Cuándo colocar las cookies y cómo redactar su política de cookies
Home » Actividades » Cuándo colocar las cookies y cómo redactar su política de cookies

Bud P. Bruegger (ULD)

 

Esta sección proporciona ayuda para decidir cuándo está bien que se instalen cookies y cómo documentar sus decisiones en una política de cookies que informe a los usuarios.

Objetivo de estas recomendaciones sobre las cookies

A continuación, se ofrecen recomendaciones dirigidas a un proyecto común de investigación e innovación en materia de TIC. Pretenden ser fáciles de entender, sencillas de aplicar, conformes a la normativa y de buen gusto. Si sus necesidades van más allá y su sitio web utiliza cookies adicionales, deberá profundizar en ellas (ver Lecturas complementarias más abajo) y responsabilizarse de la conformidad y el buen gusto de su solución.

¿Soy realmente responsable de las cookies?

Podría decirse que acaba de elegir un sistema o servicio de gestión de contenidos existente y nunca ha decidido establecer una sola cookie. Entonces, ¿por qué debería ser responsable?

De acuerdo con el RGPD, su organización es considerada como el controlador[1] de su sitio web, por lo que está obligada a ejercer realmente el control[2] y es totalmente responsable [3]de lo que hace su sitio web. Por lo tanto, es su responsabilidad que sólo se instalen las cookies permitidas. Sólo así podrá proporcionar la información[4] obligatoria a los visitantes de su sitio web sobre los datos que recopila y sobre los terceros destinatarios.

Esto significa que, si utiliza un servicio, tiene que obligar contractualmente al proveedor de servicios a que le apoye en sus obligaciones[5]; si gestiona usted mismo un sistema de gestión de contenidos, tiene que encontrar una persona técnicamente capacitada para controlar las cookies. Incluso con conocimientos técnicos limitados, puede verificar las cookies que establece su sitio web utilizando un navegador[6] web estándar.

Guía rápida

La regla básica es utilizar sólo las cookies que sean estrictamente necesarias para prestar un servicio solicitado por el usuario. De forma más detallada, esto se traduce en lo que se debe y no se debe hacer:

Qué hacer
  • Coloque las cookies sólo si es inevitable.
  • Establezca una cookie de autenticación para gestionar la sesión de inicio de sesión en la parte restringida (opcional) de su sitio web. Bajo ciertas condiciones, no se requiere un diálogo de consentimiento para esto.
  • Crear transparencia para el usuario sobre las cookies que se establecen. (Véase el ejemplo de inicio de sesión más abajo)
  • Documente qué cookies establece en su política de cookies.
  • Cuando redacte las propuestas de proyectos, prometa sólo indicadores de rendimiento que no requieran el seguimiento de los visitantes individuales del sitio web.
Lo que no hay que hacer
  • Evite instalar cookies en la parte de acceso público de su sitio web, en particular en la página de inicio.
  • Evite los banners de cookies sin sentido y el consentimiento para establecer cookies no esenciales en su página de inicio.
  • No integre las redes sociales con soluciones que establezcan cookies de terceros sin que el usuario sea consciente de ello y dé su consentimiento explícito.
  • Evite las estadísticas de acceso que requieran una identificación única de los visitantes (y, por tanto, las cookies de seguimiento).
  • Evite el uso de análisis y publicidad de terceros.

Utilizar sólo las cookies estrictamente necesarias

Un concepto clave de la protección de datos es minimizar los datos recogidos y el impacto en los usuarios al mínimo que requiera un propósito legítimo. También el buen gusto nos dice que hay que evitar cualquier intrusión innecesaria del usuario. Traducido a las cookies, esto significa que sólo queremos las que son estrictamente necesarias para el funcionamiento técnico de los servicios que un usuario solicita.

En la mayoría de los sitios web de proyectos de investigación e innovación, sólo la parte destinada a la comunicación y colaboración internas del proyecto, es decir, la parte restringida a los participantes autorizados del proyecto, requiere una cookie de autenticación para gestionar las sesiones de inicio de sesión. Se recomienda evitar cualquier otro tipo de cookies.

Si su sitio web es tan especial que cree que es absolutamente necesario otro tipo de cookies, entonces tiene que documentar un propósito legítimo por el que esto es necesario y también demostrar que no es posible ninguna solución técnica con una menor intrusión en el usuario. Esto debería reflejarse en la política de cookies del sitio.

Pero, ¿incluso si los usuarios dan su consentimiento?

Algunas personas ven el consentimiento del usuario como una base legal universal para establecer todo tipo de cookies. Desgraciadamente, esto ha dado lugar a cosas como plug-ins para sistemas de gestión de contenidos que afirman falsamente que cumplen con la normativa de privacidad (por ejemplo, el Reglamento General de Protección de Datos de la UE). Suelen utilizar un banner de cookies en la página de inicio que dice “Respetamos su privacidad; haga clic aquí para dar su consentimiento a las cookies y continuar con el contenido del sitio”.

