La semana pasada hablamos de las cookies y su regulación según la legislación de la UE y mencionamos cómo las cookies no esenciales requieren consentimiento. Este es el tipo de cookies que alimentan los servicios de análisis web basados en cookies como Google Analytics y Adobe Analytics. Hoy profundizaremos más en el consentimiento y lo que significa específicamente para la analítica web.
- ¿Cómo es el consentimiento de las cookies?
- El consentimiento es específico
- ¿Cuáles son los problemas más comunes con el consentimiento?
- Conclusiones
Entremos en materia.
Resumen sobre el consentimiento y las cookies
Antes de entrar en materia, repasemos a grandes rasgos el consentimiento y las cookies:
- Las cookies de análisis web siempre necesitan consentimiento porque no son esenciales.
- El consentimiento GDPR sólo es válido cuando cumple criterios específicos: se da libremente, es específico, informado, inequívoco y posible de retirar.
Por lo tanto: las cookies analíticas requieren consentimiento, y este consentimiento debe cumplir ciertas normas. Esto significa que su banner de cookies debe estar diseñado de una determinada manera. Pero hay más, y aunque la mayoría de las normas no son controvertidas, algunas son objeto de acalorados debates en la comunidad jurídica.
Entremos en materia.
¿Cómo es el consentimiento de las cookies?
El consentimiento no es ambiguo
En pocas palabras, el requisito del GDPR de que el consentimiento sea inequívoco significa que sólo es válido el consentimiento activo y expreso. En virtud del RGPD, no existe el consentimiento implícito o de exclusión voluntaria.
La norma del consentimiento expreso tiene importantes consecuencias para los banners de cookies. Un banner de cookies bien diseñado utiliza expresiones afirmativas como "Acepto las cookies" o "Doy mi consentimiento para el uso de cookies". Esto es diferente de simplemente reconocer o entender que se utilizarán cookies.
Además, un sitio web bien diseñado no escribe las cookies hasta que los usuarios toman una decisión. Ignorar un banner o hacer clic en un botón de "cerrar" para descartarlo nunca, nunca constituye o implica consentimiento.
El consentimiento es específico
El consentimiento sólo es válido cuando se da para un fin específico. Esto implica que el consentimiento debe ser granular: cuando las mismas cookies se utilizan para múltiples propósitos, se necesitan múltiples consentimientos, uno para cada propósito.
En la práctica, la mejor forma de obtener un consentimiento granular es utilizar las cookies de análisis web únicamente para este fin. Esto le permite recoger un consentimiento separado para otras cookies, como las de autenticación de usuario, y escribir cookies esenciales sin el consentimiento del usuario (lo cual es absolutamente correcto según la ley).
El consentimiento es informado
Este requisito es intuitivo: si no sé lo que estoy consintiendo, entonces no estoy consintiendo realmente de ninguna manera significativa. No tengo por qué entender todos los pequeños detalles técnicos de su análisis web, pero sí los hechos que realmente importan para mi decisión: quién toma mis datos, qué datos toma, con qué fin y con qué posibles consecuencias.
En la práctica, esto significa que un banner de cookies debería
- Informar al usuario para qué sirven las cookies.
- Utilizar un lenguaje claro, accesible y preciso.
- Indicar al usuario con quién se compartirán sus datos personales. En el caso de Google Analytics, esto incluye a Google y a sus socios publicitarios.
Esta información debe ser concisa y en un lenguaje sencillo. En la práctica, suele ser una buena idea ofrecer la información más crucial a través del banner de cookies y enlazar a una política de cookies con información más detallada.
Consentimiento revocable
El consentimiento es revocable. Debe permitir a los usuarios revisar sus preferencias de cookies y anular fácilmente cualquier cookie que hayan aceptado.
Tenga en cuenta que la retirada del consentimiento a veces va acompañada de una solicitud de borrado. En ese caso, se le da un plazo para eliminar todos los datos del solicitante. Es decir, todos los datos de análisis web relacionados con sus cookies y el identificador único que contienen.
La mayoría de las empresas no piensan en esto cuando configuran su analítica web y no tienen ni idea de qué hacer cuando reciben una solicitud de borrado. No podemos profundizar demasiado aquí, pero una organización debería, como mínimo
- establecer un procedimiento claro para gestionar las solicitudes
- asegurarse de que puede recuperar y borrar fácilmente los datos de usuarios individuales. En el caso de la analítica web, esto significa poder filtrar los puntos de datos por identificadores únicos.
El consentimiento se da libremente
El GDPR exige que todo consentimiento se dé libremente. Esta es la razón por la que su hospital no puede recoger el consentimiento para el uso de sus datos como un requisito para proporcionar atención médica, y por qué los empleadores deben abstenerse de hacer que los empleados firmen formularios de consentimiento GDPR. No tiene ninguna opción significativa cuando negar el consentimiento significa morir o perder su trabajo.
