Cookies analíticas y de prueba A/B: ¿solo después del consentimiento en Europa?

Actualizado el 19 de febrero de 2020: una nueva actualización de la CNIL establece que las pruebas A/B y la medición de audiencia ahora están exentas de consentimiento .

Puede pensar que GDPR solo causó una interrupción cuando entró en vigencia en mayo de 2018.

La verdad es que Europa ha estado en crisis durante todo 2019 y no son buenas noticias.

Las autoridades de protección de datos de Francia y el Reino Unido (CNIL e ICO) actualizaron sus notas de orientación emitidas en julio de 2019, destacando que las cookies de análisis (incluidas las pruebas A/B y la personalización) necesitan un consentimiento explícito antes de colocarse en el dispositivo de un visitante. Se refieren específicamente al RGPD cuando mencionan el consentimiento (como las suscripciones). Debe basarse en la acción activa del usuario, no en la configuración predeterminada.

En febrero de 2020, la CNIL cambió su postura sobre este asunto (gracias a Paul Schmitt por señalarme esto). Aunque el ICO y la CNIL declararon anteriormente que las cookies para pruebas y análisis A/B necesitaban consentimiento, las últimas directrices (en francés) dicen lo contrario:

“Benefíciese de la exención de consentimiento, sujeto a un cierto número de condiciones, las cookies utilizadas para la medición de audiencia están exentas de consentimiento. Estas condiciones, tal como se especifica en las pautas sobre cookies y otros rastreadores, son (1) informar a los usuarios de su uso; (2) para darles el poder de oponerse a ella; (3) limitar el sistema únicamente a los siguientes propósitos: medición de audiencia y pruebas A/B”.

Esto significa que las herramientas de análisis configuradas solo para la recopilación de datos por parte de una organización (y no compartidas de ninguna manera con terceros) pueden instalarse sin consentimiento. Este cambio puede ser difícil para Google Analytics. Este acuerdo especial de Mozilla empujó a Google Analytics a no compartir sus datos con otros servicios. En este momento, no es seguro que esta configuración esté disponible para todos los usuarios. Aún así, si Europa está abriendo la puerta a la analítica sin consentimiento, asumo que Google tendrá que seguir el rumbo y proporcionar esta función a su base de clientes europeos.

Aunque ninguna otra autoridad de privacidad nacional europea vino con tales adiciones a las leyes de la Directiva de privacidad electrónica (que estaban vigentes antes de GDPR), esto podría haber creado un vacío legal entre julio de 2020 y el momento en que las nuevas Regulaciones de privacidad electrónica reemplazarán la Directiva actual.

¿Qué sucedió? ¿Qué cambió?

Para ver un resumen de los principales cambios en las leyes de privacidad en Europa, vea el video a continuación ( descargo de responsabilidad: en el video mencioné erróneamente que los cambios se implementaron en 2018, cuando en realidad se llevaron a cabo en 2019).

La Directiva europea de privacidad electrónica "ley de cookies" de 2011 y la versión del Reino Unido, las Regulaciones de privacidad y comunicaciones electrónicas (Directiva CE) de 2003 ("PECR"), han sido reinterpretadas recientemente por el ICO. Este cambio significa solicitar el "consentimiento" para colocar cualquier cookie "no esencial", ya sea que se recopilen o no datos personales.

En 2012, la ICO declaró que se permitía el consentimiento implícito (es decir, una opción de exclusión en lugar de una opción de inclusión):

El consentimiento implícito siempre ha sido una proposición razonable en el contexto de la ley de protección de datos y la regulación de la privacidad y sigue siéndolo en el contexto del almacenamiento de información o el acceso a la información mediante cookies y dispositivos similares.

El 18 de julio de 2019, la autoridad de privacidad francesa (CNIL) publicó sus nuevas directrices sobre el uso de cookies. Las reglas aplicables a las cookies HTTP también se aplican a muchas otras tecnologías de seguimiento ("rastreadores"), incluidos los objetos locales compartidos, las huellas dactilares de los equipos terminales, los identificadores de hardware y los identificadores generados por los sistemas operativos. Al igual que las pautas de ICO y GDPR, aquí tampoco hay una decisión por separado sobre el uso de cookies, pero la toma de huellas dactilares ahora se incluye en el consentimiento.

