Gestión de cookies: indispensable para el desarrollo enfocado a empresas

CloudDistrict Desarrollo Tecnología

Por Joan Llopis y Daniel Almería

 

Desde el 25 de mayo de 2018, la puesta en marcha del Reglamento General de Protección de Datos (RGPD) obligó a una nueva adaptación del tratamiento de las cookies en las páginas web. 

¿Te has preguntado, alguna vez, si tu web cumple con estos nuevos estándares establecidos por el nuevo reglamento europeo

Definición y tipos de cookies

Son unidades de información almacenadas en el navegador que pueden ser consultadas para ofrecer contenido personalizado. Para que esto funcione, es necesario recoger información del usuario que -en muchas ocasiones- está protegida por el RGPD ya que podría tratarse de información personal, siempre que a partir de ella sea posible identificar al usuario.

Las cookies se agrupan por diferentes conceptos:

  • Según su procedencia:
    • Propias: son las generadas por la propia web.
    • De terceros: las que provienen de sitios externos como servicios de anuncios, seguimiento, etc.
  • Según su duración:
    • Cookies de sesión: cuya validez se limita a la sesión activa y se eliminan cuando se cierra el navegador.
    • Cookies permanentes: permanecen almacenadas en el navegador hasta que son eliminadas por el usuario.
  • Según su propósito:
    • estrictamente necesarias para el funcionamiento de la web. Sin ellas, el sitio no funcionará. 
    • de preferencias o personalización, para adaptar al usuario las características del sitio como el idioma, país, tema, etc. 
    • de análisis o medición, para medir la actividad del sitio. 
    • de marketing o publicitarias, que almacenan información del comportamiento para generar perfiles que muestren publicidad dirigida. 

¿Qué establece el RGPD sobre las cookies? 

El Reglamento hace referencia, específicamente, a las cookies que tratan los datos personales. De esta forma quedan excluidas aquellas cookies que permiten únicamente la comunicación entre el equipo del usuario y la red (estrictamente necesarias), y las estrictamente destinadas a prestar un servicio expresamente solicitado por el usuario (cookies técnicas). 

Se pueden clasificar de la siguiente forma:

  • Cookies de “entrada del usuario”: Las cookies de sesión y de entrada de usuario se suelen utilizar para rastrear las acciones del usuario al rellenar los formularios en línea en varias páginas, o como cesta de la compra para hacer el seguimiento de los artículos que el usuario ha seleccionado al pulsar un botón)
  • Cookies de autenticación o identificación de usuario: únicamente de sesión. 
  • Cookies de seguridad del usuario: son, por ejemplo, las cookies utilizadas para detectar intentos erróneos y reiterados de conexión a un sitio web. 
  • Cookies de sesión de reproductor multimedia.
  • Cookies de sesión para equilibrar la carga. 
  • Cookies de personalización de la interfaz de usuario.
  • Determinadas cookies de complemento (plug-in) para intercambiar contenidos sociales (cuando el usuario decide mantener su sesión abierta)

Pese a que están excluidas, es recomendable informar al usuario sobre ellas en la política de cookies o en la propia política de privacidad. Para el resto, el nuevo marco jurídico establece dos obligaciones: de transparencia, y de obtención del consentimiento. 

Obligación de transparencia

Esta información se puede mostrar por capas, y siempre antes del uso de las cookies. 

Debe mantenerse visible hasta que el usuario dé su consentimiento o rechazo explícitamente. En la primera capa se mostrará: 

  1. Identificación del editor responsable del sitio web. 
  2. Identificación de las finalidades de las cookies que se utilizarán. 
  3. Información sobre si las cookies son propias o de terceros (sin necesidad de identificarlos en esta capa)
  4. Información genérica sobre el tipo de datos que se van a recopilar y utilizar en caso de que se elaboren perfiles de los usuarios. 
  5. Modo en el que el usuario puede aceptar, configurar y rechazar la utilización de cookies, con la advertencia, en su caso, de que si se realiza una determinada acción, se entenderá que el usuario acepta el uso de las cookies. 
  6. Un enlace claramente visible dirigido a una segunda capa informativa en la que se incluya una información más detallada. 

