Cómo cumplir con la Ley de Cookies

Cómo cumplir con la Ley de Cookies y no morir en el intento

Esa es la consigna de este post, porque la dichosa ley de cookies es un verdadero quebradero de cabeza.

Quizás seas uno de los que ha puesto un  plugin para cookies en tu web. Crees que con eso ya cumples con todo el reglamento en materia de Sociedad de la información ( LSSI )y que tienes una web o un blog  perfectamente legal. Esto, aunque pueda resultarte tranquilizador ahora mismo, no te sirve absolutamente para nada.

Lo que todos conocemos cómo Ley de cookies , en realidad se refiere a un apartado de la LSSI.L  La citada LSSI  es la que regula todas las actividades comerciales que se realicen por medios electrónicos.

Justamente hoy me escribió un profesional pidiendo presupuesto para adecuar su web a la LOPD y a la LSSI. El caso es que el buen hombre no tenía muy claro si debía cumplir o no ya que según le habían explicado los eruditos maestros del diseño web, si no era un e-commerce, no debía cumplir ninguna Ley, ni siquiera la LOPD aunque tuviera un formulario de suscripción, eso tampoco, porque quienes se ocupaban de cumplir eran las plataformas de mail marketing. Tócate las narices.

Espero que tú no tengas cerca a ningún erudito de estos, pero por si acaso no lo sabes, te lo pondré muy fácil.

Lo cierto, es que son muy pocos los humanos de la bloggfera que saben que esta exigencia no es una Ley sino un apartado en la  LSSI que se refiere a la Ley de cookies.

Pero para casi todos los demás, cumplir con la mal llamada “Ley de cookies” es poner un plugin con un pop-up y a correr. Los avisos de advertencia de las cookies están en casi las todas web, incluyendo las que no lo necesitan.

Pero como lo vemos en todas partes, pues ponemos el plugin y dormimos tranquilos, nuestra web ya es legal.

Alma de cántaro.

En cualquier caso, empecemos por el principio:

¿Quienes están obligados a cumplir con la LOPD?

Todas las personas, empresas y entidades públicas y privadas que utilicen cualquier dato personal en el desarrollo de sus actividades.  Por tanto, si tienes un formjulario de suscripción o contacto que recabe datos personales, debes cumplir la LOPD.

¿Quienes están obligados a cumplir con la LSSI?

Las personas que realicen actividades económicas por Internet u otros medios telemáticos (correo electrónico, televisión digital interactiva…), siempre que:

• La dirección y gestión de sus negocios esté centralizada en España o,
• posea una sucursal, oficina o cualquier otro tipo establecimiento permanente situado en territorio español, desde el que se dirija la prestación de servicios de la sociedad de la información.

Es bastante más complicada la cosa y he tenido que comerme demasiadas uñas para exponerte las conclusiones que siguen sobre las dichosas “cookies”.

La  “Ley de cookies” (como te expliqué es en realidad  un apartado de un artículo de una Ley),  obliga a todos los que tenemos un blog o una web a advertir al usuario de su existencia y requerirle permiso para descargarlas.

 La Ley de Cookies obliga a informar de manera clara, completa y previa a la instalación de cookies, de forma que se pueda obtener el consentimiento informado del usuario antes de ser descargadas.

Pero no basta con informar de su presencia, también hay que describir las características y funcionalidades de cada una de ellas y como si eso ya no fuera del todo complejo, la norma exige también bloquear las cookies hasta haber obtenido el consentimiento del usuario.

¿Quienes deben cumplir con la ley de cookies?

La ley de Cookies es de obligado cumplimiento para todas las  empresas y profesionales con página web o blog  y otros prestadores de servicios de la sociedad de la información, siempre que cumplan al menos uno de los requisitos siguientes:

• Estén establecidos en España (residencia o domicilio social en España, inscripción en Registro Mercantil…).
• Estén establecidos fuera de España pero dirijan sus servicios específicamente al territorio español.
• Otros casos: Artículo 2 de la Ley 34/2002

¿Es posible cumplir con ese requisito legal sobre cookies?

Vayamos a lo que dice la normativa:

“Artículo 22.2 de la Ley 34/2002. Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal”.

Si quieres saber más sobre como cumplir el reglamento, te recomiendo el post de Pablo Burgueño que lo explica de fábula.

