Analítica web
Reflexiones sobre madurez digital, datos y tecnología

A horas del gran barrido legal, y tú con estas cookies

Se lee en 8 minutos

Ya tocaba volver con el tema. Ahora que no queda ser humano en el planeta sin opinión y servicio de acompañamiento al respecto. Ahora que se ha propagado el terror entre la maltratada población de gestores digitales.

Cookie Sweep Day
Cookie Sweep Day

Pero esta vez toca por verdadero imperativo legal. O mejor dicho, porque al imperativo legal le acompañará en unas semanas su primo más cohercitivo, que es la multa de público escarnio.

Hablo por supuesto del Cookie Sweep Day (s) urdido en las termas del grupo de trabajo del artículo 29 (“GT29”), que aúna a los directores de las agencias nacionales de protección de datos en la UE, publicitado por la CNIL francesa y abanderado (según estos últimos) por más tímidos adláteres.

No partimos de cero porque ya hemos paseado ampliamente al toro. Primero con el cambio normativo (opt-in para cookies), después con su implantación nacional (llega el faldón) y finalmente con las directrices emitidas y las multas que a ellas siguieron.

Pero lo que viene ya es serio, y aquí van ideas claras para evitar sorpresas, multas y vergüenzas – y para centrarte en tu trabajo, que es lo que probablemente te gustaría.

Cookie Sweep Days : 15-19 de septiembre

  • Qué es: un barrido de webs coordinado por varias agencias comunitarias de protección de datos, en busca de fallos en el cumplimiento de la normativa de cookies.
  • Qué puede pasar a corto plazo: que formes parte de una estadística.
  • Qué puede pasar un mes más tarde, a partir del 15 de octubre: que te lancen una advertencia, primero, y que te pongan una multa, después.

Queda con ello tener al menos presentes las más restrictivas exigencias que estos días se extienden a lo largo y ancho del continente y frente a las que de poca protección servirá la Guía de cumplimiento co-redactada en su día por la Agencia Española de Protección de Datos.

Se presentan dos escenarios cada vez más diferenciados en este nuevo “estado de madurez” del cumplimiento de la normativa de partida:

a)     “Cookies analíticas”. Las que más preocupan al lector de este blog. Hasta la saciedad hemos repetido que no requerirían un consentimiento previo o simultáneo (el “faldón”), con lo que me alegra comprobar que se consolida esta interpretación de la normativa.

b)     Resto de cookies: aquí la cosa se pone cada vez más fea, dejando en entredicho la propia razón de ser de las cookies de agencia o plataforma publicitaria, por no hablar del “customer journey” o los modelos de atribución multicanal.

Nuevos avances en la satisfacción de la normativa si usas “cookies analíticas” 

Esto es tremendamente importante. Después de mucho ir y venir ha tenido que ser la CNIL francesa la que recoja el testigo para abanderar una nueva ola de certidumbre (iniciada por la ICO británica).

La CNIL ha emitido directrices claras para eximir a las “cookies analíticas” de la necesidad de consentimiento. Estas directrices no son solo coherentes con la Opinión 4/2012 del GT29 sobre la necesidad de consentimiento en el uso de cookies, sino que además profundizan en mayor detalle sobre la misma, superando ampliamente la espartana orientación ofrecida en la Guía de cumplimiento española.

Concretamente, un sistema de medición web estará exento si:

  1. Ofusca los últimos dos dígitos de la dirección IP (algo que ya hacen Google Analytics o Webtrekk de serie, y que puedes habilitar sin complicación en Adobe Analytics, por mencionar algunas)
  2. No duran más de 13 meses
  3. No integran información con plataformas publicitarias (Google Analytics Premium dejaría por tanto de estar exento en el momento en que se integra con DoubleClick u otra plataforma análoga)
  4. No se usa para nada diferente que la “medición de audiencias” (y, por ende, no almacena propiedades individuales o aspira a integrarse con el CRM mediante identificadores anónimos)
  5. Va acompañada de información suficiente sobre lo que se está haciendo (el deber de información es independiente y sigue estando presente) y se permite un “opt-out”.

¿Qué pasa si cumples los 5 puntos? Que te librarás de lo que sigue a continuación. Y piensa, para empezar, en el impacto que esto puede tener sobre los porcentajes de aceptación de cookies y, en consecuencia, la significancia estadística de los datos que obtengas a posteriori.

Se estrecha el cerco si NO te limitas a lo anterior

Ciertamente, si el “barrido” encuentra cookies publicitarias o analíticas que no cumplen con lo anterior… solo un muy deseado cambio en la normativa puede salvarte de un futuro incierto. Para empezar:

–  Se extiende por Europa la interpretación que solicita un permiso previo. Esto es: no simultáneo. No un faldón que apartas mientras todo sigue igual, sino un bloqueo completo de cookies o navegación hasta que el usuario tome una decisión.

– Ante esto, si bien el consentimiento “inferido” e informado parece bastar a día de hoy en Reino Unido, Italia, Francia o España, es muy probable que vuelvas a toparte con desafíos internos y externos en próximos meses si tus cookies se sirven antes de preguntar.

– Por otro lado, si cumples con el permiso previo te arriesgas a que nadie acepte tus cookies (un 43% de rechazo me parece optimista), con lo que la efectividad de lo que hagas está igualmente en entredicho. Vete olvidando los “modelos de atribución” multicanal (da la bienvenida a modelos de “contribución” sobre datos agregados), y sin duda sigue avanzando en el “dato único de anunciante” tantas veces aquí propugnado.

¿Garantizan estas condiciones que hacemos uso de cookies de “primera parte”? ¿Cómo evitamos cookies de “tercera parte”? ¿Voy a tener que volver a instalar Piwik, Webtrends 5 y Urchin en un servidor propio?

Ha habido mucha ida y vuelta con este concepto tan delicado. Una cookie es técnicamente de “primera parte” cuando se guarda en tu sistema (registro de cookies de cada navegador) en asociación al mismo dominio en el que te encuentras. Por el contrario, será de “tercera parte” cuando se vincula a un dominio ajeno.

En un terreno paralelo se mueve la definición jurídica de “tercera parte”: un operador distinto al “encargado del tratamiento” o “encargado del procesamiento” de datos personales.

Ahora bien, ¿es realmente necesario que una cookie sea de primera parte técnica o jurídica para cumplir con los requisitos arriba expuestos? En absoluto, si bien hay que tener presente que una cookie de tercera parte técnica Y jurídica tiene todas las papeletas para facilitar su incumplimiento.

En este sentido, herramientas como Google Analytics, que únicamente sirve cookies de primera parte, nos lo han puesto tradicionalmente más fácil a efectos de demostrar el cumplimiento. En el lado opuesto nos hemos topado con la mayor parte de las soluciones corporativas, tradicionalmente apoyadas sobre cookies de tercera parte a falta de acción específica (caso, por ejemplo, de Adobe Analytics).

¿Están dichas cookies de tercera parte necesariamente orientadas a integrarse con información publicitaria o perfiles de usuario? En absoluto. En ocasiones resultan meramente imprescindibles para obtener datos de audiencia compartida a través de diferentes propiedades digitales de la misma empresa (¿alguien aquí del sector de los medios?). Pero sin duda obligan a dar mayores explicaciones y esto es algo que queremos evitar siempre que podamos.

A todo ello cabe añadir el temor histórico del regulador a “la nube” y la tendencia del mercado alemán, con tremendo peso específico en la reciente historia de la protección de datos en internet, a sistemas de gestión propia (¡asomaos al porcentaje de despliegues de la deprecada Urchin o Webtrends offline aún disponibles en dicho mercado!).

Esto último nos trae un resurgir de Piwik (copycat de Urchin con serias mejoras recientes, todo sea dicho) o los sistemas de análisis de logs de servidor web instalados en máquinas propias (esto es, de “primera parte” jurídica). Pero no todo el monte es orégano: algunos requisitos como la ofuscación de IPs no están satisfechos por defecto (como sí ocurre en Google Analytics) y los desafíos de seguridad en los datos o control de recursos informáticos asociados no están al alcance de cualquiera (habido respeto a los compañeros en Divisadero apasionados de Piwik y expertos en su configuración).

Hago uso de un sistema de “Tag Management”. ¿Cambia el planteamiento?

En absoluto. Usar un sistema de Tag Management (“TMS”) o “gestión de huellas” (Qubit, Google TM, Adobe DTM, Signal, Tealium, Ensighten, SuperTag, Tag Commander, etc.) es lo más habitual a día de hoy en el ámbito corporativo y la mayor parte de ellos ofrece su propia capa de gestión de notificaciones y “opt-out” en lo referente a cookies, pero no dejan de ser meros intermediarios para servir el código de seguimiento o medición de un amplio abanico de soluciones de marketing digital (analítica, ad servers, email marketing, etc.).

En consecuencia, más que el uso de un TMS, lo verdaderamente relevante son las cookies que se sirven a través del mismo. Si solo lo usas para servir cookies analíticas que además cumplen con lo arriba prescrito no necesitarás mayores salvaguardas.

La situación se vuelve más complicada cuando el TMS hace uso de sus propias cookies “de primera parte” para integrar datos a nivel de visitante entre diferentes plataformas. Es por eso que soluciones como Ensighten Activate o Tealium AudienceStream no permitirían acogerse a la excepción facilitada para cookies analíticas.

¿Y qué pasa con las cookies que sirve un sistema de opt-in? ¿Habrá bucle infinito de permisos?

Esta es una duda que nos acompaña desde el origen de la normativa de permiso previo. Los sistemas de permiso previo (“lighbox”) o simultáneo (“faldón”) hacen uso de cookies para recordar nuestras preferencias. ¿Qué tipo de permiso aplicamos a estas cookies?

Ante este divertido y absurdo dilema la CNIL aporta por fin una respuesta esperada pero no por ello menos bienvenida: estas cookies están exentas de permiso o notificación por no tener otro propósito que el de hacer cumplir lo prescrito.

¿Hay riesgo de incumplimiento por alojar cookies que un tercero ha alojado en mi web de forma maliciosa (mediante un “hack”)?

Esta es una pregunta que sigue sin respuesta, pero todo apunta a que las cookies alojadas en una remota esquina de tu web y asociadas a un agujero de seguridad o “hack” claramente documentable estarán fuera de tu responsabilidad si demuestras que has llevado a cabo un auditado de otro modo exhaustivo.

Me rindo. Dejo las cookies. Pero tengo algo mejor: ¡Fingerprinting!

Lamentablemente, la CNIL también tiene respuesta para eso: La normativa no menciona en ningún caso las cookies, con lo que se aplica un principio análogo a cualquier tecnología que permita hacer un seguimiento del usuario entre diferentes dispositivos y propiedades digitales. Es coherente sin duda, aunque una pena que la neutralidad tecnológica solo esté presente cuando se trata de aplicar restricciones.

No me limito a cookies analíticas, y las necesito. Pero “legal” y “comunicación” pedirán mi cabeza si la empresa salta a la palestra. ¿Cómo minimizo el impacto sin riesgo?

¿De verdad crees que el retorcido mundo de las palabras, bien ubicadas en el lado artístico y caótico del cerebro, daría de comer tan ampliamente a abogados, jueces y legisladores de asemejarse a la naturaleza binaria de tu El Dorado digital? Sigue soñando.

Dicho lo cual huelga añadir que es en ese mismo poso del servicio jurídico profesional que encontrarás una respuesta, por mucho que el aforo técnico-marketiniano encuentre placer en la elucubración.

Vuelve aquí cuando la tengas (o pregúntanos por despachos colaboradores), y Divisadero tiene un buen abanico de soluciones técnicas para hacerla realidad en sus diversos grados de drasticismo. Empezando por un acuerdo con diversos proveedores para la automatización de procesos de auditado periódico y siguiendo por el suministro de sistemas en nube para la gestión de mecanismos de opt-in y opt-out.

Soy todo oídos para intercambiar ideas y experiencias.

 

Otros posts que pueden interesarte:

[Nueva Guía de la AEPD: las cookies analíticas no exigirán un pop-up]

[¿Cansado de tu éxito online? Pon un faldón en tu vida]

[Cómo cumplir con la nueva ley de cookies]

Escribe tu comentario

siete + cinco =

Navegar