El aspecto de los banners de cookies ha cambiado en muchos sitios web en los últimos tiempos. Antes, una pequeña ventana emergente simplemente te informaba de que se estaban instalando algunas "cookies" no especificadas en el sitio web. Hoy en día, a menudo se te ofrece una lista de las cookies individuales y la posibilidad de elegir mediante casillas de verificación cuáles se aceptan y cuáles no. ¿Por qué es así, y qué es lo correcto ahora?
Este artículo arroja luz sobre los banners de cookies y explica cómo diseñar correctamente el aviso de cookies en el sitio web tus . Sin embargo, antes de entrar en detalles, es necesario comprender cuándo y por qué necesitas un banner de cookies en primer lugar.
¿Para qué necesitas un banner de cookies?
Las cookies son fragmentos de información que se almacenan en el dispositivo final del visitante del sitio web (PC, smartphone, etc.). Por un lado, son necesarias para mostrar correctamente un sitio web ("cookies técnicamente necesarias"). Por otro lado, también se utilizan con otros fines, por ejemplo, para analizar el comportamiento de los visitantes del sitio web, con fines publicitarios o al integrar plugins sociales. (Nota: En lo sucesivo, el término "cookies" también se refiere a tecnologías comparables, como píxeles contadores, etc.).
Echemos primero un vistazo a la situación legal actual. A este respecto, desde la entrada en vigor de RGPD (Reglamento (UE) 2016/679) el 25 de mayo de 2018, se aplica lo siguiente:
Si las cookies no se almacenan en el dispositivo final del visitante del sitio web para proteger los intereses legítimos del operador del sitio web o de un tercero, se requiere el consentimiento del visitante del sitio web de acuerdo con el Art. 6 (1) RGPD .
Dado que los intereses legítimos del operador del sitio web o de terceros deben sopesarse con los intereses o los derechos y libertades fundamentales del visitante del sitio web, a menudo no está claro en casos concretos qué intereses prevalecen.
Un interés legítimo en el funcionamiento de un sitio web es, por supuesto, siempre que el sitio web se muestre correctamente. Por lo tanto, las cookies necesarias para este fin siempre están cubiertas por el interés legítimo del operador del sitio web.
La situación se complica cuando las cookies se utilizan para analizar el comportamiento de los visitantes del sitio web o con fines publicitarios. Aquí a menudo es imposible descartar la posibilidad de que los intereses de los visitantes del sitio web sean tenidos más en cuenta por las autoridades supervisoras de la protección de datos y/o los tribunales en caso de litigio.
Aparte de las cookies técnicamente necesarias, la instalación de cookies debe basarse siempre en el consentimiento del visitante del sitio web. Este consentimiento se obtiene clásicamente a través de una casilla de verificación.
No debe ocultarse que esta situación jurídica podría cambiar cuando entre en vigor el Reglamento sobre la privacidad y las comunicaciones electrónicas. Sin embargo, dado que el Reglamento sobre la privacidad y las comunicaciones electrónicas se encuentra actualmente en fase de debate político, la aplicación de RGPD -y, por tanto, la obtención cautelar del consentimiento mediante una casilla de verificación- seguirá vigente por el momento en lo que respecta a las cookies & co. Puedes leer los detalles en mi artículo "El Reglamento sobre la privacidad y las comunicaciones electrónicas: ¿Qué te espera?".
"*"indica que los campos son obligatorios
¿Cómo debes diseñar tu banner de cookies?
Diseñar correctamente un banner de galletas no es tan difícil. Sólo es importante tener en cuenta algunas pequeñas cosas, que te mostraré a continuación.
#1 El momento adecuado
Es importante que el banner de cookies aparezca inmediatamente cuando se acceda al sitio web y que no se instalen cookies inicialmente ni se transmitan datos a terceros (por ejemplo, a través de un plugin social).
#2 El lugar adecuado
También hay que tener cuidado de no tapar ningún otro contenido importante: Por ejemplo, el banner de cookies suele colocarse en la zona del pie de página, y tapa el enlace al aviso legal y/o a la política de privacidad.
#3 Voluntad
También es importante que las visitas posteriores al sitio web no dependan de que el visitante del sitio web consienta la instalación de todas las cookies. Incluso si sólo se consiente la instalación de las cookies técnicamente necesarias, debe seguir siendo posible visitar el sitio web. Por supuesto, es evidente que algunas funciones del sitio web pueden no funcionar correctamente sin el consentimiento.
#4 Enumeración completa de todas las cookies
El banner de cookies debe enumerar las cookies individuales o -si hay demasiadas- al menos los contextos individuales (cookies técnicamente necesarias, cookies de análisis, cookies con fines publicitarios, etc.); si sólo se mencionan contextos, éstos deben explicarse con más detalle haciendo clic en ellos en otra ventana y allí deben especificarse las cookies individuales.
#5 Casillas de verificación con opt-in
La mejor forma de obtener el consentimiento en los sitios web es mediante casillas de verificación.
