Los nuevos cambios en las cookies según la AEPD

cambios en las cookies

¿Qué está pasando con las cookies? ¿Qué es todo este revuelo?

La Agencia Española de Protección de Datos (AEPD) puso como fecha tope el pasado 11 de enero de 2024, para aplicar los cambios publicados en la  Guía sobre el uso de cookies

Estos cambios afectan a todos los propietarios de sitios web que utilizan cookies de terceros, asi que si es tu caso y no quieres agobiarte con las multas, sigue leyendo.

¿Qué ha cambiado con las cookies?

Los cambios más relevantes de la nueva guía de la AEPD son los siguientes:

Información por capas y consentimiento

 La AEPD destaca la importancia de presentar las acciones de aceptar o rechazar cookies de manera destacada y en el mismo nivel.

El banner de cookies deberá contener obligatoriamente dos botones equivalentes: uno para aceptar las cookies y otro para rechazarlas.

Ya no es válido utilizar «ACEPTAR/CONFIGURAR» ya que se prohíbe el diseño de banners webs orientado hacia la aceptación de cookies y se requiere un enfoque equitativo en la presentación de los botones: en tamaño, posición y colores. También se prohíben mecanismos engañosos que puedan llevar a un consentimiento involuntario.

Cookies de personalización

 Se especifica que si el usuario toma decisiones de forma voluntaria para personalizar su experiencia de navegación (idioma, moneda), son cookies técnicas y no necesitan consentimiento. En caso de que estas cookies quieran utilizarse por el responsable de  la web para otros fines (e.g., estadísticos, de marketing, etc.), seguirá siendo necesario el consentimiento del usuario.

Panel de configuración

La guía permite la integración del panel de configuración en la segunda capa del banner de cookies, siempre que el acceso sea directo y esté a un solo clic. Se recomienda incluirlo solo cuando se utilicen cookies para más de una finalidad, para simplificar la experiencia del usuario. Por eso, si sólo tienes un tipo de cookies, no tiene ningún sentido incluir el botón de configuración.

«Pay or Okey», el botón de pago

Este es el cambio más polémico  y dónde más consultas he recibido.  La nueva versión aclara que el acceso a la web y sus funcionalidades no puede condicionarse al consentimiento de cookies. Se debe ofrecer una alternativa de acceso sin necesidad de aceptar cookies, y esta alternativa no necesariamente debe ser gratuita.

Es esta la razón y la matización legal a la que han agarrado muchísimos medios para cobrar por rechazar cookies, al  tener que armonizar botones y tener que ofrecer una opción de navegación sin cookies, cobrar es un recurso que les vino de perlas para seguir colocando cookies a quién no quiera pagar.

He de añadir que no me parece una forma aceptable de equipar el consentimiento al rechazo, más bien, es una manera de inclinar y forzar al usuario hacia la aceptación, pero poco importan mis opiniones a las autoridades 😜

Guardado de la configuración de cookies

En el panel de configuración, se destaca la importancia de que el usuario comprenda cómo guardar su configuración y por cuánto tiempo. Se prohíben las opciones premarcadas en cualquier caso.

Recomendaciones prácticas para tus cookies

Si tienes un sitio web que utiliza cookies de terceros, te recomiendo que revises su configuración para asegurarte de cumplir con los nuevos requisitos de la AEPD. Aquí tienes algunas recomendaciones:

  • Actualiza tu banner de cookies: Asegúrate de que el banner de cookies de tu sitio web cumpla con los nuevos requisitos de la AEPD. Debes incluir dos botones equivalentes para aceptar o rechazar cookies, y los botones deben tener el mismo tamaño, posición y colores. También debes evitar utilizar mecanismos engañosos que puedan llevar a un consentimiento involuntario.

  • Revisa el uso de cookies en tu sitio web: Revisa el uso de cookies en tu sitio web para asegurarte que obtienes el consentimiento del usuario de forma adecuada y suspendes la carga de estas cookies hasta que el usuario no las acepte.

  • Ofrece una alternativa de acceso sin cookies: Si utilizas cookies de terceros, debes ofrecer una alternativa de acceso sin cookies. Esta alternativa no necesariamente debe ser gratuita (aunque esta opción a mi no me guste nada)

  • Explica cómo guardar la configuración: En el panel de configuración de cookies, explica al usuario cómo guardar su configuración y por cuánto tiempo. También debes evitar que las opciones estén premarcadas.

Si necesitas ayuda para cumplir con los nuevos requisitos de la AEPD, puedes encontrar plantillas de textos y banners en mis el KIT DE PLANTILLAS.

