Toda persona que ha lanzado un proyecto en Internet más tarde o más temprano se ha tenido que enfrentar a un requisito legal que casi cualquier web tiene que cumplir. Ajustar la web a la Ley de Cookies y a la RGPD. A lo largo de mi labor como profesional en mantenimiento web he tenido que adaptar varias páginas a estas normas. Y también he visto peticiones de poner los consabidos avisos en webs que, en realidad, no lo necesitaban.
Así que al final me he decidido escribir este pequeño documento explicando en que consisten estas normas y que pasos hay que seguir para cumplirlas. Y algo más, que opciones tenemos para no tener que poner esos avisos. Si te fijas, en mi web no tengo ni el aviso de cookies ni el de la norma de protección de datos. Y no es porque no cumpla con la ley, es que no los necesito.
Pero vayamos por partes. Empecemos por la ley de cookies.
La ley de cookies
¿En que consiste la Ley de Cookies?
Lo primero, decir que lo de «Ley de cookies» es una forma de llamarla, el nombre correcto de la norma es «Directiva de Privacidad y Comunicaciones electrónicas». Es importante hacer la puntualización porque de vez en cuanto leo a alguien decir lo de «con no usar cookies ya bastaría» y no, no es así, ya que la norma no habla de cookies de forma expresa.
Lo segundo, ¿que es una cookie? Pues no es más que un identificador de texto que permite a los sitios web saber quienes somos. Un ejemplo, cuando entramos en la web de nuestro banco, los datos que se muestran son los nuestros y no los de otra persona, aunque al web sea la misma. ¿Cómo funciona?
Pues sería algo así:
- Entramos en la web del banco
- Ponemos nuestro usuario y contraseña
- La web del banco comprueba que son correctos y en caso afirmativo nos da una «cookie» que nos identifica. Una especie de carnet temporal, para entendernos
- Entramos en el panel de usuario del banco, mostrando nuestro carnet (la cookie) y así la web del banco ya sabe que datos tiene que mostrarnos. A otro usuario con otro carnet, le mostraría el mismo panel de información, pero con otros datos.
A este tipo de cookies se le llaman «cookies técnicas». Son necesarias para que la web funcione y se instalan en nuestro ordenador a raiz de una petición nuestra como usuario. Si habéis leido los avisos de cookies, estas cookies no requieren de autorización previa por nuestra parte.
¿Y donde está entonces el problema? Pues con las cookies externas que se instalan sin avisar.
Un ejemplo que a todos nos habrá pasado. Entremos en nuestro buscador favorito a planear nuestras vacaciones y buscamos «Hoteles Costa del Sol». O nos vamos a la web de unos grandes almacenes y miramos televisores. A partir de ahí nos empiezan a salir anuncios de hoteles o de dichos grandes almacenes por todas partes, aunque estemos leyendo un blog personal.
Todo esto se hace a través de un rastreo de nuestra navegación que nos permite identificarnos entre una web y otra. Y no lo hace la web que estamos visitando (o estos anuncios no funcionarían de una web a otra). Sino el sistema de anunciantes, que es externo a las webs visitadas.
Estas son las llamadas «cookies de terceros». Se instalan sin aviso desde un sitio externo del que no tenemos noticia (salvo que nos pongamos a mirar las conexiones http). El objetivo de estas cookies es rastrearnos para mostrarnos anuncios.
Y alguien en la Unión Europea consideró que eso de que nos rastrearan sin avisar estaba feo. Y de ahí surge esta normativa.
¿Cómo saber si estoy usando cookies?
Pues lo primero es saber si estamos usando cookies de terceros que exijan pedir consentimiento previo. En el 95% de los casos esto podemos saberlo con una pregunta rápida. ¿Usamos Google Analytics (o similar) o Google Adsense (o similar) en nuestra web? Si la respuesta es si, es bastante probable que estemos usando cookies de terceros, por lo que tendremos que poner el aviso de marras si queremos cumplir con la ley de cookies.
