¿Cumple tu web con la nueva la Guía sobre cookies?

¿Cumple tu web con la nueva la Guía sobre cookies?

¿Tienes cookies en tu web? ¿has puesto un banner y crees que cumples? ¿sabías que pueden sancionarte si no cumples con la normativa de cookies?

Las cookies se han vuelto una cosa seria.

En este post te voy a explicar en cristiano que dice  la nueva Guía sobre cookies y de cómo debes utilizar las cookies en tu web si quieres que todo esté correcto y que las dichosas cookies no te pongan en apuros.

La Agencia Española de Protección de Datos (AEPD) y las asociaciones ADIGITAL, Anunciantes, AUTOCONTROL e IAB Spain han presentado recientemente la Guía sobre el uso de las cookies,

Se trata de una actualización a la nueva normativa de la primera guía en Europa sobre esta materia elaborada conjuntamente por la autoridad de protección de datos y los representantes de la industria digital, así que esta servidora te ha preparado un resumen para aligerarte la faena.

Índice de contenidos

¿Las cookies son cosa del RGPD?

No solamente, la guía sobre las cookies  recogen las  obligaciones previstas en:

  • La Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI)
  • El Reglamento General de Protección de Datos (RGPD)
  • La Ley Orgánica 3/2018 de Protección de Datos y garantía de los derechos digitales (LOPDGDD).

Y es  aplicable a cookies y a otras tecnologías como web beacons o fingerprinting.

¿Que son los datos personales para una cookie?

Está claro que existe esta regulación porque se entiende que las cookies tratan datos personales, pero…

¿Que se considera un dato personal en el tratamiento de una cookie?

Se considerará que existe tratamiento de datos personales en la utilización de las cookies cuando el usuario esté identificado por un nombre o dirección de email que lo identifique (por ejemplo, por tratarse de un usuario registrado) o cuando se utilicen identificadores únicos que permitan distinguir unos usuarios de otros y realizar un seguimiento individualizado de los mismos (por ejemplo, un ID de publicidad o retargeting)

En definitiva, la normativa afecta fundamentalmente a las cookies utilizadas en campañas de marketing, esas que por ejemplo, utilizan datos de localización que se cruzan con  datos de carácter personal o intereses profesionales, o datos relacionados con la identidad individual física,

Estas cookies que tienen funciones de rastreo y que registran, almacenan o comparten comportamiento y preferencias de los usuarios están sujetas al RGPD y a toda su maquinaria sancionadora.

La base legal para este tipo de tratamientos llevados a cabo por las cookies es el consentimiento y es necesario tanto para cookies propias como de terceros.

No vale otra, ni el interés legítimo ni ninguna otra.

¿Todas las cookies requieren consentimiento?

Según la Guía sobre cookies,  hay algunas cookies que quedan exceptuadas de la obligación de requerir el consentimiento .

Entre ellas, estarían exceptuadas  las cookies utilizadas para alguna de las siguientes finalidades:

  • Permitir únicamente la comunicación entre el equipo del usuario y la red
  • Estrictamente prestar un servicio expresamente solicitado por el usuario

Dos obligaciones fundamentales en la Guía sobre cookies

La Guía sobre cookies analiza la necesidad de obtener el consentimiento informado del usuario antes de instalar las cookies, recogiendo tanto la obligación de transparencia en la información como el consentimiento en sí mismo. Esto significa que para que puedan utilizar cookies en una web, el responsable está obligado a proporcionar información preceptiva sobre las cookies y a obtener el consentimiento.

Por tanto, la utilización de las cookies debería ir acompañada por un consentimiento informado de los usuarios para tal utilización, de forma que los usuarios que entran en tu web, tengan la oportunidad de analizar la información y decidir si aceptan o no la utilización de las cookies de tu web, pero curiosamente, este consentimiento incluye la opción de «seguir navegando» que luego desarrollaré.

En síntesis:  si o si, necesitas advertir de las cookies que utilizas y requerir el consentimiento ANTES de instalarlas si quieres que tu web sea legal, este es uno de los requisitos, entre otros que explico en este otro post.

Primer requisito: Información

Ya sabemos que en materia de protección de datos, la transparencia informativa es básica.

Con las cookies también.

