O panorama da privacidade no Reino Unido despois do Brexit

Cando o Reino Unido abandonou a Unión Europea, non deixou atrás a protección de datos. O Reino Unido incorporou o EU GDPR ao dereito interno como UK GDPR, que funciona xunto coa Data Protection Act 2018. Para as cookies en concreto, o Privacy and Electronic Communications Regulations (PECR) — a transposición no Reino Unido da Directiva de ePrivacy — segue a aplicarse. O resultado é un marco de privacidade que reflicte de preto o da UE pero que é aplicado de maneira independente pola Information Commissioner's Office (ICO) do Reino Unido.

Para os operadores de sitios web, isto significa que prestar servizos a visitantes do Reino Unido require prestar atención a un conxunto específico de normas, orientacións e patróns de execución. Aínda que o contido é similar ao do EU GDPR, os matices son importantes.

UK GDPR vs EU GDPR: diferenzas clave

O UK GDPR é substancialmente idéntico ao EU GDPR nos seus principios e requisitos básicos. Porén, desde o Brexit xurdiron varias diferenzas:

• Autoridade de control: O ICO é a única autoridade de control para o UK GDPR, substituíndo o papel das autoridades de protección de datos da UE. Non podes ser sancionado á vez polo ICO e por unha DPA da UE pola mesma actividade de tratamento de datos que afecte unicamente a residentes no Reino Unido.
• Adecuación en materia de datos: A UE concedeu ao Reino Unido unha decisión de adecuación en xuño de 2021, que permite que os datos persoais flúan libremente desde a UE ao Reino Unido. Esta decisión está suxeita a revisión periódica. O Reino Unido, pola súa banda, recoñeceu o EEE como adecuado.
• Transferencias internacionais: O Reino Unido ten o seu propio marco para as transferencias internacionais de datos, no que é o Secretary of State (e non a Comisión Europea) quen adopta as decisións de adecuación. O Reino Unido manifestou unha postura máis flexible respecto das transferencias internacionais, aínda que se manteñen as salvagardas esenciais.
• Enfoque de execución: Historicamente, o ICO preferiu a implicación e a orientación fronte a unha política agresiva de sancións. As multas máximas ao abeiro do UK GDPR reflicten as da UE: ata 17,5 millóns de GBP ou o 4 por cento da facturación anual global, a cantidade que sexa maior.
• Posible diverxencia: O goberno do Reino Unido considerou reformas a través do Data Protection and Digital Information Bill, que podería introducir cambios nas avaliacións de interese lexítimo, nas excepcións para investigación e no papel dos Data Protection Officers. Os operadores de sitios web deberían seguir esta lexislación para detectar posibles cambios futuros.

PECR: a lei de cookies do Reino Unido

Mentres o UK GDPR fornece o marco xeral para o tratamento de datos persoais, o PECR regula especificamente as cookies e tecnoloxías similares. O PECR é anterior ao GDPR e transpón a Directiva de ePrivacy da UE ao dereito do Reino Unido. Os seus requisitos principais para as cookies son:

• Requírese consentimento antes de instalar calquera cookie non esencial no dispositivo dun usuario. Isto inclúe cookies de analítica, de publicidade e de redes sociais.
• Debe facilitarse información sobre que cookies se instalan e para que se utilizan, nunha linguaxe clara e sinxela.
• O consentimento debe ser libre, específico e informado. As casas previamente marcadas non constitúen un consentimento válido.
• As cookies estritamente necesarias están exentas. As cookies esenciais para un servizo solicitado de maneira explícita polo usuario (como cookies de sesión para funcionalidades de acceso ou cookies de cesta da compra) non requiren consentimento.

O estándar de consentimento do PECR aliñase coa definición de consentimento do GDPR, o que significa que, na práctica, os requisitos son moi similares aos da Directiva de ePrivacy da UE. Un banner de cookies que cumpra as normas da UE adoita cumprir tamén co PECR.

Orientación do ICO sobre banners de cookies

O ICO publicou orientacións detalladas sobre o cumprimento en materia de cookies que van máis alá do texto do propio PECR. Os puntos clave destas orientacións inclúen:

O consentimento debe ser afirmativo

O simple feito de continuar a navegar nun sitio web non constitúe consentimento. O ICO indica de maneira explícita que o consentimento implícito non é válido. Os usuarios deben realizar unha acción clara e positiva (como premer nun botón de "Aceptar") antes de que se poidan instalar cookies non esenciais.

Rexeitar debe ser igual de doado

O ICO manifestouse cada vez con máis forza sobre os dark patterns nos banners de cookies. En particular:

• Debe existir unha opción de "Rexeitar todo" ou equivalente ao mesmo nivel que "Aceptar todo". Non é aceptable agochar a opción de rexeitar detrás dunha pantalla de "Xestionar preferencias".
• O deseño visual non debe empregar a cor, o tamaño ou a posición para manipular os usuarios cara á aceptación.
• A linguaxe debe ser neutral e non estar deseñada para facer sentir culpables ou presionar os usuarios para que dean o seu consentimento.

Control granular por categorías

Os usuarios deberían poder consentir categorías específicas de cookies (analítica, marketing, funcionais) en lugar de verse obrigados a unha opción de todo ou nada. Aínda que o ICO non esixe un número concreto de categorías, ofrecer control granular demostra boas prácticas e pode ser necesario en virtude do principio de limitación da finalidade do GDPR.

Os "cookie walls" son problemáticos

O ICO considera que os cookie walls — cando se denega o acceso a un sitio web a menos que o usuario acepte todas as cookies — dificilmente constitúen un consentimento válido, porque o consentimento non sería libre. Poden existir excepcións para contidos de pago nos que se ofreza unha alternativa real sen cookies.

