Google Analytics y la directiva de cookies de la UE. ¿Quién caerá en falta de la ley? Google o el desarrollador?

16

Por lo tanto, Google utiliza cookies cuando realiza sus tareas habituales de seguimiento de usuarios en un sitio web. Sin embargo, eso es todo; Google está configurando las cookies y no su sitio web como tal. Esto se debe al hecho de que el JS está alojado en Google y simplemente se incluye en su página web.

Wolf Software, que lanzó un complemento jQuery para solicitar el consentimiento de los usuarios antes de permitir que GA parezca implicar que sería el problema de los desarrolladores en su página web asociada.

¿Es este el problema de Google cuando la ICO llega a golpear o el desarrollador no debería haber implementado GA si está al tanto del posible problema de las cookies?

Treffynnon
fuente

Respuestas:

10

La respuesta corta es que nadie lo sabe todavía.

La respuesta larga es que las cookies de terceros son un área confusa; No está claro en la directiva (PDF) quién sería procesado por no obtener el consentimiento al almacenar cookies de terceros.

La interpretación y el asesoramiento actual de ICO, publicado en "Cambios a las reglas sobre el uso de cookies ..." , admite que no saben cómo se aplica la directiva a las cookies de terceros:

"El proceso de obtener el consentimiento para estas cookies [de terceros] es más complejo y nuestra opinión es que todos tienen un papel que desempeñar para asegurarse de que el usuario sepa qué se recopila y quién lo hace".

El énfasis es mío. No dicen quién es el responsable, solo que alguien lo es. Además, dicen que están intentando aclarar estas reglas:

"[Las cookies de terceros] pueden ser el área más desafiante para lograr el cumplimiento de las nuevas reglas y estamos trabajando con la industria y otras autoridades europeas de protección de datos para ayudar a abordar las complejidades y encontrar las respuestas correctas".

Están esperando que estos servicios de terceros

... sin duda se adaptará para lograr el cumplimiento de la nueva regla ...

Una posible pista de la postura de la ICO es que enumeran las cookies de Google Analytics como no esenciales en su propia política de privacidad , y solo usan Google Analytics si usted acepta almacenar cookies. Creo que esto establece el tono para cualquier aclaración que puedan ofrecer. Es muy posible que digan: "también debe pedir permiso para las cookies de terceros, porque es su elección si usa esos servicios o no". Pero aún no lo sabemos con certeza.

Esta incertidumbre es una de las razones para que el plazo de cumplimiento se extienda hasta el 25 de mayo de 2012. Lo mejor que pueden hacer los webmasters británicos preocupados por el impacto es vigilar el sitio web de la OIC y esperar su aclaración. Mientras tanto, vale la pena seguir el resto de sus consejos descritos en sus pautas para las cookies que usted mismo emite.

Mella
fuente
Eliminé mi respuesta porque no había visto ese bit en las cookies de terceros. ¿Cuál es su fuente para extender el plazo?
Paulmorriss
2
Está enterrado en el PDF de cumplimiento actualizado de la ICO : "[El Comisionado] ... permitirá una ventaja en un período de 12 meses para que las organizaciones desarrollen formas de cumplir con los requisitos relacionados con las cookies [que] finalizarán en mayo de 2012". En resumen, se convirtió en ley del Reino Unido el 25 de mayo de 2011, pero no la aplicarán hasta el 25 de mayo de 2012.
Nick
1
Esta es una buena respuesta, pero es fundamental tener en cuenta que esta respuesta es específica del Reino Unido, mientras que la directiva en sí es de toda la UE. Es decir, cada país está haciendo cumplir la ley a su manera. El hecho de que el Reino Unido esté retrasando la aplicación por un año no significa que otros países estén haciendo lo mismo.
Yahel
1
Buen punto. Que yo sepa, el ICO es el primer organismo de protección de datos de la UE que emite directrices sobre la directiva, pero si las personas desean proporcionar enlaces a consejos de otros estados miembros con respecto a los plazos y las cookies de terceros, actualizaré la respuesta en consecuencia .
Nick
Actualización para la situación del Reino Unido: ico.gov.uk/news/blog/2011/…
paulmorriss
4

Antes de escribir el complemento para Wolf Software, nos contactamos con el ICO para verificar la posición, y de esa consulta entendemos que GA debe considerarse no esencial y, como tal, se requiere consentimiento.