En Europa, según la ley de protección de datos aplicable (el RGPD), este tipo de consentimiento carece de validez legal[7]. Por ejemplo, el consentimiento no es informado, ya que los usuarios no entienden quién los rastrea, qué tipo de perfiles se recopilan sobre ellos y para qué sirven. Además, el consentimiento no es libre, ya que al usuario no se le presenta una opción real, por ejemplo, una opción de acceso reducido cuando rechaza el consentimiento.

Conseguir un consentimiento legalmente válido para las cookies no esenciales es difícil y requiere una importante experiencia legal. Pero incluso cuando se consigue, es simplemente de mal gusto, ya que se entromete en los usuarios cuando no es esencial.

Cómo manejar la cookie de autenticación

El área restringida de su sitio requiere el uso de una cookie de autenticación. Ésta es estrictamente necesaria para el servicio al que el usuario quiere acceder y, por tanto, entra en la excepción de consentimiento. Esto significa que, si su cookie de autenticación es una cookie[8] de sesión, un simple texto junto al botón de inicio de sesión es suficiente para cumplir la normativa. El texto informa de que se está instalando una cookie al iniciar la sesión.

Opcionalmente, si quiere dar a los usuarios la opción de que el inicio de sesión sea válido también después de reiniciar el navegador (o el PC), entonces necesita una cookie persistente. Como esto no es estrictamente necesario, ahora tiene que pedir el consentimiento. Esto puede hacerse, por ejemplo, con una casilla de verificación “recuérdame”. Asegúrese de que está desmarcada por defecto. De nuevo, informe al usuario con un texto sobre la cookie. Para mantener a sus usuarios informados, indique también cuándo caduca la cookie y proporcione un enlace con información sobre cómo cerrar la sesión.

A continuación, se muestra un ejemplo de página de acceso que sigue estas recomendaciones.

Figura 1: Ejemplo de una página de inicio de sesión conforme.

Evitación de las cookies de terceros

Como operador de un sitio web, usted tiene el control y la responsabilidad de decidir si incluye elementos (píxeles, imágenes, fuentes, etc.) en sus páginas web que hagan que los navegadores de sus usuarios obtengan recursos de sitios web de terceros. Éstos pueden establecer cookies (de seguimiento) en los navegadores de sus usuarios.

Si decide involucrar a sitios web de terceros de esta manera, les revela cuál de sus páginas web está visitando el usuario en su sitio[9]. Junto con la cookie de terceros que asigna una identidad (seudónima) a su usuario, el tercero puede compilar perfiles del comportamiento de sus usuarios. Los terceros, como los proveedores de redes sociales, publicidad o análisis, que manejan usuarios de muchos otros sitios además del suyo, pueden obtener información sobre una gran parte del comportamiento de sus usuarios en Internet.

Está bajo su control permitir la elaboración de perfiles por parte de terceros. Además, la divulgación se considera legalmente un tratamiento[10] para el que se necesita un propósito legítimo y una base legal. Dado que se trata de un área legalmente compleja, recomendamos que los proyectos de investigación e innovación se mantengan al margen y simplemente eviten las cookies de terceros. Esto también es coherente con el buen gusto que evita exponer a sus usuarios a posibles riesgos de privacidad que son innecesarios para la misión de su proyecto.

Cuidado con las redes sociales

Muchos proyectos deciden interconectar su sitio con las redes sociales. Sin embargo, los plug-ins comunes que están disponibles para este propósito suelen establecer cookies de terceros. Esto es especialmente problemático para los usuarios que se abstienen de tener una cuenta en las redes sociales en cuestión o para los usuarios que se han desconectado de su cuenta en las redes sociales. Para estos usuarios, una cookie de terceros sólo puede establecerse sobre la base del consentimiento.

Pero no desespere; existen soluciones que cumplen con la protección de datos y que son alternativas válidas a los plug-ins comunes. Un ejemplo es la solución de código abierto Shariff[11]. Es compatible con las principales redes sociales y ya se ha integrado en diversos sistemas de gestión de contenidos, como WordPress, Joomla, Type3, Drupal, MediaWiki y varios más.

Análisis de acceso al sitio

Las herramientas de análisis basadas en cookies de terceros son muy populares entre los operadores de sitios web. Lamentablemente, representan un problema importante de protección de datos y, por lo tanto, deben evitarse. Le recomendamos encarecidamente que evite por completo las cookies para la analítica y que, en su lugar, base sus estadísticas en el registro de acceso almacenado localmente en su servidor web.

Incluso estos registros de acceso necesitan cierta atención para cumplir con la normativa: Es necesario limitar el tiempo de almacenamiento (por ejemplo, con una configuración adecuada de su rotación de registros) y debe anonimizar los números de IP antes de su almacenamiento[12]. Los detalles sobre cómo hacerlo están disponibles en la sección “Anonimización” de los “Conceptos principales” en la Parte II de estas Directrices.

