Ya hemos visto las pautas generales sobre el cumplimiento de la nueva normativa. Ahora toca entrar en harina, y todos llevamos unos meses ligeramente perdidos con respecto a qué cookies incluir o qué decir al respecto en la política de privacidad.

Así que voy a diseccionar nuestra propia política de Cookies y Privacidad en MVConsultoría para explicar lo que nosotros hemos hecho entre tanto llegan más claras directrices por parte de la Agencia Española de Protección De Datos:

BLOQUE 1: Introducción

¿Por qué? Porque queremos dejar claro que las cookies son esencialmente buenas. La Web sería una triste colección de documentos sin vida de no existir el concepto de “sesión” que nos han traído las cookies. Otra cosa es que puedan dar pie al abuso, y también hay que dejar claro que nos preocupa.

BLOQUE 2: explicación en términos claros sobre los diferentes tipos de cookies en uso

Como puede verse, hacemos uso de 5 secciones, correspondientes a los cinco grandes grupos de cookies servidas:

• Cookies analíticas: esto es lo que más nos interesa, para eso estamos aquí (en este post y este blog). En nuestro caso tenemos Yahoo Web Analytics, Google Analytics, Adobe SiteCatalyst y Clicktale.
• Cookies de sesión: exentas de la normativa, pero siempre es bueno contarlo todo. Nosotros servimos las vinculadas a la extranet de clientes.
• Cookies de medios o “redes” sociales: puesto que caen en un interesante limbo, al tratarse de cookies de terceros para las que ha habido permiso efectivo en la web que ofrece el servicio global.
• Cookies de módulos externos de contenido: aquí entra todo aquello que embebemos mediante un iFrame pero es servido por terceros. El más común ejemplo  es Google Maps.
• Cookies de terceros para uso de terceros: aquí mordemos en hueso, porque representan el espíritu de la normativa europea que fundamenta todo este paisaje regulatorio (más maleza en nuestro Paper). Explicamos que no las usamos, pero que, si lo hiciéramos, sería pidiendo permiso previo (mediante faldón, pop-up o similar).

BLOQUE 3: garantías adicionales

Aquí incluimos una explicación de lo que sucederá cuando los navegadores lo permitan:
“Como garantía adicional a las arriba expuestas, el registro podrá estar sujeto a tu aceptación de cookies durante la instalación o puesta al día del navegador usado, y esta aceptación puede en todo momento ser revocada mediante las opciones de configuración de contenidos y privacidad disponibles.“

BLOQUE 4: tabla extraída del esfuerzo de auditado expuesto en la primera parte de este post.

Nótese, que introduce el concepto de “nivel de intrusión” comentado ayer, sustentado sobre tres niveles:

• Nivel 1 (exento): cookies inherentes al propio servicio que se presta (publicación de contenidos, carritos de la compra, sesiones de banca online…etc.)
• Nivel 2 (mínimamente intrusivas): cookies analíticas o vinculadas a módulos externos de contenido, si bien para uso propio
• Nivel 3 (moderadamente intrusivas): cookies gestionadas por terceros para la personalización de espacios publicitarios o el uso de Social Plugins. Ambas deberían estar sujetas a permiso expreso, si bien estas últimas (Social Plugins) corresponden a servicios solicitados expresamente por el usuario (en Facebook o Twitter).

¿Podrías ayudarnos a sacar punta a esto y mejorarlo? ¡Discutámoslo!

Otras cosas que podrían interesarte:

• La primera parte de este post : Cómo cumplir con la nueva ley de cookies (parte I)
• Paper de Divisadero : Global Compliance of Cookie-based Web Analytics Activities (en inglés).