En resumidas cuentas, los pasos serían los siguientes:

1. Debes advertir primero en una primera capa (pop-up-banner de la presencia y tipo de cookies que descarga tu web.
2. Informar detalladamente en una segunda capa (enlace a política de cookies)  sobre que son las cookies,  el tipo de cookies que descarga tu web, la finalidad y duración de cada una de ellas
3. Pedir el consentimiento: después de haber recibido la información, el usuario, si quiere, puede decidir o no aceptar las cookies. Debes darle la oportunidad al usuario para salir de la web sin que se le hayan instalado cookies, es decir, tenerlas quietecitas y amarradas hasta que el usuario te dé su permiso y luego abrir el grifo de las cookies para que se explayen el en ordenador del usuario.

Lo que deberías informar

• Qué es una cookie
• Para qué usa cookies el sitio web (es recomendable usar ejemplos)
• Qué cookies en concreto se le van a instalar
• Dónde conseguir más información sobre las cookies
• Cómo  gestionar y desactivar  las cookies

Básicamente, eso dice la LSSI (Ley de la sociedad de la información y el comercio electrónico) sobre las cookies.

Algo muy sencillito vamos.

Para mí ha sido un quebradero de cabeza lo de intentar dar cumplimiento a algo que me parecía más complicado que descifrar el algoritmo de Risch y sin exagerar.

Nacho San Martin ‏@SMNacho  1

En la práctica, como muchas cosas en este campo, imposible de aplicar literalmente.

También existen muchos mitos relacionados con las cookies que te invito a descubrir y que debes desterrar.

Intento explicarlo de manera doméstica la complejidad del asunto:

Intentar detallar todas las cookies empleadas por una web es como pretender secuenciar por orden y duración a todas las parejas de Kiko Rivera, muchas se superponen, otras nunca existieron, otras existieron fugazmente, otras jamás las conoceremos.

Una exigencia molesta e inútil para los usuarios que, además, pocos cumplen bien Susana González R @SusanaCyZ

En su gran mayoría dependen de terceros, por ejemplo:

• Cookies de Google Analytics: Permiten analizar el tráfico de la web.  __utma, __utmb, __utmc, __utmz
• Cookies de WordPress: Permiten analizar el tráfico de la web. Cookie: __qca
• Cookies de Google Maps: Permiten insertar un mapa en la web.  NID, PREF, SNID, Khcookie
• Cookies de YouTube: Permiten insertar vídeos en la web. PREF, VISITOR_INFO1_LIVE, use_hitbox, YSC
• Cookies de Google Adsense: Permiten mostrar publicidad en la web.  PREF

Estas cookies pueden variar cada vez que subimos un vídeo de youtuve a nuestra web o volcamos contenidos de terceros.

Por tanto, cuando alojamos nuestra web en plataformas de terceros o utilizamos servicios como YouTube la instalación de cookies:

• No es constante.
• Ni estable.
• Ni predecible.

Nunca podremos saber con rigor las cookies en uso ni cómo funcionan ni que información contienen.

Nunca lo será. Ni puede serlo.

Javier Sempere ‏@fjavier_sempere 

La norma nunca estuvo clara y se optó por algo que fuese lo menos molesto, aunque lo siga siendo.

¿Entonces, se puede cumplir con la ley de cookies?

Como no quiero que pienses que yo le tengo manía a cookies o que soy una especie de fundamendalista anti cookies, he convocado a un grupo de expertos tecnológicos y legales a debatir sobre esto.

Samuel Parra © ‏@Samuel_Parra 

Yo siempre he dicho que esa «ley» era un absurdo y que de hecho nos hace menos competitivos.

¿A quién le importa?  (que decía la canción..)

“Sí, sí, pensadlo bien. Como también pensaba una colega, ¿a quién le importa de verdad quién pasa por aquí, cuántas veces pasa, cuánto tiempo se queda viendo el escaparate de “mi tienda” (lo único que es “mío” en todo este jardín, por cierto), desde qué dispositivo se recrea mirando lo que hago, desde qué navegador lo hace, etc..?

