¿De qué manera afecta el RGPD a sus cookies y seguimiento online? ¿De qué forma puede amoldar su web al RGPD? y ¿Cómo repercute a su política de cookies y al consentimiento del empleo de cookies?

La ley de la UE sobre el manejo de datos personales, el , es frecuentemente llamado como el RGPD.

¿De qué forma afecta el RGPD a sus cookies y seguimiento on line? ¿De qué manera puede adaptar su web al RGPD? y ¿De qué forma repercute a su política de cookies y al permiso del uso de cookies?

En este artículo, damos una introducción completa al RGPD y una guía práctica sobre lo que acarrean las nuevas reglas para usted y su web.

El RGPD es un reglamento de la UE que representa la iniciativa más significativa de protección de datos en 20 años.

El propósito es la “protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de tales datos”, p. ej. el usuario del sitio web.

Las cookies se mencionan una vez en . Sin embargo, esas pocas líneas tienen un impacto significativo en el cumplimiento de las cookies:

(30): “Las personas físicas pueden ser asociadas a identificadores online […] como direcciones de los protocolos de internet, identificadores de sesión en forma de «cookies» o bien otros identificadores […]. Esto puede dejar huellas que, particularmente, siendo combinadas con identificadores únicos y otros datos recibidos por los servidores, pueden ser empleadas para realizar perfiles de las personas físicas e identificarlas.”

En otras palabras, cuando las cookies pueden identificar a un individuo, se le considera datos personales.

1) ¿Qué son las cookies?

Las cookies son pequeños ficheros que se dejan de manera automática en su ordenador mientras navega por la web. En sí, son inofensivas porciones de texto que se guardan localmente y se pueden ver y quitar sencillamente.

Pero las cookies pueden dar una gran visión de sus actividades y preferencias, y se pueden emplear para identificarlo sin su permiso explícito.

Esto representa un incumplimiento grave desde determinado punto de vista legal, y conforme las tecnologías de datos se vuelven poco a poco más complejas, su privacidad como usuario se ve poco a poco más comprometida.

A menudo, las cookies ni siquiera provienen del sitio que visita, sino más bien de terceros que lo rastrean con fines de marketing. Todo esto sucede "entre bastidores".

Aunque no todas las cookies se utilizan de forma que puedan identificar a los usuarios, la mayoría (y las más útiles para los dueños de la página web) lo hacen, y en consecuencia estarán sujetas al RGPD.

El inconveniente con las cookies es tanto un problema de privacidad - ¿qué se está registrando? – como un problema de transparencia - ¿quién le sigue, con qué propósito, hacia dónde van los datos, y por cuánto tiempo se queda?

Back to top

1) Requisitos: ¿De qué forma puede cerciorarse de que su sitio web y las cookies se amolden al RGPD?

Como propietario de una web, tomar medidas para cumplir conlleva repasar su tratamiento de datos y .

Consulte asimismo la infografía de la Comisión Europea: .

El Reglamento general de protección de datos considera p. ej. un nombre, una fotografía, una dirección de mail, datos bancarios, publicaciones en redes sociales, información médica o una dirección IP de una computadora como datos personales.

Si su web u organización trata datos que son (a) directamente personales, o bien (b) que se puedan combinar o separarse para identificar a un individuo, entonces ha de ser revisada para cumplir con los requisitos.

Mapee y valore los datos sensibles en su organización, revise sus políticas de seguridad y asegúrese que los datos sean seguros.

Los dos aspectos principales a tener en cuenta son:

• Cómo se guardan en su organización los datos de los clientes y usuarios, y
• Las cookies en su sitio web (tanto de origen como de terceros).

Ajustar su política de cookies y su consentimiento del empleo de cookies es una parte esencial de este proceso.

1.1) ¿Qué peculiaridades han de estar presentes en un consentimiento del empleo de cookies que cumpla con el RGPD?

