Saltar al contenido

ePrivacy en WordPress: Cómo cumplir y todo lo que debes saber

ePrivacy en WordPress: Cómo cumplir y todo lo que debes saber
5 (100%) 1 vote[s]

Si pensabas que con cumplir la normativa RGPD y LOPD ya habías acabado, siento decirte que aún tienes que conocer y cumplir la nueva ley de ePrivacy.

Por suerte, con esta guía te ayudaré paso a paso para que conozcas y sepas todo lo que debes tener en cuenta para cumplir con la normativa ePrivacy en WordPress.

Las buenas noticias primero: Nada está tallado en piedra todavía.

Originalmente, debía ser aplicable junto con la RGPD el 25 de mayo de 2018. Debido a una verdadera batalla de grupos de presión entre los protectores de datos y los representantes de la industria, es poco probable que el nuevo reglamento se espere antes de 2020. Los grupos de trabajo encargados de esta tarea están divididos y muchas cuestiones de contenido siguen abiertas.

Sin embargo, se ha decidido que ella vendrá. Si eres un emprendedor en línea o un blogger, tarde o temprano tendrás que lidiar con ello.

Para que puedas prepararte para esto, he recopilado todo lo que necesitas saber en este artículo:

Explicaré en detalle qué tiene que ver el nuevo reglamento con esto, qué efectos podría tener en su blog o negocio en línea, y cuál es el estado actual (¡con una línea de tiempo clara!).

Actualizaré este artículo regularmente y agregaré nuevos desarrollos.

Atención: Esta entrada de blog no es un consejo legal! En el contexto de mi trabajo como blogger y proveedor de servicios de WordPress, he tratado intensamente la protección de datos, pero no soy un abogado ni un experto en protección de datos. Por lo tanto, no puedo asumir ninguna responsabilidad por la integridad, actualidad y corrección de los contenidos proporcionados por mí.

1.¿Qué es el Reglamento de Privacidad Electrónica?

El Reglamento sobre la privacidad electrónica es la llamada lex specialis de la RGPD. Como ley especial superior, especifica y complementa la RGPD.

Su objetivo es sustituir la Directiva sobre la privacidad y las comunicaciones electrónicas, que está en vigor desde 2002 y se actualizó por última vez en 2009 por la denominada Directiva sobre las cookies. A los ojos de la Comisión Europea, esto ya no tiene en cuenta el progreso técnico actual.

Es el siguiente paso en el camino hacia el mercado único digital en la UE y su objetivo es alinear y elevar el nivel de protección de datos de todos los Estados miembros de la UE.

El nuevo Reglamento se centra en la confidencialidad y la privacidad de las comunicaciones electrónicas (por ejemplo, correo electrónico, SMS, mensajería instantánea o llamadas de voz).

Estas son las piedras angulares más importantes:

1.1 Confidencialidad de las comunicaciones electrónicas

Los mensajes de texto, correos electrónicos o llamadas de voz no serán interceptados, interceptados, buscados o almacenados sin el consentimiento del usuario.

1.2 Opción de aceptar cookies y otros métodos de seguimiento

Las cookies y otros métodos de rastreo deben requerir el consentimiento del usuario, por lo que las opciones son obligatorias

Esto no se aplica a las cookies, que se utilizan para navegar sin problemas y no ponen en peligro la privacidad. También se pueden establecer cookies para determinar los números de acceso sin consentimiento.

1.3 Tratamiento de los contenidos y metadatos de las comunicaciones sujeto a autorización

Tanto el contenido de la comunicación como los metadatos (por ejemplo, quién fue llamado, la hora de la llamada, el lugar y la duración de la llamada, los sitios web visitados) están sujetos a la protección de la privacidad.

1.4 No se permite la comercialización directa sin consentimiento previo

Los usuarios deben haber dado su consentimiento antes de que se les dirijan «comunicaciones comerciales no solicitadas». Esto debería aplicarse independientemente de la tecnología utilizada (por ejemplo, para los sistemas de llamada automática, SMS o correo electrónico) y también a la publicidad telefónica. Para las llamadas de marketing, el número de teléfono también debe ser mostrado o debe ser identificable como tal por un código de área especial.

2. ¿Quién está cubierto por el Reglamento sobre la privacidad electrónica?

