Entrevista con un experto sobre la Normativa de Cookies: "Bienintencionada, pero mal ejecutada"

PERO aún teníamos algunas preguntas pendientes. ¿Estamos siendo demasiado críticos porque naturalmente abordamos el tema desde un ángulo diferente? Si dependiera de nosotros, no optaríamos por una solución exclusivamente alemana; en su lugar, apostaríamos por soluciones donde el problema no llegue a existir. En nuestro contexto, eso significa hosting de vídeo completamente sin necesidad de consentimiento ni cookies, diseñado para Europa.

Para aclarar nuestras dudas, consultamos al Dr. jur. Thomas Schwenke, LL.M. (UoA). Thomas es un abogado alemán y experto en protección de datos que asesora a empresas en marketing y uso de IA. También presenta un podcast en Rechtsbelehrung.com y ofrece una popular herramienta para crear declaraciones de protección de datos y directrices de IA en Datenschutz-Generator.de.

Adelanto: Lamentablemente, nuestra opinión sobre la gestión central del consentimiento no ha mejorado, como concluye Thomas:

"[...] La Normativa de Cookies es un buen ejemplo del enfoque 'bienintencionado, pero mal ejecutado'. Parece que los autores han pasado por alto que las reglas para el consentimiento son establecidas por la UE. Por lo tanto, una simplificación eficiente del consentimiento de cookies solo puede lograrse a nivel de la UE.[...]" (Nota: esta cita es una traducción)

Nuestras principales consultas se centraron en:

• el alcance de la aplicación de gestión del consentimiento,
• su aplicabilidad internacional, dado que pocos sitios web operan exclusivamente dentro de Alemania,
• y cuestiones de responsabilidad en la práctica, especialmente porque un número significativo de sitios web siguen sin cumplir el RGPD a día de hoy.

Hemos abordado cada una de estas cuestiones con ejemplos prácticos. Puedes encontrar las respuestas a estas preguntas en nuestra entrevista con Thomas.

Entrevista: Con Thomas Schwenke sobre la gestión central del consentimiento

Hola Thomas, vayamos directamente a la primera pregunta.

Tema #1: Alcance limitado de la gestión del consentimiento

Los críticos argumentan que la gestión central del consentimiento solo cubre el ámbito del § 25 TDDSG (ley alemana de protección de datos en telecomunicaciones). Muchos consentimientos, como los requeridos para el tratamiento de datos personales bajo el RGPD, no están contemplados.

Ejemplo:

• Utilizo Google Analytics en mi sitio web. El § 25 TDDSG (aspecto tecnológico) regula que puedo almacenar una cookie de seguimiento en el dispositivo del usuario, para lo cual necesito consentimiento.
• Sin embargo, lo que el § 25 TDDSG no regula es el tratamiento de los datos recopilados a través de esta cookie. Esto incluye la dirección IP y el comportamiento de uso. Estos datos solo pueden ser tratados según los requisitos del RGPD (aspecto de datos), lo cual requiere un consentimiento separado.

Para las empresas, ¿significa esto que deben seguir operando sistemas paralelos? ¿Cómo pueden combinarse de forma razonable en la práctica las regulaciones del TDDSG y el RGPD?

"Es posible obtener múltiples consentimientos con un solo clic, por ejemplo, al pulsar el botón 'Aceptar todas las cookies'. Esto ya ocurre hoy en todos los cookie banners. Esto significa que un sistema que recoge consentimientos centrales bajo el TDDSG también puede recoger consentimientos bajo el RGPD. Sin embargo, es importante que los usuarios estén informados sobre el alcance de su consentimiento y que este también sirva para otros operadores de sitios web.

Otra cuestión, sin embargo, es si resulta admisible declarar un consentimiento que afecte a todos los operadores de sitios web, como pretende la Normativa de Gestión del Consentimiento (EinwV). Esto roza el consentimiento general, que a su vez no está permitido por el RGPD. Esto significa que no es seguro que la EinwV sea legalmente admisible según el derecho de la UE." (Nota: esta cita es una traducción)

Tema #2: Cuestiones de responsabilidad ante errores en el servicio central

Según estudios, el 54% de los sitios web (fuente) no están implementados conforme al RGPD. Cuando un operador de sitio web utiliza el servicio central alemán de consentimiento y este falla en otro sitio web, no queda claro quién es responsable.

Ejemplo:

1. Otro sitio web almacena un consentimiento de usuario incorrecto porque un servicio está categorizado erróneamente como "esencial", y yo como operador del sitio web no puedo rastrear ni ver esto.

¿Quién es legalmente responsable en estos casos? ¿Cómo pueden protegerse las empresas al utilizar servicios centrales de consentimiento?

