El Grupo de trabajo del artículo 29* ha hecho público el dictamen WP171, en el que se aclara la aplicación de la normativa europea sobre protección de datos y privacidad en las telecomunicaciones, sobre la publicidad on-line basada en el comportamiento.
Dicho documento solo está de momento en inglés, alemán y francés.
La Agencia Española de Protección de Datos ha publicado una nota de prensa con un resumen de dicho dictamen.
La publicidad online basada en el comportamiento se basa en el seguimiento continuo de los individuos a través de su navegación en múltiples sitios web, por medio de cookies. Por lo general, las cookies de rastreo (tracking cookies) se utilizan para recopilar información sobre el comportamiento de navegación de los individuos y ofrecer a los usuarios anuncios dirigidos y personalizados.
El seguimiento de los individuos mientras navegan por Internet puede proporcionar una imagen muy detallada de la vida on line de una persona. En este sentido, el dictamen aprobado señala que, aunque la publicidad on-line basada comportamiento puede aportar ventajas al sector de Internet y a los propios los usuarios, su incidencia para la protección de datos personales y la privacidad es importante.
El dictamen establece una diferenciación entre los diferentes roles y responsabilidades de los agentes implicados en el behavioural advertising. Asimismo, analiza la redacción de la nueva Directiva sobre privacidad en telecomunicaciones (136/2009/CE), que ha venido a reforzarlas garantías para la privacidad de los usuarios de Internet.
El dictamen subraya que los proveedores de publicidad on-line basada en el comportamiento, cuando utilizan cookies, están sometidos a las nuevas normas europeas sobre la privacidad electrónica.
En concreto, se destaca que la nueva Directiva sobre privacidad en telecomunicaciones (136/2009/CE) aprobada en diciembre de 2009, y que modifica la Directiva 2002/58/CE (relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas), introduce la obligación de obtener el consentimiento informado de los usuarios antes de instalar dispositivos como cookies en los ordenadores de los usuarios.
Hasta la aprobación de dicha directiva, las normas europeas anteriores establecían únicamente la necesidad de aportar información clara y completa al usuario (sistema opt-out). En opinión de las Autoridades Europeas de Protección de Datos, este sistema no es suficiente, ya que no garantiza que el usuario pueda otorgar, mediante una acción afirmativa, su consentimiento.
Llamamiento a los navegadores y proveedores de publicidad on-line
En el dictamen aprobado, las Autoridades Europeas de Protección de Datos instan a crear mecanismos sencillos y eficaces para que los usuarios otorguen su consentimiento para este tipo de publicidad. Igualmente, instan a que se establezcan mecanismos para que los usuarios puedan retirar su consentimiento.
Actualmente, la configuración por defecto de tres de los cuatro navegadores más utilizados está predeterminada para aceptar todas las cookies. Para el grupo de autoridades europeas de protección de datos, no cambiar la configuración que viene por defecto no puede ser considerado, en la mayoría de los casos, como consentimiento válido del usuario. Además, las redes de publicidad (ad networks) entidades que realizan segmentación de audiencia mediante los perfiles de navegación de los usuarios para ofrecerles publicidad personalizada- y los editores (publishers) de páginas web que ofrezcan este tipo de publicidad deben proporcionar información sobre la finalidad del seguimiento de manera clara y comprensible, para que los usuarios puedan tomar decisiones informadas sobre si quieren que su comportamiento de navegación sea monitorizado.
Asimismo, en el dictamen se establece que, dada la mayor vulnerabilidad de los menores, los proveedores de este tipo de publicidad no deberían dirigirse a los mismos.
* Se creó en virtud del artículo 29 de la Directiva 95/46/CE. Se trata del órgano consultivo independiente de la UE sobre protección de los datos y la vida privada.