Desde luego, a quienes nos cuestionamos la imposibilidad de cumplir con la llamada ley de cookies, no. Y es que la mayoría de nosotros (los de pequeño tamaño y férreo empeño de llaneros solitarios en el cumplimiento de la LOPD-LSSI) sólo queremos hacer y vender nuestro trabajo y que nos vean, nos lean ¡nos entiendan!

Si nuestro negocio no es el de los grandes, si no es el manejo de enormes cantidades de información, si no es husmear en todos esos hábitos que a ellos sí les interesan..  entonces, ¿qué hacemos contando historias con las que no estamos de acuerdo, en las que no creemos y que una vez más -para variar-  no son como quieren que contemos?

Cansada de impedimentos inútiles, dedico esta reflexión a quienes, trabajando y cuestionando, se encuentran con “imposibles” y los torean. A quienes, como yo, no hacen actos de fe con los negocios y las leyes”   

Rosa Fernàndez, Consultora Senior. COO  FUTURA SOLUCIONES | CRM FUTURAPPS 

Pablo Cruz Angón, Consultor e-commerce, marketing online, Proyectos Tecnológicos e Innovación Digital tiene una opinión muy clara y robusta sobre las cookies:

“Las cookies son finalmente ficheros en los que se guarda información dentro del ordenador de una persona. Esto es lo primero, que tanto una persona como un abogado debe entender, a partir de esto reglamentar pareciera simple, sin embargo, con los millones de personas que hay en Internet, los cientos de miles de sistemas puede ser de una complejidad absoluta, tanto para los prestadores del servicio (páginas web) como molesto (para los usuarios finales).

Las cookies se aceptan cientos de miles de veces, si cambiamos de ordenador o si no las tenemos activadas, nos parece triste la personalización; no nos llaman por nuestro nombre, no nos muestran los últimos productos vistos. Somos realmente anónimos.Sin embargo, cuando empezamos a reglamentar el poner “cara” y “ojos” a una cookie queremos cerrar las posibilidades. En muchos países existe el DNI o algún número que nos identifica, esto es en el fondo, la primera cookie análoga. Puedo recordar que hace mucho tiempo, y aún hoy, en México no hay DNI porque entonces “el gobierno nos controla”.

Como cualquier tipo de identificación: una cookie, un DNI, o nuestro nombre puede ser utilizado mal e infringir la ley, pero hasta ahora, en muchos casos, nos ha facilitado cierta ordenación, cierta mejora en muchos aspectos de información compartida. Me parece que en el fondo, como siempre ha pasado, las leyes se pueden cumplir, de hecho podrían no existir y ser sólo Códigos Éticos, pero como suelen decirme, “eres ingenuo”. La pregunta es:

¿Hay alguien empresa, gobierno que lo cumplirá sin una obligación de por medio?”

¿Puedo conseguir ser honesto con mis cookies?

Veamos. Auditas concienzudamente tus cookies y las vuelcas en tu política de cookies.

El caso es que esa lista raramente permanecerá establece dado que muchas de estas escapan a tu control, como pueden ser las cookies de WordPress o Google que a medida que actualizan sus cookies, actualizan también las cookies que descargan. Por tanto, es extremadamente complejo predender cumplir a rajatabla esa norma.

Ese es el motivo que haya tan escasos ejemplos de cumplimiento riguroso del reglamento de las cookies, la mejor manera de cumplir con el reglamento es no utilizar cookies, como hace la propia Agencia Española de Protección de Datos.

 “El tema de las cookies es un mundo desconocido y con mucha niebla, así que vete tú a saber cómo se gestó.  Si ya es complicado que un usuario se lea el aviso legal de una web (y lo entienda), si aún es más complicado que se lea la cláusula LOPD (y la entienda)…

¿Cómo queremos que se interese por saber qué cookies usa la web que visita y que encima lo comprenda?.

En esto tanto «técnicos» como «legales» tenemos que hacer frente común y entendernos. Para mí es muy complicado a veces adivinar lo que hace una cookie (que es el paso uno) y no te digo ya «traducirlo» para que el que se pare a leer mi explicación, la entienda (paso dos). Creo que la idea de obligar a informar de las cookies es algo bueno pero, como casi siempre pasa, empezamos la casa por el tejado.

Además, ojo, que las cookies están ahí pero no están solas: ¿ cuántos usuarios saben lo que son los web beacons y las implicaciones que tienen para su privacidad? Ahí lo dejo.. 