El problema de que sea 1 ° o 3 ° es discutible, ya que es solo la parte 'no esencial' lo que lo cubre la ley.

No estamos insinuando que el problema son los webmasters, como se indicó en la parte superior, lo que hemos hecho es darles a los webmasters una solución simple a este problema en caso de que quieran usarlo. Se nos hace creer que es el "propietario" del sitio web el responsable final.

También hemos verificado con el ICO que el complemento que lanzamos fue para fines específicos y cumplió con los nuevos requisitos de legislación con respecto a GA.

Es en gran medida un caso de, si lo desea, está ahí para usar, no implicamos nada sobre la ley, solo ofrecemos una solución simple y gratuita a un aspecto de la misma.

ADICIONAL:

Con respecto a la ICO, les enviamos un enlace a la demostración y simplemente les preguntamos si sentían que era adecuado para su propósito, nos dijeron que, a los ojos de la ICO, el complemento era "apto para el propósito y cumplía con la nueva ley".

Lobo
fuente
3
+1 ¿Puede compartir su pregunta real con ellos y su respuesta por escrito? Un registro de ambos sería una gran contribución a su respuesta.
Nick
Gracias por su contribución a esta pregunta y por poner algo disponible gratuitamente para ayudar a los webmasters y estimular el debate. Como @Nick, creo que sería genial si pudieras compartir parte de la comunicación real que has tenido con el ICO. Le envié un correo electrónico a ICO con una URL para esta pregunta y solicité su opinión también, por cierto.
Treffynnon
3

Ahora he recibido una respuesta de la OIC, aunque ya no es del todo relevante dado que la introducción se ha retrasado y la ley y la orientación pueden ser refinadas mientras tanto.

Gracias por su correspondencia con respecto al nuevo Reglamento de Privacidad y Comunicaciones Electrónicas.

Comenzaría señalando que no publicaré mi respuesta en el sitio web que sugiera; sin embargo, siéntase libre de difundir la información aquí contenida. También diría que la primera retórica de sus dos preguntas no es una que estoy en condiciones de responder.

Continuando, preguntas:

'Google Analytics y la directiva sobre cookies de la UE. ¿Quién caerá en falta de la ley? ¿Google o el desarrollador?

Como introducción, la nueva regla relacionada con las cookies es la implementación en el Reino Unido de las enmiendas a la legislación vigente de la UE. Antes de que se aprobara la legislación a nivel de la UE, se realizó una consulta en toda Europa. Tras la aprobación de la Directiva de cookies de la UE (Directiva 2009/136 / CE), todos los estados miembros de la UE están legalmente obligados a aprobar una legislación nacional que haga eco de las normas establecidas en esa Directiva. En el Reino Unido, las enmiendas han sido preparadas por el Departamento de Cultura, Medios y Deportes (DCMS) y el ICO es el organismo encargado de supervisar las nuevas reglas, que se aprobaron como enmiendas al Reglamento de Privacidad y Comunicaciones Electrónicas 2003 ( PECR).

Si aún no lo ha leído, es posible que la carta de Ed Vaisey en nombre del DCMS como Ministro de Cultura, Comunicaciones e Industrias Creativas sea útil para explicar el enfoque adoptado por el DCMS en la implementación de esta Directiva de la UE. La carta abierta está disponible en: http://www.culture.gov.uk/images/publications/cookies_open_letter.pdf .

