Si en tu sitio web o blog se instalan cookies de terceros, como las de Google Analytics, estás obligado a adaptarlo para cumplir la ley. En este artículo actualizado veremos qué puedes hacer para adaptarte legalmente.
El 1 de octubre del 2019 por Sentencia del Tribunal de Justicia Europeo se determinó que el consentimiento que el usuario da para que sus datos sean recopilados por otras páginas webs mediante cookies debe ser explícito. Eso significa que no podemos asumirlo o darlo por válido de antemano. Además, no sirven los formularios de consentimiento de cookies con casillas premarcadas. En definitiva, es obligatorio dar el consentimiento explícito antes de recopilar datos. En el caso de las cookies, no se puede cargar ninguna cookie antes de que el usuario dé su contentimiento. Se exceptúa, claro está, aquellas cookies propias necesarias para el funcionamiento de la web.
En realidad, la Agencia Española de Protección de Datos (AEPD) habla de «dispositivos de almacenamiento y recuperación de datos» (DARD). Dentro de éstos se encontrarías las cookies, pero si en tu blog (o sitio Web) empleas otros mecanismos DARD también estarías afectado. Esto es lo que dice la AEPD:
«Y es que mediante la utilización de los dispositivos de almacenamiento y recuperación de datos, como cookies u otros, los prestadores de servicios obtienen datos relacionados con los usuarios que posteriormente podrán ser utilizados para la prestación de los servicios concretos, para servir publicidad o como base para el desarrollo de mejoras o nuevos productos y servicios en ocasiones gratuitos. Esta circunstancia determina la necesidad de implantar un sistema en el que el usuario sea plenamente consciente de la instalación de aquellos dispositivos y de la finalidad de su utilización, siendo en definitiva conocedores del destino de los datos que estén siendo utilizados y las incidencias que este sistema implica en su privacidad. Por ello, la nueva regulación comunitaria y nacional requiere la obtención de un consentimiento informado con el fin de asegurar que los usuarios son conscientes del uso de sus datos y las finalidades para las que son utilizados.»
En pocas palabras, tal y como hemos planteado al principio, si tienes un blog con publicidad o tienes instalado el código de Google Analytics, por ejemplo, estás obligado a informar a tus usuarios de que en tu sitio se emplean cookies y a obtener el consentimiento explícito para su utilización (el consentimiento tácito no cumple la ley).
Por ejemplo, deberías avisar del uso de cookies, en el caso de que emplees alguno de los siguientes servicios (y bloquearlas antes del consentimiento):
- Adsense
- Analytics
- google +
- google analytics
- google maps
- Youtube
- Vimeo
- Disqus
- ShareThis
Todo ello se traduce, simplemente, en añadir un banner o pop-up donde se explique para qué usamos las cookies y que facilite el consentimiento explícito y su registro.
Habrás visto esos banners miles de veces e, incluso, tú mismo puedes tener uno implementado en tu web. Pero ¿te has preguntado si cumple realmente la ley? ¿te has parado a investigar si realmente no se carga ninguna cookie antes de que el usuario exprese su consentimiento? ¿o sencillamente no te preocupa el tema lo más mínimo?
Acerca de la dificultad para cumplir la ley, en el caso de las cookies
Pero esa lista de servicios que cargan cookies en tu ordenador es solo a modo de ejemplo. Existen muchísimos casos más.
Por ello, es preciso aclarar que es difícil cumplir esta ley debido a los requerimientos técnicos que implica y la forma en la que funciona Internet y los sitios Web. No siempre es posible averiguar el propósito y la funcionalidad de las cookies que utilizan los servicios de terceros que se usan en un blog (o sitio Web). Cuando utilizamos elementos (documentos, vídeos, imágenes, etc.), almacenados en otra Web, pero que se muestran en nuestro blog (o sitio Web), la mayoría de las veces es imposible conocer qué cookies se instalan y su finalidad. Esto hace más difícil cumplir la ley de cookies de manera estricta.
El problema es serio: en España estamos obligados a cumplir la ley mostrando un aviso de cookies con una conformidad del tipo «opt-in» (se debe preguntar al usuario antes de almacenar cookies); y, por otra parte, es difícil implementar una solución técnica.