Ojo, digo Google Analytics o Google Adsense porque son los sistemas más utilizados. Una pregunta más genérica sería ¿Usamos algún sistema externo de anuncios o estadísticas en nuestra web? Pues entonces casi seguro que estaremos usando cookies para rastrear a los usuarios.
También podemos usar alguna herramienta de análisis para ver si estamos usando cookies y cuales son estas. Yo recomiendo Cookieyes porque no te pide registro para su uso, pero hay muchas herramientas parecidas (Más ejemplos. Cookiebot, CookieMetrix o Cookiehub)
Y si somos usuarios más técnicos, podemos usar las herramientas de desarrollador de Firefox y mirar en la pestaña «Almacenamiento», a ver que tenemos por ahí. Aquí vemos el resultado tras entrar en la web del diario El País y aceptar las cookies:
En el caso de que algunas de estas herramientas nos haya avisado de que se han detectado cookies, pues tocará poner el aviso en cuestión.
Cumpliendo con la ley de cookies. ¿Cómo poner el aviso?
Ahora llega la parte peliaguda. ¿Cómo poner el aviso de cookies? Hay muchas opciones, aunque no es tan sencillo como puede parecer. Para cumplir a la norma hay que cumplir con varias condiciones, siendo dos de ellas las más críticas, pues no todos las cumplen.
Primero. Las cookies no se pueden guardar en el equipo del visitante si este no ha aceptado el aviso de forma expresa. Hay webs que te ponen las cookies y después preguntan, o que se limitan a avisar y si navegas o haces algo ya te ponen las cookies. Estas opciones eran permitidas en las primeras versiones de la norma pero hoy en día no se consideran válidas.
Segundo. Las cookies deben poder ser filtradas por tipo. Es decir, el usuario debe poder aceptar cookies publicitarias pero descartar las de seguimiento. O al revés. Si tenemos cookies de varios tipos, no basta con poner un único botón para darlas todas por aceptadas.
Hay más cosas a tener en cuenta, como mostrar información sobre las cookies usadas o mantener en algún sitio la posibilidad de que el usuario cambie de opinión.
En fin, mucho lio. Pero por suerte hay soluciones que ya tienen todo esto en cuenta. Si usas WordPress te remito a la recomendación de Fernando Tellado: El plugin de control de cookies y consentimientos RGPD gratis PERFECTO. O si quieres ir a tiro hecho: GDPR Cookie Complieance.
Si no usas WordPress, una opción ampliamente usada y acorde a la ley es el Cookiebot de Userscentricts.
Todas estas opciones pueden ser algo complejas de configurar, por lo que si necesitas ayuda, quizás quieras contratar mis servicios.
Prescindiendo de cookies
Y ahora vamos a una opción más radical para cumplir con la normativa de Cookies. Se trata de no usar cookies de rastreo. Es la opción que uso yo en mi web, como puedes comprobar usando alguno de los analizadores de cookies que indiqué anteriormente:
Vale, y esto, ¿cómo lo conseguimos? Pues tendremos que prescindir del uso de herramientas de terceros que rastreen a sus usuarios. En el caso de pequeños proyectos en Internet los dos principales «culpables» de introducir cookies son Google Analytics y Google Adsense. Veamos que alternativas tenemos.
Analíticas sin usar cookies
El primer paso sería usar un sistema de estadísticas de visitas que funcione en local, para evitarnos así las cookies de terceros. La opción más habitual para el caso de que nuestra web funcione en WordPress sería Matomo. Este sistema se instala en nuestra web y guarda las estadísticas en nuestro servidor, con lo que ya el problema de usar cookies de terceros se minimiza, pues serían propias.
Ojo, que Matomo también rastrea a los usuarios. Es la única forma de tener información estadística como la tasa de rebote, los visitantes recurrentes y otras informaciones parecidas. Así que habrá que configurarlo para que no lo haga. Esto es tan sencillo como irnos a los ajustes de Matomo Analytics y seleccionar «Desactivar cookies».
