El panorama de privadesa del Regne Unit després del Brexit

Quan el Regne Unit va sortir de la Unió Europea, no va abandonar la protecció de dades. El Regne Unit va incorporar el GDPR de la UE al dret intern com a UK GDPR, que conviu amb la Data Protection Act 2018. Pel que fa específicament a les cookies, el reglament Privacy and Electronic Communications Regulations (PECR) — la implementació britànica de la Directiva ePrivacy — continua sent aplicable. El resultat és un marc de privadesa que reflecteix de prop el de la UE però que és aplicat de manera independent per la Information Commissioner's Office (ICO) del Regne Unit.

Per als responsables de llocs web, això significa que oferir servei a visitants del Regne Unit exigeix atenció a un conjunt específic de normes, directrius i patrons d’aplicació. Tot i que el fons és similar al de l’EU GDPR, els matisos són importants.

UK GDPR vs EU GDPR: diferències clau

El UK GDPR és substancialment idèntic a l’EU GDPR en els seus principis i requisits bàsics. Tanmateix, des del Brexit han sorgit diverses diferències:

• Autoritat de control: L’ICO és l’única autoritat de control per al UK GDPR, substituint el paper de les autoritats de protecció de dades de la UE. No se’t pot imposar una multa tant per l’ICO com per una APD de la UE per la mateixa activitat de tractament de dades que només afecti residents del Regne Unit.
• Suficiència de dades: La UE va concedir al Regne Unit una decisió d’adequació el juny de 2021, que permet que les dades personals flueixin lliurement de la UE al Regne Unit. Aquesta decisió està subjecta a revisions periòdiques. El Regne Unit, de manera recíproca, ha reconegut l’EEE com a adequat.
• Transferències internacionals: El Regne Unit té el seu propi marc per a les transferències internacionals de dades, en què el Secretari d’Estat (i no la Comissió Europea) adopta decisions d’adequació. El Regne Unit ha indicat un enfocament més flexible envers les transferències internacionals, tot i que les garanties bàsiques es mantenen.
• Enfocament d’aplicació: Històricament, l’ICO ha prioritzat la col·laboració i l’orientació per sobre de les sancions agressives. Les multes màximes sota el UK GDPR reflecteixen les de la UE: fins a 17,5 milions de GBP o el 4 per cent de la facturació anual global, la quantitat que sigui més alta.
• Possible divergència: El govern del Regne Unit ha considerat reformes mitjançant el Data Protection and Digital Information Bill, que podria introduir canvis en les avaluacions d’interès legítim, les exempcions per a recerca i el paper dels delegats de protecció de dades. Els responsables de llocs web haurien de seguir aquesta legislació per detectar canvis futurs.

PECR: la llei de cookies del Regne Unit

Mentre que el UK GDPR proporciona el marc general per al tractament de dades personals, el PECR regula específicament les cookies i tecnologies similars. El PECR és anterior al GDPR i implementa la Directiva ePrivacy de la UE en el dret del Regne Unit. Els seus requisits clau per a les cookies són:

• Es requereix consentiment abans d’instal·lar qualsevol cookie no essencial al dispositiu d’un usuari. Això inclou cookies d’analítica, de publicitat i de xarxes socials.
• S’ha de facilitar informació sobre quines cookies s’instal·len i per a què s’utilitzen, en un llenguatge clar i senzill.
• El consentiment ha de ser lliure, específic i informat. Les caselles premarcades no constitueixen un consentiment vàlid.
• Les cookies estrictament necessàries estan exemptes. Les cookies essencials per a un servei sol·licitat explícitament per l’usuari (com ara cookies de sessió per a funcionalitats d’usuari registrat o cookies de cistella de la compra) no requereixen consentiment.

El criteri de consentiment del PECR s’alinea amb la definició de consentiment del GDPR, cosa que significa que, en la pràctica, els requisits són molt similars als de la Directiva ePrivacy de la UE. Un bàner de cookies que compleixi les normes de la UE generalment complirà també el PECR.

Directrius de l’ICO sobre bàners de cookies

L’ICO ha publicat directrius detallades sobre el compliment en matèria de cookies que van més enllà del text del mateix PECR. Els punts clau d’aquestes directrius inclouen:

El consentiment ha de ser afirmatiu

El simple fet de continuar navegant per un lloc web no constitueix consentiment. L’ICO estableix explícitament que el consentiment implícit no és vàlid. Els usuaris han de dur a terme una acció clara i positiva (com ara fer clic en un botó «Accepta») abans que es puguin instal·lar cookies no essencials.

Rebutjar ha de ser igualment fàcil

L’ICO s’ha mostrat cada vegada més crítica amb els dark patterns en els bàners de cookies. En concret:

• Ha d’haver-hi una opció «Rebutja-ho tot» o equivalent al mateix nivell que «Accepta-ho tot». Amagar l’opció de rebutjar darrere d’una pantalla de «Gestiona les preferències» no és acceptable.
• El disseny visual no ha d’utilitzar el color, la mida o la posició per manipular els usuaris perquè acceptin.
• El llenguatge ha de ser neutral i no ha d’estar dissenyat per fer sentir culpable o pressionar els usuaris perquè donin el seu consentiment.

Control granular per categories

Els usuaris han de poder consentir categories específiques de cookies (analítiques, de màrqueting, funcionals) en lloc de veure’s obligats a una elecció de tot o res. Tot i que l’ICO no exigeix un nombre concret de categories, oferir un control granular demostra bones pràctiques i pot ser necessari en virtut del principi de limitació de la finalitat del GDPR.

