Cuando se habla de privacidad en Internet, siempre aparecen las cookies. Pero, ¿cómo funcionan las cookies y qué normas se aplican?
Puede que pienses que las cookies necesitan consentimiento. Después de todo, muchos sitios web te molestan con banners de cookies. Pero las normas son más complejas y no todas las cookies reciben el mismo trato legal. Así que vamos a arrojar algo de luz sobre las cookies y sus requisitos legales en la UE.
- ¿Qué son las cookies y para qué sirven?
- ¿Cómo se regulan las cookies en Europa?
- ¿Qué tipos de cookies existen?
- ¿Cómo se regulan las cookies?
- ¿Qué ocurre con las aplicaciones?
- ¿Son buenas las cookies para la analítica web?
¿Qué son las cookies y para qué sirven?
Las cookies son pequeños archivos almacenados en su navegador que intercambian información con el servidor cada vez que navega por un sitio web.
Aunque las cookies suelen asociarse a la analítica web, se utilizan para todo tipo de fines. Muchos sitios web utilizan cookies para la lucha contra el fraude, la seguridad web y el inicio de sesión automático. La finalidad de las cookies es importante porque no todas reciben el mismo trato según la legislación de la UE.
¿Cómo se regulan las cookies en Europa?
Las normas sobre cookies son algo complejas en la UE, así que aquí tiene un breve resumen para hacerlo menos confuso:
- Si sus cookies son esenciales para que su sitio web funcione, entonces no necesita consentimiento.
- Si sus cookies no son esenciales, entonces necesita el consentimiento expreso para utilizarlas. Esto normalmente significa mostrar un banner de cookies.
- Si su cookie tiene un identificador único, entonces usted tiene algunas obligaciones bajo el GDPR. Es posible que aún pueda colocar esas cookies sin consentimiento, si son esenciales.
Una vez más, este blog se referirá únicamente a la legislación de la UE. Las diferentes legislaciones regulan las cookies de manera diferente: por ejemplo, el Reino Unido y Brasil están estrechamente alineados con las leyes europeas, mientras que las regulaciones estadounidenses son típicamente más permisivas.
¿Qué tipos de cookies existen?
Aunque todas las cookies funcionan de forma similar, existen algunas distinciones entre ellas, algunas de las cuales son importantes para la legislación.
De origen y de terceros
Las cookies de origen sólo pueden ser leídas por el dominio que las escribió en su navegador, mientras que las cookies de terceros también pueden ser leídas por diferentes dominios.
Por ejemplo, si visitas Facebook y aceptas las cookies de terceros de Meta, otros sitios web también podrán leer esas cookies. Esto permite a Meta "personalizar tu experiencia" (léase: servir publicidad dirigida basada en perfiles invasivos, tanto en Facebook como al navegar por otros sitios web que dependen de Meta para colocar anuncios).
Por otro lado, si aceptas las cookies de origen de www.coolwebsite.com, el sitio podrá leerlas, pero un dominio diferente como _www.awesomewebsite.com\_ no.
Las cookies de terceros son muy invasivas. Por eso muchos internautas instalan bloqueadores de publicidad y muchos navegadores bloquean las cookies de terceros o limitan el espionaje de otras formas (como los tarros de cookies de Mozilla Firefox). Esta reacción general contra las cookies ha sido bautizada como el mayor boicot de la historia de la humanidad y está haciendo que las cookies de terceros sean cada vez menos eficaces como herramienta de retargeting.
Esenciales y no esenciales
Las cookies esenciales son aquellas que una aplicación y un sitio web necesitan para funcionar correctamente. Por ejemplo, las cookies que se utilizan para evitar ataques DoS contra sitios web son esenciales, mientras que las cookies analíticas web no son esenciales.
Esta es la principal distinción desde un punto de vista legal, porque las cookies no esenciales siempre requieren consentimiento en virtud de la legislación de la UE (más sobre esto más adelante). De hecho, las cookies no esenciales a veces se denominan opcionales debido a su regulación generalmente más estricta en virtud de la ley.
Únicas frente a no únicas
Por último, veamos una tercera distinción que a menudo se pasa por alto. Algunas cookies incluyen un identificador único, es decir, una cadena de números que identifica a un usuario individual (o más exactamente, a su navegador). Este identificador permite a un sitio web controlar a un usuario individual porque no hay dos cookies iguales.