Es necesario mostrar toda la información (y tener consentimiento) antes del uso y la instalación de cookies en tu web y debe reunir algunos requisitos:

  • La información debe ser suficientemente completa y clara para que los usuarios entiendan sus finalidades y el uso.
  • La información o la comunicación debe ser también  concisa, transparente e inteligible.
  • Se deben evitar términos que induzcan a confusión.

La fórmula más sencilla para aplicar esto en tu web es el mecanismo de información por capas:

  • Información esencial en primera capa:

El pop up de advertencia con un sistema en el que el usuario pueda optar entre habilitar o no las cookies, o un enlace que conduzca a dicho sistema.

Ejemplo:

«Utilizamos cookies propias y de terceros para analizar nuestros servicios y mostrarte publicidad relacionada con tus preferencias en base a un perfil elaborado a partir de tus hábitos de navegación . Puedes obtener más información y configurar tus preferencias AQUÍ»

ACEPTAR-RECHAZAR

En este caso,  si no se pulsa el botón “Aceptar”, el usuario no está autorizando el uso de cookies (por lo tanto, no está legitimado el uso de cookies si el usuario no pulsa el botón para aceptar cookies y simplemente continúa navegando).


  • Información completa en la segunda capa: 

En la segunda capa, se debe facilitar información de forma transparente, clara y completa sobre todos los fines del tratamiento sobre:

  1. Definición y función genérica de las cookies.
  2. Información sobre el tipo de cookies que se utilizan y su finalidad
  3. Identificación de quién utiliza las cookies
  4. Información sobre la forma de aceptar, denegar, revocar el consentimiento o eliminar las cookies
  5. En su caso, información sobre las transferencias de datos a terceros países realizadas por el editor.
  6. Cuando la elaboración de perfiles implique la toma de decisiones automatizadas con efectos jurídicos para el usuario o que le afecten significativamente de modo similar.
  7. Periodo de conservación de los datos
  8. En relación con el resto de información exigida por el artículo 13 del RGPD que no se refiera de forma específica a las cookies (por ejemplo, los derechos de los interesados), el editor podrá remitirse a la política de privacidad.

Respecto al ejercicio de derechos: si el responsable del tratamiento no está en condiciones de identificar al interesado, podrá denegar la solicitud en los términos del artículo 12.2 del RGPD (excepto cuando el interesado en su ejercicio facilitara información adicional mediante la cual el responsable del tratamiento fuera capaz de realizar su identificación).

Muy importante: la guía ratifica lo que yo he discutido hasta la saciedad sobre la descripción de las cookies e indica que suficiente con identificarlos por su nombre o por la marca con la que se identifican de cara al público, sin incluir la denominación social completa.

Segundo requisito: Consentimiento

El consentimiento será conforme al RPGD.

Para cookies con diferentes finalidades se deberá cumplir con el consentimiento informado para todas ellas.

Consentimiento inequívoco

Esto es una de las novedades más sorprendentes: Vale fórmula de seguir navegando, que se entiende como una clara  acción afirmativa pero tiene que haber panel para rechazar todas las cookies que se expresa de la siguiente forma:

«para que la acción de continuar con la navegación pueda considerarse un consentimiento válido, el aviso deberá insertarse en un lugar claramente visible, de modo que por su forma, color, tamaño o ubicación pueda existir seguridad de que el aviso no ha pasado desapercibido para el usuario. Asimismo, será necesario, para que el consentimiento se considere otorgado, que el usuario realice una acción que pueda calificarse como una clara acción afirmativa. A modo de ejemplo, podrá considerarse una clara acción afirmativa navegar a una sección distinta del sitio web (que no sea la segunda capa informativa sobre cookies ni la política de privacidad), deslizar la barra de desplazamiento, cerrar el aviso de la primera capa o pulsar sobre algún contenido del servicio, sin que el mero hecho de permanecer visualizando la pantalla, mover el ratón o pulsar una tecla del teclado pueda considerarse una aceptación.

Como explicaba antes, si se utiliza el la primera capa el botón de ACEPTAR , esta fórmula de seguir navegando, no sería válida para obtener el consentimiento.

Solo sería válida si el pop up fuera así:

«Utilizamos cookies propias y de terceros para analizar nuestros servicios y mostrarte publicidad relacionada con tus preferencias. Si continúas navegando, consideraremos que aceptas
su uso. Puedes configurar o rechazar la utilización de cookies u obtener más información AQUÍ.»

