Qué mostrar al usuario cuando ya ha aceptado las cookies

Un cliente nos pregunta:
Por favor me gustaría consultarte si la funcionalidad de la web para permitir cambiar las preferencias de tipos de cookies aceptadas una vez que ya han sido previamente aceptadas es obligatoria o recomendada.

En la última versión (2024) de la Guía de Cookies publicada por la AEPD, en su punto 3.2.9 establece lo siguiente:

3.2.9. Retirada del consentimiento para el uso de cookies

Los usuarios deberán poder retirar el consentimiento previamente otorgado en cualquier momento. A tal fin, el editor deberá asegurarse de que facilita información a los usuarios en su política de cookies sobre cómo pueden retirar el consentimiento y eliminar las cookies.
El usuario debe poder revocar el consentimiento de forma fácil. El sistema que se ofrezca para retirar el consentimiento debe ser tan fácil como el utilizado cuando se prestó. Se considerará que esa facilidad existe, por ejemplo, cuando el usuario tenga acceso sencillo y permanente al sistema de gestión o configuración de las cookies.

Interpretando el texto de la guía, vemos dos posibles soluciones operativas:

  1. La opción impecable y aparentemente recomendada por la AEPD es mantener en el pie de página de todas las páginas del sitio un elemento permanentemente visible del tipo «Gestionar Cookies» que permita el acceso al panel de gestión para que el usuario pueda modificar o revocar su consentimiento.
  2. Otra opción que también nos parece aceptable es enlazar a ese panel desde la política de cookies. Recomendamos que esté enlazado dentro del apartado «Retirada del consentimiento» dentro de dicha política de cookies.

A nuestro entender bastaría con aplicar cualquiera de las dos posibles soluciones, y si queremos bordarlo, aplicar ambas.

Guía de cookies 2024

La AEPD acaba de actualizar la guía sobre el uso de cookies en la que clarifica y actualiza los criterios que deben seguir las webs españolas para cumplir con las obligaciones de privacidad establecidas en la Ley de Protección de Datos.

Os resumimos las obligaciones más importantes:

El botón “Rechazar cookies” ha de estar al mismo nivel que “Aceptar”

Las páginas web y aplicaciones móviles deben ofrecer a los usuarios un botón de “Rechazar” las cookies, claramente visible y accesible. No valen trucos como ponerlo más pequeño, o con un color que cueste de identificar sobre el fondo.

Aceptas cookies o pagas

Siguen resultando ilegales los “muros de cookies” donde el usuario o acepta o no puede seguir navegando, pero una novedad importante es la posibilidad de poner una alternativa de pago, de forma que si no aceptas las cookies de publicidad que permiten mejorar los ingresos de la web, tengas que pagar una cuota por seguir navegando en el sitio.

Esta posibilidad vendrá muy bien para los sitios web que viven de la publicidad, pero no resulta interesante para las webs corporativas, o para los sitios de comercio electrónico.

Botón o enlace de configurar cookies.

Si le damos al usuario una tercera opción, además de “Aceptar” y “Rechazar”, esta tercera opción abrirá un panel con más información, donde muestre los tipos de cookies que utiliza el sitio. No es correcto poner un listado de todas las cookies para que el usuario tenga que activar o desactivar una por una. Debemos agrupar las cookies entre las exentas (en que no es necesario pedir permiso) y las no exentas, que deberemos agrupar por funcionalidad: Analíticas o de medición, o de publicidad comportamental, diferenciando las propias y de terceros.

Cookies opcionales desactivadas

Puesto que estamos solicitando el consentimiento, las casillas premarcadas o activadas por defecto no son válidas. Así que, en el configurador, las cookies opcionales deberán tener la casilla desmarcada o el selector en posición de “desactivado”

Mantener acceso al configurador aunque el usuario acepte las cookies.

Al aceptar las cookies, podemos ocultar el banner informativo, durante 24 meses, pero hemos de mantener un botón o enlace que permita volver al configurador, por si el usuario cambia de opinión y decide rechazar algunas cookies.

Información detallada en la segunda capa de información

En la política de cookies es conveniente detallar las cookies utilizadas dentro de cada funcionalidad, indicando su nombre, el tercero que las instala, la finalidad de la cookie y el tiempo de duración de la misma, si hay transferencias internacionales.