¿Cuáles son los problemas más comunes con el consentimiento?
Últimamente han surgido dos problemas de cumplimiento relacionados con la analítica web. Los banners engañosos de cookies se encuentran por todo Internet y tratan de inducir a los usuarios a aceptar cookies que realmente no desean, mientras que los muros de cookies exigen a los visitantes que paguen para deshacerse de ellas.
Ambas cuestiones son bastante controvertidas en la comunidad de la privacidad. Veamos a qué se debe este revuelo y qué significa para la analítica web.
Banners engañosos
Aceptar cookies siempre es muy fácil, pero rechazarlas suele requerir pasar por el aro. Se trata de una elección de diseño deliberada: muchos banners incitan a los usuarios a aceptar las cookies haciendo que el proceso de rechazo sea lo más molesto, confuso y lento posible. Los visitantes suelen ceder porque no tienen tiempo ni paciencia para encontrar la manera de salir de cada banner de cookies que ven.
Los diseños engañosos parecen una buena solución para los sitios web. Después de todo, el usuario ha hecho clic en "Acepto", así que todo debería ir bien. ¿No es cierto? Pues no. Si el consentimiento se obtuvo mediante engaño y agotamiento, entonces no es ni libre ni inequívoco.
Afortunadamente, el Consejo Europeo de Protección de Datos se ha pronunciado en contra de los banners engañosos con cookies. Su postura no es unánime, pero es compartida por la gran mayoría de las autoridades competentes. También estamos empezando a ver una aplicación seria.
En resumen: si realmente necesita utilizar análisis basados en cookies, póngase en el lado correcto de la ley y haga que sus cookies sean fáciles de rechazar. Asegúrese de que el botón "rechazar todas" esté claramente visible, redactado con claridad y disponible en el primer nivel de la interfaz del banner.
(Y sí, esto significa que muchos usuarios rechazarán tus cookies).
Muros de cookies
Algunos banners de cookies no incluyen un botón de "rechazar todas las cookies" y en su lugar ofrecen una opción diferente: los usuarios pueden aceptar las cookies o suscribirse a una suscripción de pago que les permite navegar por el sitio sin cookies. En otras palabras: pague con su dinero, pague con sus datos o váyase. Estos banners se denominan " muros de cookies " y suelen ser utilizados por los periódicos digitales.
Los muros de cookies suponen una mercantilización de los datos personales que una parte de la comunidad de la privacidad considera indeseable en el mejor de los casos e ilegal en el peor. Los defensores de los muros de cookies afirman que los editores no pueden ofrecer contenidos gratis y necesitan ingresos publicitarios para seguir trabajando. Los detractores de los muros de cookies apuntan a la publicidad contextual como fuente alternativa de ingresos para los editores y observan que un derecho fundamental como la protección de datos no puede mercantilizarse (tienen razón, por cierto).
En la práctica, la utilización de un muro de cookies puede variar en función de la jurisdicción. Por ejemplo, muchos medios de comunicación alemanes utilizan muros de cookies porque los reguladores tienden a ser algo indulgentes en este aspecto.
A nosotros nos disgustan los muros de cookies, pero si realmente quiere implantar uno, quizá sea prudente esperar un tiempo. Meta siguió el ejemplo de los medios de comunicación e implantó un sistema de suscripción de pago en un intento de justificar su agresiva publicidad basada en la vigilancia. Los reguladores europeos pronto tendrán que pronunciarse sobre el enfoque de Meta, y una vez que lo hagan, su posición sobre los muros de cookies probablemente también quedará más clara.
(Por cierto: ¡pagar o aceptar es un asunto realmente importante para el futuro del GDPR! Si tienes curiosidad sobre este tema crucial de la privacidad, no dudes en consultar nuestro blog sobre las suscripciones a Meta).
Conclusiones
En general, las normas de consentimiento para la analítica web son bastante estrictas en la UE. Esto crea un problema para la analítica basada en cookies: las estrategias que conducen a buenas tasas de consentimiento para las cookies, es probable que violen la ley. Los sitios web se encuentran entre la espada y la pared, ya que tienen que elegir entre un bajo índice de aceptación o el riesgo de incumplir la normativa.
Por este motivo, muchas empresas están optando por soluciones de análisis sin cookies. Y nosotros estamos orgullosos de ofrecer la más respetuosa con la privacidad.
Simple Analytics es la solución de análisis web sin cookies que no recopila datos personales. Esto hace que sea trivial cumplir con el GDPR y otras legislaciones de privacidad. Nuestro servicio también es fácil de aprender y navegar, gracias a nuestra intuitiva interfaz de usuario y al práctico asistente de IA. Si esto le parece bien, ¡no dude en probarlo!