bienes o servicios, como con el control de su comportamiento (en la medida en que este tenga lugar en la UE).

Vamos a ver cómo afecta al tracking de una web, pero antes tenemos que tener claros dos conceptos clave.

¿Qué son los datos personales?

Desde el punto de vista de datos recogidos a través de la navegación web, la GDPR trata los identificadores online y los datos de ubicación como datos personales que deben estar protegidos tan bien como otros datos del individuo (médicos, económicos…). Desaparece por tanto la clasificación en función del grado de sensibilidad del dato recopilado vigente hasta el momento.

Las cookies también se encuentran en el ámbito de los identificadores. Todas las cookies pueden considerarse datos personales si pueden identificar a un individuo.

Por lo tanto, habrá que ajustar la política de cookies para cumplir con la ley, aunque no se especifica cómo.

¿Qué es el consentimiento?

Es la expresión de acuerdo por parte del sujeto a ser objeto de la recogida y procesado de sus datos. La comunicación afirmativa por parte del sujeto debe ser específica, sin ambigüedades y dada libremente.

La regulación no especifica instrucciones de cómo recabar el permiso para procesar los datos personales, aunque sí apunta que las acciones afirmativas pueden ser:

  • Seleccionar los ajustes técnicos para recabar la información.
  • Seleccionar un checkbox en una web.
  • Cualquier otra forma de expresar consentimiento (una definición muy precisa, sí señor 🤨).

Entre las acciones que no son suficientes para indicar consentimiento están:

  • Silencio.
  • Checkboxes preseleccionadas.
  • Inactividad.

Es decir, ya no sirve lo de “Si sigues navegando por esta web, aceptas expresamente…”, si el usuario no realiza ninguna acción que implique un consentimiento tácito.

¿Qué puedo hacer para adecuar mi web a la GDPR?

Para empezar, lo que recomendamos es que consultes tu caso con tu abogado. Como toda ley, hay muchas interpretaciones posibles y cada proyecto tiene sus particularidades. Una vez dicho esto, planteamos algunos pasos accionables:

1. Eliminar el aviso de cookies y sustituirlo por una caja de cookies

Desde el punto de vista legal, es una forma de recoger el consentimiento de forma clara:

  • Dado libremente: consultas a los visitantes si les gustaría compartir sus datos contigo.
  • Específico: permites que tus visitantes den consentimiento para cada tipo de procesado de datos.
  • Informado: se da una descripción de la intención con la que se recogen los datos del visitante.
  • Concreto: ya que el usuario tiene la opción de seleccionar a qué da consentimiento y a qué no.

Hay que decir que no todo tipo de tracking requiere el consentimiento de los usuarios. La Regulación de Privacidad de las Comunicaciones Electrónicas (ePrivacy) está en proceso de elaboración y se cree que hará una excepción con los datos personales utilizados con la finalidad estadística. Sin embargo, si se comparten estos datos con plataformas publicitarias, haces remarketing o personalizas el contenido basándote en el comportamiento del usuario, habrá que solicitar el consentimiento.

Planteado el escenario ideal, veremos si es posible llevarlo a cabo de forma generalizada. Desde luego, desde el punto de vista de la experiencia de usuario no resulta muy adecuado.

Os dejamos un ejemplo que propone Piwik.

2. Solicitar el consentimiento a través de los ajustes del navegador

En el último borrador de la ePrivacy, se sugiere que en el caso de la presencia de cookies para el tracking de los usuarios, estos tendrán que activar el consentimiento o rechazo de forma manual en el navegador. A efectos prácticos, esto se puede incluir en el Aviso de Política de Cookies, desarrollando un apartado explicativo de cómo configurar o deshabilitar tus cookies para cada navegador, como hace El Corte Inglés:

3. Justificar y describir el uso de los datos personales recabados

Tanto en Paypal como en El Corte Inglés lo hacen estupendamente. Os recomendamos que echéis un vistazo a sus políticas de cookies, donde desglosan qué cookies utilizan y para  qué.

 

4. Los sujetos podrán cambiar de opinión

Hay que proporcionar los medios para facilitar a los usuarios el manejo consentimiento previamente otorgado, respetando sus derechos:

  • Derecho al acceso a sus datos.
  • Derecho de rectificación y supresión de sus datos personales.
  • Derecho de oposición al tratamiento de los datos.
  • Derecho de restringir el tratamiento o portabilidad de los datos.

Los interesados pueden realizar solicitudes de acceso a los datos, que deberán ejecutarse en el plazo de un mes desde la recepción de la solicitud.

En el caso de que las solicitudes de acceso a los datos sean infundadas o excesivas, las empresas podrán cobrar un canon razonable por proporcionar la información.

Un apunte: no utilizar un lenguaje legal farragoso a la hora de redactar el aviso o la petición de consentimiento. Se especifica que el mensaje debe transmitirse en un lenguaje comprensible para el usuario medio de internet. Nada de tecnicismos legales ni verborrea técnica.

¿Por dónde empiezo?

  1. Haz un inventario de las plataformas digitales de que dispones (website, mobile app…) y lista las cookies que se están utilizando.
  2. Infórmate de la adecuación a la GDPR de cada herramienta que se esté utilizando en cada plataforma. Si no están adaptándose a la nueva regulación, tendrías que pensar en buscar una alternativa.
  3. Desarrolla una estrategia de recopilación del consentimiento, teniendo en cuenta la experiencia de usuario.
  4. Adecua los procesos actuales para poder responder a las peticiones de acceso a los datos recopilados por parte de los sujetos.

Os dejamos los enlaces a algunas de las herramientas que están adecuándose a la GDPR:

Por último, queremos insistir en que consultes con tu abogado cómo abordar la adecuación a la GDPR; todo lo que se comenta en este post es nuestra interpretación de la ley y puede no ser válida en todos los casos.