Erresuma Batuaren pribatutasun-esparrua Brexitaren ondoren

Erresuma Batuak Europar Batasuna utzi zuenean, ez zuen datuen babesa alde batera utzi. EBko GDPR etxeko ordenamenduan txertatu zuen UK GDPR izenarekin, Data Protection Act 2018 legearekin batera aplikatzen dena. Cookieei dagokienez bereziki, Privacy and Electronic Communications Regulations (PECR) — ePrivacy Zuzentarauaren Erresuma Batuko inplementazioa — indarrean jarraitzen du. Emaitza EBkoaren oso antzekoa den pribatutasun-esparru bat da, baina Erresuma Batuko Information Commissioner's Officek (ICO) modu independentean betearazten duena.

Webguneen arduradunentzat, horrek esan nahi du Erresuma Batuko bisitariei zerbitzatzeak arau, gidalerro eta betearazpen-eredu bereizi bati erreparatzea eskatzen duela. Edukia EBko GDPRren antzekoa bada ere, ñabardurek garrantzia dute.

UK GDPR vs EBko GDPR: Funtsezko desberdintasunak

UK GDPR funtsean berdina da EBko GDPRrekin bere printzipio eta eskakizun nagusietan. Hala ere, Brexitaren ondoren zenbait desberdintasun agertu dira:

• Gainbegiratze-agintaritza: ICO da UK GDPRren gainbegiratze-agintaritza bakarra, EBko datu-babeseko agintarien rola ordezkatuz. Ezin dizute isun bikoitza jarri ICOk eta EBko DPA batek Erresuma Batuko egoiliarrei soilik eragiten dien datu-tratamendu beragatik.
• Datuen egokitasuna: EBk egokitasun-erabakia eman zion Erresuma Batuari 2021eko ekainean, eta horri esker datu pertsonalak libreki igaro daitezke EBtik Erresuma Batura. Erabaki hori aldian-aldian berrikusiko da. Erresuma Batuak, bere aldetik, EEA egokitzat jo du.
• Nazioarteko transferentziak: Erresuma Batuak bere esparru propioa du nazioarteko datu-transferentziak egiteko; bertan, Estatu idazkariak (eta ez Europako Batzordeak) hartzen ditu egokitasun-erabakiak. Erresuma Batuak malgutasun handiagoa iradoki du nazioarteko transferentziei dagokienez, nahiz eta oinarrizko bermeak bere horretan mantendu.
• Betearazpen-ikuspegia: ICOk historikoki elkarrizketa eta orientazioa lehenetsi izan ditu isun zorrotzak baino. UK GDPRren araberako gehieneko isunak EBkoen parekoak dira: gehienez GBP 17,5 milioi edo mundu mailako urteko fakturazioaren %4, handiagoa dena.
• Etorkizuneko desbideratzea: Erresuma Batuko gobernuak erreformak aztertu ditu Data Protection and Digital Information Bill bidez; horrek aldaketak ekar ditzake interes legitimoaren ebaluazioetan, ikerketa-salbuespenetan eta Data Protection Officers-en rolaren inguruan. Webguneen arduradunek lege-proiektu honen bilakaera jarraitu beharko lukete etorkizuneko aldaketak aurreikusteko.

PECR: Erresuma Batuko cookie legea

UK GDPRk datu pertsonalen tratamendurako esparru orokorra ematen duen bitartean, PECR da cookieak eta antzeko teknologiak zehazki arautzen dituena. PECR GDPR baino lehenagokoa da eta ePrivacy Zuzentaraua inplementatzen du Erresuma Batuko ordenamenduan. Cookieei buruzko bere eskakizun nagusiak hauek dira:

• Baieztapen espresua behar da erabiltzailearen gailuan ezinbestekoak ez diren cookieak ezarri aurretik. Horien artean daude analitika-cookieak, publizitate-cookieak eta sare sozialetako cookieak.
• Informazioa eman behar da zein cookie ezartzen diren eta zertarako erabiltzen diren azaltzeko, hizkera argi eta ulerterrazean.
• Baieztapena askatasunez emana, zehatza eta informatua izan behar da. Aurrez markatutako laukiak ez dira baliozko baimen gisa onartzen.
• Behar-beharrezko cookieak salbuetsita daude. Erabiltzaileak berariaz eskatutako zerbitzu baterako ezinbestekoak diren cookieek (adibidez, saio-cookieak saioa hasi duten funtzionalitaterako edo erosketa-orgarako cookieak) ez dute baimenik behar.

