Google Analytics e a diretiva de cookies da UE. Quem cairá na lei? Google ou o desenvolvedor?

16

Portanto, o Google usa cookies ao executar suas tarefas habituais de rastrear usuários em um site. É isso mesmo; O Google está configurando os cookies e não o seu site como tal. Isso ocorre pelo fato de o JS ser todo hospedado pelo Google e meramente incluído na sua página da web.

A Wolf Software, que lançou um plugin jQuery para solicitar o consentimento dos usuários antes de permitir o GA, parece sugerir que esse seria o problema dos desenvolvedores em sua página da Web associada.

Isso é possivelmente o problema do Google quando a OIC chega à porta ou o desenvolvedor não deve ter implementado o GA se estiver ciente do possível problema de cookie?

Treffynnon
fonte

Respostas:

10

A resposta curta é que ninguém sabe ainda.

A resposta longa é que os cookies de terceiros são uma área nebulosa; não está claro na diretiva (PDF) quem seria processado por não obter consentimento ao armazenar cookies de terceiros.

A interpretação e os conselhos atuais da OIC, publicados em "Alterações às regras de uso de cookies ..." , admitem que eles não sabem como a diretiva se aplica aos cookies de terceiros:

"O processo de obtenção de consentimento para esses cookies [de terceiros] é mais complexo e nossa visão é que todos têm um papel a desempenhar para garantir que o usuário esteja ciente do que está sendo coletado e por quem".

Ênfase minha. Eles não dizem quem é responsável, apenas que alguém é. Além disso, eles dizem que estão tentando esclarecer essas regras:

"[Cookies de terceiros] pode ser a área mais desafiadora para alcançar a conformidade com as novas regras e estamos trabalhando com a indústria e outras autoridades européias de proteção de dados para ajudar a lidar com complexidades e encontrar as respostas certas."

Eles esperam que esses serviços de terceiros

... sem dúvida, se adaptará para garantir a conformidade com a nova regra ...

Uma dica possível da postura da OIC é que eles listem os cookies do Google Analytics como não essenciais em sua própria política de privacidade e usem o Google Analytics somente se você consentir em armazenar cookies. Eu acho que isso define o tom para qualquer esclarecimento que eles possam oferecer. Eles podem muito bem dizer: 'você também precisa pedir permissão para cookies de terceiros, porque é sua escolha se você usa esses serviços ou não'. Mas ainda não sabemos ao certo.

Essa incerteza é uma das razões para o prazo de conformidade ser prorrogado até 25 de maio de 2012. A melhor coisa que os webmasters britânicos preocupados com o impacto podem fazer é ficar de olho no site da OIC e aguardar esclarecimentos. Enquanto isso, vale a pena seguir o restante dos conselhos descritos em suas diretrizes para os cookies que você mesmo emitir.

usuario
fonte
Excluí minha resposta porque não tinha visto esse pedaço em cookies de terceiros. Qual é a sua fonte para o prazo ser estendido?
Paulmorriss 27/05
2
Está enterrado no PDF atualizado de aplicação da OIC : "[O Comissário] permitirá ... um período de 12 meses para as organizações desenvolverem maneiras de atender aos requisitos relacionados a cookies [que terminarão] em maio de 2012". Em suma, tornou-se lei do Reino Unido em 25 de maio de 2011, mas não a aplicará até 25 de maio de 2012.
Nick
1
Esta é uma boa resposta, mas é fundamental observar que essa resposta é específica do Reino Unido, enquanto a própria diretiva é de toda a UE. Ou seja, todos os países estão realizando fiscalizações à sua maneira. O fato de o Reino Unido estar adiando a execução em um ano não significa que outros países estejam fazendo a mesma coisa.
Yahel 27/05
1
Bom ponto. Que eu saiba, a OIC é o primeiro órgão de proteção de dados da UE a emitir diretrizes sobre a diretiva, mas se as pessoas quiserem fornecer links para conselhos de outros estados membros em relação a prazos e cookies de terceiros, atualizarei a resposta de acordo. .
Nick
Atualização para a situação no Reino Unido: ico.gov.uk/news/blog/2011/…
paulmorriss
4

Antes de escrever o plug-in para a Wolf Software, entramos em contato com a OIC para verificar a posição e, a partir dessa consulta, entendemos que o GA deve ser considerado não essencial e, como tal, é necessário.

A questão de ser 1º ou 3º é discutível, pois é apenas a parte "não essencial" que o torna coberto pela lei.

Não estamos sugerindo que o problema seja os webmasters, como declarado na parte superior, o que fizemos foi fornecer aos webmasters uma solução simples para esse problema, caso desejem usá-lo. Somos levados a acreditar que é o proprietário do site quem é o responsável.

Também verificamos com a OIC que o plug-in que lançamos foi de propósito e atendemos aos novos requisitos de legislação em relação ao GA.

É muito um caso de, se você quiser, está lá para usar, não implicamos nada sobre a lei, apenas oferecemos uma solução gratuita e simples para um aspecto dela.

ADICIONADO:

Com relação à OIC, enviamos a eles um link para a demonstração e simplesmente perguntamos se eles achavam que era adequado para o propósito, fomos informados de que, aos olhos da OIC, o plug-in era "adequado ao objetivo e compatível com a nova lei"

Lobo
fonte
3
+1 Você é capaz de compartilhar sua pergunta real com eles e suas respostas por escrito? Um registro de ambos seria uma grande contribuição para sua resposta.
Nick
obrigado por sua contribuição a esta questão e por disponibilizar algo disponível gratuitamente para ajudar os webmasters e estimular o debate. Como @Nick, eu acho que seria ótimo se você pudesse compartilhar parte da comunicação real que teve com a OIC. Enviei um email para a OIC com uma URL para esta pergunta e solicitei sua opinião também.
Treffynnon
3

Agora recebi uma resposta da OIC, embora isso não seja mais totalmente relevante, uma vez que a introdução foi adiada e a lei e a orientação podem ser refinadas nesse meio tempo.