En la segunda capa, que debe encontrarse disponible de forma permanente en el sitio web o en la aplicación, se incluirá; 

  1. Definición y función genérica de las cookies.
  2. Información sobre el tipo de cookies que se utilizan y su finalidad. 
  3. Identificación de quién utiliza estas cookies.
  4. Información sobre la forma de aceptar, denegar o revocar el consentimiento para el uso de cookies
  5. En su caso, información sobre las transferencias de datos a terceros países realizadas por el editor. 
  6. La lógica utilizada en la elaboración de perfiles cuando implique la toma de decisiones automatizadas con efectos jurídicos para el usuario o que le afecten significativamente. 
  7. Periodo de conservación de los datos. 
  8. En relación con el resto de información exigida por el artículo 13 del RGPD que no se refiera de forma específica a las cookies (por ejemplo, los derechos de los interesados), el editor podrá remitirse a la política de privacidad. 

Obtención del consentimiento

El consentimiento debe seguir lo establecido por el RGPD: transparente, previo, documentado, claro, reversible y renovable, escrito además en lenguaje sencillo y ha de ser otorgado de forma libre e informada.

La obtención del consentimiento ha de tener en cuenta:

  1. Que las modalidades de prestación del consentimiento pueden ser  variadas. 
  2. Que el usuario deberá haber realizado una clara acción afirmativa. 
  3. Que tiene que ser evidente para el usuario con qué concreta acción suya acepta la utilización de las cookies (seguir navegando no es una forma válida de prestar el consentimiento)
  4. Que el usuario, en todo caso, podrá negarse a aceptar las cookies. 
  5. Que la información que se otorgue al usuario para que pueda consentir la utilización de las cookies se encuentre separada de la información que se le ofrezca sobre otros asuntos. 
  6. Que la aceptación de los términos o condiciones de uso de la página web o servicio se separe de la aceptación de la política de privacidad o cookies
  7. Que, cuando sea necesario el consentimiento explícito del usuario (artículos 9.2 a; 22.2 c; y 49.1 a del RGPD), el consentimiento solo podrá obtenerse mediante botones de aceptación, siempre que incluya una leyenda específica con el término “consiento” y se facilite información completa sobre las categorías especiales de datos respecto de las que se consienten, las decisiones individuales automatizadas o las transferencias a terceros países, según el caso. 

Además, según se indica en la Guía sobre cookies: «En el caso de sitios web o servicios en línea específicamente dirigidos a menores, es conveniente recordar la necesidad de adoptar cautelas adicionales como son una mayor sencillez y claridad del lenguaje empleado».

En el caso de las personas menores de 14 años, el consentimiento deberá ser otorgado por el padre, madre o tutor/a legal y se tendrá que realizar esfuerzos razonables para verificar que ese consentimiento haya sido, realmente, dado por el titular de la patria potestad o tutela.

Renovación del consentimiento

El Comité Europeo de Protección de Datos (CEPD) recomienda la renovación del consentimiento a intervalos apropiados.

La Agencia Española de Protección de Datos (AEPD) considera como buena práctica que la validez del consentimiento prestado por un usuario para el uso de una determinada cookie no tenga una duración superior a 24 meses, y que, durante este tiempo, se conserve la selección realizada por el usuario sobre sus preferencias, sin que se le solicite un nuevo consentimiento cada vez que visite la página. (Apartado 3.2.8 de la Guía de cookies).

Revocación del consentimiento

Los usuarios deben tener la posibilidad de retirar el consentimiento para la utilización de las cookies en cualquier momento, y de un modo tan sencillo como el realizado para otorgarlo.

La política de cookies debe recoger la información necesaria para que los usuarios puedan  retirar el consentimiento y eliminar las cookies.

En resumen…

El RGPD impone condiciones que pueden resultar tediosas de implementar y suponen un esfuerzo adicional para asegurar su cumplimiento; para ello, debemos:

  • Informar al usuario de un modo claro sobre las cookies y su finalidad.
  • No cargar ninguna cookie, salvo las técnicas, hasta que el usuario haya dado su consentimiento expresamente.
  • Ofrecer un mecanismo de aceptación y revocación sencillo y accesible.
  • Evitar los muros de cookies; es decir, bloquear el acceso a la web si no se aceptan las cookies y rastreadores del dominio sin ofrecer la posibilidad de rechazarlas. 
  • Mantener el registro de los consentimientos, que han de ser verificables. 