Uno de los requisitos más tangibles del RGPD se encuentra en la definición de lo que forma un consentimiento adecuado del uso de cookies, esto es, que el consentimiento debe ser:

• Informado: ¿Por qué razón, cómo y dónde se están usando los datos personales? Ha de estar claro para el usuario, a qué le está dando consentimiento, y debe ser posible admitir o bien rehusar los diferentes géneros de cookies.
• Basado en una alternativa verdadera: Esto significa, por poner un ejemplo, que el usuario debe tener acceso a la web aunque la mayor parte, salvo las cookies estrictamente precisas, hayan sido rechazadas.
• Otorgado mediante una acción afirmativa y positiva que no se pueda malinterpretar.
• Otorgado ya antes del tratamiento de cualquier tipo de datos personales.
• Movible: Ha de ser fácil para el usuario cambiar de parecer y retirar el permiso.

Además,

• El usuario tiene el derecho al olvido. Cuando el usuario lo desee, sus datos personales deben borrarse correctamente.
• Todos los permisos dados deben registrarse como documentación.

Back to top

2) ¿Qué es un aviso de cookies en de acuerdo con el RGPD?

Los requerimientos anteriores hacen que la mayoría de los mensajes de cookies y notificaciones usados ya antes de la implementación del RGPD sean obsoletos.

Por ejemplo, el consentimiento implícito y el consentimiento dado simplemente al visitar un lugar ya no son suficientes.

Lo mismo se aplica a las ventanas emergentes y mensajes ‘Al utilizar este sitio, admite las cookies’.

Un simple botón de O.K. para aceptar cookies tampoco es suficiente.

Por ejemplo, esto no funcionará:

2.1) Ejemplo de un mensaje de permiso que cumple con el RGPD

A continuación, la notificación de Cookiebot conforme al RGPD y la ePrivacy, solicitando consentimiento para establecer las cookies.

El mensaje cumple con los reglamentos por lo siguiente:

• En primer sitio, si bien invisible a simple vista, todos y cada uno de los scripts cargados, menos los estrictamente precisos, van a entrar en pausa hasta que se haya concedido el consentimiento del uso de cookies. Esta función se llama 'consentimiento previo' y es un requisito tanto del RGPD como de la Directiva sobre la privacidad y las comunicaciones electrónicas. Según el RGPD, debe contar con el consentimiento para establecer cookies que rastreen datos personales, mientras que, en la ePrivacy, usted precisa el permiso del usuario ya antes de establecer cualquier género de cookies, que no sean rigurosamente necesarias.

• La información sobre cookies es precisa y específica, y se presenta en un lenguaje claro y sencillo, cumpliendo de este modo todos los requisitos del RGPD.

• Si el usuario decide que se muestren los detalles, el aviso se despliega en una descripción completa sobre todas las cookies activas y el seguimiento on-line en la web. La lista se fundamenta en un escaneo mensual de todas las páginas del lugar, que detecta y también identifica todas y cada una de las cookies y las tecnologías de seguimiento conocidas en uso en el sitio. Las cookies se presentan completas con su origen, duración y descripción de su objetivo.

• Las cookies se reúnen en 4 categorías comprensibles, que el usuario puede escoger o bien no. Las cookies precisas no se pueden rehusar, pues están incluidas en la lista blanca y son necesarias para que el sitio web funcione adecuadamente. Las categorías de cookies que no manejen datos personales pueden marcarse pre-elegidas, al tiempo que las que sí lo hacen, deben de ser activamente escogidas por el usuario a fin de que se ajusten a la ley.

• En el ejemplo adjunto, las preferencias y cookies estadísticas del lugar no manejan datos personales y por consiguiente pueden ser pre-elegidas. Las cookies de marketing si rastrean datos personales y en consecuencia se encuentran deseleccionadas por defecto.

• El usuario tiene acceso a su estado de consentimiento en la página web y en cualquier momento puede cambiar de opinión sobre su consentimiento y optar por retirarlo.

• Todos los permisos dados se almacenan de manera segura como documentación de que se ha otorgado el consentimiento, lo cual asimismo es un requisito del RGPD.

• Cada 12 meses, desde la primera visita del usuario al lugar, el pop-up de consentimiento aparece nuevamente solicitando una renovación del mismo.