La AEPD puede imponer sanciones cuantiosas por no cumplir la obligación de gestionar correctamente las cookies. Por ello, si tienes contratado nuestro servicio, revisaremos tu web para asegurarnos que lo tienes todo bien configurado.

Nota: Si tienes gusto de leerte la guía completa de cookies la última versión es la publicada en enero de 2024, la puedes descargar desde aquí: Guía cookies 2024 AEPD.

Google Analytics sin Cookies

Google Analytics fue una bendición para los webmasters y para el personal de marketing porque nos ofrece una herramienta gratuita genial para medir el tráfico y la optimización de nuestra web. Es tan buena, que nos cuesta vivir sin ella

EL PROBLEMA: «SIn Cookies no hay medición»

El RGPD y su estricta regulación del uso de cookies ha supuesto un trilema a los administradores de sitios web que quieren seguir utilizando las herramientas analíticas de Google.

1) Fastidiar la usabilidad: Pongo un banner gigantesco, bloqueo el contenido de detrás hasta que el usuario acepte o configure las cookies. (Como hacen las webs de importantes periódicos nacionales). Cumplo la ley, me aseguro que las mediciones son correctas pero estropeo la usabilidad de la web.

2) Falsear las mediciones: Pongo un banner más discreto y permito navegar sin que el usuario acepte o configure las cookies. Pero como molesto poco a los usuarios, no hacen click en «aceptar las cookies» y  como las cookies de medición de tráfico no saltan hasta que el usuario acepta. Cumplo la ley, pero los informes de tráfico se falsean, porque sólo reflejan un pequeño % del tráfico real.

3) Incumplir el RGPD: Paso de todo y dejo que la web cargue las cookies analíticas antes de que el usuario acepte y dé su consentimiento. Mido perfectamente el tráfico y puedo optimizar la web como siempre, pero me arriesgo a una sanción.

 

LA SOLUCIÓN: «Utiliza la Analítica sin cookies»

Shhhh. Google no quiere que lo sepas, (porque buena parte de su negocio se basa en estudiar nuestro comportamiento para proponernos la publicidad que más nos puede tentar), pero sí que es posible utilizar Google Analytics sin cookies. El desarrollador Helge Klein nos lo explica en este post (en inglés)

Básicamente se trata de modificar el comportamiento «por defecto» de Google Analytics., En vez de utilizar cookies con identificadores proporcionados por Google, generamos un identificador a partir de la IP, el agente del navegador, idioma y un intervalo de tiempo y utilizaremos ese identificador (no vinculado a datos personales) para el registro analítico de las acciones del usuario en el sistema de Google Analytics.

Haciéndolo así dejamos de utilizar cookies, Google perderá la capacidad de rastreo entre sitios, y gracias a ello respetamos los principios de privacidad recogidos en el RGPD, sin perder nuestra querida analítica.

Te explico cómo hacerlo:

En la web que quieras controlar, has de seguir utilizando el antiguo identificador de Google Analytics ( el que empieza por UA-) El sistema de medición de la última versión de Analytics (el que empieza por G-). Si no sabes cómo hacerlo aquí tienes un tutorial (en inglés): How to install google analytics 2020.

Si estás utilizando wordpress como gestor de contenidos de tu web, lo tienes fácil, Instala el plugin de Google Analytics sin cookies. Le pegas el código de seguimiento UA-*** y a funcionar.

Si estás utilizando otro sistema de gestión de sitios web, le has de añadir un script a la sección de cabecera <head> de tu web. El script que te indico funciona si el servidor tiene instalado php, de no ser así, busca cómo insertar dentro del código la dirección IP (linea 15 del código)

Este es el fragmento que has de insertar (Sustituyendo UA-******* por el código de tu propiedad)

Uso correcto de cookies analíticas

Las cookies son pequeños ficheros de texto que crea un sitio web en el terminal (PC, tablet, Smartphone…) y que sirven para distintas finalidades. Su uso está legislado y regulado dentro del  artículo 22.2 de la LSSI (Ley de Servicios de la Sociedad de la Información) que establece claramente que

Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

Es decir, que la norma general es que el sitio web sólo puede grabar cookies en la terminal del usuario tras haber obtenido su consentimiento después de haberles facilitado información.

