La apariencia de los banners de cookies ha cambiado en muchos sitios web recientemente. En el pasado, sólo obtenía una pequeña ventana emergente con un escueto aviso de que algunas "cookies" no especificadas están instaladas en el sitio web. Hoy en día, a menudo se obtiene una lista de las cookies individuales y una opción a través de casillas de verificación que se aceptan o no. ¿Por qué es así, y qué es lo correcto ahora?
Este artículo arroja luz sobre los banners de cookies y explica cómo diseñar correctamente el aviso de cookies en el sitio web tus . Sin embargo, antes de entrar en detalles, es necesario entender cuándo y por qué se necesita un banner de cookies en primer lugar.
¿Por qué necesitas un banner de cookies?
Las cookies son información que se almacena en el dispositivo final del visitante del sitio web (PC, smartphone, etc.). Por un lado, son necesarias para mostrar correctamente un sitio web ("cookies técnicamente necesarias"). Por otro lado, también se establecen con otros fines, por ejemplo, para analizar el comportamiento de los visitantes del sitio web, con fines publicitarios o al integrar las redes sociales Plugins. (Nota: En lo sucesivo, el término "cookies" también se refiere a tecnologías comparables como el recuento de píxeles, etc.).
Veamos primero la situación jurídica actual. En este sentido, desde la entrada en vigor del GDPR (Reglamento (UE) 2016/679) el 25.05.2018 se aplica lo siguiente:
Si las cookies no se almacenan en el dispositivo terminal del visitante del sitio web para salvaguardar los intereses legítimos del operador del sitio web o de un tercero, se requiere el consentimiento del visitante del sitio web de conformidad con el párrafo 1 RGPD del artículo 6.

Dado que los intereses legítimos del operador del sitio web o de terceros deben sopesarse con los intereses o los derechos y libertades fundamentales del visitante del sitio web, a menudo no está claro en casos individuales qué intereses prevalecen.
Un interés legítimo en el funcionamiento de un sitio web es, por supuesto, que éste se muestre correctamente. Por lo tanto, las cookies necesarias para ello están siempre incluidas en el interés legítimo del operador del sitio web.
La situación se complica cuando las cookies se instalan para analizar el comportamiento del visitante del sitio web o con fines publicitarios. En este caso, a menudo no se puede descartar que los intereses de los visitantes del sitio web sean ponderados en mayor medida por las autoridades de control de la protección de datos y/o los tribunales en caso de litigio.
Por lo tanto, aparte de las cookies técnicamente necesarias, la instalación de cookies debe basarse siempre en el consentimiento del visitante del sitio web. Este consentimiento se obtiene clásicamente a través de una casilla de verificación.
No hay que ocultar que esta situación jurídica podría cambiar con la entrada en vigor del Reglamento sobre la privacidad electrónica. Sin embargo, dado que el Reglamento sobre la privacidad electrónica sigue siendo objeto de debate político, la aplicación de RGPD seguirá vigente por el momento en lo que respecta a las cookies y demás, y por tanto a la obtención cautelar del consentimiento mediante una casilla de verificación. Puedes leer los detalles en mi artículo "El Reglamento sobre la privacidad electrónica: ¿Qué te espera?", artículo.
¿Cómo debes diseñar tu banner de galletas?
Diseñar correctamente un banner de cookies no es tan difícil. Lo único importante es prestar atención a algunas pequeñas cosas que les presentaré a continuación.
#1 El momento adecuado
Es importante que el banner de las cookies aparezca inmediatamente cuando se accede al sitio web y que inicialmente no se instalen cookies ni se transmitan datos a terceros (por ejemplo, a través de una red social Plugin).
#2 El lugar adecuado
Además, hay que procurar que no se cubra ningún otro contenido esencial: El banner de las cookies suele colocarse en la zona del pie de página, y cubre el enlace al pie de imprenta y/o a la política de privacidad.
#3 Voluntad
También es importante que la continuidad de la visita al sitio web no dependa de que el visitante del sitio web consienta la instalación de todas las cookies. Incluso si sólo se da el consentimiento para la instalación de cookies técnicamente necesarias, debe seguir siendo posible visitar el sitio web. Por supuesto, es evidente que algunas funciones del sitio web pueden no funcionar correctamente en ausencia de consentimiento.
#4 Enumeración completa de todas las cookies
El banner de las cookies debe enumerar las cookies individuales o -si hay demasiadas- al menos los contextos individuales (cookies técnicamente necesarias, cookies de análisis, cookies con fines publicitarios, etc.); si sólo se mencionan los contextos, éstos deben explicarse con más detalle haciendo clic en ellos en otra ventana y las cookies individuales deben especificarse allí.
#5 Casillas de verificación con opt-in
El consentimiento en los sitios web se obtiene sensiblemente mediante casillas de verificación.
Esto significa que hay una casilla de verificación separada por cookie -o por contexto de cookie- en el banner de cookies.
Es importante que sólo esté marcada la casilla de las cookies técnicamente necesarias; las casillas de las demás cookies deben estar vacías. Al hacer clic en las casillas restantes, el visitante del sitio web puede decidir por sí mismo qué cookies o contextos acepta o no.
Los antecedentes legales son los siguientes:
Si el consentimiento se obtiene mediante una casilla de verificación, existen básicamente dos posibilidades: Opt-in o Opt-out. La diferencia es que con el opt-in, la casilla de verificación está inicialmente vacía y el visitante del sitio web debe dar su consentimiento activamente haciendo clic en la casilla o poniendo la marca de verificación. En el caso de la exclusión voluntaria, la casilla de verificación ya está activada por defecto -el consentimiento, por tanto, ya está dado- y el visitante del sitio web debe eliminar activamente la marca de verificación haciendo clic en la casilla.
Muchos propietarios de sitios web utilizan la opción de exclusión por defecto. Probablemente porque saben que la mayoría de sus visitantes quieren llegar rápidamente al sitio web y, por lo tanto, hacen clic en el botón OK del banner de cookies, sin leer el texto del banner ni pensar para qué están dando su consentimiento.
Por qué la exclusión voluntaria no es suficiente
Aunque este enfoque está muy extendido, no es jurídicamente correcto. El consentimiento requiere una acción activa por parte del visitante del sitio web. Por lo tanto, sólo el opt-in, es decir, que el visitante del sitio web dé activamente su consentimiento -por ejemplo, al uso de una herramienta de análisis como Google Analytics- marcando la casilla, es legalmente inobjetable.
Se podría argumentar que, al excluirse, el consentimiento real reside en hacer clic en el botón OK del banner de las cookies. Pero esto es pisar sobre hielo fino. Según el considerando 32 de RGPD , se aplica lo siguiente con respecto al consentimiento (énfasis por mí):

