Blog de Elogia

Cómo adaptar tu web a la nueva Ley de Cookies

Por Rubén Bastón - El 05 May 2014 - 3 Comment(s)

Cómo adaptar tu web a la nueva Ley de Cookies

Por Rubén Bastón - El 05 May 2014 - 3 Comment(s)

Cookies

Este post está hecho desde la sufrida experiencia. No soy un abogado ni un técnico, sino el pringao al que le tocó hacer la validación del sello de Confianza Online de la web de Elogia y sufrir en sus carnes los mayores índices de exigencia al respecto que existen en este momento en España.

Sabéis que sobre el tema de la nueva Ley de Cookies hay mucho escrito (iré diseminando algún enlace con lo más interesante y útil). De hecho, la primera en la frente, una de las cosas más curiosas es que realmente no hay una nueva ley de cookies, solamente un Real Decreto que adapta una normativa europea al respecto. En este enlace, una infografía de IAB Spain que hace un recorrido temporal sobre esta telenovela.

Quizá recordéis una época allá por 2011 donde se decía que la Unión Europea iba a prohibir las cookies y todo eso... El sector Internet, al completo, saltó como un resorte, por dos motivos:

  1. Porque sin cookies, hoy en día, se volvería a las cavernas de los datos: no se podría tener Analytics, por ir a lo más obvio; ya no digamos tener Facebook Connect ni historias estilo retargeting.
  2. Y porque básicamente, si en la Unión Europea se prohibiesen las cookies... iríamos a lo de siempre: las webs se instalarían fuera de la Unión Europea y listo. Ponte tú a debatir sobre leyes e historias, bloqueos... Sería un horror.

Con lo que al final, la Unión Europea aceptó dejarlo en un: "Vale, aceptamos que haya cookies, pero debe haber "consentimiento informado".

Menudo lío con lo de consentimiento informado...

Bueno, esto lleva aprobado desde abril de 2012, pero como siempre... entre que se da a conocer, que se aprende cómo hacerlo... Ya veíais en la infografía de más arriba, que la AEPD publicó su famosa guía en abril de 2013, un año más tarde. Ojo, la guía, muy recomendable, es "La Biblia" del asunto (sí, también es larga).

Al final, llegado 2014 sí que ya se ha instalado como general el entrar a una web cualquiera y encontrarte con el, por otra parte habitualmente bastante molesto, aviso de cookies. Y lo que ya ha supuesto la concienciación definitiva ha sido el anuncio de las primeras sanciones por parte de la tan justificadamente temida Asociación Española de Protección de Datos (AEPD). Tenéis en este enlace, la visión completa de Garrigues sobre la sanción, que detalla que el motivo sancionador fue, según dicta la sentencia:

“Ha quedado acreditada la instalación de cookies no exentas en los equipos terminales de los usuarios que visitaban las páginas web titularidad de ambas entidades sin que éstas proporcionen a los mismos una información clara y completa sobre el uso y finalidades de las cookies que se descargan en sus terminales”.

Ojo: un miedo que ha entrado a algunos (el enlace, por si no seguís el caso, es al blog del abogado defensor del caso sancionado, por lo que hay que entenderlo con cierto disclaimer de interés en el asunto) es que se estaba sancionando el hecho de que las cookies se instalen ANTES de que el usuario lo haya aprobado y que el usuario ha de consentir ANTES de que se instalen las cookies. Aunque legalmente sí se indica que lo normal debería ser eso, lo cierto es que eso no es punible (lo explican en este otro post los abogados de Soutullo y asociadas). Ahí vienen a decir, al igual que Garrigues, que la multa fue porque tenía otros errores: porque estaba incumpliendo el dar la mínima información requerida sobre las cookies en su web.

Esto es lo más sensato, pues a día de hoy es técnicamente inviable que las cookies solo se instalen después de que el usuario lo acepte. Lo único que se me ocurre (tampoco soy desarrollador) sería que en cualquier web primero sooolo se cargase el permiso y sooooolo después de la aceptación se cargase lo demás; pero sinceramente no sé si eso es viable y, en caso de serlo, lo que está claro es que supondría una ralentización infernal de la navegación, que siempre te preguntasen eso antes de entrar en cualquier web.

[Edición 5/05/14: @sergiocarracedo me ha hecho asumir que viable técnicamente es, claro, pues sería como han hecho siempre las webs de alcohol, poniendo un paso previo a la entrada en la web; pero que sería un trastorno absoluto al funcionamiento de la Red].

El caso es que, oficialmente, NO se está exigiendo un consentimiento previo a la navegación. Se está exigiendo un consentimiento informado de las cookies. Esto da en los cartelitos de "Esta web usa cookies para funcionar guay de la muerte".