Llegados a este punto, ¿cómo deben abordar las empresas la gestión de cookies en sus páginas web? El problema se intensifica cuando se gestionan múltiples sitios web y hay que ofrecer las mismas garantías en cada una de ellas.

Para paliar esa necesidad, existe la posibilidad de realizar un desarrollo a medida o recurrir a un gestor de cookies especializado, como en el caso que se expone a continuación.

Business case en la gestión de cookies

Cookiepro integrado a solución de movilidad urbana 

Una aplicación de movilidad urbana, establecida en más de 150 ciudades del mundo, necesitaba adaptar las políticas de cookies de sus diferentes sitios a las nuevas Directrices de Consentimiento modificadas por el Comité Europeo de Protección de Datos. 

Aprovechando este mismo proceso, se buscaba unificar las herramientas destinadas a la gestión del consentimiento de cookies en una única solución para todos sus sitios. 

Otro aspecto a considerar era la adaptación a la gran variedad de tecnologías utilizadas en los sitios: Landingi.com, Symfony-Twig, Next.js, WordPress y Google Tag Manager. 

¿Qué solución planteamos? 

Se valoraron distintas opciones entre las existentes en el mercado para la gestión de cookies en múltiples dominios. Todas las consideradas había sido utilizadas previamente en grandes empresas, o se han implementado en alguno de nuestros proyectos:

  • CookiePro (OneTrust) 
  • Cookiebot 
  • Didomi 
  • Desarrollo a medida

El desarrollo a medida se descartó porque requería una adaptación en sitios con distintas tecnologías. La herramienta Didomi había sido excluida por su elevado coste sobre las otras opciones. 

La principal diferencia entre las dos soluciones restantes es que en Cookiebot cada subdominio es tratado como un dominio mientras que en CookiePro los subdominios son ilimitados. 

Del mismo modo, Cookiebot establecía un número de páginas máximas en el plan mientras que en CookiePro el número de páginas es ilimitado. 

Para este caso en particular, hemos elegido CookiePro porque es la solución más adaptada a las necesidades del cliente, su coste es menor, incluye páginas y subdominios ilimitados y cuenta con integraciones en numerosos servicios.

Integración

Incluir el script en Landingi ha sido lo más sencillo, ya que su herramienta permite insertar en la cabecera de las landings los scripts generados mediante el panel de CookiePro. Se ha incluido el campo data-language con el idioma deseado para importar el script y habilitar el multiidioma.

La integración en Symfony-Twig ha consistido en eliminar la anterior implementación personalizada e incluir en la cabecera de las plantillas el nuevo script generado. Para hacer funcionar el multiidioma se ha incluido el campo lang en la etiqueta html. Al integrar en WordPress se ha utilizado plugin oficial sin dificultades. 

La integración con Next.js ha sido la más complicada al ser una SPA. Como primer paso, se ha añadido el script en el _document.js, configurando el campo data-language con el idioma. Después, hemos bloqueado la carga de otros scripts no técnicos (Google Optimize y Hotjar, entre otros) mediante la opción de bloqueo por categoría en los classNames. Por último, hemos añadido la función reloadOTBanner en el app.js, proporcionada por la propia documentación, para que funcione correctamente al renderizarse en la parte cliente.

Balance final

La integración de CookiePro ha sido un éxito en los diferentes sitios con múltiples dominios. La herramienta ha facilitado el desarrollo y mantenimiento del banner, y ha permitido personalizar su aspecto para adaptarse a las necesidades del diseño, al multi idioma y diferentes plataformas tecnológicas.

Conclusión

La utilización de cookies seguirá siendo importante para gestionar información relevante del usuario de manera sencilla y extendida.

La nueva legislación, en materia de protección de datos personales, nos recuerda que como desarrolladores o administradores tenemos una gran responsabilidad sobre los datos que tratamos en relación a los usuarios.

Una correcta gestión de las cookies es imprescindible para dar cumplimiento a esta exigencia y cualquier herramienta que la facilite, sea desarrollada ad-hoc o implementada a través de un servicio especializado, es indispensable para cualquier desarrollo enfocado al cliente.