La Agencia Española de Protección de Datos ha elaborado una detallada guía de uso de cookies accesible desde este enlace: Guía Cookies AGPD

En dicha guía, recoge, además del contenido de la ley, el dictamen 4/2012 del Grupo de Trabajo del Artículo 29  de la Dirección General de Justicia de la Comisión Europea.

La conclusión es que es admisible que el sitio web cree ciertas cookies sin solicitar permiso del usuario. Pero sólo las denominadas cookies exentas, que son las siguientes:
–    Cookies de entrada del usuario (por ejemplo las que conservan el carrito de la compra en una tienda online)
–    Cookies de sesión de autenticación o identificación de usuario (Las que permiten identificar que el usuario está registrado y ha introducido correctamente la contraseña, para poder mostrarle los contenidos de su zona privada)
–    Cookies de seguridad (por ejemplo las utilizadas para detectar intentos erróneos y reiterados de conexión a un sitio web).
–    Cookies de personalización de la interfaz de usuario (Ej: las que permiten recordar la elección de idioma del usuario)
–    Cookies de sesión de reproductor multimedia o para equilibrar la carga.
–    Cookies de complemento (plug-in) para intercambiar contenidos sociales.

Para cualquier otra cookies, con cualquier otra finalidad ES NECESARIO QUE EL SITIO WEB SOLICITE PREVIAMENTE EL PERMISO DEL USUARIO.

Unas de las cookies más utilizadas en España (y en muchos otros países) son las cookies analíticas de Google.  Pero estas cookies analíticas NO están dentro del grupo de cookies exentas y por tanto, es necesario obtener el permiso del usuario ANTES de grabarlas en su terminal.

Estas cookies analíticas de Google cubren una doble función:

–    A través de la zona privada del propietario de la web, permiten obtener información del número de visitantes, del origen de los mismos, del navegador que utilizan, del tiempo que permanecen en cada página, ect. Por lo que resultan muy útiles para los propietarios de los sitios web.

–    Para Google le dan información del comportamiento de los usuarios, lo que les permite afinar sus algoritmos publicitarios y obtener un mayor rendimiento económico de los anuncios que gestionan.

Pero el hecho de que Google, que controla información personal de muchísimos usuarios, tenga además información de sus hábitos de navegación, preferencias, etc , ha hecho saltar las alertas en materia de protección de datos.

De hecho, en la configuración por defecto del panel de Google Analytics, el propietario del sitio web comparte toda la información con Google, y salvo que se moleste en desactivar esta característica, puede estar incurriendo en una cesión ilegal de datos (Ver artículo previo en este blog:  http://www.adelopd.com/cookies-y-proteccion-de-datos/ )

Tanto es así que el gobierno alemán decidió en su día prohibir Google Analytics en las empresas alemanas, so pena de fuertes sanciones. http://www.adelopd.com/nuevo-tropiezo-de-google-en-alemania-por-la-privacidad/

¿Cómo saber si un sitio web está utilizando correctamente las cookies analíticas?
Veamos un ejemplo: Visitando el presente blog     http://www.adelopd.com

Utilizando el navegador Mozilla Firefox, entramos en Opciones-> Opciones
1)    Pinchamos en la opción “Privacidad”
2)    Pinchamos en el enlace “eliminar cookies de forma individual”

cookies_1

3)    Escribimos en el buscador la url del sitio. En este caso blog.adelopd.com y comprobamos que no encuentra ninguna cookie en el equipo porque no le hemos dado permiso -> CORRECTO

cookies_2

4)    Le damos permiso (Aceptamos el uso de cookies)

cookies_3

5)    Accedemos de nuevo a Opciones -> Opciones -> Privacidad y comprobamos que ahora sí nos ha grabado varias cookies

cookies_4

En concreto las analíticas de google que son _utma, _utmb, _utmc y _utmz, (Además de otra cookie de personalización, denominada cookie_compliance, que permite recordar que el usuario ya ha dado su consentimiento para no volver a pedírselo la próxima vez que navegue por el sitio.