Mientras que la RGPD sólo se aplica a los datos personales, el Reglamento sobre la privacidad electrónica se aplica de forma exhaustiva a todos los usuarios finales. Tiene por objeto proteger por igual los datos de las personas físicas y jurídicas. No sólo se refiere a los datos de los individuos, sino también a los de las empresas o asociaciones

Se aplicará a todos los proveedores de comunicaciones electrónicas que se dirijan a los usuarios finales en la Unión Europea. Independientemente de dónde se encuentre el proveedor y de si el servicio es gratuito o de pago.

Eso significa en lenguaje sencillo:

No sólo los empresarios en línea, sino también los clubes, las instituciones públicas y los blogueros aficionados deben adherirse a ellos.

3. ¿Qué impacto tiene en los empresarios en línea y en los operadores de sitios web?

Los artículos 8, 9 y 10 y los considerandos 20, 21, 22, 23 y 24 sobre cookies y seguimiento (si quiere leerse a sí mismo en el Reglamento) son de especial interés para los empresarios en línea y los operadores de sitios web.

Aquí está mi resumen de los posibles efectos:

3.1 Cookies y otros métodos de seguimiento

Los obstáculos para los empresarios en línea y los operadores de sitios web serán aún mayores con el Reglamento sobre la privacidad electrónica

Con el nuevo reglamento ya no será posible justificar el uso de cookies y otros métodos de seguimiento con un interés legítimo de conformidad con el artículo 6, apartado 1, letra f), de la RGPD (aunque todavía no se ha aclarado plenamente hasta qué punto este interés legítimo se extiende realmente).

Para el almacenamiento de cookies y el uso de otros métodos de seguimiento (como la toma de huellas dactilares), el nuevo reglamento exige ahora el consentimiento (opt-in). Este consentimiento debe ser revocable en cualquier momento.

Usted tiene que contar con el hecho de que alrededor del 40-60% de los visitantes rechazarán su consentimiento. Aquí hay una pequeña prueba que hice con el plugin de WordPress Borlabs Cookie:

512 de 1055 (48,5%) de todos los encuestados han optado por no aceptar cookies. 90 (8,5%) que sólo se pueden configurar cookies de su propio dominio y 453 (42,9%) que se pueden configurar todas las cookies.

Es increíble, ¿verdad?

Sólo dos tipos de cookies están excluidos de este requisito de inclusión voluntaria:

  1. Cookies técnicamente necesarias (p. ej. cookies que guardan el contenido de una cesta de la compra para su posterior recuperación, que permiten rellenar formularios en línea en varias páginas o que guardan los datos de inicio de sesión de la sesión en curso)
  2. Cookies para la determinación del número de visitantes

Sin embargo, aún está abierta la cuestión de cómo se va a dar este consentimiento. En un principio se había previsto que los navegadores asumieran esta función y sirvieran de «controladores de acceso técnicos».

Sin embargo, podría ser que el artículo 10 asociado pudiera suprimirse por completo, tal como propuso la Presidencia austriaca en una versión revisada de junio de 2018. Esto significaría que cada operador de sitio web tendría que obtener su propio consentimiento, por ejemplo, con plug-ins de WordPress como Borlabs Cookie o Cookie Notice.

La condición de hanebüchene de que se recuerde a los usuarios a intervalos regulares de seis meses la posibilidad de revocación de su consentimiento, fue eliminada (¡gracias a Dios!) con el proyecto de ley actualizado de 20.10.2017.

3.2 Análisis del sitio web

Según el artículo 8 párrafo 1 lit. d (en el proyecto de ley actualizado de 20.10.2017) el almacenamiento de cookies está permitido y excluido de la obligación de consentimiento, a menos que…

es técnicamente necesario para medir el alcance del servicio de la sociedad de la información solicitado por el usuario, siempre que dicha medición sea realizada por el operador o en su nombre o por un organismo independiente de análisis web que actúe en interés público, incluso con fines científicos, siempre que los datos sean agregados y que el usuario tenga la posibilidad de oponerse a su uso, y siempre que los datos personales no se pongan a disposición de terceros y que los derechos fundamentales del usuario no se vean afectados por dicha medición, y cuando se lleve a cabo una medición pública por cuenta de un prestador de servicios de la sociedad de la información, los datos recogidos sólo podrán ser tratados por dicho prestador y deberán mantenerse separados de los datos recogidos en mediciones públicas realizadas por cuenta de otros prestadores.