Lea más en nuestro artículo sobre el demandado por ley.

Back to top

3) ¿De qué manera adapto mi política de cookies al RGPD?

El Reglamento general de protección de datos conlleva una revisión de su política de cookies a fin de que se ciña a las regulaciones. 

El RGPD y la directiva europea ePrivacy requieren consentimiento anterior e informado de los usuarios de su web y el RGPD exige además de esto la documentación de cada permiso concedido.

Al mismo tiempo, debe rendir cuentas por la información del usuario qué comparta con servicios de terceras partes en su web y a dónde se envían esos datos.

Una política de cookies de acuerdo con el RGPD debe cumplir los siguientes requisitos:

Política de cookies transparente

Una política de cookies de conformidad con la ley debe dar al usuario una descripción clara y precisa de de qué manera se emplean las cookies en todo instante. Es un requisito real, que la política de cookies esté escrita en un lenguaje sencillo y también inteligible.

Resumen y responsabilidad por las cookies en su web

Usted puede estar sujeto a controles y se le demanda tener un registro exhaustivo de los procesos de datos que está ocurriendo con relación a su página web.

Esto es más simple de decir que de hacer, en tanto que la mayoría de las webs tienen un elevado número de cookies de terceras partes fluyendo por medio de su sistema.

Solicitud de consentimiento mediante icono afirmativo

El cambio más grande para las cookies y el seguimiento on-line con relación a el RGPD es que el permiso debe ser concedido por una acción claramente afirmativa.

Los ciudadanos europeos se han acostumbrado -sin embargo, seguramente también ligeramente irritados – a los avisos en todas y cada una de las webs, aseverando el empleo de cookies, en ocasiones pidiéndole hacer clic en “ok”, pero no dándole una alternativa real.

Con el reglamento, esto no es suficiente. El consentimiento ha de ser otorgado como una acción afirmativa y positiva, mientras que el rechazo de cookies ha de ser una alternativa equivalente.

Posibilidad de retirar el permiso en cualquier instante

El usuario debe tener el poder de retirar su permiso.

Es, por consiguiente, esencial cerciorarse de que los usuarios tienen acceso al estado actual de su permiso en cualquier instante y de que pueden retirar su permiso de manera completa.

Renovación del consentimiento

Cada 12 meses, el permiso ha de ser renovado desde la primera visita del usuario a la página web.

De fácil empleo, sin diálogos absurdos

Un reto planteado por el RGPD es, por una parte, que el uso de cookies sea transparente y que se les de a los usuarios el conocimiento de cómo se están empleando sus datos.

Mientras que, la comunicación debe ser clara y simple de comprender con el objeto de que el usuario tenga una opción real.

Con el RGPD y la directiva ePrivacy, el permiso del usuario ha de ser concedido de antemano al establecimiento de las cookies. Bajo el RGPD, necesita el permiso anterior para establecer cookies que rastreen datos personales, al tiempo que la directiva ePrivacy va un paso más allí y exige que consiga el consentimiento para establecer todo género de cookies salvo las rigurosamente precisas.

Consentimientos han de ser registrados como evidencia

Todos los consentimientos han de ser guardados seguramente para que puedan ser utilizados como evidencia en el caso de control.

Back to top

4) ¿Puedo emplear un modelo de política de cookies?

Existen numerosos servicios en la red de redes que proveen modelos o generadores para la política de cookies de su web. Simplemente, busque en Google “modelo de política de cookies” y encontrará bastantes entre aquéllos que seleccionar.

Sin embargo, tenga cuidado. Le aconsejamos que no utilice modelos o bien generadores, porque es un requisito del RGPD que la información sobre cookies y seguimiento online ha de ser concreto y preciso.

Para iniciar, todas y cada una de las webs son diferentes, y segundo, las cookies pueden cambiar sin que ni siquiera se dé cuenta, singularmente si usa terceras partes como contenido embedido, anuncios y herramientas de análisis.

Con Cookiebot, puede publicar el informe sobre el escaneo mensual de su página web como una parte miembro de su política de cookies o su política de privacidad.

Back to top