Lo que te recomendamos desde Blogpocket
Desde Blogpocket lo que te recomiendo es:
- Aprende a gestionar las cookies (cuáles cargan las páginas de tu sitio web o blog, a borrarlas, etc.) desde tu navegador.
- Aprende a probar si una web bloquea las cookies de terceros antes de que tú des el consentimiento (por ej. las de YouTube, Google Analytics, etc.)
- Considera el uso de CookieBot (de pago), la única herramienta que en la pruebas que hemos hecho en nuestro laboratorio, bloquea las cookies antes del consentimiento. Además, obtiene un listado exhaustivo de las cookies que se emplean y proporciona el registro de los consentimiento. Todo ello, por un precio bastante asequible.
En cualquier caso, además de CookieBot, citaremos alguna otra herramienta en forma de plugins de WordPress para que las pruebes y puedas tomar una decisión. Pero una cosa es cierta:
Para cumpllir en un sitio web o blog con las legislaciones europeas sobre tratamiento de datos y, en concreto, si se cargan cookies de terceros, además de informar debidamente con el típico banner, debes bloquear éstas antes de que el usuario exprese su consentimiento explícito.
[Tweet «¡Me gusta este post que explica cómo adaptarse a la Ley de cookies!»]
¿Qué son las cookies propias y las de terceros?
Las cookies propias son las generadas por la página que estás visitando y las de terceros son las generadas por servicios o proveedores externos como Google, CloudFlare, YouTube, redes sociales, etc.
¿Qué dice la ley de cookies?
La ley 34/2002 de Servicios de la Sociedad de la Información y Comercio Electrónico (LSSI-CE), dice que un sitio web no debe guardar información, o acceder a la información almacenada en el ordenador u otro dispositivo habilitado para la web de un usuario, a menos que se proporcione al usuario información clara y completa sobre el propósito del almacenamiento, o el acceso a la información, «y» haya dado su consentimiento expreso.
En resumen, esto significa que cualquier sitio Web está obligado a pedir permiso antes de poder instalar las cookies. La ley afecta a cualquier sitio web que utiliza cookies, tales como el código de seguimiento de usuarios o la publicidad de Adsense. Por ejemplo, situ blog utiliza Google Analytics, estás obligado a cumplir la ley.
En España, la Agencia de Protección de datos posee una Guía sobre el uso de cookies.
¿Qué es una cookie?
Una cookie es un pequeño archivo de texto almacenado en el equipo que envía una petición hacia el servidor web cada vez que solicita una página web. Puede contener cualquier cosa que se puede almacenar en forma de texto, como un identificador de sesión, o los elementos de una compra. Una cookie sólo puede ser leída por la página web que la creó. Si www.blogpocket.com crea una cookie, a continuación, www.facebook.com no podría leer el contenido de esa cookie; esta característica de las cookies añade seguridad y aumenta la privacidad. Puedes leer más información sobre los tipos de cookies, cómo trabajan, etc. en About cookies.
¿Cómo sé las cookies que ha instalado una página Web?
Hay métodos basados en PHP. Puedes subir el script a tu servidor y ejecutarlo tras la carga de cualquier página Web. Pero no queremos ser demasiado técnicos en esto.
Si tu navegador es Firefox, puedes instalar la extensión View cookies. Para ver las cookies instaladas, acude a Herramientas > Información de la página y selecciona la pestaña «Cookies». También puedes seleccionar una de las cookies y eliminarla, o hacer clic en el botón «Remove all cookies in this list» para borrarlas todas.
El problema de estos métodos es que solo por el nombre no vamos a saber a qué plugin o script pertenece una cookie.
Todo eso sirve algo pero existen bastantes cookies que no están registradas y no vas a saber a quién pertenecen tan fácilmente.
También existen plugins de que te muestran un listado con su descripción pero eso quizá sea solo para gente a la que le gusta enredarse 😉
El gurú de WordPress Fernando Tellado tiene en su blog información acerca de cómo obtener la lista de cookies que se usan, mediante el archivo functions.php.