Esto significa que también debería permitirse sin consentimiento medir el número de visitantes con Matomo u otro software instalado en su propio servidor (siempre que lo utilice con anonimato IP, contrato AV, exclusión voluntaria, etc.).

Sin embargo, creo que es poco probable que Google Analytics pueda seguir utilizándose sin la inclusión voluntaria. Porque Google probablemente no pertenezca a una «agencia independiente de análisis web, activa en el interés público -también con fines científicos-«.

Pero lo mismo se aplica aquí:

La última palabra aún no se ha dicho. Ya se han debatido las modificaciones de esta parte del Reglamento. En su versión revisada de junio de 2018, la Presidencia austriaca del Consejo añadió que deberían permitirse los proveedores de servicios de seguimiento de terceros:

sea necesaria para la medición de la audiencia, siempre que dicha medición sea efectuada por el proveedor del servicio de la sociedad de la información solicitado por el usuario final o por un tercero en nombre del proveedor del servicio de la sociedad de la información, siempre que se cumplan las condiciones establecidas en el artículo 28 del Reglamento (UE) 2016/679; o bien

3.3 Marketing de Afiliados

Incluso el marketing de afiliación se verá dificultado por el Reglamento de privacidad electrónica. El seguimiento de cookies es el método predominante para asignar una venta a un afiliado específico.

Si ahora tiene que pedir el consentimiento antes de colocar la cookie, se estima que entre el 40 y el 60% de todas las ventas no están asignadas, lo que llevará a una pérdida de entre el 40 y el 60% en las ventas.

Sin embargo, no creo que el marketing de afiliación desaparezca como modelo de negocio y siga siendo utilizable. Por un lado, existen varios otros métodos para asignar las ventas, tales como

  • Seguimiento de URLs sin cookies
  • Seguimiento de la sesión, que funciona con cookies, pero que puede caer dentro de las «cookies técnicamente necesarias
  • el uso de códigos de cupones personalizados
  • Creación de sus propias páginas de destino para afiliados

Por otro lado, la ePrivacy-VO puede cambiar mucho hasta el borrador final. Se puede suponer que la lista de fines de tratamiento permitidos sin consentimiento será más larga que más corta.

3.4 Prohibición de la comercialización directa sin consentimiento

A mi juicio, la prohibición total de la publicidad directa sin consentimiento no cambia mucho en Alemania:

El artículo 7 de la UWG ya estipula que la publicidad sólo está permitida si no constituye un acoso irrazonable.

Esto incluye no sólo la publicidad de llamadas a clientes privados potenciales sin su consentimiento expreso (las llamadas en frío), sino también (con algunas excepciones) la publicidad de llamadas a empresas. Además, el artículo 7 de la UWG también cubre la publicidad a través de la comunicación electrónica (correo electrónico, SMS, etc.).

4. Entrada en vigor y aplicabilidad del Reglamento sobre la privacidad electrónica

Para que se apruebe un proyecto de ley definitivo, es necesario que la Comisión Europea, el Parlamento Europeo y el Consejo de la Unión Europea se reúnan en las llamadas negociaciones a tres bandas.

Todavía no está claro cuándo sucederá esto. Esto se debe a que los avances en los grupos de trabajo asociados sobre el Reglamento sobre la privacidad electrónica han sido lentos.

La Presidencia austriaca del Consejo ralentizó considerablemente el proceso en el segundo semestre de 2018, al proponer importantes cambios y supresiones de artículos enteros en favor de la economía digital, lo que retrasó el proceso. Este enfoque fue precedido por numerosas reuniones con grupos de presión.

En su calendario legislativo de trenes, el Parlamento Europeo asume que el Consejo Europeo alcanzará un consenso en el primer semestre de 2019 bajo la Presidencia rumana. Sin embargo, según el calendario, las negociaciones a tres bandas no tendrán lugar hasta después de las elecciones europeas de finales de mayo de 2019.

Por consiguiente, es poco probable que el Reglamento sobre la privacidad electrónica entre en vigor antes de 2020.

Según su declaración del 10 de julio de 2018 (véase la respuesta de la Secretaria de Estado Claudia Dörr-Voß en la página 68), el Gobierno Federal alemán considera incluso necesario un período transitorio de dos años.

Más información sobre las estaciones individuales en la línea de tiempo:

5. cronología de la privacidad electrónica

2021-2022

¿Aplicabilidad del Reglamento sobre la privacidad electrónica?