Agradecemos sua correspondência em relação aos novos Regulamentos de Privacidade e Comunicações Eletrônicas.

Gostaria de começar dizendo que não postarei minha resposta no site que você sugere; no entanto, sinta-se livre para divulgar as informações aqui contidas. Afirmo também que a primeira retórica de suas duas perguntas não é a que estou em posição de responder.

Seguindo em frente, você pergunta:

'Google Analytics e a diretiva de cookies da UE. Quem cairá na lei? Google ou o desenvolvedor?

Como introdução, a nova regra relacionada aos cookies é a implementação no Reino Unido de emendas à legislação da UE existente. Antes da aprovação da legislação a nível da UE, realizou-se uma consulta em toda a Europa. Após a aprovação da Diretiva de Cookies da UE (Diretiva 2009/136 / EC), todos os estados membros da UE são legalmente obrigados a aprovar legislação nacional que ecoa as regras estabelecidas nessa diretiva. No Reino Unido, as emendas foram preparadas pelo Departamento de Cultura, Mídia e Esporte (DCMS) e a OIC é a entidade encarregada de supervisionar as novas regras - que foram aprovadas como emendas aos Regulamentos de Privacidade e Comunicações Eletrônicas 2003 ( PECR).

Se você ainda não o leu, poderá encontrar a carta de Ed Vaisey em nome do DCMS, pois o Ministro da Cultura, Comunicações e Indústrias Criativas é útil para explicar a abordagem adotada pelo DCMS na implementação desta Diretiva da UE. A carta aberta está disponível em: http://www.culture.gov.uk/images/publications/cookies_open_letter.pdf .

Em particular, esta carta aborda melhor seus comentários sobre o uso de um navegador da web para indicar as preferências de um usuário. Usar um navegador dessa maneira é algo que o PECR alterado permite, no entanto, é nossa opinião que atualmente a tecnologia não é avançada o suficiente para que isso seja praticável (consulte a carta mencionada acima e nossas orientações: Leia o conselho da OIC às organizações sobre como se preparar para as novas regras sobre cookies).

Não há isenção específica para ferramentas de análise como o Google Analytics. A única exceção à regra básica de cookies é aquela que se refere a cookies que são "estritamente necessários" para um serviço solicitado pelo usuário. Essa exceção é restrita devido à segunda parte ('para um serviço solicitado pelo usuário') - e você verá em nossas orientações que a exceção não se aplicaria a cookies que coletam informações estatísticas sobre os usuários do site ou que possuem o objetivo de melhorar a aparência geral do site.

Em relação a 'outros cookies da rede de marketing' - as mesmas regras sobre consentimento e necessidade estrita são aplicadas conforme estabelecido acima.

O próprio PECR não define a definição de 'consentimento' para os fins da regra de cookies. A definição de 'consentimento' em que confiamos é a que consta da Diretiva 95/46 / CE - a Diretiva Proteção de Dados (que você pode acessar on-line em: http://eur-lex.europa.eu/LexUriServ/LexUriServ. do? uri = CELEX: 31995L0046: en: HTML ). A diretiva define o consentimento no artigo 2 (h)). No momento, não emitimos orientações adicionais sobre o que constitui consentimento no contexto da nova regra sobre cookies - com base em que isso não difere da orientação existente sobre consentimento. Você pode descobrir mais sobre o consentimento em nosso site em: http://www.ico.gov.uk/for_organisations/data_protection/the_guide/conditions_for_processing.aspx (role para baixo até o título 'consentimento').

Como você já deve ter visto, nossa orientação sobre cookies considera várias maneiras diferentes de obter consentimento. À medida que novos avanços são feitos em relação a essa nova regra sobre cookies, podemos adicionar mais orientações à nossa orientação existente.

Realmente não responde à pergunta do que posso ver. Não há distinção entre cookies definidos explicitamente pelo desenvolvedor e aqueles definidos por outros serviços em nome do desenvolvedor na resposta.

Treffynnon
fonte
+1 para uma resposta da própria OIC ... mas, infelizmente, uma que esclarece muito pouco.
Marcus Downing
1

A resposta acima fala detalhadamente sobre cookies de terceiros e é certo que a OIC ainda não forneceu orientações sobre eles. Este é um ponto discutível, embora o Google Analytics, ao contrário da postagem original, use cookies primários.

Stephen
fonte
O que os torna cookies primários? O GA é um serviço de terceiros, portanto, certamente, qualquer cookie definido por ele é um cookie de terceiros.
Treffynnon
1
Você está certo de que o Google Analytics usa cookies de terceiros no sentido técnico em que eles são configurados em seu próprio domínio, mas minha interpretação das orientações da OIC em 'cookies de terceiros' é que eles significam que um terceiro toma a decisão para defini-los e que eles não sejam definidos pelo código hospedado no seu domínio: "Alguns sites permitem que terceiros definam cookies no dispositivo do usuário".
Nick
0

Discussão interessante - parece que um simples cookie de rastreamento analítico se enquadra na lei.

Esta é uma legislação muito mal pensada. Embora uma porcentagem muito pequena de visitantes seja incomodada, geralmente são essas pessoas que sabem como usar as configurações de cokkies do navegador. Todo mundo só quer um site para trabalhar.

Gostaria de saber quanto tempo levará até que haja um plug-in de navegador que clique automaticamente no botão 'aceitar' em todos os pop-ups de aviso de cookies?

Emenda
fonte