Els murs de cookies són problemàtics

L’ICO considera que els murs de cookies — quan es denega l’accés a un lloc web tret que l’usuari accepti totes les cookies — difícilment constitueixen un consentiment vàlid, perquè el consentiment no seria lliure. Poden existir excepcions per a contingut de pagament quan s’ofereix una alternativa realment lliure de cookies.

Accions recents d’aplicació de l’ICO

L’ICO ha incrementat de manera constant el seu focus en el compliment en matèria de cookies en els darrers anys. Algunes accions destacades inclouen:

• Auditories sectorials: L’ICO ha dut a terme auditories dels 100 principals llocs web del Regne Unit en múltiples sectors, i ha publicat conclusions que posaven de manifest un incompliment generalitzat. Els problemes més comuns incloïen cookies instal·lades abans del consentiment, manca d’una opció de rebuig i informació insuficient sobre les finalitats de les cookies.
• Cartes d’advertiment: Després de les auditories, l’ICO va enviar cartes d’advertiment a les organitzacions amb pràctiques de cookies deficients. La majoria van adequar les seves pràctiques després de rebre aquestes cartes.
• Investigacions sobre adtech: L’ICO ha dut a terme investigacions contínues sobre l’ecosistema de real-time bidding, expressant preocupació per l’elevat volum de dades personals compartides mitjançant cookies de publicitat programàtica sense un consentiment adequat.
• Aplicació al sector públic: L’ICO no ha exemptat els llocs web governamentals, i ha emès directrius i advertiments a organitzacions del sector públic sobre les seves pràctiques de cookies.

Tot i que l’ICO encara no ha imposat sancions econòmiques significatives específicament per infraccions relacionades amb cookies, la tendència és clarament cap a una aplicació més estricta. El regulador ha indicat que espera que les organitzacions compleixin ara i que emprendrà accions coercitives contra aquelles que no millorin.

Transferències internacionals de dades: del Regne Unit a la UE i més enllà

El consentiment de cookies es creua amb les transferències internacionals de dades d’una manera important. Quan les cookies d’analítica o de publicitat envien dades a servidors fora del Regne Unit — com fa Google Analytics amb els servidors de Google, i Facebook Pixel amb els servidors de Meta — això constitueix transferències internacionals de dades sota el UK GDPR.

Situació actual:

• Del Regne Unit a l’EEE: Les dades flueixen lliurement sota el reconeixement britànic de l’adequació de l’EEE.
• Del Regne Unit als EUA: L’UK Extension to the EU-US Data Privacy Framework proporciona un mecanisme per a les transferències a organitzacions nord-americanes certificades. Google i Meta estan certificades sota aquest marc.
• Del Regne Unit a altres països: Es requereixen garanties adequades com les Standard Contractual Clauses (versió del Regne Unit) o normes corporatives vinculants.

En la pràctica, si utilitzes Google Analytics, Google Ads o altres plataformes publicitàries importants, els mecanismes de transferència internacional ja hi són. Tot i això, hauries de documentar aquestes transferències a la teva política de privadesa i assegurar-te que el teu bàner de cookies menciona que les dades es poden transferir internacionalment.

Geo-targeting de FlexyConsent per al compliment específic del Regne Unit

FlexyConsent ofereix geo-targeting dedicat per als visitants del Regne Unit, garantint el compliment amb el marc regulador específic del país:

• Bàner conforme al PECR: Els visitants del Regne Unit veuen un bàner de consentiment que compleix els requisits de l’ICO, inclosa una opció de rebuig igualment destacada i controls granulars per categories. No s’instal·la cap cookie fins que no es rep un consentiment afirmatiu.
• Separat de la configuració de la UE: Tot i que els requisits són similars, FlexyConsent manté la possibilitat de configurar experiències de consentiment diferenciades per al Regne Unit i la UE. Això prepara la teva implementació per a una possible divergència reguladora entre el Regne Unit i la UE.
• Disseny alineat amb l’ICO: Les plantilles de bàner per defecte de FlexyConsent segueixen les directrius de l’ICO per evitar dark patterns. Les opcions d’acceptar i rebutjar són visualment iguals, el llenguatge és neutral i el disseny no manipula les decisions de l’usuari.
• Integració amb Consent Mode V2: Com a Google-certified CMP, FlexyConsent envia senyals de consentiment correctes als serveis de Google per als visitants del Regne Unit. Això garanteix que el modelatge de conversions i el Smart Bidding continuïn funcionant correctament tot respectant els requisits de consentiment del Regne Unit.
• Compatibilitat amb IAB TCF 2.3: Per als editors que utilitzen publicitat programàtica, FlexyConsent genera cadenes de consentiment TCF adequades per al Regne Unit que són reconegudes per les plataformes de demanda i d’oferta que operen al mercat britànic.

FlexyConsent està disponible amb plans a partir de EUR 0 al mes, amb integracions natives per a WordPress, Shopify i PrestaShop. Per a les empreses amb seu al Regne Unit, implementar un CMP certificat demostra un compliment proactiu davant l’ICO — un factor que el regulador ha indicat que té en compte a l’hora de decidir les accions d’aplicació.

Conclusió clau: El marc de privadesa del Regne Unit després del Brexit s’assembla molt al de la UE, però funciona amb el seu propi regulador, els seus propis patrons d’aplicació i, potencialment, la seva pròpia orientació legislativa futura. Tractar els visitants del Regne Unit com a subjectes a les mateixes normes que els visitants de la UE és segur per ara, però mantenir la capacitat de configurar experiències de consentiment específiques per al Regne Unit posiciona el teu lloc per adaptar-se si tots dos marcs acaben divergint. Un CMP amb consciència geogràfica és la manera més pràctica de gestionar aquesta complexitat.