Si usas WordPress, ya hay hasta plugins que facilitan su instalación. Nosotros el que más estamos usando es el Cookie Law Info, que ya está creado pensando en la normativa de cookies de la Unión Europea y que parte del concepto de consentimiento informado (te decimos que las usamos, si quieres más info, clica en Más información; si sigues navegando, es que aceptas; si quieres quitar el p*** aviso de los c***nes, clica en Aceptar), permite bastante customización estética y no molesta demasiado.

La 3 claves para adaptar tu web a la normativa europea (y española) sobre cookies son:

1. Mensaje para consentimiento informado

Debe estar visible para que el usuario lo lea. La AEPD tiene un mensaje estandarizado que es el que recomienda que todos (sí, tú también) usemos. Es el que sigue:

"Utilizamos cookies propias y de terceros para mejorar nuestros servicios y mostrarle publicidad relacionada con sus preferencias mediante el análisis de sus hábitos de navegación. Si continúa navegando, consideramos que acepta su uso. Puede cambiar la configuración u obtener más información aquí." (Pinchando, nos redirige al apartado de Política de Cookies).

Yo tuve una cansina conversación (podría llamarle discusión, pero soy más elegante que eso, hehehe) con la experta de Confianza Online al respecto. La máxima customización que conseguí fue la siguiente:

Utilizamos cookies de terceros para mejorar nuestros servicios y mostrarte contenido relacionado con tus preferencias mediante el análisis de los hábitos de navegación. Si continúas navegando, consideramos que aceptas su uso.

Básicamente porque me parecía ofensivo a la inteligencia tener que poner que usamos cookies propias cuando no es cierto. Aunque insistió en que era obligatorio especificar si eran propias o de terceros, si no ambas.

También me molestaba que nos obligase a tratar de usted a los usuarios, cuando creo en el tú a tú ;).

Logré matizar lo de publicidad (que ya se sabe que es como una palabra clave para asustar a los usuarios) por "contenido relacionado", pues ¿qué es sino "contenido" la publicidad? ;)

Y eliminé la última frase porque al final, los botones ya dicen: Aceptar o Más información, Es bastante obvio.

Aunque, amigos, si no queréis dormir con el miedo, la solución fácil es clavar el mensaje tal cual recomienda AEPD y santas pascuas.

2. Política de cookies

Has de tener una página única y exclusivamente hablando de las cookies. No, no vale integrar la información sobre las cookies en el aviso de privacidad, pues pensarán que eres un perservo asaltacolegios que lo que busca es que la gente no encuentre la información y viva en el engaño o la desinformación. Insisto: página que se titule Política de cookies, que tenga al menos, las siguientes secciones:

  • Qué son las cookies y para qué quieres instalarlas (hay que ser claro en la finalidad)
  • Información sobre cómo configurarlas en cada navegador
  • Detalle de cada una de las cookies que tengas instaladas en la web, con quién es su dueño, cuál es su finalidad, dónde se trata la información y cómo se puede desinstalar o editar la configuración (ojo, no todas permiten desinstalarlas)

Está mal que yo lo diga, pero nuestra Política de cookies puede servirte de inspiración, pues tenemos muchas cookies (somos frikis, ¡usamos muchas cosillas sociales!). Algunos suelen empezar con la explicación de sus cookies y dejan para el final la información genérica sobre los navegadores y tal.

Ah, si no sabes qué cookies tiene tu web, te recomiendo Ghostery, que si lo instalas en el navegador (yo lo uso con Chrome) te va diciendo las cookies que tiene cada web, incluso, claro, la tuya.

3. Enlace siempre accesible a Política de cookies

Aunque uséis el super plugin que os recomendé o su equivalente "no wordpressiano", debéis tener en cuenta que debe haber siempre accesible un enlace directo a la Política de cookies. Y no vale que después de haber aceptado se quede un mensajito de "Política de cookies" siempre anidado en el margen inferior derecho, si ese enlace lo que hace es volver a desplegar el mensaje original, pues de nuevo interpretarán que eres como la sarna, una enfermedad social que lo que pretende es interponer pasos intermedios, despistar al usuario y evitar que llegue a leer tu Política de cookies. Por eso, una solución sencilla es ponerlo en el pie de la web. Y listo.

Con esto, estarás a salvo del coco. Si no te quedas tranquilo con mis explicaciones (tranquilo, lo entiendo, quedamos como amigos), puedes consultar también la Guía de aDigital, que lo explica en 5 pasos (yo resumí más, jeje) de forma detallada, aunque más digerible que el manual de la Asociación Española de Protección de Datos.

Imagen | Cookie diseñada por Caroline Lancaster para The Noun Project

Rubén Bastón
Publicado el 05 May 2014 por Rubén Bastón 3
.