Enlaces accesibilidad

Cómo afectará la nueva directiva europea sobre privacidad electrónica a las webs españolas

  • La normativa no estará lista hasta el próximo mes de mayo
  • Podría afectar a todas las webs que utilizan cookies
  • Hay quien teme que afecte a la competitividad de las webs europeas

Por

En los próximos meses está previsto que se implante de forma definitiva una nueva directiva del Parlamento Europeo relativa a la privacidad electrónica (lo que se ha dado en llamar 'ePrivacy').

Esta directiva es una mejora de la que ya existía en 2002, que se actualizó para 2009 con el propósito de que en los países miembros se pusiera en marcha en el plazo de 18 meses a partir de ese momento como muy tarde.

Ese plazo termina ahora y todas aquellas empresas que tengan una página web en Internet deberían seguir esta directiva: Directiva 2009/136/EC del Parlamento Europeo [PDF. 1,2 MB]

Puntos principales

Tres eran los puntos principales que se planteaban los parlamentarios europeos mejorar con esta directiva:

  • Regular mejor la notificación de incidentes en caso de robo o pérdida de datos personales almacenados por cualquier empresa
  • La lucha contra el spam o correo basura no deseado
  • La protección ante "software malicioso y cookies" de modo que los usuarios sean informados y acepten explícitamente que sus datos se procesen por esos medios en el ordenador, que es la que está resultando más polémica.

El problema es que técnicamente puede ser una auténtica pesadilla para todos los sitios web conseguir ese 'permiso explícito' del usuario para realizar algunas de las funciones básicas, dado que las cookies son casi tan antiguas como la misma World Wide Web y se usan profusamente.

Al visitar cada web se abriría una 'ventana de aviso' en la que el usuario acepta las condiciones

Si las cosas fueran como han dado a entender algunos expertos que han analizado la situación, prácticamente cada visita a una nueva web conllevaría la apertura de una 'ventana de aviso' donde el usuario tendría que leer un contrato y aceptar la forma en que sus datos de navegación pudieran ser utilizados, antes de ver las páginas.

El experto David Naylor hizo en una anotación al respecto una parodia de cómo podría llegar a ser la situación [Aviso: la página abre muchas ventanas de alerta; bastas pulsar OK o la tecla ESC para cancelarlas].

¿Qué son las cookies?

En realidad, mezclar como se ha hecho en algunos sitios el software espía con las cookies es cuando menos atrevido; suponer que todo el problema de la directiva está en las cookies, también.

Las cookies que se utilizan durante la navegación no suelen ser peligrosas ni invasivas en cuanto a la privacidad. Son pequeños fragmentos de información que el navegador web del usuario envía a los sitios que visita para que se recuerden ciertos datos sin tener que estar registrado con una cuenta: el idioma preferido, la última vez que visitó el sitio web, las cestas de la compra en sitios de comercio electrónico, llevar un control estadístico de las páginas que visita y otras funciones similares.

O al menos así era al principio de la Web. Con el paso de compañías como las dedicadas al márketing, la publicidad y el comercio electrónico intentan 'colocar y extraer' en las cookies de los usuarios toda la información posible.

Por ejemplo, es normal que al visualizar cualquier anuncio en una página web la empresa que gestiona la publicidad marque con una cookie al usuario o, mejor dicho, a la combinación de ordenador + navegador web + usuario, porque la información personal no persiste si se usa otro navegador o un ordenador diferente.

De este modo puede llevar el recuento de las veces que ha visto un anuncio, intentando de paso conocer su ubicación geográfica, la temática de lo que está leyendo y cuantos más datos mejor: la publicidad se vende más cara cuanto más segmentada esté.

En la práctica, cualquier usuario puede borrar las cookies cuando quiera

También es cierto que esos datos no siempre van necesariamente asociados con los datos personales de un individuo (tales como su nombre, sexo, etcétera) aunque si el usuario está navegando registrado en un sitio web donde ha facilitado otros podrían estarlo y la invasión de su privacidad podría ser considerada mayor.

¿Qué haría una empresa de seguros de vida si sabe que un visitante lleva meses buscando información sobre enfermedades poco habituales? ¿Mostrarle un anuncio o ignorarlo? En la práctica, cualquier usuario puede borrar todas las cookies de su navegador cuando quiera, pues están almacenadas en su propio disco duro y en un botón de las preferencias. Con un clic desaparecen.

