Cookies: reglas para el uso en relación con las normas sobre datos personales
Las cookies son herramientas fundamentales para el funcionamiento de los sitios porque permiten gestionar algunas funciones esenciales (como el reconocimiento de un usuario o la gestión de un carrito de compras en las actividades de comercio electrónico). Son también una excelente manera de obtener información personal sobre los modos de navegación de las personas en los sitios web, y permiten acciones de marketing directo muy eficaces. Las cookies, por ejemplo, permiten proponer a una persona publicidad específica, en función de las búsquedas realizadas en otros sitios que haya visitado antes de acceder a una nueva página de Internet. También gracias a las cookies se pueden realizar las acciones de marketing que reproponen un mismo mensaje durante la navegación online en los distintos sitios que se visitan (lo que se llama «retargeting»).
Las cookies – o mecanismos basados en el mismo principio – permiten también saber qué resultado ha tenido una campaña de marketing por e-mail, si se ha leído un mensaje de e-mail, cuántas veces se ha abierto o si se ha reenviado a otras personas.
Desde el desarrollo de integraciones hasta el apoyo estratégico, desde la creación de conceptos creativos hasta la optimización de resultados.
Las cookies, la legislación europea de protección de datos y el impacto en el resto del mundo
Estos instrumentos se usaron durante mucho tiempo sin que la mayoría de los usuarios de la web fuera consciente de ello, pero en 2009 la situación cambió debido a que en varios países (en particular en la Unión Europea), se dictaron normas sobre la recolección de datos personales que extendían también a las cookies las reglas habituales, basadas en presentar al interesado una nota informativa para que expresase su aprobación.
Algunos países (Reino Unido y Holanda en particular) han estado especialmente activos a la hora de afrontar el tema, imponiendo el uso de ventanas emergentes y banners para destacar la «política de cookies» de los sitios y solicitar un consentimiento expreso para su uso; otros han preferido mantenerse a la expectativa y no insistir mucho, para no introducir grandes cambios en la experiencia consolidada de navegación, difícil de conciliar con estos «avisos a los navegantes».
Quien dirija los contenidos de sus sitios a personas residentes en Europa, debe por tanto conocer estas reglas para prevenir posibles objeciones por parte de las Autoridades Europeas.
Las reglas en síntesis
En pocas palabras, las reglas esenciales requieren que cuando se accede a la página de inicio o a cualquier otra página de un sitio web, inmediatamente debe aparecer un banner bien visible, en el que se deben aclarar algunas cuestiones esenciales.
En particular:
- hay que precisar si el sitio utiliza cookies de perfil para enviar mensajes publicitarios personalizados;
- hay que precisar si el sitio utiliza también cookies de terceros, es decir, cookies que recopilan datos que posteriormente serán utilizados por un sitio distinto de aquel que se está visitando;
- hay que indicar un enlace que permita leer la nota informativa por extenso, con las indicaciones sobre el uso de las cookies enviadas por el sitio, precisando que se puede negar el permiso para su instalación, ya sea directamente o conectándose a los distintos sitios, en el caso de las cookies de terceros;
- por último, hay que indicar que si se prosigue con la navegación (p.ej., accediendo a otra área del sitio o seleccionando una imagen o un enlace), se está dando el consentimiento para el uso de las cookies.
Se permite, en todo caso, el uso de cookies técnicas, a fin de que no sea necesario presentar de nuevo la nota informativa breve en las posteriores visitas del usuario, manteniendo así registrada su autorización, expresada con ocasión de la visita anterior.
Por último, se debe asegurar que el usuario disponga, en todo caso, de la posibilidad de modificar sus decisiones acerca de las cookies a través de nota informativa extensa, que se debe poder consultar desde cada página del sitio.