¿Si quiero utilizar estas cookies analíticas, basta con utilizar un pop-up o un div flotante que informe del uso de cookies?
La respuesta es sencilla: Rotundamente NO.
No basta con “informar” de que le has grabado al usuario las cookies analíticas. La ley es muy clara y obliga a obtener el consentimiento ANTES de hacerlo.
El pop-up o div flotante no puede utilizarse para INFORMAR, sino para PEDIR PERMISO.  El matiz es importante, y las sanciones por incumplimiento leve de la LSSI pueden llegar a 30.000 euros. (Art. 39.1.c de la LSSI)

Cookies y protección de datos

El pasado viernes 26 de abril se celebró en el Teatro Real de Madrid la quinta jornada de puertas abiertas de la Agencia Española de Protección de Datos. El Director de la AGPD expuso que sin una adecuada protección de los datos personales, no hay confianza en las nuevas tecnologías, y sin confianza, no puede haber progreso.

El cuerpo central de la sesión versó sobre dos temas novedosos: El Cloud Computing, al que dedicaremos la próxima publicación y las Cookies, en la que nos vamos a centrar.

Las cookies son pequeños ficheros creados por un servidor web, y que se almacenan en el ordenador del usuario que accede al sitio. Algunas de estas cookies pueden representar un cierto riesgo para la privacidad de los usuarios, por lo que el propietario del sitio web está obligado a solicitar el consentimiento expreso del usuario antes de utilizarlas. El Grupo europeo de trabajo del artículo 29 elaboró un documento sobre los tipos de cookies y en cuáles de ellas se podía obviar el consentimiento. (Enlace al documento original)

Vamos a explicar varios casos:

COOKIES que no requieren solicitar previamente el consentimiento.

– Algunas cookies son necesarias para la navegación. Por ejemplo, cuando conectamos a la zona privada de un banco, para revisar nuestras cuentas, es necesaria una cookie de sesión, porque de no utilizarla, el sistema nos pediría nuestro usuario y contraseña cada vez que cambiásemos de página. Otro ejemplo de este tipo serían las que permiten que el sistema recuerde los artículos que hemos añadido al «carrito de la compra» en una tienda virtual.

– Otras que nos hacen la vida más cómoda, son las cookies de preferencias de interfaz, que recuerdan nuestro idioma al visitar un sitio web multilingue.

COOKIES que sí requieren el consentimiento informado del usuario

– Las cookies analíticas (propias o de tercero), que se utilizan para que el propietario de la web pueda realizar una serie de mediciones sobre la navegación en su sitio (tiempo de permanencia en cada página, tiempo de permanencia en el sitio, páginas más vistas, etc.)

– Las cookies de terceros utilizadas para la publicidad. Este tipo de cookies permite que las empresas de publicidad puedan elaborar un perfil sobre las preferencias, búsquedas y webs en las que navega un usuario, con la finalidad de ofrecerle la publicidad que mejor se adapte a sus gustos.

Esta nueva regulación de las cookies supone un problema para los portales web que obtienen ingresos publicitarios, pero también para las empresas que utilizan el servicio de analíticas de Google (Google Analytics) para estudiar el tráfico de su web. Si tu empresa utiliza este servicio es imprescindible que lo adviertas a los usuarios y además, QUE TE ASEGURES DE NO CEDER LOS DATOS A GOOGLE.

PRECAUCIONES CONVENIENTES SI UTILIZÁIS EL SERVICIO GOOGLE ANALYTICS.

La configuración por defecto de analytics hace que «compartas» con Google los datos de navegación. Sin ánimo de asustar, ten en cuenta que si no configuramos correctamente nuestra cuenta de analytics estaremos realizando una cesión de datos a un tercero (Google) sin el consentimiento del usuario, lo que puede suponer una infracción grave del reglamento, con sanciones de 40.001 a 300.000 €.

Para evitarlo debemos acceder al servicio de Google Analytics y seguir los siguientes pasos:

1) Pinchar en el botón «Administrador»
2) Pinchar en la cuenta que queremos cambiar o comprobar
3) Pinchar en la pestaña «Configuración de la cuenta»
4) DESMARCAR TODAS LAS OPCIONES DE COMPARTIR DATOS.
5) Pinchar en el botón azul «Aplicar»

configuracion-privacidad-analytics-1

configuracion-privacidad-analytics-2