Hoy estaba tomando un café antes de ponerme a trabajar y de repente he recibido el clásico spam, pero esta vez ese asunto ha hecho que pulsará en el.
El mensaje provenía de la empresa «consent manager», hasta ahí todo bien. Pero el asunto hablaba de su competidora «Cookiebot», de ahí el porque de esta primera y experimental noticia.
El emailing comenzaba así:
«Cookiebot declarado ilegal».
En ese momento me ha recorrido un escalofrío por el cuerpo y he pensado: «Mierda, yo tengo un par de webs funcionando con Cookiebot».
Para mayor inri, conforme iba leyendo había más empresas proveedoras de gestión de cookies afectadas.
Os dejo una lista:
- CookieBot
- Usercéntricos
- SourcePoint
- OneTrust
- Didomi
- CookieFirst
- Iubenda
- CookieHub
- CookieYes
Mi cara en ese momento 🙁
Entre el regocijo del equipo de «consent manager» y la duda sobre como proceder para cumplir la ley actual, se me ha ocurrido llamar a Juanjo (Juanjo es un asesor legal, muy majo y que siempre me soluciona todas mis dudas legales y las de mis clientes).
Tras nuestra llamada me he quedado más tranquilo ya que la sentencia ha sido en un tribunal aleman, por lo que no tiene consecuencias en España, con el matiz que siempre añade Juanjo al final de todas sus frases.
Juanjo: «Todo esta bien, por el momento«
Juanjo, muy majo.
Así que POR EL MOMENTO, no hay que cambiar nada aunque desde aquí recomendamos mirar opciones a futuro para la gestión de cookies en vuestras webs.
Ahora el problema y el análisis serio:
La mayoría proveedores de gestión de cookies, aunque con filiales en Europa, todas tienen sus sedes en los EEUU, de ahí el problema ya que según la sentencia del tribunal alemán, determina que:
«El servicio de cookies procesa la dirección IP completa del usuario final en los servidores de una empresa cuya sede está en Estados Unidos. Esto crea una conexión con un tercer país, concretamente con los Estados Unidos, que es tan inadmisible con respecto a la llamada decisión Schrems II del Tribunal de Justicia Europeo»
En cristiano: los datos de estas empresas al final están alojados en servidores de la EE.UU, por lo que se rigen por la Ley de Nube de la EE.UU, esto implica que esos datos en determinadas ocasiones podrían ser consultados por las autoridades, chocando completamente el RGPD vigente actualmente en Europa.
