Los últimos meses hemos vuelto a ver cambios significativos a nivel de Cookies, tanto a nivel de las políticas en sí como en las barras – o casi ya podemos decir muros de cookies sin miedo a estar exagerando.
Sabemos que todo este tema puede ser bastante confuso, y no nos extraña. Está la legislación europea por un lado, la legislación española por otro, y por supuesto también la de otros países de fuera de la UE. Todos estos organismos aplican políticas de cookies que nuestra página web ha de cumplir si quiere operar en estos territorios, y POR SUPUESTO no siempre coinciden.
En el artículo de hoy y para empezar este 2021 con buen pie, queremos hacer un repaso a las últimas directrices de protección de datos. Intentaremos poner orden y explicar con palabras sencillas todo este caos, y qué pasos debes seguir para que tu página web cumpla con ellas. Vamos allá.
Un poco de historia: evolución de la LOPD y del RGPD 2016-2020
Anteriormente a la publicación de lo que hoy conocemos como RGPD, la protección de datos de personas físicas en Europa estaba regulado por la Directiva 95/46/CE. La Regulación 2016/679/EU de procesamiento de datos personales y libre movimiento de estos datos, más conocido como Reglamento General de Protección de Datos o GDPR, sustituye esta normativa a nivel de la Unión Europea y la adecúa a las necesidades de una sociedad con un uso mucho más avanzado de las tecnologías.
Por su parte, en España se aprueba la Ley Orgánica de Protección de Datos 3/2018 del 5 de Diciembre (LOPD), en acuerdo a la nueva normativa europea, que entre otras cosas define el marco jurídico de la Agencia Española de Protección de Datos. Estos dos marcos jurídicos, RGPD y LOPD, son los que debemos cumplir para estar de acuerdo al derecho español y europeo.
A nivel práctico y para ir al grano…
Los 2 aspectos principales que deben ser considerados por cualquier empresa que cuente con presencia en Internet (sea a través de página web, app, tienda online…):
- Los usuarios han de dar su consentimiento explícito (a través de un opt-in) para la gestión y/o almacenamiento de datos por parte de las empresas. Esto incluye newsletters, formularios o cookies, principalmente.
- En la política de privacidad de los sitios web es necesario dejar claro quién es el responsable del almacenamiento y/o gestión de los datos de los usuarios, así como dar las facilidades para ejercer los derechos de oposición, etc.
Por supuesto hay muchos más aspectos que deben cumplir las empresas, pero este no pretende ser un artículo que los cubra todos (si os gustaría un artículo tipo resumen con las claves tanto de la LOPD como del RGPD dínoslo en los comentarios, aunque sobre ello se ha hablado ancho y tendido). Si tienes curiosidad, también te recomendamos leerte por completo los dos textos legales, son unas lecturas apasionantes de verdad.
Volviendo a lo que nos ocupa, que son las cookies y los consentimientos explícitos:
Seguramente recordarás que en mayo de 2018 hubo un boom de correos para validar que querías seguir suscrito a sus newsletter. Esto era porque el 25 de mayo de 2018 finalizaba el plazo que se había propuesto la UE para validar que todas las bases de datos de las empresas estaban validadas con un opt-in obligatorio por parte de los usuarios. Ya no era suficiente haber dejado nuestros datos en el formulario de contacto: era necesario dar nuestro consentimiento explícito para recibir correos comerciales.
Podemos decir que en Octubre de 2020 hemos pasado un proceso similar pero respecto a las Cookies de nuestras páginas web. Todas las empresas se han puesto las pilas para actualizar sus políticas y para actualizar también los plugins de consentimiento. Ya no es válido tener una sencilla barra de cookies que permite la navegación aunque no interactúes con ella; es necesario que el usuario dé consentimiento inequívoco y autorice expresamente a la empresa a instalar las diferentes cookies. Esto era cierto desde que se publicó el RGPD pero, por supuesto, todos hemos esperado al último momento para adaptarnos a la normativa.