Gestores de consentimiento o CMP para la gestión de cookies

Google exige que los CMP que utilicen los editores de sitios web que utilizan Google AdSense, Ad Manager o AdMob cumplan con los siguientes requisitos:

  • Debe estar certificado por Google. Google cuenta con un programa de certificación para CMP que garantiza que cumplen con sus requisitos. Para obtener la certificación, los CMP deben cumplir con una serie de requisitos técnicos y legales.
  • Debe incorporar el Marco de Transparencia y Consentimiento (TCF) de IAB. El TCF es un conjunto de normas que establecen cómo los editores de sitios web deben obtener el consentimiento de los usuarios para el uso de cookies. El TCF incluye una serie de categorías de cookies, cada una de las cuales requiere un tipo de consentimiento diferente.
  • Debe permitir a los usuarios dar su consentimiento de forma granular. Los usuarios deben poder dar su consentimiento para cada categoría de cookies, o para categorías de cookies específicas.
  • Debe permitir a los usuarios revocar su consentimiento en cualquier momento. Los usuarios deben poder revocar su consentimiento para el uso de cookies en cualquier momento, de forma sencilla y efectiva.

En el mercado existen muchas soluciones adaptadas a los requerimientos de la RGPD para solicitar el consentimiento de los usuarios.

La primera, gratuita, y más fácil de usar es la que ofrece el propio Google para los editores que moneticen con Adsense. Basta con crear y activar el módulo dentro del menú «Privacidad y mensajes» de tu cuenta. Te dejo este tutorial actualizado de Bruno Ramos

Importante: este CMP solo recoge el consentimiento para las cookies publicitarias. Si quieres bloquear otras (Analytics, píxeles de seguimiento etc.), deberás hacer una integración con su API ,aqui las indicaciones.

Si solo usas Analytics, o Adsense y Analytics, entonces puedes usar el CMP gratuito que ofrece Sirdata, que tiene soporte para el TCF 2.2 que exige Adsense, y es compatible con Google Consent Mode (Tag Manager, Ad Manager, Google Ads).

En este tutorial de Bruno Ramos puedes ver cómo configurarlo rápidamente:

Por último, una de las soluciones más populares para WordPress es el plugin Complianz . Tiene una versión gratuita que sirve para la mayoría de casos (puedes integrar scripts y proveedores para bloquear sus cookies), pero deberás usar la versión de pago si:

☑️Monetizas con Adsense (la que incluye el soporte TCF 2.2)
☑️Si quieres geolocalizar el mensaje solo a usuarios de la Unión Europea (y no mostrarlo a todos los visitantes)

Si quieres probar otras soluciones, en este artículo de ayuda tienes una lista de todos los CMP certificados por Google compatibles con Adsense.

Conclusión

Los nuevos cambios en la gestión de cookies son importantes para cumplir con la ley y evitar sanciones.

Si tienes un sitio web que utiliza cookies de terceros , te recomiendo  que revises su configuración para asegurarte de cumplir con estos nuevos requisitos y poner tu web a  salvo de multas y sanciones.

Suscríbete hoy

Convierte tu web en un

espacio confiable, seguro y 100% legal

marinabrocca.com te informa que los datos de carácter personal que me proporciones rellenando el presente formulario serán tratados por Marina Brocca como responsable de esta web.

Finalidad de la recogida y tratamiento de los datos personales:gestionar el alta a esta suscripción y remitir boletines periódicos con información y oferta prospectiva de productos o servicios propios.

Legitimación: Consentimiento del interesado.

Destinatarios: MailerLite. Ver política de privacidad de MailerLite.

Derechos: Podrás ejercer tus derechos de acceso, rectificación, limitación y suprimir los datos en hola@marinabrocca.com así como el derecho a presentar una reclamación ante una autoridad de control.

El hecho de que no introduzcas los datos de carácter personal que aparecen en el formulario como obligatorios podrá tener como consecuencia que no pueda atender tu solicitud.

Información adicional: Puedes consultar la información adicional y detallada sobre Protección de Datos en mi página web: marinabrocca.com, así como consultar mi política de privacidad.

