La ley de la Unión Europea sobre el manejo de datos personales, el , es con frecuencia denominado como el RGPD.
¿Cómo afecta el RGPD a sus cookies y seguimiento on-line? ¿De qué forma puede amoldar su web al RGPD? y ¿De qué manera repercute a su política de cookies y al permiso del uso de cookies?
En este artículo, damos una introducción completa al RGPD y una guía práctica sobre lo que conllevan las nuevas reglas para y su web.
El RGPD es un reglamento de la UE que representa la iniciativa más significativa de protección de datos en 20 años.
El propósito es la “protección de las personas físicas en lo referente al tratamiento de datos personales y a la libre circulación de semejantes datos”, p. ej. el usuario del sitio web.
Las cookies se mencionan una vez en . Sin embargo, esas pocas líneas tienen un impacto significativo en el cumplimiento de las cookies:
(treinta): “Las personas físicas pueden ser asociadas a identificadores online […] como direcciones de los protocolos de internet, identificadores de sesión en forma de «cookies» o bien otros identificadores […]. Esto puede dejar huellas que, en particular, al ser conjuntadas con identificadores únicos y otros datos recibidos por los servidores, pueden ser usadas para elaborar perfiles de las personas físicas y también identificarlas.”
En otras palabras, cuando las cookies pueden identificar a un individuo, se le considera datos personales.
1) ¿Qué son las cookies?
Las cookies son pequeños archivos que se dejan de manera automática en su ordenador mientras que navega por la página web. En sí, son inofensivas porciones de texto que se almacenan de forma local y se pueden ver y quitar de manera fácil.
Pero las cookies pueden dar una gran visión de sus actividades y preferencias, y se pueden utilizar para identificarlo sin su permiso explícito.
Esto representa un incumplimiento grave desde un punto de vista legal, y conforme las tecnologías de datos se vuelven poco a poco más complejas, su privacidad como usuario se ve poco a poco más comprometida.
A menudo, las cookies ni tan siquiera proceden del sitio que visita, sino más bien de terceros que lo rastrean con fines de marketing. Todo esto sucede "entre bastidores".
Aunque no todas las cookies se utilizan de manera que puedan identificar a los usuarios, la mayor parte (y las más útiles para los dueños de la web) lo hacen, y por ende estarán sujetas al RGPD.
El inconveniente con las cookies es tanto un problema de privacidad - ¿qué se está registrando? – como un inconveniente de transparencia - ¿quién le está siguiendo, con qué propósito, hacia dónde van los datos, y por cuánto tiempo se queda?
Back to top1) Requisitos: ¿De qué forma puede cerciorarse de que su sitio y las cookies se amolden al RGPD?
Como dueño de una web, tomar medidas para cumplir conlleva repasar su tratamiento de datos y .
Consulte también la infografía de la Comisión Europea: .
El Reglamento general de protección de datos considera p. ej. un nombre, una foto, una dirección de mail, datos bancarios, publicaciones en redes sociales, información médica o bien una dirección IP de una computadora como datos personales.
Si su web o bien organización trata datos que son (a) de forma directa personales, o (b) que se puedan conjuntar o bien separarse para identificar a un individuo, entonces debe ser revisada para cumplir con los requisitos.
Mapee y valore los datos sensibles en su organización, revise sus políticas de seguridad y asegúrese que los datos sean seguros.
Los 2 aspectos principales a tomar en consideración son:
- Cómo se guardan en su organización los datos de los clientes del servicio y usuarios, y
- Las cookies en su sitio (tanto de origen como de terceros).
Ajustar su política de cookies y su consentimiento del empleo de cookies es una parte esencial de este proceso.
1.1) ¿Qué peculiaridades han de estar presentes en un consentimiento del uso de cookies que cumpla con el RGPD?
Uno de los requisitos más tangibles del RGPD se encuentra en la definición de lo que constituye un permiso adecuado del uso de cookies, esto es, que el consentimiento debe ser:
- Informado: ¿Por qué razón, de qué forma y dónde se están utilizando los datos personales? Debe estar claro para el usuario, a qué le está dando permiso, y ha de ser posible aceptar o rechazar los diversos géneros de cookies.