Esto ha sucedido porque el Comité Europeo de Protección de Datos (EDPB por sus siglas en inglés) lanzó una nueva guía para clarificar y dar respuesta a algunas preguntas que no estaban claras en el artículo original; puedes consultar la guía completa aquí. Esta guía se publicó el 4 de mayo 2020. Posteriormente, en julio de 2020, fue adoptada por la Agencia Española de Protección de Datos en su Guía sobre el Uso de las Cookies, que otorgó un período de 3 meses a las diferentes empresas para adaptarse a las nuevas directrices, lo que nos puso como fecha límite el 31 de octubre.
Vamos a analizar más en profundidad cómo afecta este hecho a tu página web (o e-commerce, o app…) y cómo cumplir con estas nuevas políticas.
¿Qué son las cookies y para qué sirven?
Las cookies son pequeños fragmentos de código que se instalan en el navegador del usuario. Hay diferentes tipos de cookies según para lo que sirvan, y por ello podemos hacer varias clasificaciones. En nuestra política de cookies, las clasificamos de la siguiente manera:
Cookies según propiedad:
- Cookies propias: Estas cookies son las que están instaladas desde un equipo o dominio gestionado por el propietario o editor del sitio web.
- Cookies de terceros: Estas cookies se instalan a partir de terceras partes como redes sociales a partir de widgets, por complementos externos de contenido o simplemente por otras empresas ajenas a las del propietario del sitio web.
Cookies según la duración:
- Cookies de sesión: cookies temporales que permanecen en el archivo de cookies de su navegador hasta que abandone la página web, por lo que ninguna queda registrada en el disco duro del usuario. Sirven para analizar el tráfico de la web, y a la larga proporcionar una mejor experiencia al usuario (mejorando el contenido y la usabilidad de la web).
- Cookies permanentes o persistentes: son almacenadas en el disco duro y nuestra web las lee cada vez que se realiza una visita. Las cookies permanentes tienen una fecha de expiración determinada, que puede ir de 1 solo día a 2 años de duración. Estas cookies se instalan según las funcionalidades de la web, y abarcan temáticas muy diferentes, principalmente de análisis e identificación del usuario y sus preferencias.
Cookies según tipología:
Cookies necesarias:
- Cookies técnicas y funcionales: sirven para una correcta navegación o que permiten realizar servicios solicitados por el usuario. También son estrictamente necesarias las cookies que sirven para que el contenido de la página cargue correctamente.
No necesarias:
- Cookies de analítica: Sirven para garantizar le mejor servicio posible al usuario, analizando las características de la sesión y recopilando datos estadísticos de la actividad. Por ejemplo las cookies de Google Analytics que tienen casi todas las páginas web son de este tipo. A partir de estos datos se puede, por ejemplo, personalizar la publicidad que recibes mientras navegas por internet.
- Cookies de personalización: permiten al usuario configurar el diseño, idioma o preferencias de su navegador.
- Cookies publicitarias: Estas cookies permiten la gestión de los espacios publicitarios que se muestran en la web (por ejemplo AdSense), como por ejemplo el contenido o la frecuencia en la que se muestran los anuncios.
- Cookies de publicidad comportamental: Permiten la gestión de los espacios publicitarios, almacenando información del comportamiento de los usuarios obtenida a través de sus hábitos de navegación, lo que permite desarrollar diferentes perfiles para mostrar publicidad en función a los mismos.
¿Qué tenemos que hacer para cumplir hoy con la política de cookies?
Hasta que se aprobó el nuevo RGPD, simplemente con avisar del uso de las cookies (con una sencilla barra de cookies) y con incluir una política de cookies era suficiente.
En cambio, ahora es necesario:
- Especificar qué tipos de cookies estás utilizando desde la «barra de cookies» (que ahora se parece más a un widget o a un popup que a una barra)
- Dar la opción al usuario de aceptar (o no) las diferentes cookies por separado
- NO puedes hacer que por defecto estén aceptadas todas las cookies
- La navegación sin haber aceptado las cookies NO las activa, sino que están «durmientes» hasta que el usuario le da al botón de «Acepto todas las cookies». Antes, si navegabas sin darle al botón, este desaparecía y se daba por entendido que se aceptaban. Ahora es necesario que el usuario EXPLÍCITAMENTE dé su consentimiento.
