¿Cómo afecta el RGPD a sus cookies y seguimiento en línea? ¿Cómo puede adaptar su página web al RGPD? y ¿Cómo repercute a su política de cookies y al consentimiento del empleo de cookies?
En este artículo, damos una introducción completa al RGPD y una guía práctica sobre lo que acarrean las nuevas reglas para usted y su web.
El RGPD es un reglamento de la Unión Europea que representa la iniciativa más significativa de protección de datos en veinte años.
El propósito es la “protección de las personas físicas en lo relativo al tratamiento de datos personales y a la libre circulación de semejantes datos”, p. ej. el usuario del sitio web.
Las cookies se mencionan una vez en. Sin embargo, esas pocas líneas tienen un impacto significativo en el cumplimiento de las cookies:
(30): “Las personas físicas pueden ser asociadas a identificadores en línea […] como direcciones de los protocolos de internet, identificadores de sesión en forma de «cookies» o bien otros identificadores […]. Esto puede dejar huellas que, particularmente, al ser combinadas con identificadores únicos y otros datos recibidos por los servidores, pueden ser usadas para realizar perfiles de las personas físicas e identificarlas.”
En otras palabras, cuando las cookies pueden identificar a un individuo, se le considera datos personales.
1) ¿Qué son las cookies?
Las cookies son pequeños ficheros que se dejan automáticamente en su ordenador mientras que navega por la página web. En sí mismas, son inofensivas porciones de texto que se guardan localmente y se pueden ver y quitar fácilmente.
Pero las cookies pueden dar una enorme visión de sus actividades y preferencias, y se pueden emplear para identificarlo sin su consentimiento explícito.
Esto representa un incumplimiento grave desde determinado punto de vista legal, y a medida que las tecnologías de datos se vuelven cada vez más sofisticadas, su privacidad como usuario se ve cada vez más comprometida.
A menudo, las cookies ni tan siquiera provienen del sitio que está visitando, sino más bien de terceros que lo rastrean con fines de marketing. Todo esto sucede "entre bastidores".
Aunque no todas y cada una de las cookies se usan de forma que puedan identificar a los usuarios, la mayoría (y las más útiles para los dueños de la página web) lo hacen, y por ende estarán sostienes al RGPD.
El inconveniente con las cookies es tanto un problema de privacidad - ¿qué se está registrando? – como un problema de transparencia - ¿quién le está siguiendo, con qué propósito, cara dónde van los datos, y por cuánto tiempo se queda?
Back to top1) Requisitos: ¿Cómo puede asegurarse de que su sitio y las cookies se adapten al RGPD?
Como dueño de una web, tomar medidas para cumplir acarrea repasar su tratamiento de datos y.
Consulte también la infografía de la Comisión Europea:.
El Reglamento general de protección de datos considera p. ej. un nombre, una foto, una dirección de correo electrónico, datos bancarios, publicaciones en redes sociales, información médica o una dirección IP de una computadora como datos personales.
Si su página web u organización trata datos que son (a) directamente personales, o (b) que se puedan conjuntar o bien separarse para identificar a un individuo, entonces ha de ser revisada para cumplir con los requisitos.
Mapee y evalúe los datos sensibles en su organización, revise sus políticas de seguridad y asegúrese que los datos sean seguros.
Los 2 aspectos principales a tomar en consideración son:
- Cómo se guardan en su organización los datos de los clientes del servicio y usuarios, y
- Las cookies en su sitio (tanto de origen como de terceros).
Ajustar su política de cookies y su consentimiento del uso de cookies es una parte importante de este proceso.
1.1) ¿Qué características han de estar presentes en un permiso del uso de cookies que cumpla con el RGPD?
Uno de los requisitos más tangibles del RGPD se encuentra en la definición de lo que constituye un consentimiento conveniente del empleo de cookies, esto es, que el consentimiento debe ser:
- Informado: ¿Por qué, cómo y dónde se están usando los datos personales? Ha de estar claro para el usuario, a qué le está dando consentimiento, y debe ser posible aceptar o rechazar los diversos tipos de cookies.
