El CNIL publica una guía sobre la necesidad del consentimiento para el uso de herramientas de medición de audiencias
A principios de este mes de julio, la Comisión Nacional de Libertades Informáticas de Francia (CNIL) publicaba una guía para facilitar a los responsables del tratamiento la evaluación de la necesidad del consentimiento para el uso de herramientas de medición de audiencias. Con ello, el CNIL trata de guiar a los responsables a la hora de evaluar si es necesario el consentimiento para el uso de estas herramientas, en el sentido de la Directiva 2002/58/CE, sobre la privacidad y las comunicaciones electrónicas (Directiva ePrivacy).
Según el documento, para estar exentas de consentimiento, las finalidades a las que deben servir las herramientas son medición de rendimiento, detección de problemas de navegación, optimización técnica y de ergonomía, estimación de capacidad de servidores o análisis de contenidos consultados. Deben estar desactivadas por defecto aquellas herramientas con fines de marketing, perfilado de usuarios o análisis de campañas.
Para beneficiarse de la exención, la herramienta en cuestión debe cumplir con varios criterios:
· Minimización de datos: solo se deben recoger datos estrictamente necesarios (por ejemplo, versión del navegador, clics, tiempo en página).
· No deben conllevar el seguimiento intersitios: no están exentas de consentimiento aquellas cookies que permitan la creación y el uso de identificadores que permitan rastrear al usuario entre diferentes dominios.
· Anonimización efectiva: los datos deben ser agregados y anonimizados, sin posibilidad de identificar a usuarios individuales.
· Noreutilización de datos: el proveedor no debe usar los datos para sus propios fines ni combinarlos con datos de otros clientes.
· Subcontratación conforme al RGPD: debe existir un acuerdo de encargo del tratamiento que cumpla con el artículo 28 del reglamento.
· Derecho de oposición: debe ofrecerse un mecanismo claro y accesible para que los usuarios puedan oponerse al tratamiento, como un botón en la política de privacidad o en el banner.
El documento incluye un modelo que las empresas pueden completar para certificar que su solución cumple con los requisitos. Este modelo detalla los objetivos, criterios, medidas técnicas, si se cumplen o no, y las acciones necesarias para garantizar la conformidad.