"Elconsentimiento debe ser dado por un acto afirmativo inequívoco que el interesado consienta el tratamiento de los datos personales que le conciernen, por ejemplo, mediante una declaración escrita, que también puede hacerse por vía electrónica, o una declaración oral.
Esto podría hacerse marcando una casilla al visitar una página de Internetseleccionando la configuración técnica de los servicios de la sociedad de la información o mediante cualquier otra declaración o conducta por la que el interesado manifieste inequívocamente su acuerdo con el tratamiento previsto de sus datos personales en el contexto pertinente.
El silencio, casillas ya marcadas o inactividad por parte del interesado por lo tanto, no debería constituir un consentimiento. El consentimiento debe abarcar todas las operaciones de tratamiento realizadas para el mismo fin o fines. Cuando el tratamiento tiene varios fines, el consentimiento debe darse para todos esos fines de tratamiento. Cuando se solicite el consentimiento del interesado por medios electrónicos, la solicitud debe hacerse de forma clara y concisa y sin interrumpir innecesariamente el servicio para el que se da el consentimiento."

#6 Adaptación de la política de privacidad
Al diseñar el banner de cookies de tu , no debe olvidarse de adaptar la política de privacidad de tu . Esto significa que los detalles de cada una de las cookies instaladas deben explicarse también en la política de privacidad.
#7 Problema especial social Plugins
Existe un problema especial con la integración de las redes sociales Plugins, ya que éstas no sólo instalan cookies, sino que también envían automáticamente los datos personales de los visitantes del sitio web tus a la red social correspondiente, etc.
Según un reciente Sentencia del TJUE de 29 de julio de 2019 los datos personales del visitante del sitio web sólo podrán ser transmitidos a la red social, etc., una vez que se haya otorgado el correspondiente consentimiento. Por lo tanto, debe garantizarse que la red social Plugin sólo se active si el visitante del sitio web ha dado previamente su consentimiento marcando la casilla correspondiente. (Esta sentencia sigue refiriéndose a la "Directiva de protección de datos", es decir, a la normativa predecesora del RGPD; sin embargo, el resultado también se aplica al RGPD).
Conclusión
Diseñar un banner de cookies correctamente, es decir, cumpliendo la ley, no es brujería. Y tampoco es una desventaja para el operador del sitio web. Al fin y al cabo, los visitantes de un sitio web también deben recibir un trato justo. Y esto también incluye proporcionar información transparente sobre lo que ocurre cuando se accede al sitio web. Sólo entonces los visitantes del sitio web estarán en condiciones de tomar una decisión bien informada sobre si quieren revelar datos y, en su caso, cuáles. Al igual que muchos desarrolladores y operadores de sitios web son reacios a ser espiados por terceros, también deberían dar a los visitantes de su propio sitio web la oportunidad de decidir por sí mismos qué datos desean revelar o no.
Imagen aportada: Emily Wilson | Unsplash
Más imágenes: Rawpixel | pexels, Raidboxes