- Basado en una opción verdadera: Esto significa, por servirnos de un ejemplo, que el usuario debe tener acceso a la página web si bien la mayoría, excepto las cookies estrictamente precisas, hayan sido rechazadas.
- Otorgado a través de una acción afirmativa y positiva que no se pueda malinterpretar.
- Otorgado antes del tratamiento de cualquier clase de datos personales.
- Movible: Ha de ser fácil para el usuario cambiar de opinión y retirar el consentimiento.
Además,
- El usuario tiene el derecho al olvido. Cuando el usuario lo desee, todos sus datos personales deben borrarse correctamente.
- Todos los permisos dados deben darse de alta como documentación.
2) ¿Qué es un aviso de cookies en de acuerdo con el RGPD?
Los requerimientos precedentes hacen que la mayoría de los mensajes de cookies y notificaciones usados ya antes de la implementación del RGPD sean obsoletos.
Por ejemplo, el permiso implícito y el permiso dado sencillamente al visitar un lugar ya no son suficientes.
Lo mismo se aplica a las ventanas emergentes y mensajes ‘Al usar este sitio, usted admite las cookies’.
Un simple botón de ok para aceptar cookies tampoco es suficiente.
Por ejemplo, esto no funcionará:
2.1) Ejemplo de un mensaje de consentimiento que cumple con el RGPD
A continuación, la notificación de Cookiebot con arreglo al RGPD y la ePrivacy, solicitando consentimiento para establecer las cookies.
El mensaje cumple con los reglamentos por lo siguiente:
- En primer sitio, si bien invisible a simple vista, todos y cada uno de los scripts cargados, menos los estrictamente necesarios, entrarán en pausa hasta el momento en que se haya otorgado el permiso del uso de cookies. Esta función se denomina ' consentimiento previo' y es un requisito tanto del RGPD como de la Directiva sobre la privacidad y las comunicaciones electrónicas. Según el RGPD, usted debe contar con el permiso para establecer cookies que rastreen datos personales, mientras que, en la ePrivacy, necesita el consentimiento del usuario ya antes de establecer cualquier género de cookies, que no sean estrictamente necesarias.
- La información sobre cookies es precisa y específica, y se presenta en un lenguaje claro y sencillo, cumpliendo así todos los requisitos del RGPD.
- Si el usuario decide que se muestren los detalles, el aviso se despliega en una descripción completa sobre todas y cada una de las cookies activas y el seguimiento on-line en la web. La lista se basa en un escaneo mensual de todas las páginas del lugar, que detecta y también identifica todas y cada una de las cookies y las tecnologías de seguimiento conocidas en uso en el lugar. Las cookies se presentan completas con su origen, duración y descripción de su objetivo.
- Las cookies se reúnen en 4 categorías entendibles, que el usuario puede escoger o bien no. Las cookies precisas no se pueden rechazar, por el hecho de que están incluidas en la lista blanca y son necesarias a fin de que el sitio funcione correctamente. Las categorías de cookies que no manejen datos personales pueden marcarse pre-escogidas, al tiempo que las que sí lo hacen, deben de ser activamente escogidas por el usuario para que se ciñan a la ley.
- En el ejemplo adjunto, las preferencias y cookies estadísticas del lugar no manejan datos personales y por consiguiente pueden ser pre-seleccionadas. Las cookies de marketing si rastrean datos personales y por ende se encuentran deseleccionadas por defecto.
- El usuario tiene acceso a su estado de consentimiento en la web y en cualquier momento puede cambiar de opinión sobre su consentimientoy optar por retirarlo.
- Todos los permisos dados se almacenan de forma seguracomo documentación de que se ha concedido el consentimiento, lo que también es un requisito del RGPD.
- Cada 12 meses, a partir de la primera visita del usuario al lugar, el pop-up de permiso aparece nuevamente solicitando una renovación del mismo.