Con esto ya nos evitaríamos el tener que añadir el aviso de cookies por la parte de las estadísticas. ¿Qué perdemos a cambio? Pues las estadísticas avanzadas como tasas de rebotes o seguimiento de conversiones.
Esto es importante aclararlo. Si vamos a hacer una campaña SEO o SEM es bastante probable que tengamos que activar el seguimiento avanzado o instalar Analytics. Suele ser una de las primeras cosas que nos van a pedir las agencias de marketing online. Si es nuestro caso, pues no habrá más remedio que aguantarnos y poner el aviso.
Pero si tenéis un proyecto pequeño, lleváis vosotros mismo el SEO y el SEM (o ni siquiera sabéis que significan estas palabras) y el único uso que hacéis con las estadísticas es mirar una vez en semana las visitas totales y las páginas más vistas, ¿realmente necesitáis instalar Analytics? Que ademas puede enlentecer la web (por la carga extra de scripts externos)
Instalad Analytics si lo necesitáis, no porque todo el mundo lo haga.
Además de Matomo existen otras herramientas que os pueden servir, como Plausible o Statcounter, pero al no haberlas usado no puedo recomendarlas. Pero por si queréis investigar más opciones.
(Actualización a Junio de 2023: A día de hoy he dejado de usar Matomo y he empezado a usar Burst Statistics, que me resulta más sencillo y con una interfaz más agradable)
Y también está la opción definitiva, mirar las estadísticas en los registros del servidor (preguntad a vuestro servicio de hosting, lo normal es que tengan algún sistema tipo AWStats o parecido para facilitar esta labor) Es lo más «espartano» pero repito, si las estadísticas solo las miráis un par de veces al mes, pues ¿para que instalar un sistema avanzado?
Anuncios sin usar cookies
Vayamos a la siguiente parte, los anuncios. Este caso ya no es tan extendido. Si tenemos una web profesional para ofrecer nuestros servicios o una tienda online, sería raro que tuvieramos anuncios de terceros. Por ejemplo, esto que estás leyendo es mi web profesional, por lo que aquí no tengo anuncios de ningún tipo.
Pero también tengo una web personal donde hablo de las cosas que me gustan. Antes tenía anuncios de Adsense, que se ponían de forma automática y usaban cookies para rastrear a los usuarios. Por lo que necesitaba poner el aviso de cookies.
Ahora sigo teniendo anuncios, pero sin aviso. ¿Cómo? Pues con anuncios de afiliación puestos a mano.
¿Qué son los anuncios de afiliación? Pues muy sencillo, lo que tienes que hacer es registrarte en algún servicio que ofrezca un programa de afiliación. Una vez hecho esto, tendrás que elegir lo que quieres anunciar, y poner un enlace a la página de compra en el servicio donde te has registrado. Si alguien que viene desde tu web compra dicho producto (u otro), pues te llevas una comisión.
Por ejemplo, si yo en mi blog hago una reseña de un libro, pues al final de la reseña ponga un enlace para comprar dicho libro con mi código de afiliación. Si alguien lo compra tras leer la reseña en mi web, pues me llevaré una comisión.
Yo uso el servicio de afiliación más extendido, Amazon Afiliados, pero hay muchos otros, y casi todos funcionan más o menos igual (Yo uso Amazon porque tras probar otros como el de El Corte Inglés o La Casa del Libro, fue el de Amazon el que me resultó más cómodo de usar y el que mejores resultados me dio)
Las ventajas de este sistema frente a la publicidad tipo Adsense son varias, además de la de ahorrarnos las cookies de rastreo. Este sistema no necesita cargar scripts externos, sino que funcionan con un simple enlace de texto. Esto evita aumentar el tiempo de carga de la página e, incluso, nos permite evitar que sistemas como Adblock bloqueen nuestros anuncios. Además, es mucho menos molesto para el visitante, que en vez de encontrarse un anuncio incrustado cada dos o tres párrafos solo tiene un único enlace al final, o un único banner en algún sitio.
¿El inconveniente? Pues que tenemos que poner los enlaces y banners a mano. Con Adsense o similar es instalar el código que nos dan y olvidarnos. Un sistema de anuncios mediante afiliación nos dará más trabajo.
