TJUE: la analítica basada en cookies recopila datos sensibles

Image of Carlo Cilento

Publicado el 9 ago 2023 por Carlo Cilento

Este artículo se ha traducido automáticamente. Cambia a la versión en inglés para ver el original.

Las grandes multas contra Meta han sido noticia últimamente, pero una decisión ha pasado desapercibida: la sentencia del Bundeskartellamt del Tribunal de Justicia de la UE.

Es una pena, porque la sentencia es dinamita. Echa por tierra la estrategia de cumplimiento de Meta, pone en tela de juicio todo el modelo de negocio de la empresa y podría crear un mundo de problemas para las grandes tecnológicas a largo plazo, al permitir a las autoridades de la competencia examinar los abusos del mercado.

Por último, pero no por ello menos importante, la sentencia aclara que las cookies analíticas pueden recopilar, y a menudo recopilan, datos sensibles(¿adivina quién lo ha estado diciendo todo este tiempo?).

Hay mucho que decir sobre esta decisión, así que dividiremos el análisis en dos partes. Este blog analiza lo que dice la sentencia sobre los datos sensibles y lo que significa en el panorama general. El segundo blog se centra en el resto de la decisión y explica cómo podría tener un gran impacto tanto en el modelo de negocio de Meta como en el de Big Tech en general.

Veamos en qué consiste la sentencia del Bundeskartellamt, qué significa y por qué podría cambiar las reglas del juego.

  1. ¿En qué consiste el caso?
  2. Qué dice la sentencia
  3. ¿Qué dice la sentencia sobre los datos sensibles?
  4. ¿Es sorprendente?
  5. ¿Qué significa esto para los análisis basados en cookies?
  6. Conclusiones

¿En qué consiste el caso?

El caso del Bundeskartellamt se sitúa entre la ley de protección de datos y la ley antimonopolio. En 2019, la autoridad alemana de competencia*(Bundeskartellamt*) determinó que Meta estaba abusando de su posición dominante en el mercado de las redes sociales. Para corregir este abuso, la autoridad ordenó a la compañía que cambiara sus Términos de Servicio y políticas de privacidad para los usuarios alemanes.

En pocas palabras, la autoridad sostuvo que Meta no podía procesar datos ajenos a Facebook (es decir, datos recogidos en otros sitios web a través de cookies de Facebook y otros rastreadores) sin el consentimiento del usuario. También cuestionó los fundamentos jurídicos de Meta para ofrecer publicidad personalizada a los usuarios de Facebook.

Meta hizo lo que siempre hacen las grandes tecnológicas: impugnar la decisión hasta el final. El tiro le salió por la culata y el 4 de julio el Tribunal de Justicia de la UE (TJUE) dictó una sentencia aún peor.

Qué dice la sentencia

Hay mucho que analizar en Bundeskartellamt, pero he aquí algunos de los puntos principales:

  • las cookies de análisis web pueden recoger datos sensibles
  • una autoridad de competencia puede tener en cuenta las infracciones del GDPR al evaluar el abuso de posición dominante
  • Facebook no puede ofrecer publicidad dirigida sin consentimiento

Para que quede claro: el TJUE no "decide" exactamente los casos, sino que aclara la interpretación de la ley. Por lo tanto, cuando decimos que "el Tribunal de Justicia dictaminó que Facebook no puede ofrecer publicidad dirigida sin consentimiento", lo que queremos decir es que el TJUE confirmó una interpretación del RGPD, en virtud de la cual Facebook, con toda probabilidad, trata datos sensibles. En última instancia, corresponde al Tribunal alemán decidir si esto es así en función de los hechos del caso. Pero cuando se trata del significado de la ley, el Tribunal está vinculado a la sentencia del TJUE.

Una vez aclarado esto, veamos qué dice el TJUE sobre los datos sensibles y por qué es tan importante.

¿Qué dice la sentencia sobre los datos sensibles?

Meta no sólo rastrea a los usuarios de Facebook en su propia red social. También utiliza cookies, API y otras herramientas para rastrear el comportamiento de navegación del usuario y el uso de aplicaciones fuera de la plataforma. En el caso Bunderskartellamt, el Tribunal consideró que estos rastreadores recopilan datos sensibles cuando alguien visita determinados sitios web o utiliza determinadas aplicaciones (por ejemplo, aplicaciones de citas gay).

Hay que señalar dos cosas muy importantes. En primer lugar, estos rastreadores funcionan igual que las cookies utilizadas en marketing y análisis web. Así que, por extensión, el fundamento de la sentencia se aplica a cualquier servicio de análisis basado en cookies (incluido el más importante, Google Analytics).

Segundo: el Tribunal especificó muy claramente que un conjunto de datos debe tratarse como datos sensibles cuando contiene cualquier dato sensible. Si tiene mil visitantes diarios y sólo uno de ellos busca en Google los efectos secundarios de su medicación, todos los datos deben tratarse como sensibles.

En resumen, las cookies de análisis web y de marketing recopilan datos sensibles, y lo hacen muy, muy a menudo.

No se trata de una hipótesis, sino de una consecuencia lógica del Bundeskartellamt. Es sólo cuestión de tiempo que un tribunal o una autoridad de protección de la intimidad se pronuncie en este sentido cuando se trate de Google Analytics u otros proveedores de análisis basados en cookies.

¿Es sorprendente?

En absoluto. Esta decisión es consecuencia de una sentencia anterior que ya analizamos en profundidad, e incluso entonces la vimos venir.