Facebook
Twitter
LinkedIn
WhatsApp
Telegram

9 comentarios

  1. Hola Marina, buenas noches:
    El año pasado te compré un kit de plantillas porque me preocupo mucho de que mi blog cumpla con las leyes, en este caso de privacidad y de cookies. El problema que tengo es que mi blog está alojado en WordPress.com y respecto al tema de cookies apenas puedo modificar lo que viene por defecto.
    Sale el banner con un texto (modificable) y un botón de Cerrar y aceptar (pero no dos botones de aceptar y rechazar o de configuración). En el texto sale el enlace a la pagina de política de cookies de Automattic (la empresa que lleva WordPress.com) donde sale un segundo banner. En este banner sí que indica que usa cookies y que se pueden configurar y dos botones, uno de aceptar todo y otro de configurarlas.
    Si le das a configurarlas, te salen cookies necesarias, analíticas y de publicidad, estando premarcadas las analíticas.
    No sé si esto cumple con las nuevas disposiciones legales, entiendo que no, pero no estoy segura. He escrito en el foro de wordpress.com pero no me dan ninguna respuesta. No se que hacer excepto cerrar mi blog pero llevo muchos años con él y me disgustaría mucho hacerlo.
    Te agradecería si me pudieras dar tu opinión sobre si cumple o no con la ley.

    Muchas gracias y saludos,

    Milagros

    1. Hola Milagros,
      Gracias por comprar mis kits, espero que te hayan ayudado con el cumplimiento.

      Sobre tu pregunta: El RGPD requiere que los usuarios den su consentimiento informado antes de que se almacenen cookies en sus dispositivos. El banner inicial que mencionas parece cumplir con este requisito al proporcionar información sobre el uso de cookies y un botón para aceptar.

      El botón de cerrar/aceptar es problemático, el usuario debe tomar una decisión de aceptar o rechazar, cerrar no es una opción válida. La presencia de un solo botón para aceptar es insuficiente según las directrices actuales, que sugieren la inclusión de opciones claras para aceptar y rechazar las cookies, así como la posibilidad de configurarlas.

      Lo que haya cookies premarcadas por defecto tampoco es admisible legalmente.

      Enlace a la política de cookies: El enlace a la página de política de cookies de Automattic es esencial, pero asegúrate de que la información proporcionada sea clara y completa.

      Debes contactar con Automattic para que te den una opción de cumplimiento, seguramente tienen algo para poder solucionarlo, y si no, el plugin Complianz de gestión de cookies es apto para WordPress y gestiona perfectamente las cookies.

      Espero haberte ayudado.

      Un abrazo

  2. Gracias Marina, tus explicaciones siempre son de mucha ayuda.
    En lo referente al color de los botones, creía haber entendido que no tienen por que ser iguales. En mi caso lo he puesto en gris más claro, pero al mismo nivel, tamaño y forma. Es correcto?
    Un saludo

    1. Lo importante es no inclinar al usuario hacia la aceptación y que ambas opciones sean equitativas, si el botón de rechazo se ve peor que el de aceptación, podría considerarse engañoso, si no, no habría problema.

      Un abrazo

  3. Buenos días. Como siempre, excelente contenido en esta web que conocí hace ya un tiempo. Primero, te felicito por todo el contenido que publicas que es importantísimo sobre la legalidad de las webs.

    El otro día me surgía una duda sobre un tema que no he visto, y es sobre los servidores de chat en webs ajenas. Es decir, la duda es:

    Si una web ajena que no cumple el RGPD inserta un código de webchat para que los usuarios accedan a un servidor de chat que es mío mediante esa web y yo desde un grupo de Facebook, publicito esa web en un enlace directo a ella donde se accede a dicho código para entrar a mi chat, ¿la responsabilidad es de la web que inserta el código aunque el servidor de chat sea mío? ¿o estaría yo también incumpliendo? Con el código de webchat, aparecería en la web el campo de nombre de usuario y contraseña para entrar al servidor de chat que sería mío, pero si está en una web ajena que no cumple el RGPD, pues me surgía esa duda.

    Es que no he visto información sobre RGPD sobre el tema de los chats.

    ¡Muchas gracias!

    1. Gracias por tus palabras y por la valoración de mi trabajo.

      En el escenario que describes, la responsabilidad por el cumplimiento del RGPD recae tanto en la web que inserta el código de webchat como en ti, como propietario del servidor de chat y me explico:

      Al integrar el código de webchat se recopilan datos personales de los usuarios, como el nombre de usuario y la contraseña para acceder al chat.
      Si la web no cumple con el RGPD, la recopilación y el tratamiento de estos datos son ilegales.
      En tu caso, eres el responsable de la seguridad y el tratamiento de los datos personales que se recopilan a través de tu web y del servidor de chat porque al permitir que tu código de webchat se integre en una web que no cumple el RGPD, estás facilitando la recopilación ilegal de datos personales.