Actuacións recentes de execución do ICO

O ICO incrementou de maneira constante o seu foco no cumprimento en materia de cookies nos últimos anos. Entre as actuacións máis destacadas están:

• Auditorías sectoriais: O ICO realizou auditorías dos 100 principais sitios web do Reino Unido en múltiples sectores, publicando conclusións que puxeron de manifesto un incumprimento xeneralizado. Os problemas máis habituais incluían a instalación de cookies antes de obter o consentimento, a ausencia dunha opción de rexeitar e información insuficiente sobre as finalidades das cookies.
• Cartas de advertencia: Tras as auditorías, o ICO emitiu cartas de advertencia ás organizacións cuxas prácticas en materia de cookies non eran axeitadas. A maioría das organizacións adaptaron as súas prácticas para cumprir despois de recibir estas cartas.
• Investigacións sobre adtech: O ICO levou a cabo investigacións continuadas sobre o ecosistema de real-time bidding, expresando preocupación polo volume de datos persoais compartidos a través de cookies de publicidade programática sen un consentimento axeitado.
• Execución no sector público: O ICO non eximiu os sitios web gobernamentais, emitindo orientacións e advertencias ás organizacións do sector público sobre as súas prácticas en materia de cookies.

Aínda que o ICO aínda non impuxo sancións económicas significativas especificamente por infraccións relacionadas con cookies, a tendencia apunta claramente cara a unha execución máis estrita. O regulador indicou que espera que as organizacións xa cumpran e que emprenderá accións de execución contra aquelas que non melloren.

Transferencias internacionais de datos: do Reino Unido á UE e máis alá

O consentimento de cookies interacciona cun aspecto importante das transferencias internacionais de datos. Cando as cookies de analítica ou publicidade envían datos a servidores fóra do Reino Unido — como Google Analytics, que envía datos aos servidores de Google, e Facebook Pixel, que envía datos aos servidores de Meta — isto constitúe transferencias internacionais de datos ao abeiro do UK GDPR.

Situación actual:

• Do Reino Unido ao EEE: Os datos flúen libremente en virtude do recoñecemento polo Reino Unido da adecuación do EEE.
• Do Reino Unido aos EUA: A UK Extension to the EU-US Data Privacy Framework fornece un mecanismo para as transferencias a organizacións estadounidenses certificadas. Google e Meta están certificadas ao abeiro deste marco.
• Do Reino Unido a outros países: Requírese a existencia de salvagardas axeitadas, como as Standard Contractual Clauses (versión do Reino Unido) ou normas corporativas vinculantes.

Na práctica, se utilizas Google Analytics, Google Ads ou outras grandes plataformas de publicidade, os mecanismos de transferencia internacional xa están dispoñibles. Non obstante, deberías documentar estas transferencias na túa política de privacidade e asegurarte de que o teu banner de cookies menciona que os datos poden transferirse internacionalmente.

Geo-segmentación de FlexyConsent para cumprimento específico no Reino Unido

FlexyConsent ofrece unha geo-segmentación específica para visitantes do Reino Unido, garantindo o cumprimento do marco normativo concreto deste país:

• Banner conforme co PECR: Os visitantes do Reino Unido ven un banner de consentimento que cumpre os requisitos do ICO, incluíndo unha opción de rexeitar igualmente destacada e controis granulares por categorías. Non se instala ningunha cookie ata que se reciba un consentimento afirmativo.
• Separado da configuración da UE: Aínda que os requisitos son similares, FlexyConsent mantén a posibilidade de configurar experiencias de consentimento diferentes para o Reino Unido e para a UE. Isto prepara a túa implementación para unha posible diverxencia normativa entre o Reino Unido e a UE.
• Deseño aliñado co ICO: Os modelos de banner predeterminados de FlexyConsent seguen as orientacións do ICO para evitar dark patterns. As opcións de aceptar e rexeitar son visualmente equivalentes, a linguaxe é neutral e o deseño non manipula as eleccións do usuario.
• Integración con Consent Mode V2: Como Google-certified CMP, FlexyConsent envía sinais de consentimento axeitados aos servizos de Google para visitantes do Reino Unido. Isto garante que o conversion modelling e o Smart Bidding sigan funcionando correctamente respectando ao mesmo tempo os requisitos de consentimento do Reino Unido.
• Compatibilidade con IAB TCF 2.3: Para editores que utilizan publicidade programática, FlexyConsent xera cadeas de consentimento TCF adecuadas para o Reino Unido, recoñecidas polas demand-side platforms e supply-side platforms que operan no mercado británico.

FlexyConsent está dispoñible con plans a partir de EUR 0 ao mes, con integracións nativas para WordPress, Shopify e PrestaShop. Para as empresas con sede no Reino Unido en particular, implementar un CMP certificado demostra un cumprimento proactivo ante o ICO, un factor que o regulador indicou que ten en conta ao decidir sobre as accións de execución.

Idea clave: O marco de privacidade do Reino Unido despois do Brexit reflicte de preto o da UE, pero funciona co seu propio regulador, os seus propios patróns de execución e, potencialmente, a súa propia orientación lexislativa futura. Tratar os visitantes do Reino Unido como suxeitos ás mesmas normas que os visitantes da UE é, por agora, unha opción segura, pero manter a capacidade de configurar experiencias de consentimento específicas para o Reino Unido sitúa o teu sitio nunha boa posición para adaptarse se ambos marcos chegan a diverxer. Un CMP con capacidade de segmentación xeográfica é a forma máis práctica de xestionar esta complexidade.