Lea más en nuestro artículo sobre elexigido por ley.
Back to top3) ¿Cómo adapto mi política de cookies al RGPD?
El RGPD y la directiva europea ePrivacy requieren consentimiento anterior e informado de los usuarios de su página web y el RGPD demanda además la documentación de cada consentimiento concedido.
Al mismo tiempo, usted debe rendir cuentas por la información del usuario qué comparta con servicios de terceras partes en su página web y a dónde se envían esos datos.
Una política de cookies de acuerdo con el RGPD debe cumplir los siguientes requisitos:
Política de cookies transparente
Una política de cookies de conformidad con la ley debe dar al usuario una descripción clara y precisa de cómo se emplean las cookies en todo instante. Es un requisito real, que la política de cookies esté escrita en un lenguaje sencillo y también inteligible.
Resumen y responsabilidad por las cookies en su web
Usted puede estar sujeto a controles y se le demanda tener un registro exhaustivo de los procesos de datos que está ocurriendo en relación con su página web.
Esto es más fácil de decir que de hacer, en tanto que la mayoría de las webs tienen un enorme número de cookies de terceras partes fluyendo a través de su sistema.
Solicitud de consentimiento a través de icono afirmativo
El cambio más grande para las cookies y el seguimiento on line en relación con el RGPD es que el permiso ha de ser concedido por una acción meridianamente afirmativa.
Los ciudadanos europeos se han acostumbrado -sin embargo, seguramente también ligeramente irritados – a los avisos en todas y cada una de las webs, aseverando el uso de cookies, a veces pidiéndole hacer click en “ok”, pero no dándole una opción real.
Con el reglamento, esto no es suficiente. El consentimiento debe ser concedido como una acción afirmativa y positiva, al paso que el rechazo de cookies ha de ser una opción equivalente.
Posibilidad de retirar el permiso en cualquier momento
El usuario debe tener el poder de retirar su consentimiento.
Es, por consiguiente, importante cerciorarse de que los usuarios tienen acceso al estado actual de su permiso en cualquier momento y de que pueden retirar su consentimiento de forma completa.
Renovación del consentimiento
Cada 12 meses, el permiso ha de ser renovado desde la primera visita del usuario a la web.
De fácil empleo, sin diálogos absurdos
Un reto planteado por el RGPD es, por una parte, que el empleo de cookies sea transparente y que se les de a los usuarios el conocimiento de cómo se están usando sus datos.
Mientras que, la comunicación debe ser clara y fácil de entender con el objeto de que el usuario tenga una opción real.
Con el RGPD y la directiva ePrivacy, el consentimiento del usuario ha de ser concedido de antemano al establecimiento de las cookies. Bajo el RGPD, precisa el permiso anterior para establecer cookies que rastreen datos personales, al paso que la directiva ePrivacy va un paso más allá y exige que obtenga el permiso para establecer todo tipo de cookies salvo las rigurosamente necesarias.
Consentimientos han de ser registrados como evidencia
Todos los permisos deben ser guardados de manera segura para poder ser utilizados como evidencia en el caso de control.
Back to top4) ¿Puedo utilizar un modelo de política de cookies?
Existen numerosos servicios en la red que proveen modelos o generadores para la política de cookies de su web. Simplemente, busque en Google “modelo de política de cookies” y encontrará bastantes entre aquéllos que escoger.
Sin embargo, tenga cuidado. Le aconsejamos que no utilice modelos o bien generadores, por el hecho de que es un requisito del RGPD que la información sobre cookies y seguimiento en línea ha de ser específico y preciso.
Para iniciar, todas las webs son diferentes, y segundo, las cookies pueden cambiar sin que ni siquiera se dé cuenta, especialmente si emplea terceras partes como contenido embedido, anuncios y herramientas de análisis.
Con Cookiebot, puede publicar el informe sobre el escaneo mensual de su web como una parte integrante de su política de cookies o su política de privacidad.
Back to top