- Basado en una alternativa verdadera: Esto significa, por ejemplo, que el usuario debe tener acceso a la página web si bien la mayor parte, excepto las cookies rigurosamente precisas, hayan sido rechazadas.
- Otorgado a través de una acción afirmativa y positiva que no se pueda malinterpretar.
- Otorgado antes del tratamiento de cualquier clase de datos personales.
- Movible: Debe ser fácil para el usuario cambiar de parecer y retirar el consentimiento.
Además,
- El usuario tiene el derecho al olvido. Cuando el usuario lo desee, sus datos personales deben borrarse apropiadamente.
- Todos los consentimientos dados deben darse de alta como documentación.
2) ¿Qué es un aviso de cookies en de acuerdo con el RGPD?
Los requerimientos anteriores hacen que la mayoría de los mensajes de cookies y notificaciones usados ya antes de la implementación del RGPD sean obsoletos.
Por ejemplo, el consentimiento implícito y el permiso dado simplemente al visitar un sitio ya no son suficientes.
Lo mismo se aplica a las ventanas emergentes y mensajes ‘Al usar este sitio, usted acepta las cookies’.
Un simple botón de ok para aceptar cookies tampoco es suficiente.
Por ejemplo, esto no funcionará:
2.1) Ejemplo de un mensaje de consentimiento que cumple con el RGPD
A continuación, la notificación de Cookiebot con arreglo al RGPD y la ePrivacy, solicitando permiso para establecer las cookies.
El mensaje cumple con los reglamentos por lo siguiente:
- En primer lugar, si bien invisible a simple vista, todos y cada uno de los scripts cargados, menos los rigurosamente necesarios, entrarán en pausa hasta el momento en que se haya concedido el permiso del empleo de cookies. Esta función se llama 'consentimiento previo' y es un requisito tanto del RGPD como de la Directiva sobre la privacidad y las comunicaciones electrónicas. Conforme el RGPD, debe contar con el permiso para establecer cookies que rastreen datos personales, mientras que, en la ePrivacy, usted precisa el consentimiento del usuario ya antes de establecer cualquier tipo de cookies, que no sean estrictamente precisas.
- La información sobre cookies es precisa y específica, y se presenta en un lenguaje claro y sencillo, cumpliendo de esta manera todos y cada uno de los requisitos del RGPD.
- Si el usuario decide que se muestren los detalles, el aviso se despliega en una descripción completa sobre todas las cookies activas y el seguimiento en línea en la web. La lista se basa en un escaneo mensual de todas las páginas del lugar, que detecta y también identifica todas las cookies y las tecnologías de seguimiento conocidas en empleo en el sitio. Las cookies se presentan completas con su origen, duración y descripción de su objetivo.
- Las cookies se agrupan en cuatro categorías comprensibles, que el usuario puede escoger o no. Las cookies precisas no se pueden rehusar, porque están incluidas en la lista blanca y son necesarias para que el sitio web funcione apropiadamente. Las categorías de cookies que no manejen datos personales pueden marcarse pre-elegidas, al tiempo que las que sí lo hacen, deben de ser activamente seleccionadas por el usuario para que se ciñan a la ley.
- En el ejemplo adjunto, las preferencias y cookies estadísticas del lugar no manejan datos personales y en consecuencia pueden ser pre-escogidas. Las cookies de marketing si rastrean datos personales y por ende se encuentran deseleccionadas por defecto.
- El usuario tiene acceso a su estado de consentimiento en la web y en cualquier momento puede cambiar de opinión sobre su consentimiento y decantarse por retirarlo.
- Todos los permisos dados se almacenan de manera segura como documentación de que se ha otorgado el consentimiento, lo que también es un requisito del RGPD.
- Cada doce meses, a partir de la primera visita del usuario al lugar, el pop-up de consentimiento aparece de nuevo solicitando una renovación del mismo.