Cookies de apoyo a la publicidad

Diga simplemente que no. Usted es un proyecto de investigación (posiblemente financiado con fondos públicos). No necesita crear ingresos vendiendo los datos personales de los visitantes de su sitio web.

Un ejemplo de política de cookies

Para que el uso de cookies en el sitio sea transparente, es una buena práctica ofrecer a sus usuarios una política de cookies. He aquí un ejemplo que se ajusta a las recomendaciones anteriores.

Política de cookies
Resumen

  • Nos abstenemos de establecer cookies para la parte pública del sitio.
  • Nos abstenemos de instalar cookies de terceros.
  • Establecemos una cookie de autenticación para gestionar su sesión de inicio de sesión en la parte restringida del sitio. Esta cookie se elimina cuando se detiene el navegador. Opcionalmente, puede elegir que se le recuerde, en cuyo caso establecemos una cookie que caduca al cabo de <…> días o que se elimina al cerrar la sesión.

¿Qué es una cookie de autenticación?

Una cookie de autenticación es enviada a su navegador por el sitio web después de que usted se conecte. Le dice al navegador que almacene un identificador de sesión único en su navegador. A continuación, el navegador envía este identificador en cada acceso (cada página web) para que el sitio web pueda reconocer quién es usted y verificar que, efectivamente, ha iniciado la sesión con éxito y, por tanto, está autorizado a acceder a la zona restringida.

¿Cuándo se instala la cookie de autenticación?

La cookie de autenticación se instala en su navegador después de que usted pulse el botón de inicio de sesión en la página de inicio de sesión y el sitio web haya verificado correctamente su contraseña.

¿Cuándo se elimina la cookie de sesión?

Si ha dejado sin marcar la casilla “recordarme”, la cookie se borrará cuando detenga su navegador web. Si ha marcado que se le recuerde, la cookie de autenticación caduca al cabo de <…> días y entonces se elimina. Puede eliminar la cookie en cualquier momento antes de su caducidad cerrando la sesión. Encontrará el botón de cierre de sesión en la URL <…>.

Más detalles

Para más información sobre el tratamiento de sus datos personales por parte de este sitio web, consulte la [política de privacidad (enlace)]. La información allí contenida también le informará sobre cómo eliminar su cuenta para el área restringida de este sitio.

Resumen

Lista de comprobación
  • Si no tienes los conocimientos necesarios, ¿tengo el apoyo de un técnico o de mi proveedor de servicios?
  • ¿Sólo se instalan las cookies que son realmente necesarias para el funcionamiento de mi sitio web?
  • ¿La parte pública del sitio web está libre de cookies?
  • ¿Siempre se informa a los usuarios antes de que se instalen las cookies?
  • ¿Da siempre a los usuarios la opción de no consentir la instalación de una cookie?
  • ¿Ofrece siempre a los usuarios la opción de retirar dicho consentimiento y “deshacer” la cookie? (véase el botón de cierre de sesión más arriba)

Más información

  • Artículo 5.3 de la Directiva 2002/58/CE, modificada por la Directiva 2009/136/CE.
  • Ratificaciones nacionales de la citada Directiva.
  • Grupo de Trabajo de Protección de Datos del Artículo 29, WP 194, 7 de junio de 2012, Dictamen 04/2012 sobre la exención del consentimiento para el uso de cookies, https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2012/wp194_en.pdf (última visita el 08/03/2019).
  • Grupo de Trabajo de Protección de Datos del Artículo 29, WP 208, 2 de octubre de 2013, Documento de Trabajo 02/2013 que proporciona orientación sobre la obtención del consentimiento para las cookies, https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2013/wp208_en.pdf (última visita 08/03/2019).

 

  1. Véase el art. 4(7) del RGPD.
  2. Véase, por ejemplo, el art. 28(1), 28(3) y 29 del RGPD.
  3. Véase el art. 5(2) del RGPD
  4. Véase el art. 14(1)(d) y (e) RGPD.
  5. Véase el art. 28(3) del RGPD.
  6. Véase, por ejemplo, https://www.cookieyes.com/how-to-check-cookies-on-your-website-manually/ (última visita: 8/5/2020).
  7. Consulte en https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2013/wp208_en.pdf un análisis detallado.
  8. Una cookie de sesión es una cookie que se elimina cuando se cierra el navegador. Por lo tanto, es diferente de una cookie persistente que permanece almacenada en el navegador hasta que se alcanza la fecha de caducidad.
  9. Técnicamente, esto se consigue con la cabecera HTTP “Referer”.
  10. Véase el artículo 4(2) del RGPD.
  11. https://github.com/heiseonline/shariff
  12. Véase, por ejemplo, https://www.supertechcrew.com/anonymizing-logs-nginx-apache/, https://github.com/letorbi/mod_anonip (última visita: 17/02/2020).

 

Ir al contenido