Por este motivo solo recomendaría este sistema a páginas que no tengan una tasa de publicación de contenidos demasiado alta, pues en ese caso nos supondrá un exceso de trabajo extra.
Ley de protección de datos (RGPD)
¿En que consiste la RGPD?
Ahora pasemos a hablar de la RGPD (Reglamento General de Protección de Datos). Este suele ser más sencillo de cumplir. El objetivo es que cuando un visitante introduzca información en nuestra página web se le avise de qué vamos a hacer con los datos que nos da, y no hagamos con ellos nada de lo que no le hayamos avisado de forma previa.
Vuelvo al ejemplo más sencillo, que sería el de una web presencial en la que tenemos un formulario de contacto y un sitio para que se suscriban a un boletín de noticias. Pues tenemos que avisar a nuestros usuarios de varias cosas:
- Responsable de los datos: Lo más habitual es que seamos nosotros mismos. Pero si usamos una herramienta externa para gestionar una newsletter (ej: Mailchimp), pues habrá que indicarlo
- Finalidad: ¿Para qué vamos a usar los datos recibidos?
- Base legal: Indicar a que norma nos atenemos
- Destinatarios: ¿Cederemos los datos a terceros? Hay que indicarlo.
- Derechos: Los derechos del usuario. Antes se conocían como derechos ARCO (Acceso, Rectificación, Cancelación y Oposición). Ahora se han ampliado (Puedes leer más aquí: Ayuda protección de datos)
La norma antes se limitaba a obligar a que en todo formulario hubiera un «check» de «He leído y acepto las políticas de privacidad» y un enlace a dichas políticas. Pero ahora también se pide que haya un pequeño resumen de la norma. Supongo que porque daban por supuesto que nadie se leía dicho aviso.
Veamos un caso práctico. Quiero poner en mi web un formulario de contacto en el que el usuario introdujera su correo electrónico o su teléfono (ambos son datos personales). Pues tendría que añadir el «check» de que «He leído y acepto …», sin marcar de forma previa y siendo obligatorio marcarlo para poder enviar el formulario. Y, además, yo tendría que incluir una información parecida a la siguiente:
«El responsable de los datos enviados es NOMBRE EMPRESA, que usará los datos recibidos para poder responder a su consulta. Estos datos no se compartirán con terceros y puedes ejercer tus derechos sobre los mismos escribiendo a direcciondecorreo@mail.com».
Es decir, un resumen de la página de protección de datos, donde tendremos que detallar todo en más detalle. Indicando, por ejemplo, cuanto tiempo guardermos los datos, o que podremos ceder los datos a las fuerzas de seguridad del estado si así se nos pide, etc.
Detalles sobre el RGPD
Un par de puntualizaciones sobre lo dicho anteriormente. No podemos usar los datos recibidos para algo no especificado y si queremos hacerlo, tenemos que avisarlo y poner un «check» separado.
Imaginemos que queremos enviar nuestro boletín de noticias a todo el que se ponga en contacto con nosotros a través del formulario de contacto. Pues no podemos hacerlo sin avisar. Tenemos que poner otro check en el que se diga que «Quiero recibir el boletín de noticias».
Otro ejemplo, imaginemos que somos parte de un grupo empresarial. Por ejemplo, tenemos un hostal que forma parte de una cadena de hostales. Si queremos enviar información comercial de nuestro establecimiento y, además, de la cadena a la que pertenecemos, tenemos que poner un «check» separado para cada uno.
Ya que hablamos de boletines de noticias. No podemos inscribir de forma directa a los que lo solicitan, sino que primero le tenemos que enviar un correo de confirmación. Esto es para evitar que haya gente que suscriba a terceras personas.
¿Cómo cumplir con el RGPD?
Lo principal a tener en cuenta es poner el checkbox en todo lugar por el cual alguien pueda comunicarse con nosotros desde nuestra web. Si además usamos algún sistema para enviar newsletters de noticias, tendremos que asegurarnos de verificar el correo antes de enviarles nada.
