Configurar la CMP para cumplir con el RGPD, el CEPD y las recomendaciones de la CNIL

📕 Una CMP (Consent Management Platform) es una plataforma de gestión de consentimiento que permite recoger el consentimiento del usuario sobre sus datos personales. Una CMP registra, almacena y recupera el consentimiento y lo transmite a numerosos proveedores cuando es necesario. Hace que la experiencia del usuario sea más fluida y facilita la recolección del consentimiento. 

Sin embargo, Armand Heslot (experto en privacidad y seguridad de la autoridad francesa de protección de datos llamada CNIL) recordó recientemente en una entrevista que usar una CMP no quiere garantiza necesariamente el cumplimiento del RGPD ni que el consentimiento que recoges sea válido. 

¿Qué condiciones hay que cumplir para respetar la normativa cuando se recoge el consentimiento mediante una CMP? 

En primer lugar, las autoridades de protección de datos establecen que la formulación que utilices tiene que ser clara, inteligible y con lenguaje sencillo para que los usuarios entiendan claramente a qué están consintiendo.  

Las finalidades del tratamiento deben ser claras y estar escritas en la primera vista del banner. Los botones “Aceptar”, “Rechazar” y “Configurar mis preferencias” para permitir al usuario aceptar o rechazar pueden aparecer en la primera ventana del banner y también tienen que aparecer en la lista de finalidades de la segunda vista. 

En la segunda vista, tienes que solicitar el consentimiento finalidad por finalidad, pero ten en cuenta que las opciones preseleccionadas no están aceptadas por la CNIL ni por el CEPD. La autoridad francesa de la protección de datos concluye que “cuando todas las finalidades se presentan con la opción de aceptar preseleccionada, no se considera que el usuario esté consintiendo a nada. De hecho, necesita realizar una acción para rechazar desactivando las casillas correspondientes a cada finalidad”.  

Además, el nombre del responsable del tratamiento debe aparecer en el primer nivel del banner. Esto permite a los usuarios dar su consentimiento sabiendo qué empresas están recogiendo sus datos.

El texto no debe dar a entender que el hecho de rechazar vaya a impedir al usuario acceder al sitio web o vaya a conllevar la necesidad de pagar para acceder.

La cuestión particular del tratamiento de datos de geolocalización 

Si recoges datos de geolocalización, debes solicitar al usuario el consentimiento específico. La CNIL recuerda que el CEPD impone en este caso un consentimiento específico que no se cumple cuando el usuario realiza una aceptación global sin conocer los varios tipos de tratamientos y finalidades. Los usuarios de aplicación móvil no consienten específicamente a un tratamiento de datos de geolocalización para la creación de perfiles o la publicidad personalizada.

 

¿Se considera válido recoger el consentimiento mediante el scroll o el clic de navegación?

La CNIL ya no acepta recoger el consentimiento mediante el clic o el scroll, ya que no se consideran actos explícitos y positivos por parte del usuario. EL CEPD también señala que el scroll no se considera un acto positivo y, por lo tanto, no es una forma válida de recoger el consentimiento. 

¿Se pueden considerar cookies esenciales las cookies para análisis de datos?

Atención, las cookies de medición de audiencia como las de Google Analytics no se consideran esenciales. En Francia, existen excepciones para las cookies que cumplan una serie de condiciones establecidas por la CNIL: https://www.cnil.fr/fr/solutions-pour-les-cookies-de-mesure-daudience.

Actualmente, solo existen dos herramientas que cumplan estas condiciones según la CNIL (AT Internet y Matomo). Por lo tanto, debes solicitar el consentimiento del usuario si quieres instalar cookies de este tipo en su dispositivo.  

Recuerda que debes dar al usuario la posibilidad de modificar su estatus de consentimiento o sus preferencias a través de un enlace en el pie de tu página web o en la política de privacidad.

Los botones “Aceptar” y “Rechazar” deben tener el mismo tamaño y estar visibles de la misma forma.

Las cookies para analítica de datos no pueden conservarse más de 13 meses. La información recogida por las cookies puede almacenarse, como máximo, durante 25 meses. Después de este plazo, debes volver a solicitar el consentimiento al usuario. En ocasiones, la duración de las cookies de Google Analytics está establecida por defecto en 24 meses. Puedes reducir su duración siguiendo esta guía: 

📰 https://developers.google.com/analytics/devguides/collection/analyticsjs/cookies-user-id#cookie_expiration.

 

Cuestiones a tener en cuenta durante la configuración de una CMP

  • El usuario debe conocer la finalidad del tratamiento de datos, al responsable del tratamiento y los datos que se recogen para que el consentimiento sea válido. 
  • La formulación utilizada para informar al usuario debe ser clara, inteligible y con lenguaje sencillo para que los usuarios entiendan claramente a qué están consintiendo
  • Las finalidades del tratamiento deben ser claras y estar escritas en la primera vista del banner. Los botones “Aceptar”, “Rechazar” y “Configurar mis preferencias” para permitir al usuario aceptar o rechazar pueden aparecer en la primera ventana del banner y también tienen que aparecer en la lista de finalidades de la segunda vista.

⚠️ Esto puede variar en función del país: consulta nuestro artículo sobre las particularidades legales sobre el consentimiento en distintos países

  • El texto no debe dar a entender que el hecho de rechazar vaya a impedir al usuario acceder al sitio web o vaya a conllevar la necesidad de pagar para acceder.
  • Si recoges datos de geolocalización, debes solicitar al usuario el consentimiento específico.

  • La CNIL ya no acepta recoger el consentimiento mediante el clic o el scroll, ya que no se consideran actos explícitos y positivos por parte del usuario.

⚠️  Esto puede variar en función del país: consulta nuestro artículo sobre las particularidades legales sobre el consentimiento en distintos países

  • Recuerda que debes dar al usuario la posibilidad de modificar su estatus de consentimiento o sus preferencias a través de un enlace en el pie de tu página web o en la política de privacidad.
  • La duración de conservación del consentimiento es de 6 meses. Las cookies para analítica de datos no pueden conservarse más de 13 meses. La información recogida por las cookies puede almacenarse, como máximo, durante 25 meses. Después de este plazo, debes volver a solicitar el consentimiento al usuario.  

⚠️ Esto puede variar en función del país: consulta nuestro artículo sobre las particularidades legales sobre el consentimiento en distintos países