Cumplimiento del consentimiento de cookies: deshabilitar JavaScript y la accesibilidad del teclado
He notado que la mayoría de las soluciones de consentimiento de cookies se basan en JavaScript y, cuando tiene JS desactivado, es posible que no se pueda acceder a la configuración de consentimiento de cookies.
Hablando de accesibilidad, algunas soluciones de consentimiento de cookies no son accesibles desde el teclado, lo que significa que las personas con ciertas discapacidades tampoco podrían administrar sus cookies.
¿Cumple con el RGPD, la Directiva de privacidad electrónica y la CCPA?
Respuestas
Es poco probable que esto plantee un problema: la mayoría de las cosas que requieren consentimiento ocurren solo por JS, y el consentimiento debe ser opt-in de todos modos. Sin embargo, las preocupaciones sobre la accesibilidad pueden ser legítimas.
Las cookies generalmente se establecen a través de un campo de encabezado en la respuesta del servidor web. Estas cookies se utilizan normalmente (pero no necesariamente) por motivos benignos, como tokens de sesión. Y las cookies estrictamente necesarias no requieren consentimiento. Por el contrario, los usos problemáticos de las cookies suelen ser provocados por el código JavaScript en la página. Cuando JavaScript está desactivado, no puede configurar cookies y no es necesario solicitar el consentimiento.
Esto nos lleva a la siguiente razón: el consentimiento es opt-in. La directiva de ePrivacy requiere el consentimiento para el uso de cookies que no son estrictamente necesarias, y el artículo 4 (11) y el artículo 7 del RGPD definen el consentimiento como una opción a través de una acción o expresión afirmativa que indica sin ambigüedades los deseos del visitante. Las casillas previamente marcadas o los mecanismos de consentimiento de estilo "al continuar usando esta página ..." no cumplen con las normas. Si el mecanismo de un sitio web para solicitar el consentimiento no funciona, no se puede asumir que se otorgó el consentimiento y que no se le permite realizar el procesamiento de datos correspondiente.
Por supuesto, también es posible tener una visión opuesta: que JavaScript es una parte central del estándar HTML, y que los agentes de usuario sin soporte JavaScript rompen el funcionamiento correcto del sitio a riesgo del visitante. El operador del sitio no puede garantizar razonablemente la funcionalidad correcta del sitio en esos navegadores no estándar. Pero si bien este es un argumento válido frente a los problemas de accesibilidad, no importa para el consentimiento de GDPR: el controlador de datos debe poder demostrar que el consentimiento realmente se otorgó (Art 7 (1)). Si bien esta prueba no tiene que ser un registro explícito, asumir el consentimiento de la ausencia de evidencia parece infringir.
¿El RGPD requiere accesibilidad? No explícitamente. Los requisitos de accesibilidad pueden derivarse de otras leyes. Pero el GDPR tiene algunos principios básicos que apuntan en esta dirección. Como caso especial para las declaraciones escritas que también consideran otros asuntos, la solicitud de consentimiento debe ser en “una forma inteligible y de fácil acceso” (Art 7 (2)) que posiblemente también se aplica a los medios textuales como los sitios web. De manera más general, se podría argumentar que el principio de transparencia del artículo 5 (1) (a) implica la accesibilidad de la información relativa al procesamiento de datos. Para el contexto de los derechos de los interesados, el artículo 12 (1) proporciona detalles sobre cómo debe proporcionarse la información (transparente, inteligible, fácilmente accesible, en un lenguaje claro y sencillo) y el artículo 12 (2) requiere que los controladores de datos “faciliten el ejercicio de derechos del interesado ”. Esta facilitación significa que el interesado no debe enfrentarse a barreras irrazonables para el ejercicio de sus derechos. Un sitio web completamente inaccesible podría ser una barrera, por ejemplo, poner información de contacto en una imagen.
Sin embargo, no se sigue que el GDPR requiera características específicas como la accesibilidad del teclado o el marcado ARIA. Incluso si interpretamos que el RGPD requiere algún nivel de accesibilidad, una autoridad de protección de datos o un tribunal tendrían que analizar el contexto: ¿qué nivel de accesibilidad se puede exigir razonablemente?
Esta respuesta cubre principalmente ePrivacy / GDPR ya que no tengo una comprensión más profunda de la CCPA. Sin embargo, podría decirse que CCPA es más accesible, porque exige tecnologías específicas (enlaces) y títulos (No vender mi información personal) que resulta ser bastante accesible. CCPA también autoriza y exige regulaciones adicionales para garantizar que los avisos y la información sean accesibles para los consumidores con discapacidades.