Pero luego, la CNIL hace que todo sea un poco confuso al actualizar su página de Github. Las últimas pautas de la CNIL establecen que la medición de la audiencia y las pruebas A/B están exentas de consentimiento y se pueden colocar de inmediato (opt-out).

El Consejo Europeo de Protección de Datos (EDPB) emitió una opinión escrita en marzo de 2019 que aborda la interacción entre la Directiva de privacidad electrónica y el RGPD, porque el RGPD no menciona las cookies y existe una brecha entre las dos leyes.

Algunos interpretaron la opinión del EDPB en el sentido de que todas las referencias al "consentimiento" en la Directiva de privacidad electrónica significan consentimiento tal como lo define el RGPD. Para las cookies, esto significa que no puede colocar cookies sin que las personas opten activamente por ello.

Entonces, ¿por qué el ICO y también la CNIL cambiaron sus directrices un año después de que entrara en vigor el RGPD? ¿Por qué la información sobre la "opción de exclusión" de las cookies cambió a consentimiento de aceptación en 13 meses?

Tenemos que agradecer a Planet49 por eso.

El 30 de noviembre de 2017, Planet49, un sitio web y una empresa alemanes, fue llevado ante los tribunales por múltiples prácticas cuestionables teniendo en cuenta el RGPD y la Directiva de privacidad electrónica.

Aunque tuvimos que esperar los resultados (que se adjuntan completos al final del artículo), el fallo marcó la pauta de que se necesitaban lineamientos más claros para cada país.

Debido a este fallo, la CNIL y el ICO comenzaron a actualizar sus pautas para reflejar cómo las leyes de privacidad actuales cubren el consentimiento, el intercambio de información y las cookies (de análisis y seguimiento). Tendremos que esperar y ver si la CNIL influye en otros países europeos para permitir la medición de audiencia y las cookies de prueba A/B.

La batalla de la exención de cookies 'estrictamente necesarias'

Cuando las empresas de pruebas A/B adaptamos las prácticas del RGPD, las cookies de análisis y pruebas A/B podrían presentarse a los clientes como esenciales para un negocio. En cambio, la atención se centró más en los rastreadores de anuncios.

Hoy en día, uno podría esconderse detrás de la exención de cookies estrictamente necesaria. Incluso escuché a alguien decir "pero nuestro equipo legal dijo que podemos colocar la cookie de Google Analytics sin consentimiento". Yo también estaba en ese campamento hasta que leí las nuevas pautas de la ICO. Su sitio ofrece algunos buenos ejemplos de qué cookies son esenciales para el funcionamiento del sitio web y la interacción adecuada del usuario. Con nuevas pautas que salen todo el tiempo, adherirse estrictamente a un lado o al otro puede ser confuso. Algunas empresas ahora están siguiendo las recomendaciones más recientes de la CNIL.

En los ejemplos a continuación, una cookie es "estrictamente necesaria" para proporcionar un servicio a los usuarios. En cada caso, se aplican exenciones y no se requiere consentimiento:

• Una cookie utilizada para recordar los productos que un usuario desea comprar cuando va a la caja o agrega productos a su carrito de compras,
• Cookies que son esenciales para cumplir con el principio de seguridad de GDPR para una actividad que el usuario ha solicitado , por ejemplo, en relación con los servicios bancarios en línea,
• Cookies que ayudan a garantizar que el contenido de una página se cargue de forma rápida y eficaz mediante la distribución de la carga de trabajo entre numerosos equipos (esto se suele denominar "equilibrio de carga" o "proxy inverso").

Es importante recordar que lo 'estrictamente necesario' debe valorarse desde el punto de vista del usuario o suscriptor, no del propio. Entonces, por ejemplo, si bien puede considerar que las cookies publicitarias son "estrictamente necesarias" porque generan ingresos que financian su servicio, no son "estrictamente necesarias" desde la perspectiva del usuario.

Las cookies que el ICO establece que necesitan el consentimiento del usuario (suscripción proactiva por acción del usuario) son, por ejemplo:

• Cookies utilizadas para análisis , por ejemplo, para contar el número de visitas únicas a un sitio web (que incluiría personalización y pruebas A/B),
• Cookies publicitarias propias y de terceros (incluidas las que se utilizan con fines operativos relacionados con la publicidad de terceros, como la detección de fraude de clics, investigación, mejora de productos, etc.),
• Cookies utilizadas para reconocer a un usuario cuando regresa a un sitio web para poder personalizar el saludo que recibe (la personalización se menciona específicamente en el ICO).

