Un Tribunal alemán declaró ilegal el proveedor de cookies “Cookiebot” y otras causas similares. ¿Por qué con Lawwwing esto no pasa?
¿Sabías que Cookiebot está pendiente de aprobación en Alemania?
Sí, lo has leído bien, uno de los países más estrictos en materia de privacidad está pendiente de una resolución judicial que dictará el futuro de la empresa Cookiebot en las webs del país.
En 2021 una universidad alemana, la RhineMain University (Wiesbaden), fue advertida por el uso de Cookiebot. La denuncia tenía origen en una falta de privacidad de los estudiantes, porque cada vez que un usuario utilizaba la web de su universidad, la dirección IP se transmitía automáticamente al servidor de Google, sin haber dado el consentimiento previo. Además de la dirección IP, también se enviaba información relativa a la web accedida, el sistema operativo utilizado, el navegador, la resolución de pantalla, etc.
¿Qué es Cookiebot?
Cookiebot es una empresa danesa que ofrece, al igual que Lawwwing, servicios como CMP (Consent Manager Platform). Uno de ellos es el diseño de un banner de cookies que ayuda al propietario de la web a cumplir con la normativa de protección de datos, a la vez que trackea la afluencia de usuarios.
A pesar de estar establecido en Dinamarca, Cookiebot (actualmente bajo el dominio de Usercentrics) redirige su información a una dirección IP que está registrada con una empresa estadounidense de la nube Akamai Technologies Inc., la cual tiene sus servidores en los Estados Unidos.
¿Por qué puede ser peligroso utilizar un CMP como Cookiebot?
Eso significa que toda la información que reciben y emiten esos servidores está regulada por la ley estadounidense (Cloud Act), mucho más laxa que la europea (permite a las autoridades estadounidenses acceder a los servidores, algo que no ocurre en Europa). Los datos almacenados en estos servidores no están seguros, lo que llevó al Tribunal Administrativo de Wiesbaden a declarar ilegal el proveedor de cookies “Coookiebot”.
Fue una sentencia innovadora en dos aspectos claves;
El primero, que a pesar de que una empresa de almacenaje de datos tenga una filial europea, sí tiene su sede central en Estados Unidos los datos que almacena se regirán por la Cloud Act estadounidense. Al no existir ningún acuerdo internacional entre la UE y EE. UU, esto provocaba una violación directa del artículo 48 y 49 del GDPR sobre la transferencia internacional de datos. Esto ahora ha cambiado, existe un acuerdo entre ambos países pero se requiere a las empresas que tengan una certificación válida. (¡sigue leyendo para saber más!)
En segundo lugar, que la definición de “responsable” del tratamiento quiere ser estricta. La universidad alemana no transferencia los datos directamente a EE.UU., pero al integrar el servicio de “Cookiebot” en su sitio web, la universidad estaba implícitamente llevando a cabo la recogida y transferencia de datos por parte del servicio. Recuerda, es responsable quién tiene la capacidad de decidir el propósito del procesamiento de los datos, ya que puede decidir si utiliza o no el servicio en base a los fines indicados por el mismo. El responsable del tratamiento, como el titular de una empresa que dispone de una tienda online, seguirá siendo el responsable del tratamiento aunque utilice el software de Lawwwing. Por eso es recomendable contratar servicios lo más cercanos posible y que os aseguren una buena explicación de sus servicios.
Finalmente, la decisión del VG Wiesbaden contra Cookiebot fue anulada por el tribunal de segunda instancia por razones procesales (el caso no se consideraba urgente, y el tribunal de primera instancia no tenía competencia para dictar una orden provisional de prohibición de uso). Ahora todo queda pendiente de que se plantee una demanda principal contra Cookiebot.
Podéis consultar la sentencia (en alemán) aquí
Otros casos
Lo más curioso de todo es que este no es el primer caso. En 2022 en Bélgica ya se había impuesto a una editorial líder del país una sanción de ni más ni menos que 50.0000 euros por no cumplir con la política de cookies. En esta ocasión la empresa afectada usaba Cookiebot i Onetrust, pero ambos proveedores realizaban listas de cookies que realmente no representaban las de la página web, por lo que se cambió a otro proveedor de cookies más seguro. Podéis leer la sentencia (en francés) aquí
En similares circunstancias, también en Bélgica, el 2019
ya se había impuesto a una página web de notícias jurídicas una multa de 15.000 euros por infringir el RGPD en cuanto a la gestión del consentimiento para cookies y por la falta de transparencia en su política de privacidad. El controlador belga (Autorité de Protection des Données) consideró que el uso del CMP Cookiebot no era suficiente, porque a pesar de tener la plataforma contratada, su gestión de cookies no era transparente.
Pero la seguridad de las transferencias de datos… ¿es que nada ha cambiado?
Si, ¡y mucho!
En 2020 hubo una sentencia que cambió el rumbo de la política europea en relación con las transferencias internacionales de datos (especialmente entre Europa y los Estados Unidos). Con la decisión Schrems II, el Tribunal de Justicia Europea decidió que el escudo de privacidad que marcaba la protección de datos hasta el momento, no servía para proteger a los ciudadanos frente a la vigilancia gubernamental de los EE.UU. Como resultado, las empresas ya no podían basarse en este mecanismo para transferencias de datos y se diseñaron nuevas alternativas. El resultado final, el Marco de Privacidad de Datos UE - EE.UU no fue adoptado hasta julio de 2023, es el marco que utilizamos actualmente para diferenciar las transferencias que se hacen legalmente de las que no.
Para más información, recomendamos que siempre miréis si vuestro proveedor es europeo, y en caso de que no lo sea, aseguraros que opera bajo un mecanismo de transferencia de datos aprobado por la UE. Los más importantes son:
- Mirar si el país está en la Lista de Adecuación de la Comisión Europea
- Certificación DPF (para empresas estadounidenses), podéis consultar el buscador de empresas certificadas aquí
- Buscar referencias a las Cláusulas Contractuales Tipo (SCCs)
- La UE mantiene una lista de empresas que tienen aprobadas Reglas Corporativas Vinculantes (BCR) - puedes buscarlas en las políticas de privacidad de la empresa
- Otras certificaciones específicas aprobadas por el RGPD
La conclusión que os queremos hacer llegar es que no vale con contratar un CMP y olvidarse de todo. Es importante reflexionar sobre qué CMP contratáis; qué equipo hay detrás, dónde tienen sus servidores, el porqué de su servicio,...
En Lawwwing encontrarás un equipo cercano, que cuida a cada cliente en todos sus servicios y que te garantiza un servicio seguro (¿sabías que nuestros servidores están en suelo europeo?).
Si quieres conocernos más, puedes ver la opinión de algunos de nuestros clientes en nuestras success stories en Youtube
Gracias por confiar en todos nosotros, ¡hasta pronto!