PECRren baimen-maila GDPRren baimen-definizioarekin lerrokatzen da; praktikan, beraz, eskakizunak oso antzekoak dira EBko ePrivacy Zuzentarauaren pean daudenekin. EBko arauekin bat datorren cookie banner batek, oro har, PECR ere beteko du.

ICOren gidalerroak cookie bannerei buruz

ICOk cookieen betetze-mailari buruzko gidalerro zehatzak argitaratu ditu, PECRren testua bera baino harago doazenak. ICOren gidalerroetako puntu nagusiak hauek dira:

Baimena ekintza positiboa izan behar da

Webgune batean nabigatzen jarraitzeak ez du baimenik esan nahi. ICOk berariaz adierazi du baimen inplizitua ez dela baliozkoa. Erabiltzaileek ekintza argi eta positiboa egin behar dute (adibidez, "Onartu" botoia sakatzea) ezinbestekoak ez diren cookieak ezarri aurretik.

Errefusatzea berdin-berdin erraza izan behar da

ICO gero eta zorrotzago ari da dark patterns deritzenen aurka cookie bannerren diseinuan. Zehazki:

• "Denak ukatu" edo baliokidea den aukera maila berean egon behar da "Denak onartu" aukerarekin. Ez da onargarria ukatzeko aukera "Hobespenak kudeatu" pantailaren atzean ezkutatzea.
• Diseinu bisualak ez luke kolorea, tamaina edo kokapena erabili behar erabiltzaileak onarpenaren alde manipulatzeko.
• Hizkerak neutroa izan behar du, eta ez du erabiltzailea errudun sentiarazi edo presionatu behar baimena ematera bultzatzeko.

Kategoriaka kontrol granularra

Erabiltzaileek cookie-kategoria zehatzei (analitika, marketina, funtzionalak) baimena eman ahal izan behar diete, dena edo ezer ez aukerara behartu gabe. ICOk ez du kategoria kopuru zehatzik ezartzen, baina kontrol granularra eskaintzea praktika ontzat jotzen da eta beharrezkoa izan daiteke GDPRren helburu-mugaketaren printzipioaren arabera.

Cookie hormek arazoak sortzen dituzte

ICOren iritziz, cookie hormak — erabiltzaileak cookie guztiak onartu ezean webgunera sartzea ukatzen zaion egoerak — ez dira, oro har, baliozko baimen gisa hartzen, baimena ez bailitzateke askatasunez emana izango. Salbuespenak egon litezke ordainpeko edukietan, baldin eta benetako alternatiba cookie-gaberik eskaintzen bada.

ICOren azken betearazpen-neurriak

Azken urteotan ICOk pixkanaka areagotu du cookieen betetze-mailari buruzko arreta. Neurri aipagarrien artean daude:

• Sektore osoko ikuskaritzak: ICOk Erresuma Batuko 100 webgune nagusien ikuskaritzak egin ditu sektore anitzetan, eta betetze-falta zabala azaleratu duten ondorioak argitaratu ditu. Arazo arrunten artean zeuden baimenik gabe cookieak ezartzea, ukatzeko aukerarik ez eskaintzea eta cookieen helburuei buruzko informazio eskasa.
• Abisu-gutunak: Ikuskaritzen ondoren, ICOk abisu-gutunak bidali zizkien cookie-praktikak eskakizunetatik behera zituzten erakundeei. Erakunde gehienek beren praktika egokitu zituzten gutun horiek jaso ondoren.
• Adtech ikerketak: ICOk etengabeko ikerketak egin ditu real-time bidding ekosistemaren inguruan, kezka agertuz programmatic advertising cookieen bidez partekatzen den datu pertsonal bolumen handiari buruz, behar adinako baimenik gabe.
• Sektore publikoko betearazpena: ICOk ez ditu gobernu-webguneak salbuetsi; cookie-praktikei buruzko gidalerroak eta abisuak eman dizkie sektore publikoko erakundeei ere.

ICOk oraindik ez baditu ere cookie-urraketengatik bereziki isun ekonomiko handiak ezarri, joera argia da betearazpen zorrotzago baterantz. Erregulatzaileak adierazi du erakundeek dagoeneko egon behar dutela arauekin bat, eta hobekuntzarik egiten ez dutenentzat betearazpen-neurriak etorriko direla.

