Conoce todo sobre el nuevo proyecto de recomendaciones de la CNIL con respecto a las cookies (enero 2020)

Este artículo tiene como objetivo ayudarte a entender las nuevas recomendaciones de la autoridad francesa de la protección de datos (CNIL) en cuanto a las cookies y otras tecnologías de seguimiento. 

 

📅 El 1 de octubre de 2020 la CNIL publicó nuevas recomendaciones que puedes leer en el artículo dedicado al tema en nuestro blog.  

El 4 de julio de 2019, la autoridad francesa de protección de datos adoptó unas directrices con respecto a las cookies y otras tecnologías de seguimiento. Estas directrices revocan las antiguas recomendaciones de 2013 sobre el tema y anuncian nuevas modalidades de recopilación del consentimiento.  

De septiembre de 2019 a enero de 2020 se llevó a cabo un periodo de concertación con los profesionales del sector para recoger las opiniones de todas las partes involucradas y para comprender mejor las problemáticas del mercado.  

Es en ese contexto que, el 14 de enero de 2020, la CNIL lanzó una consulta pública sobre un proyecto de recomendación “cookies y otras tecnologías de seguimiento”  que precisa las modalidades prácticas de recopilación del consentimiento emitidas en su directiva de julio de 2019. Esta consulta terminó el 25 de febrero, seguida de la adopción de la recomendación definitiva. Sin embargo, la CNIL dejó un periodo de transición, que terminó en septiembre de 2020, en la que los editores deberán ponerse al día en materia de conformidad adoptando las nuevas exigencias.    

¿Cuáles son los puntos principales de esta recomendación y cuáles son las consecuencias respecto de la configuración de tu CMP? 

🔎 Didomi pone a disposición de los editores, en la consola Didomi y desde la adopción oficial del proyecto, todas las opciones para responder a las diferentes exigencias de la CNIL. Solo tendrás que activarlas si deseas utilizarlas. Recomendamos a todos las partes involucradas en Francia o a los editores que tengan tráfico proveniente de Francia activar esas opciones.  

Estos son los diferentes puntos importantes sobre las especificaciones para tener en cuenta para recoger un consentimiento válido. 

✅ Campo de aplicación

Las recomendaciones de la CNIL engloban todos las tecnologías de seguimiento salvo las que están exentas de consentimiento. Los actores que coloquen esas cookies deben solicitar el consentimiento del usuario. El editor sigue siendo el actor en mejor posición para recoger el consentimiento de las cookies instaladas en una página, incluso si son puestas por un tercero que define las finalidades de su tratamiento.  

✅ Consentimiento informado

Sigue siendo posible recoger el consentimiento desde el primer nivel de información. Las finalidades deben ser claras, completas y el usuario debe poder aceptar o rechazar todas las cookies. En este nivel, se debe presentar un enlace que muestre las finalidades detalladas y que permita visualizar directamente la información en la primera página o reenviar al usuario hacia un segundo nivel de información.  

La CNIL recomienda en sus “buenas prácticas” facilitar el acceso a la información sobre las categorías de los datos procesados.  

El usuario también debe ser informado sobre quiénes son los responsables del tratamiento de sus datos desde el primer nivel de información. Se recomienda poner un enlace, de fácil acceso al usuario, dirigido hacia esta lista. Por otra parte, no es obligatorio solicitar de nuevo el consentimiento cada vez que se añadan nuevos proveedores salvo en casos en que se agreguen “cualitativa y cuantitativamente” bastantes. En cambio, se le debe proponer un enlace al usuario para que pueda estar informado sobre la actualización de los proveedores. Ese enlace puede estar incluido en el módulo que permite volver a visualizar el banner de recolecta del consentimiento. La CNIL propone cambiar el color del enlace que dirige hacia los proveedores para poder advertir a los usuarios de algún cambio en la lista.  

Si se realiza una colecta de consentimiento entre páginas y aplicaciones diferentes, el usuario debe ser informado, desde el primer nivel de información, de las otras páginas y aplicaciones para las que se recoge el consentimiento.  

✅ Consentimiento libre

Para que el consentimiento sea libre, el botón “Aceptar todo”, presente en el primer nivel de información, debe acompañarse por el botón “Rechazar todo”. Los botones deben tener el mismo aspecto visual y tamaño para no influenciar la selección del usuario. La presencia de un simple enlace “Más información” al lado del botón “Aceptar todo” no es suficiente. Aceptar o rechazar debe ser igual de fácil.  

El usuario no debe ser penalizado ni sufrir ningún perjuicio si rechaza las cookies. El rechazo debe estar registrado durante el mismo periodo de tiempo como si hubiera aceptado, para no presentarle el banner de nuevo e influenciar sus elecciones.  

También es posible darle al internauta la posibilidad de hacer su elección en otro momento, por ejemplo agregando una cruz o un botón “Configurar mis cookies más tarde”. No se debe instalar ninguna cookie mientras el usuario no haya aceptado o configurado sus elecciones. Se puede seguir pidiendo el consentimiento mientras el usuario no haya hecho una elección. 

✅ Consentimiento específico 

Los botones generales para aceptar o rechazar pueden estar presentes en el primer nivel de información. El botón “Aceptar todo” debe obligatoriamente estar acompañado de un botón “Rechazar todo”.  

Todas las finalidades usadas deben estar presentes y detalladas (mediante un enlace o un texto desplegado abajo).  

Efectivamente, un consentimiento específico por finalidad debe ser accesible y puede ser propuesto en el segundo nivel de información. El texto que dirige a esta ventana debe ser claro. Recomendamos “Más información sobre las cookies” o “Configurar mis cookies”.  

✅ Consentimiento unívoco

Los botones aceptar o rechazar deben tener un diseño similar, incluso idéntico, y la elección del usuario no debe ser influenciada por ningún elemento visual.  

✅ Retirada y duración del consentimiento

El usuario debe ser informado en la primera página de la posibilidad de volver en cualquier momento para definir sus elecciones. Debe entonces tener acceso al enlace que le permite modificar sus elecciones. Este debe estar en todas las páginas, en un lugar visible y durante todo el tiempo de la navegación. El texto que reenvía hacia el banner de 

recolección del consentimiento debe ser claro e intuitivo, como “Gestionar mis cookies” o “Preferencias de cookies”.  

El usuario puede también ser informado sobre la duración de las cookies.  

Respecto a la duración del consentimiento, la CNIL aconseja una duración de seis meses después de los cuales será necesario volver a pedirle el consentimiento al usuario.  

✅ Prueba de consentimiento 

Es necesario poder aportar la prueba del consentimiento al usuario. Los datos deben ser precisos e indicar la fecha, hora, versión del banner usado y las páginas y/o aplicaciones para las que el consentimiento fue otorgado.  

Sin embargo, no se puede recoger más información de la necesaria.  

✅ Buenas prácticas 

En estas buenas prácticas, la autoridad de protección de datos propone que una cookie esté asociada a una finalidad propia. 

Este es el resumen de lo que se debe mostrar obligatoriamente en el primer nivel de información del banner:  

  • La lista de finalidades detalladas 
  • La lista de los responsables del tratamiento de los datos recogidos. 
  • La lista de las páginas y/o aplicaciones para las cuales se recoge el consentimiento 
  • La posibilidad para el usuario de modificar sus elecciones en cualquier momento 
  • Si el consentimiento se pide de manera global, un botón “Aceptar todo” y un botón “Rechazar todo” 
  • La duración de vida de las cookies y eventualmente las categorías de los datos recogidos (buenas prácticas) 
  • La duración de vida del consentimiento (seis meses)