Estas son las cuestiones legales en juego. El GDPR trata algunas categorías especiales de datos como datos sensibles. Se trata de información como su orientación sexual, sus afiliaciones religiosas y políticas, datos sobre su salud, etcétera. Los datos sensibles dan muchos problemas si se utilizan mal o caen en manos equivocadas, por lo que los requisitos para el tratamiento de datos sensibles son más estrictos que los del tratamiento de datos personales comunes.

Solíamos pensar en estas categorías especiales de datos como un conjunto de casillas etiquetadas. Había una caja para la orientación sexual, otra para las creencias religiosas, otra para el origen étnico, etcétera. Todo lo que estaba dentro de las cajas eran datos sensibles, todo lo que estaba fuera de las cajas no lo era. Había algunos casos poco claros pero, en su mayor parte, eso era todo.

Pero aquí está el truco: ¿qué pasa cuando se pueden utilizar los datos de fuera de la caja para averiguar lo que hay dentro? ¿Los datos de fuera de la caja se convierten también en datos sensibles?

El año pasado el Tribunal respondió "sí" y abrió la caja de Pandora.

Bundeskartellamt es la consecuencia lógica de ese precedente. El RGPD no dice que el historial de navegación y el uso de aplicaciones sean datos sensibles, pero se pueden hacer muchas inferencias sobre alguien basándose en su historial de navegación, y parte de esas inferencias a menudo se refieren a datos sensibles. Por lo tanto, hay que tratar todos esos datos como datos sensibles.

¿Qué significa esto para los análisis basados en cookies?

En una palabra, significa problemas. Los datos sensibles están regulados de forma muy estricta. Si utiliza análisis basados en cookies, deberá cumplir todas las normas para el tratamiento de datos sensibles, lo cual no es fácil.

Por ejemplo, según el GDPR, los datos sensibles sólo pueden tratarse en casos específicos. En el caso de la analítica web, el único supuesto plausible es cuando se da el consentimiento explícito. ¿Cómo funcionaría esto en la práctica?

Pues bien, el sector de la publicidad en línea tiene dificultades incluso para recabar un consentimiento "básico", no explícito, con arreglo al RGPD. Innumerables sitios web obtienen el consentimiento a través de banners engañosos con cookies, a pesar de que esto no es conforme. No hay forma de que el entorno actual de la publicidad en línea pueda cumplir el requisito más estricto del consentimiento explícito.

El consentimiento explícito no es el único problema. El artículo 35 del RGPD exige una evaluación del impacto sobre la protección de datos (EIPD ) en determinados supuestos de tratamiento de riesgo, entre los que se incluye el tratamiento a gran escala de datos sensibles. No está claro al 100% lo que significa a gran escala, pero no es descabellado pensar que esta norma se aplicaría a muchos sitios web que utilizan análisis basados en cookies, y sin duda se aplicaría a los sitios web más grandes.

En la práctica, estos sitios web tendrían que explicar en su documentación por qué los riesgos para la privacidad de recopilar una tonelada de datos sensibles de los visitantes, y alimentar con ellos el basurero de la privacidad que es el ecosistema de la publicidad en línea, es una buena idea y no conlleva riesgos intolerables y enormemente desproporcionados para la privacidad. Además de evaluar los riesgos, también tienen que explicar cómo piensan mitigarlos.

Buena suerte con eso.

En general, la Bundeskartellamt se convertirá seguramente en un problema muy serio para los sitios web relacionados con temas delicados, y para las cookies de terceros en general.

Hablando de esto, la autoridad noruega de protección de datos tiene algunos consejos interesantes sobre la analítica web (tenga en cuenta que estamos utilizando una traducción automática para el texto noruego):

datatylsinet screenshot 2.JPG

Noruega no es un Estado miembro de la UE, pero es miembro del EEE. Por tanto, el GDPR se aplica íntegramente y la autoridad está pensando en la legislación europea, no en la noruega. Y probablemente no sea una coincidencia que este consejo se publicara poco después que el Bundeskartellamt.

Esto no significa que otras autoridades europeas estén necesariamente de acuerdo con esto, pero no somos los únicos que creemos que la analítica basada en cookies tiene un grave problema de cumplimiento con los datos sensibles.

Conclusiones

Bundeskartellamt no es precisamente una revelación. Los defensores de la privacidad llevan años concienciando sobre los riesgos de las tecnologías de rastreo. Mucho antes de la sentencia ya sabíamos que la publicidad basada en cookies es peligrosa y extremadamente invasiva de la privacidad individual.

Pero afirmar lo obvio es importante porque muchas organizaciones restan importancia sistemáticamente a los riesgos del rastreo.

Google y muchos otros proveedores necesitan lanzar el producto, por lo que hacen todo lo posible por esconder los problemas de privacidad bajo la alfombra. Juegan la carta retórica del control del usuario sobre los datos a sabiendas de que esta apariencia de control no es más que una farsa.

Los clientes de estas empresas se tragan la historia y no piensan demasiado en las implicaciones para la privacidad de las herramientas que utilizan. Al fin y al cabo, el análisis basado en cookies ya es una práctica habitual. Todo el mundo lleva años haciéndolo, así que no puede ser tan malo.

Pero sí que lo es, y el Bundeskartellamt demuestra sin lugar a dudas que las prácticas actuales de analítica web y marketing no cumplen el GDPR ni son sostenibles a largo plazo.

En definitiva, este sería un buen momento para abandonar las cookies por completo. La analítica web sin cookies es totalmente posible, y es exactamente lo que hacemos.

Hemos creado Simple Analytics para proporcionar a las empresas toda la información que necesitan, ¡sin recopilar datos personales en absoluto! La privacidad es la piedra angular de Simple Analytics. No utilizamos cookies, huellas digitales ni rastreamos a los usuarios de ninguna manera. Si le parece bien, ¡pruébenos!