2020

25. Mayo: De conformidad con el artículo 97 de la RGPD, la Comisión de la UE debe presentar un informe sobre la evaluación y revisión de la RGPD al Parlamento de la UE para esa fecha. Esto también podría repercutir en el proyecto de Reglamento sobre la privacidad en las comunicaciones electrónicas.

1. – 2º trimestre: Entrada en vigor del Reglamento sobre la privacidad electrónica?

2019

3. – 4º trimestre: negociaciones en el marco del diálogo a tres bandas entre el Consejo, el Parlamento y la Comisión sobre el proyecto final?

1. Julio: Finlandia asumirá la Presidencia de la UE.

23. – 26 de mayo: Elecciones europeas de 2019 en las que se elegirán 705 nuevos diputados al Parlamento Europeo (podría retrasar aún más el Reglamento sobre la privacidad electrónica).

1. Cuarto: ¿Negociaciones adicionales y consenso sobre el proyecto final en el Consejo Europeo?

1. Enero: Rumania asume la Presidencia del Consejo de la UE.

2018

23. Noviembre: La Presidencia austriaca publica un informe de situación sobre el estado de los debates. Este informe vuelve a expresar la preocupación de que el Reglamento sobre la privacidad electrónica, en su forma actual, frene la innovación.

10. Julio: Pocos días después del inicio de la Presidencia austriaca, la Presidencia presenta una versión revisada. Entre otras cosas, propone una supresión completa del artículo 10 para eximir a los fabricantes de navegadores de la obligación de facilitar la aplicación técnica del consentimiento en las cookies.

10. Julio: El Gobierno Federal comenta el actual borrador del Reglamento sobre la privacidad electrónica (véase la respuesta de la Secretaria de Estado Claudia Dörr-Voß en la página 68). En ella se aboga por un período transitorio de dos años a partir de la entrada en vigor hasta que sea aplicable el Reglamento sobre la privacidad y las comunicaciones electrónicas.

1. Julio: Austria asume la presidencia del Consejo de la UE.

12. Junio: Se publica una versión actualizada con cambios menores y posibles puntos de discusión en los artículos 6, 8 y 10.

18. Mayo: La Presidencia búlgara publica un nuevo informe de situación. Los artículos 8 y 10, entre otros, se ponen en tela de juicio.

22. Marzo: La Presidencia búlgara publica un texto actualizado. Entre otras cosas, sugiere que se informe a los usuarios finales sobre la configuración de privacidad cuando instalen el software por primera vez y que elijan una configuración.

11. Enero: La Presidencia búlgara publica un informe de situación con posibles cambios y cuestiones para «crear un mejor compromiso entre la protección de la privacidad y los incentivos a la innovación».

1. Enero: Bulgaria asume la Presidencia del Consejo de la UE.

2017

5. Diciembre: La Presidencia estonia presenta un proyecto actualizado.

17. Noviembre: La Presidencia estonia presenta un informe de situación sobre el Reglamento relativo a la privacidad electrónica. El informe concluye que «queda mucho trabajo por hacer en la mayoría de los puntos» y que «hay otros puntos que deben abordarse». Así que el final está lejos de estar a la vista.

20. Octubre: El Parlamento Europeo adopta por 318 votos a favor y 280 en contra un proyecto de ley revisado del Reglamento sobre la privacidad electrónica, que introduce la prohibición de los llamados muros de galletas (también conocidos como muros de seguimiento) entre otras enmiendas de fácil acceso para el consumidor.

1. Julio: Estonia asume la Presidencia del Consejo de la UE.

9. Junio: La LIBE (Comisión de Libertades Civiles, Justicia y Asuntos de Interior) publica las enmiendas al proyecto de Reglamento sobre la privacidad electrónica.

10. Enero: La Comisión Europea publica un primer borrador del Reglamento sobre privacidad electrónica. En un comunicado de prensa se exponen los motivos del proyecto de ley. Está previsto que el reglamento pueda aplicarse junto con la RGPD el 25 de mayo de 2018.

2016

04. Agosto: Se presentan los resultados de la consulta.

Abril – julio: Se lanza una consulta pública sobre la revisión de la Directiva sobre la privacidad y las comunicaciones electrónicas como parte de la estrategia del mercado único digital.

2009

25. Noviembre: La llamada Directiva sobre cookies complementa la actual Directiva sobre privacidad y comunicaciones electrónicas para adaptarla a la rápida evolución del mercado y la tecnología, y sólo permite el almacenamiento de cookies si el usuario ha dado su consentimiento (opt-in), pero no de forma explícita.