Lea más en nuestro artículo sobre el exigido por ley.
Back to top3) ¿De qué forma adapto mi política de cookies al RGPD?
El Reglamento general de protección de datos conlleva una revisión de su política de cookies a fin de que se ciña a las regulaciones.
El RGPD y la directiva europea ePrivacy requieren permiso previo y también informado de los usuarios de su web y el RGPD demanda además de esto la documentación de cada consentimiento concedido.
Al mismo tiempo, usted debe rendir cuentas por la información del usuario qué comparta con servicios de terceras partes en su web y a dónde se envían esos datos.
Una política de cookies conforme con el RGPD debe cumplir los próximos requisitos:
Política de cookies transparente
Una política de cookies de conformidad con la ley debe dar al usuario una descripción clara y precisa de cómo se utilizan las cookies en todo momento. Es un requisito real, que la política de cookies esté escrita en un lenguaje sencillo e inteligible.
Resumen y responsabilidad por las cookies en su web
Usted puede estar sujeto a controles y se le exige tener un registro exhaustivo de los procesos de datos que ocurre en relación con su web.
Esto es más simple de decir que de hacer, puesto que la mayoría de las webs tienen un elevado número de cookies de terceras partes fluyendo mediante su sistema.
Solicitud de consentimiento a través de icono afirmativo
El cambio más grande para las cookies y el seguimiento en línea con relación a el RGPD es que el consentimiento debe ser concedido por una acción claramente afirmativa.
Los ciudadanos europeos se han habituado -no obstante, seguramente asimismo ligeramente irritados – a los avisos en todas y cada una de las webs, aseverando el empleo de cookies, a veces pidiéndole hacer clic en “ok”, pero no dándole una alternativa real.
Con el reglamento, esto no es suficiente. El permiso ha de ser otorgado como una acción afirmativa y positiva, al paso que el rechazo de cookies debe ser una alternativa equivalente.
Posibilidad de retirar el permiso en cualquier momento
El usuario debe tener el poder de retirar su permiso.
Es, por lo tanto, esencial cerciorarse de que los usuarios tienen acceso al estado actual de su consentimiento en cualquier momento y de que pueden retirar su permiso de manera completa.
Renovación del consentimiento
Cada 12 meses, el permiso debe ser renovado desde la primera visita del usuario a la web.
De fácil empleo, sin diálogos absurdos
Un reto planteado por el RGPD es, por un lado, que el empleo de cookies sea transparente y que se les de a los usuarios el conocimiento de cómo se están empleando sus datos.
Mientras que, la comunicación debe ser clara y simple de comprender con el objeto de que el usuario tenga una alternativa real.
Con el RGPD y la directiva ePrivacy, el consentimiento del usuario debe ser otorgado de antemano al establecimiento de las cookies. Bajo el RGPD, precisa el consentimiento previo para establecer cookies que rastreen datos personales, al paso que la directiva ePrivacy va un paso más allá y exige que obtenga el consentimiento para establecer todo tipo de cookies salvo las rigurosamente necesarias.
Consentimientos han de ser registrados como evidencia
Todos los permisos deben ser guardados de forma segura para que puedan ser utilizados como evidencia en caso de control.
Back to top
4) ¿Puedo utilizar un modelo de política de cookies?
Existen numerosos servicios en internet que proveen modelos o bien generadores para la política de cookies de su página web. Simplemente, busque en Google “modelo de política de cookies” y encontrará bastantes entre los que seleccionar.
Sin embargo, tenga cuidado. Le recomendamos que no utilice modelos o generadores, pues es un requisito del RGPD que la información sobre cookies y seguimiento online debe ser concreto y preciso.
Para comenzar, todas y cada una de las webs son diferentes, y segundo, las cookies pueden mudar sin que ni siquiera se dé cuenta, especialmente si utiliza terceras partes como contenido embedido, anuncios y herramientas de análisis.
Con Cookiebot, puede publicar el informe sobre el escaneo mensual de su página web como una parte integrante de su política de cookies o su política de privacidad.
Back to top