Nazioarteko datu-transferentziak: Erresuma Batutik EBra eta harago

Cookieen baimenak lotura garrantzitsua du nazioarteko datu-transferentziekin. Analitika edo publizitate cookieek datuak Erresuma Batutik kanpoko zerbitzarietara bidaltzen dituztenean — Google Analytics-ek datuak Googleren zerbitzarietara bidaltzen dituen bezala, eta Facebook Pixel-ek datuak Metaren zerbitzarietara — horiek guztiak nazioarteko datu-transferentziatzat hartzen dira UK GDPRren arabera.

Uneko antolamendua:

• Erresuma Batua → EEA: Datuak libreki igarotzen dira Erresuma Batuak EEA egokitzat jotzen duelako.
• Erresuma Batua → AEB: EU-US Data Privacy Framework-aren Erresuma Batuko luzapenak mekanismo bat eskaintzen du ziurtatutako AEBetako erakundeetara transferentziak egiteko. Google eta Meta esparru horren pean ziurtatuta daude.
• Erresuma Batua → beste herrialde batzuk: Beharrezko berme egokiak eskatzen dira, hala nola Standard Contractual Clauses (Erresuma Batuko bertsioa) edo enpresa arteko arau lotesleak.

Praktikan, Google Analytics, Google Ads edo beste publizitate-plataforma nagusi batzuk erabiltzen badituzu, nazioarteko transferentziarako mekanismoak ezarrita egoten dira. Hala ere, transferentzia horiek zure pribatutasun-politikan dokumentatu beharko zenituzke eta zure cookie bannerrean adierazi datuak nazioartean transferitu daitezkeela.

FlexyConsent-en geo-segmentazioa Erresuma Batuko betetze espezifikorako

FlexyConsent-ek geo-segmentazio dedikatua eskaintzen die Erresuma Batuko bisitariei, herrialde horretako esparru arau-espezifikoarekin bat etorriz:

• PECRrekin bat datorren bannerra: Erresuma Batuko bisitariek ICOren eskakizunak betetzen dituen baimen-banner bat ikusten dute, ukatzeko aukera nabarmen eta kategoria-kontrol granularrak barne. Ez da cookie ez-estrikturik ezartzen baimen espresua jaso arte.
• EBko konfiguraziotik bereizita: Eskakizunak antzekoak badira ere, FlexyConsent-ek aukera ematen du Erresuma Batuko eta EBko baimen-esperientziak modu independentean konfiguratzeko. Horrek etorkizunerako babesa eskaintzen du Erresuma Batuaren eta EBren arteko desbideratze arau-emailea gertatuz gero.
• ICOrekin lerrokatutako diseinua: FlexyConsent-en banner txantiloi lehenetsiak ICOren gidalerroei jarraitzen diete dark patterns saihesteko. Onartu eta ukatu aukerak bisualki berdinak dira, hizkera neutroa da eta diseinuak ez du erabiltzailearen hautua manipulatzen.
• Consent Mode V2 integrazioa: Google-certified CMP gisa, FlexyConsent-ek baimen-seinale egokiak bidaltzen dizkie Google zerbitzuei Erresuma Batuko bisitarientzat. Horri esker, conversion modelling eta Smart Bidding behar bezala funtziona dezakete, UKko baimen-eskakizunak errespetatuz.
• IAB TCF 2.3 euskarria: Programmatic advertising erabiltzen duten argitaletxeentzat, FlexyConsent-ek Erresuma Baturako egokiak diren TCF baimen-kateak sortzen ditu, herrialdeko merkatuan diharduten demand-side platforms eta supply-side platforms plataformek aitortzen dituztenak.

FlexyConsent planak EUR 0 hilean hasita daude eskuragarri, eta integrazio natiboak eskaintzen ditu WordPress, Shopify eta PrestaShop plataformetarako. Bereziki Erresuma Batuan egoitza duten enpresentzat, ziurtatutako CMP bat ezartzeak betetze-proaktiboa erakusten dio ICOri; erregulatzaileak berak adierazi du hori kontuan hartzen duela betearazpen-neurriak erabakitzerakoan.

Ondorio nagusia: Erresuma Batuaren pribatutasun-esparrua Brexitaren ondoren oso antzekoa da EBkoarekin, baina bere erregulatzaile propioaren pean funtzionatzen du, bere betearazpen-ereduekin eta etorkizuneko lege-ibilbide propioarekin. Oraingoz segurua da Erresuma Batuko bisitariak EBko bisitarien arau berberen mende daudela tratatzea, baina Erresuma Baturako baimen-esperientzia espezifikoak konfiguratzeko gaitasuna mantentzeak aukera ematen dizu bi esparruak desbideratzen hasten badira egokitzeko. Geo-aware CMP bat da konplexutasun hori kudeatzeko modu praktikoena.