Iurifriki, de LOPDeando y LSSIando

Las cookies de mi casero y las del vecino también

Como ya te he contado, muchas de las cookies que descarga cualquier blog o web dependen de terceros. Muchas de las cookies de terceros, como Google Analytics o WordPress, Mail Chimp, AdSense, etc escapan a nuestro control, pero no obstante, la legislación establece que el responsable es el administrador del dominio o web.

Da igual que no dependan de ti ni puedas controlarlas, tu eres el responsable, y eso incluye las páginas en facebook, un enorme caudal de cookies descontroladas y controladoras, así que atención si tienes página de empresa en facebook.

Según la regulación actual sobre cookies, en el caso de entidades que miden y/o analizan el comportamiento de la navegación de los usuarios en la página web de un editor, actuando en su nombre y representación, a través del análisis de los datos obtenidos con la utilización de las cookies con la finalidad de mejorar el servicio que presta el editor y que se denominan “cookies de terceros” (cookies que son enviadas al equipo terminal del usuario desde un equipo o dominio gestionado por la propia entidad que realiza el análisis de los datos como es el caso , deben cumplirse dos requisitos obligatorios:

•  el deber de información
• la obtención del consentimiento.

Por consiguiente, la información sobre las cookies facilitada en el momento de solicitar el consentimiento debe ser suficientemente completa para permitir a los usuarios entender la finalidad para las que se instalaron y conocer los usos que se les darán. En el caso de que un usuario preste su consentimiento para el uso de cookies, la información sobre cómo revocar el consentimiento y eliminar las cookies deberá de estar a su disposición de forma accesible y permanente.

En definitiva, cuando se empleen cookies de terceros para alguna o algunas de las finalidades no exentas, tanto el editor como las otras entidades intervinientes en la gestión de las cookies tendrán la responsabilidad de garantizar que los usuarios están claramente informados acerca de las cookies y de las finalidades para las se trataran y de obtener el correspondiente consentimiento.

Yo por ejemplo, cuando redacto una política de cookies, siempre informo de las utilidades prestadas por terceros y remito a su correspondiente política de cookies.

Herramientas para el cumplimiento de la ley de cookies

Tenía varias que he ido quitando a medida que dejaron de actualizarse, a fecha de hoy, solo conozco una que a fecha de hoy funciona y permite el cumplimiento completo de la Ley de cookies y al parecer la instalación no requiere de mucha complejidad.

• Wolf Software

Conclusión ¿es posible aplicar la ley de cookies?

Abogo ciertamente por la transparencia, eso es irreductible, y también por la autodeterminación, pero para que sea efectiva la transparencia y la autodeterminación debe ser comprensible y útil para el usuario.

 Desde esa autoderminación, y desde mi modesta opinión, cada usuario debería ser responsable de configurar sus navegadores según su preferencia de navegación y decidir si quiere o no que las páginas descarguen cookies o bloquearlas por defecto.

Por otra parte, obligar a todos los prestadores de la sociedad de la información a informar sobre algo que la mayoría de los usuarios no comprenden no parece ser muy razonable.

Tampoco parece razonable obligar a simples bloggeros que solo desarrollan contenidos y que no tienen ninguna intención de utilizar ninguna información procedente de una cookie.

Por otra parte, imponer restricciones que técnicamente presentan una dificultad mayúscula para la mayoría de los mortales supone una amenaza para la competitividad.

Todas las leyes deben ser comprensibles, aplicables y fundamentalmente, defender derechos. La actual Ley de Cookies tiene muchos agujeros negros en este sentido y hasta que no sea más terrenal, dudo que haya web que pueda aplicarla de modo riguroso.

¿Sirve de algo una regulación que es inoperativa o impracticable?

Samuel Parra hablaba en su blog de esta complejidad y señalaba que ni siquiera quienes crearon la regulación de las cookies (la administración)  la cumplía.

“Algo peor que una “ley” absurda es una ley absurda que no se aplique a quien la crea; la conocida como “ley de cookies” que impone obligaciones de cierta complejidad técnica incluso a simples blogs personales que tengan publicidad bajo la amenaza de fuertes sanciones, resulta no ser de aplicación con carácter general a las webs de la Administración Pública”