Las herramientas habituales de análisis web, como Google Analytics y Adobe Analytics, utilizan cookies de identificación para rastrear a las personas en Internet y elaborar perfiles basados en sus hábitos de navegación. Son el tipo de cookies de las que se quejan (con razón) los defensores de la privacidad. Pero las cookies de identificación también tienen otros usos menos invasivos: por ejemplo, muchos sitios web las utilizan para la lucha contra el fraude, y las plataformas de comercio electrónico a menudo las utilizan para rastrear los productos en su carrito.
Los identificadores únicos son relevantes desde un punto de vista legal porque cuentan como datos personales. Así, las cookies con identificadores únicos son siempre datos personales y entran en el ámbito de aplicación del GDPR, mientras que las cookies sin identificadores únicos no.
¿Cómo se regulan las cookies?
Las normas sobre cookies se encuentran principalmente en dos fuentes jurídicas: el GDPR y la Directiva sobre privacidad electrónica. La regulación de las cookies es algo complicada porque ambas leyes difieren en cuanto a criterios, terminología y ámbito de aplicación.
Como anticipamos en nuestro td;dr:
- Las cookies no esenciales siempre requieren consentimiento expreso.
- Las cookies no esenciales no requieren consentimiento en absoluto.
- Algunas cookies conllevan otros requisitos en virtud del GDPR, ya sean esenciales o no.
Vamos a desglosar estas normas poco a poco.
Las cookies no esenciales requieren consentimiento...
La Directiva sobre la privacidad y las comunicaciones electrónicas (más exactamente, el artículo 5, apartado 3) exige el consentimiento para acceder a los datos almacenados en el equipo terminal de un usuario. Esto significa que las cookies sólo pueden utilizarse con consentimiento -pero hay excepciones, como veremos-.
El artículo también se aplica a tecnologías distintas de las cookies, ya que su redacción es muy amplia. Por ejemplo, los rastreadores integrados en las aplicaciones móviles también requieren consentimiento, al igual que los identificadores de publicidad para dispositivos móviles, como el AAID de Google o el IDFA de Apple.
Esta norma de consentimiento obligatorio es más estricta que las del RGPD. La noción de que el GDPR es todo sobre el consentimiento, es engañosa, ya que hay formas absolutamente legítimas de recopilar datos sin consentimiento(como explicamos aquí).
... pero las cookies esenciales no
La Directiva incluye una excepción para los datos que son "estrictamente necesarios para prestar un servicio de la sociedad de la información" a petición del usuario.
Esta excepción es interpretada de forma bastante amplia por los reguladores y cubre todos los datos que los sitios web y las aplicaciones necesitan para funcionar. Por eso las cookies esenciales no requieren consentimiento, como habíamos previsto.
Por ejemplo, supongamos que visita un sitio web de comercio electrónico y cambia el idioma a español. Es probable que su preferencia de idioma se almacene a través de una cookie. Se trata de una cookie esencial: para que usted pueda navegar por el sitio web, éste necesita mostrar su contenido en un idioma que usted pueda entender. Por lo tanto, el sitio web no necesita su consentimiento para hacerlo.
Pero si el mismo sitio web quiere utilizar cookies de Google Analytics, necesita su consentimiento. Esto se debe a que la analítica web y el retargeting son cosas adicionales que el sitio web quiere pero no necesita hacer.
(Como nota al margen, la Directiva sobre la privacidad y las comunicaciones electrónicas incluye una segunda excepción para los datos estrictamente necesarios para hacer posible la comunicación. Esta excepción no suele aplicarse a las cookies, pero merece la pena mencionarla).
Pueden aplicarse normas adicionales del GDPR
El RGPD y la Directiva sobre la privacidad y las comunicaciones electrónicas no tienen el mismo ámbito de aplicación: el RGPD se aplica a los datos personales, mientras que la Directiva sobre la privacidad y las comunicaciones electrónicas (y específicamente el artículo 5) se aplica a todos los datos de comunicación, sean o no datos personales. Esto complica un poco las cosas, porque algunas cookies entran tanto en el ámbito de la Directiva sobre la privacidad y las comunicaciones electrónicas como en el del RGPD, mientras que otras sólo entran en el de la Directiva sobre la privacidad y las comunicaciones electrónicas.
Explicarlo todo en detalle alargaría demasiado este blog, pero en pocas palabras:
- Las cookies que entran en el ámbito del GDPR son, de nuevo, las que contienen un identificador único.