"La responsabilidad en materia de protección de datos por los servicios integrados en el sitio web recae en el proveedor del sitio web. La regulación alemana no prevé ningún alivio que exima al operador del sitio web de su responsabilidad. Esto significa que si opera un sistema externo, el proveedor del sitio web solo puede reclamar garantías al proveedor del servicio. Dado que la "EinwV" estipula que los proveedores de 'servicios reconocidos de gestión del consentimiento' no deben tener un interés económico en los datos de los usuarios, necesitarían desarrollar un modelo de negocio diferente para ofrecer dicha garantía.

Alternativamente, habría que excluir la responsabilidad, lo cual es jurídicamente problemático y es poco probable que refuerce la confianza de los operadores de sitios web en dicho sistema." (Nota: esta cita es una traducción)

Tema #3: Complejidad del cumplimiento del RGPD

El RGPD exige que los consentimientos sean "voluntarios, específicos e informados". Garantizar esto también es crucial al utilizar un servicio central. En la práctica, existe una gran variedad de banners de consentimiento, algunos de los cuales son legalmente controvertidos. A día de hoy, no existe una solución universal.

Ejemplo: Supongamos que el consentimiento se obtiene a través de un banner "Pay-or-Okay" legalmente controvertido, como emplean muchos medios de comunicación, lo que da lugar a tasas de consentimiento casi universales. Yo utilizo el mismo servicio en mi sitio web B2B...

¿Cuáles consideras que son los mayores desafíos para cerrar la brecha entre los requisitos legales y la implementación práctica? ¿Deberían seguir existiendo diferentes versiones de estos banners de consentimiento?

"El principal desafío reside en la adopción del consentimiento centralizado. Dado que se trata de una ley local alemana, es poco probable que los proveedores de navegadores la integren voluntariamente. Además, se aplican las dificultades para proveedores comerciales mencionadas en la Pregunta 2. Una complicación adicional es que el consentimiento debe ser aplicable a cada servicio específico, su versión correcta y la configuración elegida. Esta complejidad hace que sea arriesgado para los operadores de sitios web, quienes podrían ser considerados responsables por cualquier consentimiento inválido.

Sin embargo, respecto al ejemplo mencionado, un banner 'Consent-or-Pay' no es inherentemente ilegal. Su legalidad depende significativamente de cómo esté diseñado."

Tema #4: Desafíos internacionales

La regulación solo es aplicable en Alemania, mientras que otros países de la UE pueden tener sus propias normas, a menudo más estrictas, para los cookie banners. Esto plantea desafíos para las empresas que operan internacionalmente e intentan crear soluciones uniformes.

Ejemplo:

• Tengo un sitio web en alemán y francés. En Francia no existe un sistema de recopilación centralizado.

¿Cómo pueden las empresas gestionar estas diferencias regionales?

"Las empresas tienen la opción de adherirse a las regulaciones más estrictas dentro de la UE o desarrollar soluciones de cookies adaptadas para diferentes países. La mayoría de las empresas optan por el primer enfoque. Aunque el consentimiento para el uso de cookies está regulado de forma uniforme en toda la UE, hay poco margen para que los Estados miembros se desvíen en cuanto a facilitar o dificultar el proceso de obtención de este consentimiento. La EinwV alemana sirve como ejemplo paradigmático de las dificultades de desviarse de las normas de la UE." (Nota: esta cita es una traducción)

Tema #4: ¿Cuán realista es la regulación?

Basándonos en tus respuestas anteriores y en las críticas generales, tu conclusión no parece muy positiva. Lo que nos lleva a la pregunta final:

¿Es realista el objetivo de la regulación, o genera más complejidad para empresas y usuarios?

"La Normativa de Cookies es un buen ejemplo del enfoque 'bienintencionado, pero mal ejecutado'. Parece que los autores han pasado por alto que las reglas para el consentimiento son establecidas por la UE. Por lo tanto, una simplificación eficiente del consentimiento de cookies solo puede lograrse a nivel de la UE.

La Normativa de Cookies alemana podría, en el mejor de los casos, servir como propuesta de cómo podría ser dicha simplificación a nivel de la UE. En la práctica, la implementación de la Normativa de Cookies alemana solo proporcionaría alivio a aquellos usuarios que generalmente están dispuestos a dar su consentimiento de forma generosa. Los usuarios que rechacen podrían, por el contrario, enfrentarse a una confusión aún mayor debido a los diferentes procedimientos de cookies. Por frustración, esto podría llevarles a terminar simplemente haciendo clic en 'Aceptar todo'.

Existe un riesgo significativo de que la EinwV, desde el punto de vista de la protección del consumidor, acabe causando más perjuicio que beneficio." (Nota: esta cita es una traducción)

¡Gracias por tus respuestas a nuestras preguntas, Thomas!

Si te interesa, echa un vistazo a nuestra presentación general de la EinwV. Más información sobre el Dr. jur. Thomas Schwenke aquí: