Analítica web
Reflexiones sobre madurez digital, datos y tecnología

Nueva Guía de la AEPD: Las cookies analíticas no exigirán un pop-up

Se lee en 2 minutos

CookiesPor fin tenemos la Guía sobre el uso de las cookies de la Agencia Española de Protección de Datos (iniciativa conjunta con aDigital, IAB y otros), en la que he tenido el gusto de colaborar como he podido.

Como lo más importante es satisfacer las inquietudes acumuladas en pasados meses y ya en su día me toco exponer una serie de medidas provisionales para cumplir con la normativa de protección de datos, paso directamente a dar la buena noticia a quienes únicamente utilizan cookies analíticas de primera parte. Con el texto por delante (página 8):

Respecto al tratamiento de datos recabados a través de las cookies de análisis, el grupo de trabajo del articulo 29 ha manifestado que, a pesar de que no están exentas del deber de obtener un consentimiento informado para su uso, es poco probable que representen un riesgo para la privacidad de los usuarios siempre que se trate de cookies de primera parte, que traten datos agregados con una finalidad estrictamente estadística, que se facilite información sobre sus uso y se incluya la posibilidad de que los usuarios manifiesten su negativa sobre su utilización.”

Por supuesto, este apoyo tan claro a “cookies de primera parte” conminará a muchos a transformar sus cookies de tercera en cookies de primera (decisión inteligente teniendo en cuenta que tocará hacer lo mismo para adecuarse a una nueva generación de navegadores que incorporan Do Not Track de serie).

Aparte de esto, permanecen los requisitos previamente vistos en las directrices de la agencia británica (ICO):

    • Notificación: enlace claro y visible, con lenguaje sencillo y comprensible.

    • Consentimiento
      (supuestos no incluidos arriba): será suficiente una acción “consciente y positiva” de la cual pueda inferirse el consentimiento. Esto es algo que en otros países ha sido asociado al mero hecho de seguir navegando frente a un acceso prominente a la política de privacidad. Y la ICO británica sí ha dejado claro (más claro que el texto español en su versión final) que el nivel de consentimiento debería ir vinculado al nivel de intrusividad de las cookies usadas (con el UK Government Digital Service estableciendo una clasificación muy específica).
  • Denegación posterior: deberá habilitarse un dispositivo para la retirada del consentimiento. Podría aquí aprovecharse el mecanismo habilitado para opt-out en el caso de las cookies analíticas. Una forma sencilla es aprovechar el gestor centralizado de cookies facilitado por las herramientas de tag management.

Y sin duda considero imprescindible el mismo paso previo aquí inferido pero muy presente en las directrices británicas: auditado de las cookies actualmente en uso (pocas empresas conocen realmente cuántas están sirviendo). Difícilmente podremos de otro modo conocer el nivel de adecuación requerido o facilitar información veraz a nuestros usuarios.

En definitiva,a la pregunta que más ha recibido nuestro área de compliance: NO, no acabes con todos los principios de la usabilidad y la experiencia de usuario, con tu “responsive design” y todas las conquistas realizadas a lo largo de los años en favor de una web al alcance de todos. No pongas un pop-up o faldón por el mero hecho de usar cookies analíticas de primera parte. Y piénsatelo con cuidado en muchos otros casos, porque hay más opciones.

Aunque solo hemos dado un primer paso. Ahora toca cruzar los dedos y esperar por un nuevo Reglamento.en que el uso estadístico y anónimo de las cookies de primera parte podría categorizarse como exento desde el minuto cero (soñar es gratuito). Lo cual sería un bonito respaldo a las iniciativas de Privacy by Design nacidas a ambos lados del Atlántico.

zp8497586rq
zp8497586rq
zp8497586rq

Comentarios cerrados

Navegar