- En la política de cookies, se han de especificar todos los tipos de cookies utilizadas (incluidas las de terceros) y explicarlas de forma sencilla para que el usuario lo entienda. Esta es una forma de transparencia para evitar un lenguaje demasiado técnico que pudiese confundir al usuario.
Vale, muy bien pero… ¿cómo cumplimos con estas condiciones? Pues muy fácil: a través de plugins y/o herramientas que podemos instalar en nuestra página web para sustituir las barras de cookies obsoletas.
Algunas herramientas para analizar las cookies de tu sitio
No se te escapará que lo primero que has de hacer para poder cumplir con esta ley, es saber qué cookies utiliza tu sitio. Y parecerá una broma, pero es mucho más habitual de lo que crees no saber que un determinado plugin instala un tipo de cookie concreta, o directamente no tener ni idea de qué cookies utiliza tu sitio web.
Te recomendamos algunas herramientas interesantes:
- Cookie Serve: Realiza un análisis de tu página web (de algunas landings, si no pagas por la versión premium) y te envía a tu correo electrónico un informe con todas las cookies instaladas.
- Cookie Bot: Analiza tu sitio web para decirte si cumple con el RGPD y te indica qué cláusulas no cumples.
- Cookie Database: en esta base de datos puedes encontrar la mayoría de Cookies y algunos de sus datos básicos: para qué sirve, propósito, duración, si es propia o de terceros… Muy útil si has de analizar tus cookies y no tienes claros algunos de estos datos.
Seguro que hay muchas otras, pero con estas tres tools hemos conseguido analizar el estado de las cookies de nuestros clientes y sacar información valiosa para asesorarles al respecto.
Plugins de Cookies para WordPress recomendados
Si tu página web está creada en WordPress, la manera más fácil de cumplir con la Ley de Cookies es a través de un plugin. Las antiguas barras de cookies dejan paso a plugins más completos y que cumplen con el GDPR (fíjate en que contengan «GDPR Compliant» en la descripción).
A continuación te listamos nuestros Top 3 de Plugins de Cookies para WordPress:
Todos estos plugins permiten configurar las cookies por tipologías y que el usuario dé su consentimiento informado para cada una de ellas. Evidentemente tienen diferentes procesos de configuración, no es tan sencillo como activar el plugin y ya está, requiere de un buen análisis y en muchos casos de programación personalizada para adaptarse a cada página web. También han aparecido en los últimos meses una buena colección de CRMs que incluyen la gestión de las cookies, así que si utilizas algún servicio de este tipo pregunta a tu proveedor.
Además, hay algunas cookies que no son tan fáciles de controlar vía plugin. Estos métodos sirven para las casuísticas más comunes, pero si utilizas algún tipo de programación propia o plugins desarrollados a medida, seguramente las tengas que detectar e introducir de forma manual, con desarrollo personalizado. Y ahí es donde entramos nosotros. En Explotación Web, como puedes ver, hemos analizado a fondo este tema y nos consideramos unos auténticos expertos. Así que si quieres que nos encarguemos de instalar y configurar el plugin para cookies, el consentimiento informado del usuario y la actualización de tu política de cookies para adecuarla a la normativa, contacta con nosotros y pregúntanos. Y si tu página web no es WordPress, sea porque utilizas otro CMS o porque está realizada en código propio, también nos podemos encargar de ello gracias a nuestro equipo de programadores.
Pon tus cookies al día con Explotación Web:
- Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos).
- Directrices 5/2020 sobre el consentimiento en el sentido del Reglamento (UE) 2016/679.
- La AEPD actualiza su Guía sobre el uso de cookies para adaptarla a las nuevas directrices del Comité Europeo de Protección de Datos.