Lo ideal para facilitar la selección y configuración de cookies, es que en este pop up se configuren  dos botones:

  • Uno para aceptar todas las cookies
  • Otro para rechazarlas todas, siendo esta opción recomendable cuanto mayor sea el número distinto de cookies que se utilicen.

Consentimiento explícito

Se deben insertar  botones de aceptar y rechazar para categorías especiales de datos también, es decir, el consentimiento debe ser específico.

Consentimiento de menores de 14 años

Según la propia Guía sobre cookies: En el caso de sitios web o servicios en línea específicamente dirigidos a menores, es conveniente recordar la necesidad de adoptar cautelas adicionales como son una mayor sencillez y claridad del lenguaje empleado.

«Tratándose de menores de 14 años, el responsable del tratamiento hará esfuerzos razonables para verificar que el consentimiento para el tratamiento de datos personales fue dado por el titular de la patria potestad o tutela, teniendo en cuenta la tecnología disponible y las circunstancias del tratamiento»

Un ejemplo para obtener este tipo de consentimiento de menores de edad sería el siguiente:

«Si tienes menos de 14 años, pide a tu padre, madre o tutor que lea este mensaje.
Utilizamos cookies propias y de terceros para saber cómo utilizas nuestro sitio web y hacer estadísticas. Más información.
Tu padre, madre o tutor puede pulsar “aceptar” si consiente que utilicemos todas las cookies, o configurarlas o rechazar su
uso AQUÍ.»

¿Cuánto dura el consentimiento obtenido?

En la guía sobre cookies, la agencia considera buena práctica que la validez del consentimiento prestado por un usuario para el uso de una determinada cookie no tenga una duración superior a 24 meses y que durante este tiempo se conserve la selección realizada por el usuario sobre sus preferencias, sin que se le solicite un nuevo consentimiento cada vez que visite la página en cuestión.

Debe ser igual de fácil retirar el consentimiento como obtenerlo

Según la Guía sobre cookies, para que tu web cumpla de forma satisfactoria con la norma, los usuarios deberán poder retirar el consentimiento previamente otorgado en cualquier momento. Para eso, deberás informar oportunamente a tus usuarios en tu política de cookies sobre cómo pueden retirar el consentimiento y eliminar las cookies.
El usuario debe poder revocar el consentimiento de forma fácil

Responsabilidades según la Guía sobre cookies

Todos los intervinientes tienen que colaborar en el cumplimento. El editor y los terceros tienen responsabilidad de informar al usuario sobre las finalidades y obtener el consentimiento Los CMPS facilitan el proceso.

Es interesante en este punto cómo la AEPD señala la figura no solo del encargado del tratamiento, sino del corresponsable: El/los que determinen los fines y medios son responsables del tratamiento que realizan. Cada responsable responderá del tratamiento concreto. Cabe la corresponsabilidad. Dependerá de la implicación en cada tratamiento La responsabilidad no es desplazable contractualmente.

¿Que pasa si no cumples con la Guía sobre cookies?

Te pasará lo mismo que a Vueling, quizás nos sean 30 mil en tu caso, pero el disgusto te lo llevas seguro.

¿Cómo adaptar la guía de cookies en tu web?

Lo primero, debes saber si el plugín que tienes instalado actualmente te permite cumplir con todas las exigencias.

En este vídeo, Antonio Cambronero, Blogging Researcher de @blogpocket, te explicará cómo saber si una web pasa la prueba del algodón del RGPD  y claro, la primera en pasar esa prueba ha sido mi propia web.

No te pierdas este hilo en Twitter si quieres aprender cómo adaptar técnicamente todos estos principios en tu web, cortesía de Santiago Alonso, @salonsoweb,  un astro  rey de WordPress que hace posible lo imposible y que consiguió que mi web y la de muchos de mi clientes cumplan con estos requisitos y tengamos las cookies en condiciones.

¿Quieres cumplir en tu web con los requisitos de la Guía sobre cookies?

 

Modelos de cláusulas informativas

Ya tienes una solución perfecta,

¿Necesitas plantillas para adaptar tu web, blog  o e-commerce? no te vayas, elige el Kit que mejor se adapte a tu web y hazte 100%legal.