Sentencia “Planet49” del TJUE de 1 de octubre de 2019

En octubre de 2019, el Tribunal de Justicia de la Unión Europea (el 'TJUE') dictaminó en su sentencia "Planet49" que el consentimiento estándar del RGPD también se aplica a la configuración de cookies en virtud de la Directiva de privacidad electrónica , siguiendo la interpretación de que la CNIL y el ICO había implementado desde julio de 2019.

Por lo tanto, se requiere un consentimiento activo e informado para colocar cookies y tecnologías de creación de perfiles (como la toma de huellas dactilares), incluidas las cookies publicitarias (pero no las cookies estrictamente necesarias).

Las casillas premarcadas, como las que Planet49 intentó salirse con la suya, no son un medio válido para obtener el consentimiento.

Nosotros, como empresa, reconstruimos toda nuestra infraestructura para asegurarnos de cumplir con GDPR y no almacenar datos personales en cookies.

La sentencia del TJUE establece que no importa si los datos personales se recogen a través de las cookies. Se debe obtener el consentimiento incluso cuando la colocación de cookies no implique el procesamiento de datos personales. El controlador debe informar a los usuarios de la vida útil de cada cookie y del acceso de terceros a la información recopilada a través de dichas cookies, antes de obtener su consentimiento.

¿Alguna esperanza sin consentimiento para las cookies de análisis y pruebas A/B?

El ICO no distingue entre las cookies utilizadas para análisis y las utilizadas para otros fines, pero la CNIL sí lo hace.

Las cookies de análisis no se incluyen en la exención "estrictamente necesaria" para la ICO. Esto significa que las empresas deben informar a los usuarios sobre las cookies de análisis y obtener el consentimiento para su uso en el Reino Unido, mientras que en Francia, la CNIL permite el análisis (con limitaciones) y las pruebas A/B sin consentimiento.

El ICO (Reino Unido) describe las cookies utilizadas para publicidad en línea o análisis web como no esenciales, por lo que requieren consentimiento previo. Esto incluye cookies de origen y cookies de origen establecidas por proveedores externos (léase Convert o Google Analytics). Convert también cumple con las regulaciones de la CNIL y no comparte conjuntos de datos entre los clientes y las instalaciones son solo por cliente, por lo que se permiten las pruebas A/B y la personalización con retención para las pruebas.

La guía de ICO establece claramente:

El consentimiento es necesario para las cookies de análisis de origen, aunque no parezcan tan intrusivas como otras que pueden rastrear a un usuario en varios sitios o dispositivos.

El consentimiento es necesario para las cookies de análisis de origen, aunque no parezcan tan intrusivas como otras que pueden rastrear a un usuario en varios sitios o dispositivos.

Aunque el ICO no puede descartar la posibilidad de una acción formal en cualquier área, este puede no ser siempre el caso cuando la configuración de una cookie de análisis de origen da como resultado un bajo nivel de intrusión y bajo riesgo de daño a las personas. Sin embargo, también debe tener en cuenta que cuando utiliza cookies de análisis propias proporcionadas por un tercero, este no será necesariamente el caso.

Debe saber que hay un período de gracia para seguir las pautas PECR de ICO hasta julio de 2020.

Si la información recopilada sobre el uso del sitio web se transmite a un tercero, esto debe quedar claro para los usuarios. También debe quedar claro qué hace este tercero con la información .

Dependiendo de su servicio, también puede ofrecer a los usuarios la posibilidad de modificar la configuración de la cuenta para limitar el intercambio de información con terceros, incluidos los proveedores de análisis. (Un servicio de análisis también puede proporcionar esta funcionalidad, considere habilitarla, cuando corresponda). Los controles proporcionados al usuario deben mostrarse de manera destacada y no ocultarse.

En definitiva, proporcionar información clara a los usuarios sobre las cookies de análisis y solicitar su consentimiento o compartir la información (antiguos banners de cookies). Es probable que esto implique mostrar a los usuarios por qué estas cookies son útiles para ellos, pero debe asegurarse de no presionar al usuario para que elija una opción sobre otra.

