Por

Cómo cumplir con la nueva ley de cookies (parte I)

Como sabes, la analítica web se sustenta sobre el uso de cookies. Y el uso de cookies está sujeto a un nuevo marco normativo que puede implicar la necesidad de solicitar permiso expreso a cada usuario. (sí, haces bien en imaginarte un faldón o pop-up cada para cada una de tus 10-20 cookies, en la peor pesadilla de Jakob Nielsen).

Por no ahondar de nuevo en los detalles de algo que llevamos meses anunciando, resumiremos este desafío con un texto extraído del cambio legislativo (y simplificado) que ha visto la luz* en este mes de abril:

Los prestadores de servicios podrán [usar cookies] a condición de que los [usuarios] hayan dado su consentimiento después de que se les haya facilitado información clara […].”

Claro, que a este párrafo siguen dos cosas:

  • Una excepción: olvida esto si tus cookies son inherentes al servicio solicitado (carrito de la compra para e-commerce, login para online banking…etc.).
  • Una fórmula alternativa para obtener consentimiento: opciones de navegador (“parámetros adecuados del navegador”), siempre y cuando éste obligue al usuario a revisarlas durante su instalación o puesta al día (cosa que no ocurre aún con los navegadores actuales, pero que solucionará las cosas a medio plazo).
Las cookies tienen un problema de imagen

Las cookies, esenciales para el funcionamiento de Internet, tienen un claro problema de imagen..

Con ello dicho, ¿cómo cumplimos con la norma arriba expuesta a día de hoy?

Dado que falta una interpretación por parte de la Agencia Española de Protección de Datos, nos toca recurrir al derecho comparado. Y nadie ha avanzado más que el Reino Unido, entre otras cosas porque llevan casi un año con esta ley en la calle (si bien se aplicó una moratoria de un año en su aplicación). ¿Qué ha pasado allí?

  • Que la agencia local (Information Commissioner’s Office o “ICO”) ha emitido unas Directrices. Aunque se considera que las “cookies analíticas” no están amparadas por la excepción (sí ha sido el caso en Francia), se deja patente que no serán objeto de acciones legales por su bajo nivel de “intrusión” (intrusiveness).
  • Que el Government Digital Service (asesorando a organismos públicos en la prestación de servicios de administración electrónica) ha propuesto una clasificación en tres niveles de “intrusión”, con las cookies analíticas categorizadas a un nivel inferior que las cookies de tercera parte para la gestión de espacios publicitarios.
  • Que ninguna web gubernamental está pidiendo permiso previo para servir cookies analíticas, si bien se incluye una lista detallada de todas las cookies usadas en sus nuevas políticas de privacidad, más prominentes que antes.

Por supuesto, hay más cosas, pero esto no es un tratado y para entrar en todas ellas ya hemos escrito un Libro Blanco. Así que iremos al grano con dos recomendaciones que tienen muchas posibilidades de curarte en salud durante al menos unos meses:

1. Audita tus propias cookies

Te sorprenderá la cantidad de cookies que usas sin saberlo, procedentes de diferentes plug-ins (de gestores de contenido, herramientas de búsqueda, botones sociales…) o incluso pequeños rastros de contenidos desaparecidos.

Podrás usar cualquier herramienta gratuita para esto (ej.:Firecookies).

Haz una tabla con aquellas que tienen que quedarse (eliminando el resto, claro está) y especifica: cuánto duran (fecha de caducidad), qué propósito tienen y, en el caso de ser servidas por terceros para su propio uso, a quién pertenecen.

Designa a una persona en la empresa encargada de cotejar esta tabla con la realidad periódicamente.

2. Cambia tu política de privacidad (o aviso legal)

Explica al visitante los diferentes tipos de cookies que usas de un modo sencillo y comprensible. Añade a dicha explicación una reproducción de tu propia tabla (resultante del auditado anterior).

Finalmente, explica que solicitarás permiso expreso cuando hagas uso de cookies de terceros servidas por aquellos para usos ajenos a tu web no solicitados expresamente por el usuario. ¿Por qué esta frase tan compleja? Piensa en un botón de Twitter. Si el usuario se ha logado en Twitter no tendrá que hacerlo de nuevo para compartir un artículo, pero al hacer clic en el botón estará enviando información a Twitter (lectura de la cookie). Se usa aquí una cookie de tercera parte, pero es el usuario quien ha solicitado este servicio de modo previo.

¿Y el caso opuesto? Piensa en un ad network para publicidad display (“banners”). Está recabando información de usuarios a través de múltiples webs. Tu web forma parte de la red y aporta información sobre el comportamiento de dicho usuario. Pero el usuario no ha llegado nunca a solicitar expresamente dicho servicio de “personalización de la publicidad”.

En la secuela de este post (parte II) explicaré detalladamente lo que hemos hecho en MVConsultoría para prepararnos.

*(Por ser precisos, hablamos del Real Decreto-ley 13/2012 modificando el artículo 22.2 de la Ley 34/2002 “LSSI”, en primera transposición de los cambios marcados por la Directiva 2009/136/CE sobre el artículo 5.3 de la Directiva 2002/58/CE “ePrivacy”, en su día igualmente transpuesta mediante la Ley General de Telecomunicaciones 2003. Hablamos además de un cambio hecho por la vía de urgencia con diez meses de retraso).

También podrán interesarte:

zp8497586rq