2002

12. Julio: Entra en vigor la Directiva sobre la privacidad y las comunicaciones electrónicas («Directiva sobre la privacidad y las comunicaciones electrónicas»; 002/58/CE).

6. ¿Qué sanciones pueden imponerse?

Las autoridades de supervisión competentes podrán, como en el caso de la RGPD, imponer multas de hasta 20 millones de euros o, en el caso de una empresa, de hasta el 4% de su volumen de negocios mundial anual total correspondiente al ejercicio financiero anterior, si esta cifra es superior, en caso de infracción de la RGPD.

7. ¿Quién es responsable de la aplicación del Reglamento sobre la privacidad electrónica?

La aplicación del Reglamento sobre la privacidad electrónica es responsabilidad de las mismas autoridades de protección de datos de los Estados miembros que ya son responsables de la aplicación del RGPD.

En Alemania son las respectivas autoridades estatales de protección de datos.

8. ¿Cuál es el status quo?

Hasta que sea aplicable el Reglamento sobre la privacidad y las comunicaciones electrónicas, se aplica la Directiva sobre la privacidad y las comunicaciones electrónicas de 2002, que se modificó en 2009 en el considerando 25 para incluir los requisitos relativos a las cookies (desde entonces también se le ha dado el nombre de Directiva sobre las cookies).

La Directiva sobre intimidad y comunicaciones electrónicas establece los requisitos mínimos de protección de datos en las comunicaciones electrónicas que debe aplicar la legislación.

Sin embargo, a diferencia del nuevo Reglamento sobre la privacidad electrónica, no es automáticamente válido en todos los Estados miembros de la UE. Cada Estado miembro debe transponerlo al Derecho nacional. En Alemania, la Directiva se transformó en Derecho alemán en 2004, para lo cual se modificó la Ley de Telecomunicaciones (TKG).

Sin embargo, la Directiva por la que se modifica la Directiva sobre la privacidad y las comunicaciones electrónicas («Directiva sobre cookies»), de 25 de noviembre de 2009, no se incorporó al Derecho alemán.

9. regulación de la privacidad electrónica vs. RGPD

¿Cuáles son exactamente las diferencias entre el Reglamento Básico de Protección de Datos (RGPD) y el nuevo Reglamento de Privacidad Electrónica?

Vamos a resumirlo de nuevo:

9.1 regulación básica vs. ley especial

Como puede verse en el nombre, la RGPD es un reglamento básico. Esto significa que representa el fundamento jurídico de la protección de datos y proporciona una orientación general en el tratamiento de los datos personales de los ciudadanos de la UE.

El Reglamento sobre la privacidad electrónica, por otra parte, es una ley especial (la llamada lex specialis) que sustituye a la ley general en un área determinada y tiene precedencia sobre ella. Esta área es la comunicación electrónica.

9.2 Ampliación del ámbito de aplicación

La RGPD se centra en la protección de los datos personales, es decir, los datos de las personas. Por otra parte, el Reglamento sobre la privacidad electrónica se aplica a todos los usuarios de terminales electrónicos.

Esto significa que incluye no sólo la comunicación entre empresas y particulares, sino también entre particulares y particulares, así como entre empresas y empresas.

El nuevo reglamento también ofrece a los ciudadanos y a las empresas una protección concreta y ciertos derechos que no están incluidos en la RGPD. Esto garantiza, por ejemplo, la confidencialidad e integridad de los dispositivos finales (PC, smartphone, tablet, etc.). Sólo se puede acceder a estos dispositivos terminales con el consentimiento previo del usuario.

9.3 Punto de efecto en el flujo de información

Aunque la RGPD es la base del Reglamento sobre la privacidad electrónica, el Reglamento sobre la privacidad electrónica tiene un precedente en el flujo de información.

Mientras que la RGPD otorga a los usuarios más derechos y control sobre sus datos personales, el Reglamento de privacidad electrónica protege los datos de los usuarios para que no se conviertan en personales en absoluto.

O como se define en el informe de situación del 08 de junio de 2018:

La Presidencia considera que la protección de los contenidos durante los intercambios de extremo a extremo entre usuarios finales debe garantizarse hasta el momento en que el destinatario obtenga el control del contenido. A partir de este momento entra en vigor la protección por la normativa básica de protección de datos.