Para conocer la procedencia y la descripción de una cookie puedes hasta consultar la Cookipedia.
Como se adelantó anteriormente, desde Blogpocket te recomendamos CookieBot, pero citaremos algunos plugins alternativos.
Herramientas para realizar una auditoria de cookies
- Cookiebot (recomendado). Yo uso esta herramienta para realizar mi declaración de cookies. El plan gratuito permite el uso, un rastreo e informe si tu web posee menos de 100 páginas (*). Si tu blog o web cuenta con más de 100 páginas, tienes que pasar a la versión de pago, o tras el mes de prueba gratuita, se cancelará el servicio. La versión de pago posee dos niveles menos de 500 páginas y más de 500. Tanto la versión gratuita como la mensual, permite escaneo mensual y a petición; registro de los consentimientos y, lo más importante, bloqueo automático de cookies.
- Extensiones para Chrome. Los resultados son orientativos, no exhaustivos; pero puedes emplear Attacat, herramienta gratuita.
- Weepie Cookie Allow. Plugin de WordPress de pago.
- Quantcast Choice. Plugin de WordPress con versión gratuita y Premium.
(*) Cookiebot rastrea posts y páginas de tu web (en el caso de que la plataforma sea WordPress) y, además, otras páginas que encuentre, como cualquier directorio adicional (que tenga un index.php o similar dentro) y todas las páginas de autor, categorías, etc. Por lo tanto no consideres solo los artículos del blog y las páginas como contacto, about, etc. para establecer un presupuesto.
Chrome: cómo gestionar las cookies
En Chrome, es muy sencillo averiguar las cookies instaladas por un sitio Web. Acude a la página de configuración y haz clic en «Configuración avanzada». Luego ve a «Privacidad y seguridad > Configuración de contenido». Haz clic en «Cookies» y después en «Ver todas las cookies y todos los datos del sitio web». En «Buscar cookies» escribe el nombre del dominio y obtendrás todas las cookies que se han instalado hasta ese momento. Desde allí, podrás gestionarlas (listarlas, borrarlas, etc.) fácilmente.
Recuerda que, si buscas qué cookies se cargan en una web no solo debes mirar en el directorio correspondiente a tu dominio. Si en la página web en cuestión hay un vídeo de YouTube incrustado (por ejemplo), deberás mirar también en el directorio YouTube.com o similar.
Como método general, borra primero todas las cookies (y la caché) en modo incógnito. Luego, accede a la web y consulta qué cookies se han cargado.
Aprende a probar si una web bloquea las cookies de terceros antes de que tú des el consentimiento
Lo mejor es pasar a modo incógnito en Chrome e ir a la consola de desarrolladores de JavaScript.
Luego, elige la carpeta «Application» (si no la ves, haz clic en >> para ampliar las opciones del menú). Selecciona «Cookies» y carga el sitio web o blog.
Después, haz clic en «Cookies» y, justo debajo, verás los dominios de los sitios que cargan cookies.
Si has implementado bien el bloqueo de cookies solo tendrías que ver tu propio dominio y las cookies necesarias para funcionar, sin ninguna cookie de terceros (Analytics, YouTube, redes sociales, etc.)
Acepta o rechaza las cookies desde tu banner, navega por la web y examina lo que sucede. ¿Aparecen cookies si has rechazado?
Cómo eliminar las cookies en Chrome y Firefox
En los siguientes enlaces, encontrarás la forma de configurar las cookies en cada navegador.
Google Chrome – Internet Explorer – Mozilla Firefox – Apple Safari
Para saber más sobre las cookies, lee la página Más información sobre las cookies.
Do not track
Do not track es une estándar que proporciona mayor privacidad a los usuarios que tengan activado el complemento No quiero ser rastreado en sus navegadores.
Para ello, puedes instalar el plugin WP DoNottrack. Este plugin usa una versión de JQuery y el modo «super clean» de HTML, por lo que debes comprobar la compatibilidad con tu instalación y la posible pérdida de optimización.
¿Qué debo hacer para adaptar mi blog a ley de cookies?