Las 'super-cookies'

Pero en los últimos tiempos se ha extendido la práctica de las cookies eternas o 'super-cookies': versiones más avanzadas que se resisten a ser borradas mediante ingeniosos trucos técnicos, tales como esconderse si el usuario tiene instalado el plug-in Flash de Adobe o escaramuzas similares.

Esto hace que el comportamiento del navegador respecto a las cookies y los datos de navegación no sean realmente los que el usuario supone; probablemente la directiva europea intenta ir contra estas prácticas más que contra las cookies originales, relativamente inofensivas.

En la práctica no es demasiado complicado seguir a los usuarios y combinar en unas webs las cookies de navegación anónima con datos personales de otras webs de donde la gente guarda información personal.

Esto es porque las páginas pueden combinar información procedente de varias fuentes, por ejemplo el texto de un periódico, vídeos 'incrustados' de otros servicios, anuncios publicitarios y con ello cookies 'externas'.

Se cree que en un ordenador típico, configurado con las opciones que vienen por defecto, al cabo de un tiempo unas veinte empresas de todo el mundo dedicadas al márketing y la venta de información personal habrán dejado sus cookies o super-cookies en él, sin que el usuario pueda eliminar muchas de ellas.

Al cabo de un tiempo las grandes empresas dejan sus 'super-cookies' en un ordenador configurado por defecto

La mayor diferencia puede estar en los sitios por los que el usuario normalmente navega de forma 'anónima', sin haberse registrado. Al no haber aceptado explícitamente unas condiciones del servicio, sus obligaciones eran muy distintas a las de otros servicios, como redes sociales o aplicaciones web.

Hasta ahora, esos sitios no tenían ninguna obligación de incluir contratos o avisos al respecto, pero eso es precisamente lo que puede cambiar con la nueva directiva.

¿Qué habrán de hacer exactamente los webmasters?

El problema es que de momento no está del todo claro. La directiva debería entrar en funcionamiento en el mes de mayo como muy tarde, pero debido a que no se ha terminado de escribir todo el reglamento -y no parece que vaya a estar listo para entonces- y a que cada país puede crear su propia versión, todavía no se sabe con exactitud.

La mayor preocupación de los webmasters es que les obligue a solicitar ese 'permiso explícito' si utilizan cualquier tipo de cookies convencionales, algo que sería aparatoso y poco práctico.

Algunos creen incluso que además les situaría en desventaja competitiva respecto a otros países, como Estados Unidos, donde ese permiso no es obligatorio. Allí, por si acaso, se está trabajando en funciones del tipo 'No me hagas ningún seguimiento' para mejorar la sensación de privacidad de los usuarios.

Por otro lado, lo interesante y esperanzador para ellos es que en la directiva sólo hay una mención directa a las cookies, y se habla de ellas de forma positiva: "Las empresas y terceras partes pueden querer almacenar u obtener información en el ordenador del usuario con diversos propósitos, desde los legítimos (como ciertos tipos de cookies

La clave podría ser la mención a 'ciertos' tipos de cookies, no a todas en genérico. En este sentido, lo que dice la directiva parece excluir a los usos de cookies con propósitos legítimos, tales como proporcionar el servicio que el usuario ha solicitado (ej. un carrito de la compra). El problema, como siempre, está en las interpretaciones que puedan hacerse de esos 'propósitos legítimos' y 'servicios solicitados'.

Si una página de un periódico, por ejemplo, contiene anuncios, y el sistema de publicidad almacena y recoge datos de las cookies, ¿debe avisar al usuario?

Si en otra página hay un contador de visitas que guarda datos con objetivos puramente de agregación (sin personalizar) ¿se considerará una intrusión o algo que el usuario pueda considerar que viole su privacidad? Probablemente no, y navegar por la web sea como hasta ahora algo tranquilo y sin muchos sobresaltos con ventanas de alerta sobre la privacidad.

Pero habrá que esperar al desarrollo completo de la normativa y a ver si triunfa el sentido común sobre los tecnicismos para estar totalmente seguros.