Cómo verificar las cookies para el cumplimiento de GDPR: una nueva herramienta abierta ayudará

Los desarrolladores de la base de datos CovenantSQL introdujeron la utilidad de código abierto Cookie Scanner, que determina qué cookies establecen los sitios y con qué propósito.

Discutimos por qué se necesitaba la herramienta y cómo funciona.


/ Flickr / Yann Cœuru / CC BY / Foto modificada

Lo que dice la ley

El artículo 30 del Reglamento General de Protección de Datos (GDPR) requiere que los sitios que utilizan los datos personales de los usuarios notifiquen a estos últimos sobre la instalación de cookies y obtengan el consentimiento.

El uso de cookies en la UE también está regulado por otra ley: la Directiva de privacidad electrónica , que está en vigor desde 2009 (este año será reemplazada por el Reglamento de privacidad electrónico más estricto, del que hablamos en uno de los materiales anteriores ). También obliga a los propietarios de sitios web a notificar sobre el procesamiento de cookies.

Por la violación de los requisitos de GDPR y la directiva de privacidad electrónica, el propietario del recurso puede recibir una gran multa de hasta 20 millones de euros o el 4% de la facturación anual de la organización.

Cual es la dificultad

A pesar de las sanciones, muchos sitios establecen las llamadas cookies opcionales sin el consentimiento del usuario.

Se cree que el recurso de Internet no es necesario para obtener el consentimiento del usuario para establecer cookies, si son necesarias para el correcto funcionamiento del sitio. Sin embargo, la redacción de la legislación es bastante vaga, y no siempre está claro cuándo es aplicable esta regla.

Sobre esta base, surgen situaciones de conflicto. Por ejemplo, el editor francés Ediciones Croque Futur estableció a los visitantes en el sitio cookies para campañas de marketing. Los propietarios señalaron que estas cookies aseguran la rentabilidad del sitio y, por lo tanto, son vitales para el funcionamiento del servicio. Pero el regulador no estuvo de acuerdo con sus argumentos y emitió una multa a la empresa por un monto de 25 mil euros.

Otro problema es que el RGPD no requiere especificar y describir todas las cookies de terceros en el sitio, por ejemplo, aquellas que son necesarias para el funcionamiento de los complementos de redes sociales. Según los representantes de la Comisión Británica de Información (Oficina del Comisionado de Información) en su guía ( PDF , p. 17), es suficiente que una empresa agrupe las cookies de terceros en categorías y explique su propósito.

El regulador italiano explica que esta es una medida necesaria, ya que de lo contrario los propietarios tendrían que controlar constantemente las cookies de terceros en el sitio y controlar su propósito, que puede cambiar con el tiempo. Realizar esta tarea es difícil solo porque los webmasters a menudo no tienen contactos directos con todas las organizaciones responsables de establecer cookies en su sitio web.

En la práctica, resulta que cuando va al sitio, el navegador del usuario puede descargar cookies de terceros, cuyo propósito se desconoce con certeza.


/ Flickr / Benjamin Horn / CC BY

¿Cómo resolver un problema?

Para obtener la lista completa de cookies establecidas por uno u otro recurso (y al mismo tiempo encontrar sitios que violen los requisitos de GDPR), use la utilidad Cookie Scanner. La red tiene una cantidad bastante grande de servicios similares, pero muchos de ellos son pagados. El código de Cookie Scanner está abierto y se encuentra en el repositorio de GitHub .

Cookie Scanner analiza el estado de las cookies y genera un informe que describe sus tareas. La herramienta toma información sobre un recurso especializado de cookiepedia y utiliza una base de datos CQL para representarlo. Ahora contiene información sobre 10 mil cookies diferentes. Acerca de cómo comenzar a trabajar con una base de datos CQL: en la guía de inicio rápido preparada por los desarrolladores de CovenantSQL.

Cookie Scanner requiere el sistema operativo MacOS / Linux y el navegador Chrome. Alternativamente, puede consultar su versión sin cabeza, que se utiliza para probar el código y el diseño. No representa el contenido en la pantalla, por lo que funciona más rápido y consume menos memoria.

Una propiedad importante es la capacidad de instalar en un servidor Linux simple: simplemente coloque el paquete y el navegador funcionará de inmediato.

Para ejecutar Chrome sin cabeza en el contenedor, debe ejecutar el comando:

$ docker container run -d -p 9222:9222 zenika/alpine-chrome --no-sandbox \ --remote-debugging-address=0.0.0.0 --remote-debugging-port=9222 

La configuración de Cookie Scanner se realiza usando get:

 $ go get github.com/CovenantSQL/CookieScanner 

La herramienta genera informes sobre cookies en formatos PDF, JSON y HTML. La función del analizador para generar información en formato PDF tiene este aspecto:

 func outputAsPDF(remote *godet.RemoteDebugger, htmlFile string) (pdfBytes []byte, err error) { var tab *godet.Tab htmlFile, _ = filepath.Abs(htmlFile) fileLink := "file://" + htmlFile if tab, err = remote.NewTab(fileLink); err != nil { return } if err = remote.ActivateTab(tab); err != nil { return } // wait for page to load time.Sleep(time.Second) return remote.PrintToPDF(godet.PortraitMode()) } 

Así es como se genera el informe HTML utilizando el modo CLI:

 $ CookieScanner cli \ --headless \ --classifier "covenantsql://050cdf3b860c699524bf6f6dce28c4f3e8282ac58b0e410eb340195c379adc3a?config=./config/config.yaml" \ --html cql.html covenantsql.io 

Se pueden encontrar ejemplos de informes que el programa puede generar en la sección correspondiente del repositorio .

Hace un mes, la Agencia de Protección de Datos de Países Bajos (AP) anunció que en un futuro cercano participará activamente en el control de las quejas de los usuarios en sitios que violen las reglas para trabajar con cookies. Podemos suponer que habrá más herramientas (incluido el código abierto) para monitorear las cookies. Y serán utilizados tanto por los usuarios como por los propietarios de sitios web para cumplir con el RGPD y el Reglamento de privacidad electrónica.

<sup>Nuestros recursos y fuentes adicionales:

El acuerdo por $ 39 millones: por qué los creadores del DBMS de código abierto decidieron hacer desarrollo móvil

Datos personales: ¿cuál es la esencia de la ley?
Minimización de riesgos: cómo no perder sus datos
Copia de seguridad de archivos: cómo estar a salvo de la pérdida de datos

Cómo trabajamos: el resumen de 1cloud
Cómo la tecnología en la nube ha ayudado a distinguir un agujero negro
Posibles ataques a HTTPS y formas de protección contra ellos.</sup>