Básicamente, es preciso obtener el consentimiento del usuario bajo un mecanismo de dos capas. La primera capa correspondería al aviso de cookies (normalmente al pie de las páginas del blog), con un link a la segunda capa. Y la segunda capa sería el documento con la política de cookies.
Además, como hemos visto al principio, se debe solicitar al usuario una conformidad de tipo «opt-in»; es decir, que no se puede almacenar ninguna cookie hasta que se exprese el consentimiento explícito.
La AEPD esto es lo que dice acerca del mecanismo de información en dos capas:
«En el formato de información por capas que antes indicábamos, la primera capa, que contiene la información esencial debe incluir también la petición del consentimiento para la instalación de las cookies.
En los casos en que el usuario no manifieste expresamente si acepta o no la instalación de las cookies, pero continúe utilizando la página web o la aplicación se podría entender que éste ha dado su consentimiento, siempre que se le haya informado claramente en este sentido y se ofrezca en todo momento a través de las formas señaladas en esta guía un aviso que ofrezca de modo permanente información sobre la utilización de las cookies y la posibilidad de desinstalarlas.
A estos efectos, y a modo de ejemplo, se entenderá que se ha prestado el consentimiento al seguir navegando cuando tras informar sobre el uso de cookies:
(i) El usuario ha utilizado la barra de desplazamiento, siempre y cuando la información sobre las cookies sea visible sin hacer uso de ésta;
(ii) El usuario ha clicado sobre cualquier enlace contenido en la página. La información que se ofrezca en esta primera capa se podrá mostrar a través de un formato que sea visible para el usuario como por ejemplo un layer, una barra o a través de técnicas o dispositivos similares, teniendo en cuenta que la localización en la parte superior de la página captaría mejor la atención de los usuarios.
En los terminales de pantalla reducida se podrá adecuar el tamaño y el contenido de primera capa a las dimensiones de la misma.»
De esta forma, lo que se debe hacer para adaptar un blog a la ley de cookies es lo siguiente:
- Escribir un documento denominado «Política de cookies» y colocar bien visible un enlace a dicho documento. Más información: ¿Qué información debo incluir en los textos legales de mi web?
- Mostrar un mensaje de advertencia para que el usuario tenga conocimiento del uso de cookies y pueda expresar su consentimiento de manera explícita. Esto es lo que vulgarmente se denomina el «faldón de cookies».
- Bloquear las cookies con CookieBot (recomendado) o alguna otra herramienta de las que hemos hablado.
Documento «Política de cookies»
En cuanto a la elaboración del documento «Política de cookies» te sugiero una de las siguientes estrategias:
- Instalar el plugin Adapta RGPD, cuya ventaja principal es que, además de ser gratuito; a la vez, crea las páginas de Aviso legal, Política de privacidad y la Política de cookies en español que siguen la norma LOPD y RGPD para particulares, profesionales o empresas y están adaptadas al estilo narrativo de tu sitio (tú o usted). Es gratuito, y está muy bien hecho pero no se garantiza que solo por utilizarlo estés cumpliendo la ley. Sería necesario, como ya se indicó antes, asesorarse antes de ponerlo en marcha.
- Utilizar la app de pago LexBlogger, que genera los documentos legales que necesita tu web. También se garantiza el cumplimiento legal.
- Descargar los Kits Legales de Marina Brocca (recomendado). Esta es la única manera de estar seguros de que los textos legales están bien hechos y, por lo tanto, tu web es legal. Además, estamos ante una solución sencilla y económica.
Otras herramientas para bloquear cookies
A continuación, un listado de herramientas que he probado pero que no recomendamos usar; bien porque vimos que no se bloqueaban las cookies o por razones de dificultad en la configuración, errores u otros problemas.
Se citan, no obstante, por si quieres probarlas.
- Cookie Law Info. El banner que se añade es poco invasivo y el plugin es muy fácil de configurar. Además, da la posibilidad de añadir un shortcode (de una larga lista de posibles) a cualquier página, con el fin de mostrar las cookies utilizadas en el sitio.
- Aviso de cookies. Este plugin permite aplazar la carga del código de Analytics hasta que el usuario exprese su consentimiento al uso de cookies.
