¿Cumple mi web con la ley de cookies?

Hace tan sólo unos días se inició el primer proceso sancionador en España contra un presunto incumplimiento de la ley de privacidad y protección de datos. La llamada “ley de cookies” parecía haberse instalado en una especie de limbo tras su aprobación, el 1 de Abril de 2012, presidiendo un panorama en el que muy pocas empresas habían emprendido acciones para adecuar sus webs a la legislación.

La apertura de este primer proceso sancionador puede servirnos como invitación a recapitular y poner sobre la mesa algunas cuestiones clave sobre esta ley. ¿Cumple mi web con la normativa de cookies?

La llamada “ley de cookies” (RDL 12/2012, BOE 31 Marzo 2012) es el desarrollo en España de una normativa de la Comunidad Europea vigente desde Mayo del 2011 que prohíbe (con una serie de excepciones y alternativas) instalar cookies en el navegador de un usuario sin su expreso permiso (Directiva 2002/58/CE). Este esfuerzo legislativo comunitario se ha dirigido desde sus inicios en 2002 a proteger al usuario de posibles prácticas abusivas (explotación de sus datos personales con fines comerciales sin su consentimiento).

A pesar de que las cookies han ido acumulando mala prensa entre el público general, cabe recordar que la información que remiten a sus emisarios puede cumplir múltiples propósitos. Las cookies pueden servir para agilizar la navegación de un usuario por una web, posibilitar la prestación de ciertos servicios (cesta de la compra), personalizar la presentación de una web según su preferencias (de contenidos, interfaz, etc), recoger datos estadísticos anónimos con los que luego optimizar la usabilidad de la web, y largo etcétera. A pesar de la alarma que la ley de protección de datos podría transpirar, las cookies no tienen ni mucho menos fines exclusivamente publicitarios, no son spyware, y definitivamente no deberían de ser usadas para servir publicidad no deseada.

Precisamente por eso, la ley parte de la distinción entre cookies propias (vinculadas al funcionamiento técnico de la propia web) y de tercera parte (que envían información a servidores ajenos a los que aloja su web la empresa). Las cookies propias, destinadas a permitir al usuario navegar por la propia web, están exentas de la prohibición, y pueden instalarse sin consentimiento. Sin embargo, todas las cookies de tercera parte (aquellas que envían información a servidores externos) requieren antes de su instalación una autorización explícita por parte del usuario. Esta autorización ha de ser activa e informada, es decir: el usuario ha de tener información completa y directa, y otorgar su consentimiento de manera consciente y manifiesta.

Uno de los aspectos claves de la ley de cookies es la regulación de las cookies emitidas por agencias de publicidad o ad networks que utilizan los datos de los usuarios para, por ejemplo, ofrecer servicios de personalización de espacios publicitarios. No obstante, la ley de cookies española obliga a todos los titulares de webs profesionales establecidos en España (o fuera, pero que dirijan sus servicios específicamente al territorio español) a cumplir con este requisito de “consentimiento informado” por parte del usuario antes de enviar a su navegador ninguna cookie de terceros. Nuestra web puede estar instalando cookies de terceros sin nuestro conocimiento, tal y como las enviadas por módulos externos de contenido (por ejemplo, iframes como el de google maps), o las instaladas por CMS (como wordpress, joomla, etc) y sus numerosos plugins, entre otros. Por eso, si no estás seguro/a de que la web de tu empresa cumple con la legalidad vigente, te recomendamos los siguientes pasos:

1. Audita las cookies que está enviando tu web… sin tú saberlo. Algunos plugins, gestores de contenido, botones sociales, etc, pueden estar instalando cookies en el navegador de tus visitantes. Haz un inventario de todas las cookies que instala tu web, especificando los detalles de cada una (propietario, propósito, fecha de caducidad, etc). A continuación, haz una valoración de aquellas de las que podrías prescindir, desactivándolas mediante la programación de las pertinentes aplicaciones.

2. Redacta una nueva política de privacidad (aviso legal) para tu web. En ella, informa a los visitantes en un lenguaje claro y llano los tipos de cookies que envía tu web, y la finalidad de cada tipo. Incluye una tabla con todas las cookies que instala tu web, especificando el uso y fecha de caducidad de cada una. Haz manifiesto, además, que en el caso de que tu web sirva cookies a terceros para usos ajenos a tu web, solicitarás el permiso expreso del usuario.

Si tu web no emplea cookies de terceros, con esto estás en paz. Sin embargo, tal y como el procedimiento de sanción abierto hace unos días pone de relieve, la cookie enviada por herramientas de analítica (como en ese caso en concreto, Google Analytics), a pesar de ser de primera parte, requiere una consideración especial. Si tus analíticas no identifican al usuario, es suficiente con un aviso legal. Pero en el caso de que tus analíticas identifiquen al usuario (por ejemplo mediante variables personalizadas en Google Analytics), necesitarás la autorización explícita del usuario, y por tanto paralizar (mediante el desarrollo de una aplicación) su instalación automática en el navegador del visitante hasta obtener su consentimiento.

Para ello, no es suficiente con un banner o elemento flotante que informe de la instalación de cookies de terceros, es necesario obtener de manera activa la confirmación del usuario de haber recibido la información clara y completa de las condiciones que acepta al continuar con su navegación. Para ello, un método posible es interponer una página de bienvenida o popUp que interrumpa la carga completa de la página, acompañada de una aplicación que detenga la instalación de cookies hasta la obtención del consentimiento. Esta página de bienvenida o popUp deben de transmitir de manera clara y directa que, continuando la navegación, el usuario confirma la aceptación de las políticas de privacidad y cookies de la web. En el caso, además, de que mediante variables customizadas u otros métodos tus analíticas identifiquen al usuario (para hacer un seguimiento multi-dispositivo, por ejemplo), debe de ser claramente indicado en la política de privacidad.

Es importante asegurarse que el método elegido para detener la instalación de la cookie nada más entrar en la web esté configurado de tal manera que no se pierda información valiosa (como por ejemplo, la procedencia desde la que ha llegado ese visitante por primera vez).

Tal y como las abundantes críticas que ha levantado la ley de cookies demuestran, las leyes de protección de la privacidad de datos forman parte del gran caldo primigenio que aún busca definición en las nuevas formas de la sociedad digital (tal y como sucede también, por ejemplo, con los archivos compartidos y los derechos de autor y propiedad intelectual). Las leyes de protección de datos se encuentran en un periodo de maduración, al que parece quedarle un largo trayecto de ensayo y error. Por lo de ahora, por nuestra parte, y más allá de lo mucho o poco que decidamos involucrarnos en el debate, limitémonos a asegurarnos de que cumplimos la legalidad vigente para evitarnos posibles sorpresas desagradables.

Más recursos: