Uso de Cookies con la nueva regulación GDPR en La Unión Europea

Jonathan DueñasSEOCookies, GDPR, Union Europea

La utilización de ciertas Cookies en Europa han sido reguladas desde hace varios años. La aplicación del GDPR (General Data Protection Regulation) trae con consigo un nuevo significado para la forma en que los sitios web deben de manejar la información de los usuarios.

Aunque las Cookies son mencionadas una sola vez en toda la GDPR, su puesta en marcha significa cambios importantes de cumplir para aquellas organizaciones que las utilizan en sus sitios web para dar seguimiento a las usuarios.

¿Qué debes de saber sobre el uso de Cookies en Europa luego de las nuevas leyes de protección de información personal?

Si tú como individuo u organización cuentas con un sitio web que puede ser accedido en algún país de la Unión Europea debes de estar al tanto de qué son las cookies, porqué están reguladas y cuáles son los cambios que entrarán en vigor a partir del 25 de Mayo de 2018.

¿Qué son las Cookies?

Las cookies son pequeños archivos de datos planos que se instalan en los exploradores web de los usuarios, sin importar el tipo de dispositivo usado para navegar la web. Estos archivos permiten al responsable del servicio mejorar, manejar y conocer la interacción del usuario en su sitio web.

Los responsables de las Cookies pueden tener acceso a estos datos alojados en el dispositivos del usuario en el momento que ellos deseen a lo largo de su sitio web. En un sitio web normal se puede llegar a instalar cientos de cookies en los navegadores de los usuarios para su uso normal.

Las Cookies no deben de ser confundidas con virus. Estas no pueden realizar ninguna acción en las computadoras de los usuarios, son archivos de texto plano que no contienen ninguna linea de código y tampoco son ejecutables de ninguna manera.

Las Cookies tampoco son utilizadas con el único propósito de obtención de información personal de los usuarios. Existe un gran número de objetivos para la utilización de Cookies, entre estos están las cookies de personalización, cookies técnicas y cookies para la seguridad del sitio y el usuario.

Las Cookies que según la Unión Europea son una amenaza a la privacidad de los usuarios son aquellas cuyo objetivo es el dar seguimiento de los usuarios a lo largo de uno o varios sitios web.

Cookies de terceros

Las cookies son instaladas al llegar el usuario a un dominio en específico. El dueño del sitio web de ese dominio puede instalar en el navegador del usuario las cookies que él haya determinado que fuesen útiles.

Estas cookies normalmente son específicas y únicas a este dominio y solo el dueño del dominio es quien puede tener acceso a la información del usuario.

Sin embargo, una página web puede contener imágenes, librerías u otros componentes alojados en servidores de terceros. Las peticiones web realizadas por estos componentes crean unas cookies especiales llamados cookies de terceros. Estas cookies de terceros no son específicas al dominio por el cual accede el usuario.

Así, si por ejemplo, el usuario accede al sitio web hipotético www.A.com que cuenta con las cookies de terceras de la organización hipotética CookiesInc y luego navega por cualquier modo al nuevo sitio web hipotético www.B.com que también cuenta con las cookies de terceros de CookiesInc.

La organización hipotética de CookiesInc puede conocer toda la interacción que el usuario hizo no solo en un único dominio sino en todos los que hagas uso de sus cookies para cualquier objetivo.

Aplicación de las Cookies de terceros

Diferentes clases de compañías, usualmente de marketing o de inteligencia, hacen uso de las cookies de terceros para crear perfiles de las personas a partir de un seguimiento de sus hábitos en múltiples sitios haciendo uso de estas cookies de terceros.

Estos perfiles también pueden ser creados bajo un solo dominio sin tener que hacer uso de cookies de terceros.

¿Por qué las cookies infringen la privacidad personal?

Los tipos especiales de cookies utilizados para identificar un usuario, realizar un seguimiento de los mismos o con el propósito de crear perfiles de hábitos o seguimientos es considerado como una potencial amenaza a la privacidad.

Por ejemplo: una empresa de marketing puede hacer uso de las imágenes que colocan en todos los sitios web donde se exponen para hacer publicidad online y a partir de estas imágenes, y las cookies que vienen con estas, dar seguimiento a los usuarios que navegan por estos sitios y conocer todos sus hábitos por la web. Es decir, la empresa de marketing utiliza las cookies para tener información de los usuarios y sus hábitos por una gran cantidad de sitios web.

Los perfiles que estas organizaciones crean de los usuarios, son utilizados para mostrar anuncios específicos a las personas a partir de sus gustos y hábitos. Otras empresas los utilizan para manejar el ánimo de los usuarios en sus sitios para conseguir trafico web y retención. Y en otros casos un poco más extremos, se ha encontrado que organizaciones de inteligencia también han hecho uso de las cookies para dar seguimiento a usuarios.