En ciertos aspectos, dichos documentos de orientación van más allá que el borrador actual del nuevo Reglamento de privacidad electrónica (dd. 4 de octubre de 2019), que reemplazará la Directiva de privacidad electrónica existente (y las leyes francesas y PECR actuales). En el borrador actual, permite a los operadores colocar cookies propias o de terceros en los dispositivos de los usuarios sin consentimiento para "medir la audiencia" (es decir, para analizar el tráfico que pasa por sus sitios web para optimizar el servicio).

Si aún tienes dudas, aquí tienes un diagrama de la ICO que explica muy bien el uso de cookies.

Dámelo directamente

Un problema que podría surgir aquí es que las empresas que colocan cookies intentarán interpretar la ley a su manera. Pero a pesar de que hacemos análisis, pruebas A/B y software de personalización, se lo daremos directamente.

1. Las autoridades de privacidad del Reino Unido (ICO) y Francia (CNIL) cambiaron sus pautas en julio de 2019 y declararon que el software de análisis, pruebas A/B y personalización como Convert Experiences, Optimizely, AB Tasty, VWO, Adobe Target, PageSense, OmniConvert, Google Optimize y el resto, todos necesitan optar por usar el consentimiento para colocar cookies propias y de terceros para sus ciudadanos.
2. Francia (CNIL) cambió su página de Github con pautas que eximen las pruebas A/B y los análisis básicos del consentimiento de cookies.
3. Alemania y España están siguiendo al Reino Unido (ICO) o Francia (CNIL) y puede esperar actualizaciones sobre sus pautas en breve.
4. El Tribunal de Justicia de la Unión Europea (el 'TJUE') dictaminó en su sentencia "Planet49" de octubre de 2019 que el consentimiento estándar del RGPD también se aplica a la configuración de cookies en virtud de la Directiva de privacidad electrónica. El fallo reafirma que las directrices del Reino Unido y Francia deben ser adoptadas por todas las autoridades nacionales de privacidad.
5. El borrador de la nueva ley denominada Reglamento de privacidad electrónica que reemplazará a la Directiva de privacidad electrónica tiene una excepción de cookies para las pruebas A/B, la personalización y el análisis.
6. Es poco probable que la ICO o la CNIL persigan activamente a las empresas que utilizan análisis propios, pruebas A/B y personalización en este momento. Es probable que las Regulaciones de privacidad electrónica entren en vigencia (a mediados de) 2021 y hay un período de gracia hasta julio de 2020. El alcance del trabajo de estas organizaciones es muy amplio.
7. Saque sus propias conclusiones basándose en lo que consideramos una representación justa de lo que sucedió desde julio de 2019 en Europa. Hable con su asesor legal. No bases tus consejos en una herramienta que vende plataformas de gestión de consentimiento (quieren todo el consentimiento), pero tampoco en proveedores de herramientas de análisis, pruebas A/B y personalización… nosotros y ellos.

Espero que este artículo haya ayudado a arrojar algo de luz sobre los cambios que están ocurriendo ahora mismo en Europa.

Aunque duele nuestro modelo de negocio, siempre nos esforzamos por compartir la verdad.

Queremos que nuestras herramientas de optimización se utilicen para brindar la mejor experiencia de usuario, para que los usuarios obtengan la mejor página de productos, el menú menos confuso, el formulario que les ahorra tiempo para completarlo.

Vemos la optimización de sitios web como un arte noble, en el mejor interés de los visitantes y propietarios del sitio web (nuestros clientes que pagan) por igual. Queremos que nuestros clientes se tomen la privacidad en serio y construyan advertencias y privacidad en cada capa de nuestras herramientas. Solo almacenamos datos agregados, y no datos personales, en nuestras herramientas, por el bien del cumplimiento y la privacidad.

En realidad nos importa. Aunque podríamos estar en una situación difícil debido a la ICO actual y las pautas en constante cambio de la CNIL y las Regulaciones de privacidad electrónica, sabemos que con total transparencia, seremos la empresa elegida por las marcas que se preocupan por la privacidad y en las que los consumidores pueden confiar. .

Con este propósito, lanzamos una pequeña ventana emergente que muestra a los visitantes del sitio web de qué personalizaciones y pruebas A/B forman parte.

Es un código opcional que los clientes pueden agregar a su Javascript global dentro de la herramienta de personalización y prueba A/B de Convert Experiences (vea la imagen a continuación sobre cómo funciona).

Si desea hablar sobre privacidad, las soluciones CNAME en las que estamos trabajando o nuevos desarrollos legales, comuníquese conmigo en LinkedIn.