- Plugin de WordPress Asesor de cookies.
- Cookie consent, de Silktide. Se trata de un software open-source, pero el sitio ofrece un asistente con el fin de obtener el código javascript a añadir a tu blog. Es altamente configurable, incluidos los textos a traducir pero requiere localizar, como en todos los casos, los javascripts de cada cookie y poder así lograr que el software funcione plenamente. Muy bien documentada. Se puede implementar solo el consentimiento para las cookies de Google Analytics: si el usuario deshabilita la opción de Google Analytics, a partir de ese momento no se almacena ninguna cookie relacionada con ese producto.
¿Qué sucede si no puedo bloquear las cookies?
Bloquear las cookies no es negociable a partir del 1 de octubre de 2019.
Si en tu sitio web o blog cargas cookies de terceros antes de que el usuario exprese su consentimiento explícito estás haciéndolo mal. Y, en teoría, podrían multarte. Lee La AEPD multa con 18 mil euros (tras rebaja) a Vueling .
Si tu plugin de WordPress no funciona en ese sentido (en este artículo te hemos enseñado a averiguarlo) debes cambiarlo por otro sistema (plugin o servicio) que sí bloquee la carga de cookies antes del consentimiento. Si el usuario navega por tu web sin expresar el consentimiento, no se deben cargar nada más que las cookies necesarias correspondientes a tu dominio.
Impacto en el rendimiento
El rendimiento debe ser óptimo en tu sitio web o blog.
Sin embargo, probablemente pierdas optimización después de instalar algunas de las herramientas que permiten legalizarlo. Esto sucede con cualquier elemento que se incorpore a una instalación inicial de WordPress.
Será cuestión de evaluar el impacto y si es asumible o no.
En cuanto a CookieBot, el impacto es notable pero asumible, ya que permite seguir en la franja de la «A» en GTMetrix.
Impacto en las estadísticas
Lógicamente, si se tiene implementado Google Analytics y el usuario rechaza el uso de cookies de terceros, se pierde esa visita.
Y eso puede impactar en las estadísticas si fuesen muchos los usuarios que denegaran el consentimiento.
Consejos finales para simplificar el uso de cookies en tu web o blog
Me gustaría finalizar con un consejo orientado a facilitarte la vida y que no tengas problemas con las cookies.
Trata de utilizar el mínimo posible de recursos externos en tu web o blog. Por ejemplo, yo he desterrado de Blogpocket cualquier código incrustado (SoundCloud, CrowdCast, Spotify, TypeForm, Ted, etc. etc. etc.
Prácticamente, solo he dejado lo imprescindible: YouTube, Analytics y poco más. De esa forma controlo mejor el bloqueo y doy mejor servicio de privacidad a mis usuarios.
El método de detección y limpieza de cookies en Blogpocket ha consistido en:
- Auditoria de cookies con CookieBot. De esta forma supe que servicios de terceros había en mi blog (téngase en cuenta que estamos hablando de un sitio web de casi 20 años)
- Listado de todos los posts y páginas en las que existía código incrustado. Para ello programé un script PHP. Si estás interesado en este script, solicítamelo en los comentarios 😉
- Limpieza. Eliminación del código incrustado o sustitución del mismo por un enlace.
- Volver a auditar las cookies. Comprobación de que solo nos quedan los servicios imprescindibles.
Conclusiones
En este post se dan las claves para adaptar tu blog a la ley de cookies.
Para cumplir la ley de cookies en España es necesario realizar las tres acciones:
- Publicar una política de cookies que explique de manera clara y precisa qué cookies se emplean en tu web, como segunda capa informativa.
- Mostrar un faldón de cookies que ofrezca el acceso a la segunda capa, como primera capa informativa. Y que ofrezca la manera de aceptar o no aceptar las cookies.
- El bloqueo de las cookies hasta que el usuario consienta su carga.
Hemos visto en este artículo que el bloqueo, es factible, fácil y automático con CookieBot. Se pierde optimización pero es asumible.
Estaré encantado de escuchar tu experiencia con la Ley de Cookies; así como las herramientas, tips y recursos que has probado y utilizado.
Deja una respuesta