Algunos países tienen legislación sobre el uso de cookies, ya que estos perfiles son utilizados para identificar a las personas y violenta la privacidad personal, ya que las personas no tienen poder sobre qué información de ellos pueden recolectar estas organizaciones. Y todo esto sucede desde los sitios que los usuarios navegan normalmente desde un sitio web posicionado en el buscador.

Legislación actual de las Cookies en UE (hasta abril 2018)

Desde el año 2002 los países de la Unión Europea (UE) cuenta con un decreto para el uso y consentimiento de uso de cookies en todo sitio web que pueda ser utilizado por habitantes de dichos países.

En específico se establece que el usuario recibirá información sobre el tipo de datos que es recolectado por los sitios web y se le da al usuario la libertad de negarse a compartir estos datos. Todo sitio web que tenga como foco, aunque sea indirectamente, a usuarios residentes de la Unión Europea deben de cumplir con estas legislaciones.

En España por ejemplo, incumplimientos al Real Decreto-ley 13/2012, de 30 de marzo, que hace referencia a la utilización de cookies en los sitios web tiene penalidades de hasta 150,000.00 Euros. Las penalidades no solo pueden ser económicas, en algunos casos el sitio web puede ser completamente bloqueado si no cumple con las legislaciones correspondientes.

Según la legislación actual de Cookies, antes que entre en vigor el GDPR, la información que debe de presentarse al usuario claramente es:

– ¿Qué son las cookies?

– ¿Para qué se utilizan en el sitio web?

– Una forma de rechazarla

– ¿Quíen las instala?  Si son solamente del sitio o de alguien más.

Recomendamos: ¿A quién se aplica el Reglamento general de protección de datos (RGPD)?

Cambios importantes en Cookies por el GDPR

Según el GDPR, las cookies que puedan funcionar para identificar usuarios de cualquier manera serán considerados como información personal. Esta información enviada a un servidor puede ser utilizada para la creación de perfiles e identificar a las personas en la web.

De esta manera, las organizaciones que utilicen esta clase de cookies: cookies de analytics, publicidad, servicios de chat o de encuestas tendrán que dejar de utilizar estas cookies en sus sitios web o cumplir con las nuevos reglamentos.

Los nuevos reglamentos para cumplir con el GDPR son más rigurosos que antes. Los cambios se miran expresados en la Ley de Cookies y entre los cambios tenemos:

  • Consentimiento tácito o implicado no será suficiente:  Simplemente visitar el sitio web no contará como consentimiento de parte del usuario. El GDPR requiere una acción de afirmación por parte del usuario como señal de su consentimiento. Así que cargar tu página web con cookies y esperar que el usuario no cancele su uso será prohibido.
  • Consejos sobre ajustar las configuraciones del explorador no serán suficiente: se puede configurar el explorador web para aceptar o no algún tipo de cookie. Pero este tipo de mensaje tampoco será suficiente para el GDPR ya que no es práctico para los usuarios.
  • “Por usar este sitio web usted acepta el uso de cookies” ya no será válido: este tipo de mensajes era utilizado antes como una solución alternativa para el cumplimiento de las leyes de cookies. Sin embargo, si no hay una libertad de elección por parte del usuario tampoco será válido para cumplir con el GDPR.
  • Será necesaria una opción siempre disponible para optar por no usar Cookies: una opción clara debe de existir en el sitio web por si el usuario cambia de decisión y decide por no querer utilizar cookies en el sitio web. Ya no bastará con una decisión inicial del usuario y que luego no se le muestre ningún tipo de ayuda u opciones de configuración para su decisión.
  • Bloquear cookies debe de ser tan fácil cómo aceptarlas para el usuario: es mejor obtener el consentimiento explícito de los usuarios. Implicaciones de consentimiento pueden llegar a ser válidos en algunos casos, pero no se debe de cargar cookies antes de obtener el consentimiento válido del usuario.  

Las mejores prácticas en Cookies por el GDPR

Consentimiento explícito por casillas chequeables de aceptación o negación es probablemente la mejor alternativa para dar cumplimiento con el GDPR. Dar la oportunidad a los usuarios de actuar antes que las cookies sean utilizadas en el sitio web en la primera visita.

Los menús de configuración también son necesarios. No basta con un consentimiento inicial, este debe de ser modificable. Un claro ejemplo es como Cookie Law muestra esta información y configuraciones claramente en su sitio web.

¿Tienes alguna duda en cuanto a los nuevos lineamientos que General Data Protection Regulation tiene para con Europa? Escribela acá y con gusto hacemos una discusión al respecto. Por lo pronto te invitamos a leer ¿Tienes clientes en la Union Europea? GDPR:  cómo afectará a tu negocio vitual  la nueva normativa de protección de datos⬅️AQUÍ