En particular, esta carta aborda mejor sus comentarios sobre el uso de un navegador web para indicar las preferencias de un usuario. El uso de un navegador de esta manera es algo que permite el PECR enmendado, sin embargo, es nuestra opinión que actualmente la tecnología no está lo suficientemente avanzada para que esto sea factible (consulte la carta mencionada anteriormente y nuestra guía: Lea los consejos de la OIC). a las organizaciones sobre cómo prepararse para las nuevas reglas sobre cookies).

No hay una exención específica para herramientas de análisis como Google Analytics. La única excepción a la regla básica de cookies es la que se refiere a las cookies que son "estrictamente necesarias" para un servicio solicitado por el usuario. Esta excepción es limitada debido a la segunda parte ('para un servicio solicitado por el usuario'), y verá por nuestra guía que la excepción no se aplicaría a las cookies que recopilan información estadística sobre los usuarios del sitio web, o que tienen el objetivo de mejorar el aspecto general del sitio web.

Con respecto a 'otras cookies de la red de comercialización', se aplican las mismas reglas con respecto al consentimiento y la estricta necesidad que se establecen anteriormente.

Los PECR por sí mismos no establecen la definición de 'consentimiento' a los efectos de la regla de cookies. La definición de 'consentimiento' que por lo tanto confiamos en que se da en la Directiva 95/46 / CE - la Directiva de protección de datos (que se puede acceder en línea en: http://eur-lex.europa.eu/LexUriServ/LexUriServ. do? uri = CELEX: 31995L0046: en: HTML ). La Directiva define el consentimiento en el artículo 2 (h)). En este momento, no hemos emitido orientación adicional sobre lo que constituye el consentimiento en el contexto de la nueva regla sobre cookies, sobre la base de que esto no es diferente de la orientación existente sobre el consentimiento. Puede obtener más información sobre el consentimiento en nuestro sitio web en: http://www.ico.gov.uk/for_organisations/data_protection/the_guide/conditions_for_processing.aspx (desplácese hacia abajo hasta el título 'consentimiento').

Como sin duda ya ha visto, nuestra guía de cookies considera varias formas diferentes de obtener el consentimiento. A medida que se realicen más avances con respecto a esta nueva regla sobre cookies, podemos agregar más orientación a nuestra orientación existente.

Realmente no responde la pregunta de lo que puedo ver. No hay distinción entre las cookies establecidas explícitamente por el desarrollador y las establecidas por otros servicios en nombre del desarrollador en la respuesta.

Treffynnon
fuente
+1 para una respuesta de las propias ICO ... pero lamentablemente una que aclara muy poco.
Marcus Downing
1

La respuesta anterior habla en detalle sobre las cookies de terceros y es correcto que la ICO aún no haya brindado orientación sobre ellas. Sin embargo, este es un punto discutible ya que Google Analytics, al contrario de la publicación original, utiliza cookies de origen.

Stephen
fuente
¿Qué los hace cookies de origen? GA es un servicio de terceros, por lo que seguramente cualquier cookie establecida por él es una cookie de terceros.
Treffynnon 01 de
1
Tiene razón en que Google Analytics utiliza cookies de origen en el sentido técnico de que están configuradas contra su propio dominio, pero mi interpretación de la orientación de la ICO bajo 'cookies de terceros' es que significan que un tercero toma la decisión para configurarlos, y que no están configurados por código alojado en su dominio: "Algunos sitios web permiten a terceros establecer cookies en el dispositivo de un usuario".
Nick
0

Discusión interesante: parece que una simple cookie de seguimiento analítico cae bajo la ley.

Esta es una legislación muy mal pensada. Si bien un porcentaje muy pequeño de visitantes se molesta, generalmente son estas personas las que saben cómo usar la configuración de los cokkies del navegador. Todos los demás solo quieren que funcione un sitio web.

Me pregunto cuánto tiempo pasará antes de que haya un complemento en el navegador que haga clic automáticamente en el botón "aceptar" en todas las ventanas emergentes de advertencia de cookies.

Empalme
fuente