El nuevo RGPD trae importantes novedades en cuanto a las cookies, y afecta a todas las webs del grupo.
Cookie = cualquier tipo de archivo o dispositivo (no solo cookies, sino también píxeles de seguimiento, web beacons, etiquetas ETag…)que se descargue en el equipo del usuario a través de su navegador Web, con el fin de recopilar determinada información con diferentes usos.
No se pueden descargar las cookies en el equipo del usuario si éste no ha consentido su instalación. Por tanto, antes de que la cookie se descargue en su equipo deberemos recabar el consentimiento del usuario. Solamente están exentas de recabar este consentimiento aquellas cookies que se consideren necesarias, conforme a lo que luego expondré.
Ya no son válidos los consentimientos presuntos (“si continúa navegando…”).
Además, esa petición de consentimiento debe ir acompañada de la oportuna información, que se ofrece en dos capas, a las que luego haré referencia.
La Agencia Española de Protección de Datos recomienda dos fórmulas para recabar el consentimiento del usuario
Opción 1:
Incluir en la información de primera capa tres botones
Botón ACEPTAR TODAS
Botón RECHAZAR TODAS
Botón CONFIGURAR PREFERENCIAS
Este tercer botón tiene que dar acceso a panel de configuración donde el usuario podrá optar por autorizar o no las cookies de forma granular, agrupadas por finalidad (estadísticas, publicidad…). Una vez que se pulsa en este panel un botón “guardar” sólo se deben cargar las cookies autorizadas y recordar para futuras visitas lo indicado por el usuario.
Opción 2:
Incluir en la primera capa solo dos botones
Botón ACEPTAR TODAS
Botón CONFIGURAR PREFERENCIAS
Debe especificarse en la primera capa que el botón configurar sirve también para rechazar las cookies.
Este segundo botón tiene que dar acceso a panel de configuración donde el usuario podrá optar por autorizar o no las cookies de forma granular, agrupadas por finalidad (estadísticas, publicidad, publicidad comportamental, de rede sociales…). Una vez que se pulsa en este panel un botón “guardar” sólo se deben cargar las cookies autorizadas y recordar para futuras visitas lo indicado por el usuario.
Adjunto pantallazos de cómo ha solventado el tema mallorcadiario, para una mejor comprensión del tema. Ellos han optado por los dos botones. A la hora de seleccionar, dentro del panel de cookies, me gusta más que ponga sí/no en los botones.
Existen herramientas para facilitar este trabajo, como pueden ser
https://www.cookiebot.com/es/ o https://www.civicuk.com/
Importante: al igual que hasta ahora, no será necesario solicitar consentimiento para la instalación de cookies que sean
• estrictamente necesarias para prestar un servicio expresamente solicitado por un usuario.
• o bien necesarias solo para permitir la comunicación entre el equipo del usuario y la red.
Ejemplos de estas cookies exentas:
• Cookies de entrada del usuario
• Cookies de sesión autenticación identificación de usuario
• Cookies de seguridad del usuario
• Cookies de sesión de reproductor multimedia
• Cookies de carga
• Cookies de personalización de la interfaz de usuario
• Cookies de complemento (plug-in) para intercambiar contenidos sociales
• Cookies de cesta de la compra
• Cookies para rellenar un formulario
Por tanto, de cada cookie utilizadas en las webs (separadas por cada una de ellas) necesitamos saber:
Cookie ID (ID de la cookie y cómo aparecen en el navegador):
Tipo (propia o de terceros). Si es de tercero, identificación
Gestionamos nosotros la información que transmite la cookie o un tercero por cuenta nuestra
Expiración (fecha de caducidad de la cookie una vez instalada)
Dominio con el que se asocia la cookie
Cobertura (páginas de la web que hacen uso de la cookie)
Finalidad (para qué sirve la cookie), con amplitud
Si puede calificarse como exenta. Si es así, consecuencias de su no uso
Ojo: las de redes sociales también. Si se cargan cuando se accede a la página de la red habrá que indicarlo.
Aprovechando una utilidad gratuita de cookieboot, he hecho análisis de la web del Country, Beach y Experiencias. Adjunto los resultados, pero no quiere ello decir que sean todas las que se utilizan. Ojo: hay una cookie en Country y otra en Beach que no identifica para qué y habría que analizarlo.
Con esa información decidiremos para cuáles no es necesario conseguir autorización para su carga y las finalidades de las demás, para una correcta redacción de la primera capa informativa y de la segunda. Por ejemplo, no podremos utilizar expresiones tipo “usamos cookies para personalizar su contenido y crear una mejor experiencia para usted” o “para mejoras su navegación o similares”.
Al igual que antes, debe en la primera capa incluirse la información general sobre que la web utiliza cookies, señalando las finalidades de las mismas e incluir un hipervínculo (“más información” o “saber más”) que lleve a una segunda capa con la información extensa, que contendrá una explicación sobre lo que se entiende por “cookie”, las concretas cookies que se utilizan en la web, las opciones que se dan para su parametrización y cómo eliminar cookies en los principales navegadores.
Las webs tienen primera capa (igual en todas), que habrá que cambiar, eso sí, pero no tienen segunda capa, por lo que es importante solventar este tema para poder incorporar los avisos legales.
Esta segunda capa hay que sacarla del aviso general, ya que la AEPD recomienda que se así y que el hipervínculo de la primera capa lleve directamente a esta información específica. Además de ser accesible desde ese hipervínculo hay que colocar acceso desde el pie de la página. Bastaría con separar el existente en dos: “Política de privacidad y aviso legal” e “información sobre cookies”.
Importante: debemos tener en cuenta que el acceso a la página no solo puede ser desde un ordenador, sino también desde una tableta o un móvil, y que en estos dispositivos el usuario debe poder recibir la misma información y tener las mismas posibilidades de configuración, además de comprobar si en estos tipos de dispositivos móviles se utiliza alguna otra tecnologías de rastreo específicas para los mismos.