Los aspectos específicos de las normas sobre las cookies
Desde un punto de vista práctico, hay que tener presentes estos aspectos de aplicación, para tener un cuadro exacto de la situación con respecto a la normativa:
a) Ámbito de aplicación
Se da por sentado que los sitios que no permiten el almacenamiento de información en el aparato terminal del usuario, o el acceso a informaciones allí archivadas, y que por tanto no utilizan cookies, no están sujetos a las obligaciones previstas por la normativa. Se confirma que para el uso de cookies exclusivamente técnicas solamente se requiere la publicación de la nota informativa con las modalidades consideradas más adecuadas (p.ej., una referencia en la política de privacidad del sitio), sin necesidad de incluir el banner previsto en el procedimiento.
- Los sitios que no utilizan cookies no están sujetos a obligación alguna
- Para utilizar cookies técnicas se requiere únicamente la nota informativa (por ejemplo, en la política de privacidad del sitio). No es necesario incluir banners específicos.
- Las cookies analíticas serán asimilables a las técnicas sólo cuando hayan sido realizadas y utilizadas directamente por el sitio primero para mejorar su usabilidad.
- Los propietarios de cookies analíticas puestas a disposición de terceros no están sujetos a obligaciones cuando:
- A) se hayan adoptado instrumentos que reduzcan la capacidad identificadora de las cookies (por ejemplo, mediante el enmascaramiento de partes significativas del IP);
- B) los terceros se comprometan a no relacionar la información contenida en las cookies con otras de que dispongan.
- Si en el sitio hay enlaces a sitios de terceros (p.ej. banner publicitarios, conexiones a redes sociales) que no requieren la instalación de cookies de perfil, no son necesarias la nota informativa y la autorización.
- En la nota informativa extensa la autorización al uso de cookies de perfil se pueda solicitar por categorías (p.ej. viajes, deportes).
- Se pueda efectuar una sola notificación para todos los distintos sitios web que se gestionan dentro del mismo dominio.
- Las obligaciones se apliquen a todos los sitios que instalen cookies en las terminales de los usuarios, independientemente de que tengan o no sede en Italia.
b) Uso de cookies analíticas de terceros
En la óptica de simplificación que la Autoridad persigue, ha quedado ya claro en el procedimiento que las cookies analíticas (que sirven para monitorizar el uso del sitio por parte de los usuarios con fines de optimización del mismo) son asimilables a las cookies técnicas allí donde hayan sido realizadas y utilizadas directamente por el sitio primero (es decir, sin intervención de terceros).
En muchos casos, sin embargo, los sitios utilizan, a efectos meramente estadísticos, cookies analíticas realizadas y puestas a disposición de terceros. En esos casos, se considera que dichos sitios no están sujetos a las obligaciones y requisitos previstos por la normativa, siempre y cuando adopten instrumentos adecuados para reducir la capacidad identificadora de las cookies analíticas utilizadas (por ejemplo, mediante el enmascaramiento de partes significativas de la dirección IP).
El uso de dichas cookies debe, además, estar subordinado a vínculos contractuales entre los sitios y los terceros en los que se mencione expresamente el compromiso de los terceros de utilizarlas exclusivamente para la prestación del servicio, conservarlas por separado y no «enriquecerlas» ni «cruzarlas» con otras informaciones que posean.
c) Uso de plataformas que instalan cookies
En algunas solicitudes ha resultado claro que es difícil aportar las modificaciones necesarias para implementar la normativa en materia de cookies a las plataformas que muchos utilizan para la realización de sitios web y que contienen sus propias herramientas internas, a veces pre-configuradas, para la gestión de cookies o widgets.
d) Sujetos con obligación de incluir el banner: el papel de los sitios primeros
En relación con el tema de la responsabilidad de los administradores de los sitios primeros en lo que se refiere a la instalación de cookies de perfil procedentes de dominios «terceros», se confirma que dichos sujetos ejercen un papel de mero intermediario técnico en cuanto a la instalación de dichas cookies.