      Mi recomendación:

      Antes de permitir la integración del código de webchat, asegúrate de que la web cumple con el RGPD. Puedes solicitarles información sobre sus políticas de privacidad y seguridad de datos.
      Implementa medidas en tu código de webchat para garantizar la seguridad y la protección de los datos personales, como la encriptación de datos y la minimización de la cantidad de datos recopilados.
      Informa a los usuarios: Informa a los usuarios de tu chat sobre cómo se recopilan y utilizan sus datos personales, lo puedes hacer en tu política de privacidad, y obtén su consentimiento explícito antes de iniciar cualquier tratamiento de datos.

      1. ¡Muchas gracias por la explicación tan clara!

        Lo que pasa es que ese código de webchat, puede obtenerse por otra web ajena que es un generador de códigos, y cualquier persona puede generarlo con mi servidor de chat y ponerlo en su web aunque yo no quiera que lo pongan, entonces ya ahí no dependería de mí.

        Hace tiempo compré tus kits y me vinieron geniales. Lo que hice fue, adaptar mi web con ellos, y para el acceso a mi chat mediante mi web, había puesto ese acceso sólo para usuarios registrados (los no registrados no podían verlo), y el usuario que se registraba en mi página (que está hecha en WordPress), tenía que aceptar la Política de Privacidad y los Términos y Condiciones, y una vez registrados, les aparecía el acceso al servidor del chat, pero si alguien en una web ajena inserta ese código, no puedo hacer nada, por eso imaginaba que ahí el responsable era sólo la otra persona, porque ahí no dependía de mi.

        Ya si me aclaras esto último, se me resuelven todas las dudas con respecto a los chats.

        ¡Gracias una vez mas por ayudar siempre a los usuarios y por los Kits que son super sencillos de utilizar!

        1. Como te decía en mi respuesta anterior, en el contexto del Reglamento General de Protección de Datos (RGPD), es importante entender que, como responsable del webchat, tienes la obligación de implementar medidas adecuadas para garantizar la protección de los datos personales de los usuarios que interactúan con tu webchat.

          En el escenario que describes, donde tu código de webchat puede ser obtenido por terceros y utilizado en sus propias páginas web sin tu consentimiento, sigue existiendo una responsabilidad por parte del responsable del tratamiento de datos, que en este caso eres tú.

          Aunque no puedas controlar directamente cómo otros utilicen tu código de webchat, aún tienes responsabilidades en términos de protección de datos. Aquí hay algunas consideraciones importantes:

          Seguridad del código: Deberías asegurarte de que tu código de webchat esté diseñado con medidas de seguridad adecuadas para proteger los datos personales de los usuarios que interactúan con él. Esto incluye técnicas de cifrado, autenticación segura, y otras medidas para prevenir accesos no autorizados.

          Consentimiento y transparencia: Debes asegurarte de obtener el consentimiento adecuado de los usuarios para el tratamiento de sus datos personales a través del webchat. Esto implica proporcionar información clara y transparente sobre cómo se utilizarán sus datos y obtener su consentimiento explícito para dicho tratamiento.

          Responsabilidad conjunta: Aunque no puedas controlar el uso que otros hagan de tu código de webchat, sigues siendo responsable de garantizar que se cumplan los principios y requisitos del RGPD en relación con el tratamiento de datos personales. En el caso de que un tercero utilice tu código de manera indebida o no cumpla con las normativas de protección de datos, podrías ser considerado responsable en calidad de proveedor del código.

          Entiendiendo que no es la respuesta que esperabas, pero debes tener clara la delimitación de responsabilidad en cada caso.

          Un abrazo

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

He leído y acepto la política de privacidad. *

marinabrocca.com te informa que los datos de carácter personal que me proporciones rellenando el presente formulario serán tratados por Marina Brocca como responsable de esta web.

Finalidad de la recogida y tratamiento de los datos personales: responder a los comentarios enviados a través de la web.

Legitimación: Consentimiento del interesado.

Destinatarios: Hosting: Bitlabs Ingeniería de Software, S.L. Debes saber que mi hosting es 100% español y 100% seguro.

Derechos: Podrás ejercer tus derechos de acceso, rectificación, limitación y suprimir los datos en hola@marinabrocca.com así como el derecho a presentar una reclamación ante una autoridad de control.

El hecho de que no introduzcas los datos de carácter personal que aparecen en el formulario como obligatorios podrá tener como consecuencia que no pueda atender tu solicitud.

Información adicional: Puedes consultar la información adicional y detallada sobre Protección de Datos en mi página web: marinabrocca.com, así como consultar mi política de privacidad.