Como en el caso anterior, la mayoría de sistemas con formularios de contacto (ej: Contact Form 7, o Ninja Forms) ya tienen esto en cuenta. Lo mismo para los sistemas de envío de newsletters (ej: Mailer Lite o Mailchimp).
Y por supuesto, ni se nos ocurra compartir los datos recibidos con terceros (salvo que lo hayamos especificado muy claramente). Y si alguien nos solicita borrar sus datos, pues los borramos.
¿Cuándo no es necesario aplicar la RGPD?
Vale, ahora veamos que hacer para no tener que poner los avisos ni la página del RGPD. Aquí ya va a ser muy complicado evitarlo pues, ¿cómo tener una web profesional sin un formulario de contacto? Lo normal es que en el 99% de las ocasiones vayáis a tener uno, así que tocará escribir la página de protección de datos, poner el «check» y ser respetuoso con los datos que nos envíen.
Y sin embargo, yo no tengo página indicando mi política de protección de datos en mi página. ¿Cómo he podido prescindir de la misma? Pues si entráis en mi página de contacto, veréis que no tengo formulario de contacto, sino dos enlaces a mis perfiles en otras webs externas, LinkedIn y Malt. (ACTUALIZACIÓN: Ahora si que tengo un formulario de contacto
Si alguien se quiere poner en contacto conmigo, pues irá a esas webs y me escribirá por ahí. Yo no guardo sus datos de contacto en ningún sitio, con lo que son estas webs externas las que se tendrán que encargar de todo.
Vale, es posible que estés pensando. «Bueno, eso lo haces tu que puedes, pero yo tengo una tienda online o recibo muchas comunicaciones al día, no puedo hacer algo así».
En efecto, y por eso dije al principio que en el 99% de las ocasiones vais a tener que hacer las adaptaciones necesarias para cumplir la RGPD. Mi caso es muy especial. Prescindir de un formulario de contacto en la propia web no es ni de lejos lo más habitual.
Pero ojo, quizás podría valeros. Si tenéis una pequeña web de un restaurante, gestionáis las reservas a través de un servicio externo y como contacto ponéis un número de teléfono, no añadís las llamadas recibidas a una base de datos, pues en la web no habría que hacer nada.
Pero repito, no es lo habitual.
Conclusiones finales
Bueno, pues si habéis llegado hasta aquí espero que tengáis un poco más claro en que consiste la «ley de cookies» y el RGPD. También aprovecho para defender un poco estas leyes. Se que es una lata el tener que estar todo el día aceptando (o rechazando) avisos de cookies. Pero quizás lo que no es normal es que casi todas las webs nos «espíen» por defecto.
Y mira, entiendo que alguien que haga una política muy potente de SEO y marketing online necesite estadísticas avanzadas. Pero también hay mucha gente que pone el código de Analytics «porqué todo el mundo lo pone», se olvida, apenas mira las estadísticas y mientras tanto, todos esos datos de navegación de nuestros visitantes se van hacía los servidores de un tercero.
Así que aunque yo soy el primero en estar un poco harto de tanto aviso de cookies y demás, pues entiendo hasta cierto punto que la norma tenga que existir (que por cierto, con una configuración adecuada de nuestro navegador podemos bloquear toda cookie externa y ocultar los avisos sobre las mismas, pero eso ya sería otra historia).
Ah, y un último aviso. NO soy abogado especializado en protección de datos. Todo lo que he escrito aquí lo he aprendido leyendo en otras fuentes y teniendo que aplicar modificaciones que me han pedido como parte de mi trabajo. Lo he puesto por escrito porque creo que puede ser útil para que al menos alguien sepa de que se está hablando cuando hay que ocuparse de estos temas, o para que se haga una idea aproximada del nivel de cumplimiento que tiene su web.
Pero en cuanto tengas un proyecto en Internet con un mínimo de proyección, no lo dudes y consulta con una agencia especializada para evitar futuros dolores de cabeza.