Esto significa que hay una casilla de verificación distinta para cada cookie -o contexto de cookie- en el banner de cookies.
Es importante que sólo se marque la casilla de verificación de las cookies técnicamente necesarias - todas las demás casillas de verificación deben estar vacías. Al hacer clic en las demás casillas de verificación, el visitante del sitio web puede decidir por sí mismo qué cookies o contextos acepta o no.
Los antecedentes legales son los siguientes:
Si el consentimiento se obtiene mediante una casilla de verificación, hay básicamente dos opciones: Opt-in o opt-out. La diferencia es que con la opción de inclusión, la casilla de verificación está inicialmente vacía y el visitante del sitio web debe dar activamente su consentimiento haciendo clic en la casilla o marcándola. En el caso de la exclusión voluntaria, la casilla ya está marcada por defecto -es decir, ya se ha dado el consentimiento- y el visitante del sitio web debe eliminar activamente la marca haciendo clic en la casilla.
Muchos operadores de sitios web utilizan la opción de exclusión por defecto. Presumiblemente porque saben que la mayoría de sus visitantes quieren acceder rápidamente al sitio web y, por tanto, hacen clic en el botón Aceptar del banner de cookies, sin leer el texto del banner ni pensar para qué están dando su consentimiento.
Por qué la exclusión voluntaria no es suficiente
Aunque este procedimiento esté muy extendido, no es jurídicamente correcto. El consentimiento requiere una acción activa por parte del visitante del sitio web. Por tanto, sólo el opt-in es legalmente impecable, es decir, el visitante del sitio web da activamente su consentimiento -por ejemplo, al uso de una herramienta de análisis como Google Analytics- marcando la casilla.
Se podría argumentar que, al excluirse, el consentimiento real se da al hacer clic en el botón Aceptar del banner de cookies. Pero esto es pisar sobre hielo delgado. Según el considerando 32 de RGPD , se aplica lo siguiente al consentimiento( elsubrayado es mío):
"El consentimiento debe darse mediante un acto afirmativo inequívoco queindique voluntariamente, para el caso concreto, de manera informada e inequívoca, que el interesado consiente el tratamiento de los datos personales que le conciernen, por ejemplo en forma de declaración escrita, que también puede hacerse electrónicamente, o de declaración oral .
Esto podría hacerse, por ejemplo, marcando una casilla al visitar un sitio web, seleccionando los ajustes técnicos de los servicios de la sociedad de la información o mediante otra declaración o comportamiento con el que el interesado manifieste claramente su consentimiento al tratamiento previsto de sus datos personales en el contexto respectivo.
Por tanto, el silencio, las casillas ya marcadas o la inactividad del interesado no deben constituir consentimiento. El consentimiento debe referirse a todas las operaciones de tratamiento realizadas para el mismo fin o fines. Si el tratamiento tiene varias finalidades, el consentimiento debe darse para todas ellas. Cuando se solicite al interesado que dé su consentimiento por medios electrónicos, la solicitud debe hacerse de forma clara y concisa y sin interrupción indebida del servicio para el que se da el consentimiento."
#6 Adaptación de la política de privacidad
Cuando diseñes el banner de cookies de tu , no debes olvidar adaptar la política de privacidad de tu . Esto significa que los detalles de las cookies individuales establecidas también deben explicarse en la política de privacidad.
#7 Problema especial social Plugins
Existe un problema especial con la integración de plugins sociales, ya que éstos no sólo instalan cookies, sino que también envían automáticamente datos personales tus de los visitantes del sitio web a la red social correspondiente, etc.
Según una reciente sentencia del TJCE de 29 de julio de 2019, los datos personales del visitante del sitio web sólo pueden transmitirse a la red social, etc. tras haber dado el correspondiente consentimiento. Por tanto, es importante asegurarse de que el plugin social sólo se activa si el visitante del sitio web ha dado previamente su consentimiento marcando la casilla correspondiente. (Esta sentencia sigue refiriéndose a la "Directiva de Protección de Datos", es decir, al reglamento predecesor de RGPD; sin embargo, el resultado también se aplica a RGPD).
Conclusión
Diseñar un banner de cookies correctamente, es decir, cumpliendo la ley, no es ciencia espacial. Y tampoco es una desventaja para el operador del sitio web. Al fin y al cabo, los visitantes del sitio web también deben recibir un trato justo. Y esto incluye proporcionar información transparente sobre lo que ocurre cuando se accede al sitio web. Sólo entonces los visitantes del sitio web podrán decidir con conocimiento de causa si desean revelar datos y, en caso afirmativo, cuáles. Al igual que muchos desarrolladores y operadores de sitios web son reacios a ser espiados por terceros, también deberían dar a los visitantes de su propio sitio web la oportunidad de decidir por sí mismos qué datos quieren revelar o no.
Imagen destacada: Emily Wilson | Unsplash
Otras imágenes: Rawpixel | pexels, Raidboxes