Hay que señalar, sin embargo, que por la naturaleza «distribuida» de dicho tratamiento, en el que el sitio primero participa de todos modos en el proceso, la autorización para el uso de terceros se basa en la composición de dos elementos igualmente necesarios: por un lado, la presencia del banner, que genera el evento adecuado para que la autorización sea documentable (a cargo del sitio primero) y, por otro, la presencia de los enlaces actualizados a los sitios gestionados por los terceros en los que el usuario podrá elegir en relación con las categorías y sujetos de quienes recibir cookies de perfil.
También hay que señalar que, si los banner publicitarios o las conexiones con las redes sociales en el sitio son simples enlaces a sitios de terceros que no instalan cookies de perfil, no se requieren nota informativa y consentimiento.
e) Modos de obtener la autorización
Las soluciones para la obtención de la autorización basadas en «scroll», es decir, en seguir navegando por la misma página web, por muchos planteadas y en efecto particularmente significativas en el caso de los dispositivos móviles, se consideran en línea con los requisitos legales, siempre y cuando se indiquen claramente en la nota informativa y permitan generar un evento, registrable y documentable en el servidor del gestor del sitio (primero), y que pueda calificarse como acción positiva por parte del usuario.
En concreto, ¿qué se necesita para tratar datos mediante cookies?
Veamos unos supuestos prácticos de formas de estructurar un banner para cookies, también a la luz de la experiencia adquirida en el extranjero.
1) Ejemplo de banner o ventana emergente en la entrada del sitio
El texto del banner puede ser más corto o más largo. Un texto completo y descriptivo tiene un efecto más tranquilizador y permite explicar los términos esenciales de una materia de la que la mayoría de los usuarios no tiene conocimiento. Obviamente, cada quien tiene que hacer sus consideraciones y concretar la solución que considere más adecuada, teniendo también en cuenta el tipo de sitio y las características de quien lo consulte.
Por ejemplo, un texto sintético para un banner podría ser el siguiente:
Utilizamos cookies para mejorar tu experiencia de navegación y para ayudarnos a mejorar nuestro sitio web. Para más detalles, puedes consultar la política de cookies aquí. El hecho de continuar navegando por el sitio implica la aceptación del uso de cookies; en caso contrario, es posible abandonar el sitio.
También hay que disponer dos teclas para elegir:
- «Configurar cookies», que permita acceder a una sección del sitio donde habilitar o inhabilitar los distintos tipos de cookies utilizados en el sitio;
- «Aceptar y seguir» que da acceso inmediato al sitio.
También hay que preparar un texto específico y amplio, la denominada política de cookies, para ilustrar en detalles las cookies y permitir desactivar tipos específicos.
2) Ejemplo de un aviso legal a incluir en mensajes de e-mail en caso de campañas de marketing por e-mail
En cuanto a las herramientas que permiten recopilar los datos de apertura, lectura y reenvío de un mensaje de correo electrónico, es conveniente introducir en el mensaje algunas informaciones útiles.
Este aviso legal puede situarse en el pie de página del mensaje.
E-mail y cookies
* El remitente de este mensaje utiliza cookies y tecnologías similares (agrupadas colectivamente bajo el nombre de cookies) en este e-mail. En caso de activar la visualización de las imágenes, las cookies pueden instalarse en su ordenador o dispositivo móvil. Las cookies se instalarán también en el momento en que se haga clic en cualquier enlace de este mensaje. Si su configuración de e-mail ha desactivado los enlaces de este mensaje, puede pegar la dirección en el navegador sin activar o aceptar las cookies: ____________________________.
Estos ejemplos concretos dan una idea de las distintas medidas que hay que adoptar para gestionar bien el impacto de estas normas.
Aconsejo no aplicar la técnica de «copiar y pegar». Lo que es adecuado en un sitio, en otro no lo es. Cada profesional debe familiarizarse con este problema de manera que las cookies se presenten correctamente a los usuarios de cada sitio, para que puedan elegir en modo consciente si aceptarlas o rechazarlas. Solo de este modo se respetará el principio según el cual cada individuo puede ejercer un control sobre la información que le concierne, incluso si esta información se recopila por efecto de sus comportamientos de navegación.