 

Share on facebook
Facebook
Share on twitter
Twitter
Share on linkedin
LinkedIn
Share on whatsapp
WhatsApp
Share on telegram
Telegram

Suscríbete hoy

Convierte tu web en un

espacio confiable, seguro y 100% legal

13 respuestas

  1. Hola Marina, muy buen articulo. Una duda, si me uniera al porgrama de afiliados de Amazon, lei que se instala una cookie «de afiliados» que dura 24 horas cuando un usuario hace clic en el enlace a un producto, ¿como se debe tratar esta cookie?, ¿el usuario la rechaza desde el banner al entrar y desaparecer los productos de los textos, o tendria que insertar (si se puede) alguna advertencia que si se sigue el enlace del producto se insertara la cookie?, esto cuando aga clic en el, y una ultima, ya que esta cookie dura 24 horas,
    ¿deberia pedir el consentimiento todos los dias aunque sea el mismo usuario y agregar al registro de consentimiento cada vez que hacepte?

    Saludos.

    1. Hola Rubén
      Esa cookie debe ser tratada como cualquier otra cookie de terceros y de la misma manera que explico en el post, deberás advertir del tipo de cookies en una primera capa, en este caso, la de afiliados y no cargarla en el ordenador del usuario hasta que este no haya consentido su instalación. Respecto al almacenamiento del consentimiento, opera lo mismo, no hay nada específico para las cookies de afiliados diferente al resto de cookies publicitarias o de retargeting.
      Un abrazo

      1. Entonses, y solo para aclarar, algunas de estas cookies suelen durar 24 horas, 40 dias, 90 dias etc. poniendo el caso de las de 24 horas, pasadas estas, ¿necesito de nuevo el consentimiento del usuario y el registro de este cada vez que la cookie expeire? Cada 24 horas en el caso de este ejemplo.

        1. Hola Rubén:
          El usuario debe consentir la instalación de determinadas cookies . Las temporales o «de sesión» sólo duran mientras tenemos una sesión abierta en el navegador . Cuando la cerramos, desaparecen. Las permanentes o «persistentes» son las que se quedan almacenadas y son las que requieren un consentimiento específico.

          Si el usuario ha consentido su instalación , no se requiere un nuevo cosetimiento porque el navegador ya almacenó su elección.
          Espero que ahora todo este más claro.
          Un abrazo

  2. Hola Marina, una duda, en la información de la segunda capa, el punto 3 dice: información de quien utiliza las cookies, ¿Se refiere a nuestros datos como propietarios de la web, o a las empresas externas que generan las cookies, por ejemplo: google analytics, adsence , amazon, etc?

  3. Hola Roberto
    Se refiere a si la información obtenida por las cookies es tratada solo por el responsable de la web y/o también por terceros con los que el responsable haya contratado la prestación de un servicio para
    el cual se requiera el uso de cookies, con identificación de estos últimos.

    Un abrazo

  4. Hola Marina,

    Gracias en primer lugar por toda la información que compartes. Si no es molestia, me gustaría consultar si esta forma de no tener que pedir consentimiento sería correcta:

    Se trata de una web de afiliados que ahora mismo solo almacena 3 cookies:

    – Una de seguridad proveniente de Cloudflare que tiene que cargarse independientemente de que hay consentimiento o no porque es su razón de ser. A un ladrón no le das la opción de elegir si las casas que quiere robar deben tener cerradura o no jaja

    – Las dos de Google Analytics que se pueden desactivar. Esto conllevaría perder datos como tasa de rebote y usuarios recurrentes a no ser que reemplaces la ID que Analytics guarda como cookie por algo del lado del servidor que no almacena nada localmente. Se enviaría un hash cifrado que se regenera y cambia frecuentemente para que el tampoco pueda utilizarse para trazar un perfil del mismo usuario.

    Si la de Cloudflare es necesaria, Amazon guarda él las cookies cuando están en su web así que no soy responsable aunque avise de que son enlaces de afiliados y las de Google Analytics desaparecerían… ¿Entiendo que podría prescindir de pedir consentimiento? En caso afirmativo, ¿tendría que mantener el aviso de cookies por la de Cloudflare, pero sin consentimiento?

    Muchas gracias.