- Si se aplica el GDPR, también se aplican algunas normas generales (por ejemplo, bases jurídicas, deberes de información, derecho de acceso a los datos, etc.) . El hecho de que se aplique el GDPR no significa que sea necesario el consentimiento. Las cookies con identificadores únicos pueden seguir utilizándose sin consentimiento si son esenciales. En el ejemplo anterior, las cookies únicas utilizadas por los sitios web de comercio electrónico para rastrear los artículos en su carrito, son cookies esenciales y están exentas del requisito de consentimiento.
¿Qué ocurre si utilizo cookies para múltiples fines?
A veces las cookies se utilizan para múltiples propósitos. Por ejemplo, puede utilizar la misma cookie tanto para la lucha contra el fraude como para la analítica web.
Puede ver por qué las cookies con fines múltiples son problemáticas. Las cookies no esenciales requieren consentimiento, mientras que las esenciales no. ¿Qué ocurre con las cookies que cumplen fines tanto esenciales como no esenciales?
Afortunadamente, el Consejo Europeo de Protección de Datos intervino en este asunto hace un tiempo: siempre que un fin individual no sea esencial, la cookie requiere consentimiento. Esta importante aclaración cierra peligrosas lagunas que, de otro modo, permitirían un rastreo no consentido.
En la práctica, hay que evitar utilizar las mismas cookies para fines esenciales y no esenciales. Esto le permite respetar la elección del usuario y seguir siendo capaz de escribir todas las cookies esenciales que hacen que su sitio web funcione.
El consentimiento es opcional
El consentimiento es un tema complejo. Sólo podemos arañar la superficie aquí, pero vale la pena señalar que sólo es válido el consentimiento activo y expreso. El GDPR no contempla el consentimiento implícito o de exclusión.
La norma del consentimiento expreso tiene importantes consecuencias para la analítica web:
- Su banner de cookies debe utilizar una redacción afirmativa como "Acepto las cookies" o "Doy mi consentimiento para el uso de cookies". Evite el lenguaje ambiguo como reconocer el uso de cookies.
- Su sitio web no debe escribir cookies no esenciales hasta que el usuario haga una elección. Ignorar el banner de cookies y seguir desplazándose no es una elección, y lo mismo ocurre si se hace clic en un botón de "cerrar/X/desestimar".
Hay mucho más que decir sobre el consentimiento y las cookies, especialmente en lo que respecta a la analítica web, y es posible que pronto volvamos sobre el tema.
¿Qué ocurre con las aplicaciones?
El seguimiento de aplicaciones es diferente del seguimiento basado en cookies, ya que los rastreadores suelen estar integrados directamente en la aplicación. Sin embargo, el artículo 5 de la Directiva sobre la privacidad y las comunicaciones electrónicas está redactado en términos muy amplios y los rastreadores que se encuentran habitualmente en las aplicaciones entran dentro de su ámbito de aplicación.
En resumen, la norma es la misma: si el rastreo no es estrictamente necesario, entonces requiere consentimiento.
Pero este requisito se ignora en gran medida. La mayor parte de la industria de las aplicaciones utiliza kits de desarrollo de software (SDK) de terceros que están repletos de rastreadores. Estos kits recopilan datos en beneficio del desarrollador del kit y a menudo ignoran o eluden las normas de consentimiento. El resultado final es un rastreo ilegal a escala planetaria.
Para empeorar las cosas, tienes menos control sobre tus aplicaciones que sobre los sitios web que visitas, porque no puedes instalar un bloqueador de anuncios o comprobar y eliminar rastreadores de la misma forma que gestionarías las cookies de tu navegador. Por eso todas las empresas intentan imponerte una aplicación de mierda.
Tl;dr: las aplicaciones siguen las mismas reglas que las cookies, pero las empresas se hacen las tontas.
¿Son buenas las cookies para la analítica web?
Depende. Los servicios de análisis basados en cookies, como Google Analytics y Adobe Analytics, pueden recopilar datos detallados, pero a costa de la privacidad del usuario. Se trata de una cuestión ética y puede convertirse en un problema práctico en jurisdicciones con estrictos requisitos de consentimiento, como la UE, ya que los banners de cookies dan lugar a altas tasas de exclusión y a análisis inexactos.
Simple Analytics puede resolver el problema. Construimos nuestro servicio para proporcionarle toda la información que necesita sin utilizar cookies y sin recopilar datos personales. Simple Analytics es una gran alternativa a Google Analytics, centrada en la privacidad, así como un complemento perfecto, como medio para mitigar la pérdida de datos de los banners de cookies.
Si tiene curiosidad, ¡no dude en probarlo!