Sesiones persistentes y consentimiento de cookies GDPR

Estoy configurando un foro de Discourse en un entorno muy consciente de la privacidad. El obstáculo actual con el que me encuentro es la configuración de sesiones persistentes, es decir, el “recuérdame” para el inicio de sesión. Por lo que puedo entender, el RGPD exige que un usuario dé su consentimiento explícito para almacenar cookies de funcionalidad/preferencia, lo que incluye las sesiones persistentes (ya que la cookie utilizada para gestionar una sesión persistente, o de hecho su duración más allá de la sesión del navegador, no es estrictamente necesaria).

Esto lleva a dos opciones poco atractivas:

1. Desactivar las sesiones persistentes, obligando a cada usuario a iniciar sesión cada vez que visita el foro, o sugerirles/obligarles a utilizar el almacenamiento de credenciales del navegador si desean evitar iniciar sesión manualmente cada vez. Sin embargo, dado que utilizaremos SSO para el acceso al foro, y hay muchos servicios diferentes a los que se accede a través de ese inicio de sesión SSO, hacer que los usuarios almacenen credenciales SSO solo para acceder al foro no es una buena política. Podría hacer más daño que bien.

2. Habilitar las sesiones persistentes. Pero aquí no veo un método factible para tener un banner de cookies integrado en Discourse que gestione un valor de configuración por usuario para el indicador de sesiones persistentes. Esto último es crucial, ya que el consentimiento debe ser dado por el usuario, incluyendo la posibilidad de revocar ese consentimiento, lo que requiere alguna forma de solución de banner/gestión de cookies.

Estoy activo en varios foros de Discourse que tienen las sesiones persistentes habilitadas pero no proporcionan una opción de consentimiento de cookies (lo que incluye este meta foro). Y me parece que están operando en violación del RGPD.

¿Estoy equivocado en la lectura anterior (ya que no soy abogado)? ¿Y realmente no hay buenas soluciones disponibles que integren un banner de consentimiento de cookies en Discourse que permita configurar una configuración de cookie persistente por usuario?

Edición: Leí Cookie Consent, GDPR, and Discourse, y publicaciones como Session Timeout - #56 by sam antes de publicar, pero realmente no llegan al meollo de las sesiones persistentes.

Aquí hay ahora dos cosas diferentes.

Legalmente, según el RGPD/privacidad de datos, no necesita consentimiento para una sesión persistente. Es una cookie técnica para un usuario y no se utiliza para recopilar datos personales. Claro, tienes que decir que está ahí, pero es trabajo del usuario cerrar sesión cada vez si quiere evitar que se le recuerde. Aún puedes ofrecerlo.

Y luego está esto:

Ese es un juego y un campo de juego totalmente diferente. Aquí en los países nórdicos, todos los sitios que operan en banca, atención médica de cualquier tipo, organismos gubernamentales/locales, etc., cerrarán sesión automáticamente después de un tiempo o después de un período de inactividad (esperemos que sea cierto en todo el mundo) y luego los persistentes son imposibles. Y lo mismo ocurre en los sitios que, por sus razones, son muy conscientes de la privacidad.

Si ese es el caso en su situación, no conozco ninguna solución lista para usar, pero aquí hay muchos profesionales que pueden/sabrán.

Pero en general, no necesita el consentimiento de un usuario para eso. Pero puede haber casos especiales en los que ni siquiera pueda ofrecerlo.

El punto no es que no recopile datos personales, la cookie _t te identifica como persona ya que está directamente ligada a la sesión de tu cuenta de usuario en el servidor de Discourse. Por lo tanto, tener la cookie de autenticación configurada en tu navegador significa que eres identificable para el servidor cada vez que usas tu navegador para visitar el sitio web que la configuró (y por lo tanto, no eres anónimo). De la Grupo de Trabajo de Protección de Datos de la Comisión Europea Opinión WP 29 04/2012 sobre la exención del consentimiento de cookies - 00879/12/EN WP 194:

Las cookies de inicio de sesión persistentes que almacenan un token de autenticación entre sesiones del navegador no están exentas según el CRITERIO B. Esta es una distinción importante porque el usuario puede no ser consciente de inmediato del hecho de que cerrar el navegador no borrará su configuración de autenticación. Puede volver al sitio web asumiendo que es anónimo, cuando en realidad todavía está conectado al servicio. El método comúnmente visto de usar una casilla de verificación y una simple nota informativa como “recuérdame (usa cookies)” junto al formulario de envío sería un medio apropiado para obtener el consentimiento, negando así la necesidad de aplicar una exención en este caso.

Tenga en cuenta que sugieren una solución simple que los sitios web pueden implementar, una casilla de verificación “Recuérdame” en el formulario de inicio de sesión, que por supuesto está disponible casi en todas partes hoy en día (pero no en Discourse). Esta fue una decisión de 2012, por lo que antes de que entrara en vigor el RGPD, pero no veo ninguna información que haya sido reemplazada (por ejemplo, Cookie Consent Exemptions: Strictly Necessary Cookies - CookieYes actualizado en agosto de 2023 todavía menciona que las cookies de autenticación persistentes necesitan consentimiento). Pero puede haber algún seguimiento legal o desarrollos que no conozco.

Incorrecto. Es el único punto.

Eso no es recopilar y almacenar datos personales que puedan o vayan a usarse para identificar a un usuario. Un foro sabe de todos modos quién eres.

¿Cómo sabrá un foro quién eres si lo visitas con un navegador en el que esa cookie no está configurada? Y deberías poder usar un foro sin ser rastreado implícitamente, a menos que hayas dado tu consentimiento explícito para ello, en este caso, que permitas que la cookie _t persista después de que finalice la sesión del navegador.

Para que conste, la información anterior es incorrecta.

@paulmelis Creo que tienes razón y es una buena observación.

Una cookie persistente sí necesita permiso explícito, incluso si proporciona una funcionalidad específica al usuario: el usuario debe haber solicitado explícitamente la funcionalidad.

Para empeorar las cosas, las diversas soluciones existentes de “banners de consentimiento de cookies” que están actualmente disponibles para Discourse, incluido el componente de tema oficial, no cumplen con el RGPD. Solo informarán al usuario sobre estas cookies que se configuran, pero si el usuario no hace clic en el botón “Entiendo”, Discourse las configurará de todos modos. En otras palabras, estas soluciones no piden permiso para que algo suceda, sino que informan al usuario que algo está sucediendo (o peor aún: ya sucedió).

Por lo tanto, incluso si tuviera un banner de consentimiento de cookies en su foro, si tiene habilitadas las sesiones persistentes, seguirá infringiendo el RGPD.

Dicho todo esto, dudo que esto sea un gran problema en la práctica, pero para aquellos de nosotros que buscamos el cumplimiento del 100%, este es un problema.

Por ahora, su única opción será deshabilitar la configuración de sesiones persistentes.

A primera vista, esto parece muy factible en un plugin, aunque sería mucho mejor si estuviera en el núcleo de Discourse.

No, no lo es. Esto se ha implementado a través de abogados de la UE en grandes empresas tantas veces y nunca ha cambiado.

Todavía tengo que recordar cuáles son el objetivo y los propósitos del RGPD y sus seguidores. Y por qué podemos tener cookies técnicas sin necesidad de obtener consentimiento.

@paulmelis ha proporcionado citas de documentos oficiales de la UE que afirman explícitamente que no están permitidas por el RGPD.

Si tiene información diferente, estoy dispuesto a escucharla, pero por favor cite sus fuentes y proporcione enlaces a los documentos originales.

No dice eso.

Sin ofender, pero esto es tan difícil, y de alguna manera inútil, ofrecer legislación pública como fuente, como es inútil guiarme hacia los secretos de la oferta man swapon. Hay demanda de algún conocimiento y puedo leer esas páginas man, pero no entiendo lo que estoy leyendo.

Trabajo con esto a diario y ninguna de estas preguntas es nueva para mí. Por eso doy dos recomendaciones:

• comprar el software necesario y preguntar qué consentimiento se desea para todo (no ayuda porque, después de todo, lo importante es cómo se utilizan los datos, no el consentimiento en sí)
• si una empresa es lo suficientemente grande (como CDCK, por ejemplo) como para que exista un riesgo real de multas, entonces debe utilizar la división legal de la empresa o un tercero de nivel profesional.

Correcto, eso es lo que estoy haciendo (desafortunadamente) ahora.

Tengo mucha curiosidad por cómo leíste ese documento entonces. Quiero decir, 3.2 Cookies de autenticación lo expone bastante claramente:

Las cookies de autenticación se utilizan para identificar al usuario una vez que ha iniciado sesión (ejemplo: en un sitio web de banca en línea). Estas cookies son necesarias para permitir a los usuarios autenticarse en visitas sucesivas al sitio web y acceder a contenido autorizado, como ver el saldo de su cuenta, transacciones, etc. Las cookies de autenticación suelen ser cookies de sesión. El uso de cookies persistentes también es posible pero no deben considerarse idénticas, como se discute a continuación.

Reconoce la necesidad de cookies de autenticación (nota, no se llaman cookies técnicas). Indica explícitamente que la duración de estas cookies, es decir, sesión vs. persistente, implica que se traten de manera diferente.

Cuando un usuario inicia sesión, solicita explícitamente acceso al contenido o funcionalidad a la que está autorizado. Sin el uso de un token de autenticación almacenado en una cookie, el usuario tendría que proporcionar un nombre de usuario/contraseña en cada solicitud de página. Por lo tanto, esta funcionalidad de autenticación es una parte esencial del servicio de la sociedad de la información que está solicitando explícitamente. Como tales, estas cookies están exentas según el CRITERIO B.

Sin embargo, es importante tener en cuenta que el usuario solo ha solicitado acceso al sitio y a una funcionalidad específica para realizar la tarea que requiere. El acto de autenticación no debe tomarse como una oportunidad para utilizar la cookie para otros fines secundarios, como la monitorización del comportamiento o la publicidad sin consentimiento.

Iniciar sesión significa que el usuario dio su consentimiento para iniciar sesión, no para otros tipos de uso de datos a través de cualquier cookie de autenticación establecida.

Las cookies de inicio de sesión persistentes que almacenan un token de autenticación en varias sesiones del navegador no están exentas según el CRITERIO B. Esta es una distinción importante porque el usuario puede no ser consciente de que cerrar el navegador no borrará su configuración de autenticación. Puede volver al sitio web asumiendo que es anónimo, mientras que, de hecho, todavía está conectado al servicio. El método comúnmente visto de usar una casilla de verificación y una simple nota informativa como “recordarme (usa cookies)” junto al formulario de envío sería un medio apropiado para obtener el consentimiento, negando así la necesidad de aplicar una exención en este caso.

El CRITERIO B es:

la cookie es “estrictamente necesaria para que el proveedor de un servicio de la sociedad de la información solicitado explícitamente por el suscriptor o usuario preste el servicio”.

Por lo tanto, el usuario debe dar su consentimiento antes de que se puedan establecer cookies de autenticación persistentes. Razón: no se puede esperar que un usuario conozca las implicaciones de la autenticación persistente por defecto.

Sí, la legislación es difusa y compleja, con muchas actualizaciones diferentes a lo largo de casi dos décadas. E incluso los sitios oficiales de la UE que consulté parecen ser muy desordenados en cuanto a cómo manejan las cookies y sus políticas declaradas.