    1. Hola Javier, no llego a entender qué quieres hacer exactamente con lo de Analytics, ni siquiera sé si es viable técnicamente (o algo se me escapa) lo que está claro es que si no tienes cookies de analytics y solo tienes cookies necesarias o técnicas, desde mi punto de vista, no habría ningún problema, puedes omitir el banner de consentimiento pero deberías informar no obstante de esa circunstancia a los usuarios en tu política de cookies.

      Espero haberte ayudado,

      Un abrazo

      1. Muchas gracias Marina! Me queda mucho más claro 🙂

        Por si te interesa, lo que te comentaba es más o menos lo que explican aquí (tienen un plugin, pero no lo he probado): https://helgeklein.com/blog/2020/06/google-analytics-cookieless-tracking-without-gdpr-consent/#disabling-google-analytics-cookies-advanced-solution

        El ID de cliente no se almacena en el ordenador del visitante como cookie (ni como ninguna otra cosa) sino que se recrea a partir de IP, user agent, navegador y cualquier cosa que quieras usar para distinguir usuarios que tengan la misma IP. Cada vez que se carga una página si la combinación de esos factores es la misma, el hash también lo será así que sabes si es el mismo usuario el que estaba en la home que el que ahora está en otra página, pero sin almacenarle nada al cliente.

        También te evitas el problema de darle la IP a Google, que creo que solo le quita el último subgrupo. Todo es anónimo desde el inicio.

        Veo muchas páginas grandes y periódicos que aun teniendo los avisos te cargan las cookies nada más entrar, sin el consentimiento. Me arriesgaría a hacer lo mismo, pero seguro que Murphy anda por ahí y nos toca a los pequeños, así que todo el tinglado es para evitar tener que poner esos avisos que todo el mundo ignora y que si no aceptan me dejarían con unos Analytics cojos.

        Gracias de nuevo por arrojar claridad^^

        1. ¡Hola Javier! el incumplimiento con las cookies clama al cielo, es vergonzoso, haciendo que lo normal sea tenerlo de aquello manera y las cookies todas alborotadas pululando por allí, no hay ninguna cultura de respeto a la voluntad del dueño del dato que carga esa cookie.

          Gracias por toda esa información, me voy a poner a investigar, parece super interesante.

          Un fuerte abrazo

          1. No les ponen la mano encima no. Mientras tanto los peques seguiremos cumpliendo, que si no seguro que nos toca jaja

            Gracias por toda la ayuda^^

            Un abrazo!

  5. Hola! Muy útil tu post. He tratado de buscar el hilo que comentas de @salonsoweb pero no lo encuentro por Twitter.

    Escribo por que lo mismo puedes aclararme algunas dudas, actualmente tengo una web que monetizo con Amazon Afiliados y empleaba el plugin GDPR Cookie Consent. Por lo que he entendido en el artículo es necesario tener el consentimiento previamente a instalar las cookies de caracter más transaccional, pero como podemos comprobar si las cookies se instalan antes o después de dar el consentimiento?

    Y por último, más que una duda es una falta total de conocimiento sobre este tema, puedes recomendar algun plugin (o plugins) de WordPress cumplen con la nueva guía de cookies? He visto un video de Bruno Ramos hablando de Complianz, pero lo mismo existen opciones gratuitas.

    Perdón por el tocho 🙂 un saludo.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

He leído y acepto la política de privacidad. *

marinabrocca.com te informa que los datos de carácter personal que me proporciones rellenando el presente formulario serán tratados por Marina Brocca como responsable de esta web.

Finalidad de la recogida y tratamiento de los datos personales: responder a los comentarios enviados a través de la web.

Legitimación: Consentimiento del interesado.

Destinatarios: Hosting: Bitlabs Ingeniería de Software, S.L. Debes saber que mi hosting es 100% español y 100% seguro.

Derechos: Podrás ejercer tus derechos de acceso, rectificación, limitación y suprimir los datos en hola@marinabrocca.com así como el derecho a presentar una reclamación ante una autoridad de control.

El hecho de que no introduzcas los datos de carácter personal que aparecen en el formulario como obligatorios podrá tener como consecuencia que no pueda atender tu solicitud.

Información adicional: Puedes consultar la información adicional y detallada sobre Protección de Datos en mi página web: marinabrocca.com, así como consultar mi política de privacidad.