Qué dice la LSSI sobre las cookies y cómo se interpreta
La (mal llamada) ley de cookies o mejor dicho LSSI (Ley de Servicios de la Sociedad de la Información) dice en el artículo 22.2:
Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios , a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.
Por otra parte el recien inaugurado Reglamente General de Protección de Datos (RGPD) nos dice en el artículo 4.11:
Toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen.
No voy a entrar en profundidad en el tema legal, primero porque no tengo la formación adecuada para hacerlo y segundo porque no es el objeto de este artículo. Si se quiere ahondar en el mismo y las implicaciones que tiene para los desarrolladores y propietarios de un sitio web os invito a leer este artículo de @alex_barbara sobre las obligaciones legales de las cookies.
Lo único que quiero exponer y dejar claro es que existe la obligación de informar a un usuario antes de cargar cualquier cookie en su dispositivo siempre y cuando no sean técnicas y necesarias para prestar un servicio, como puede ocurrir en un e-commerce con sus pasarelas de pago o para guardar sesiones y carritos. El resto de cookies, sean propias o de terceros, deben ser cargadas única y exclusivamente cuando el usuario lo acepte de forma inequívoca y explicita.
Así pues, parece claro que cualquier web debería cargar cookies solo cuando recibiera el consentimiento libre (Es decir, déjame aceptar o rechazar las cookies y haga lo que haga, déjame navegar por tu sitio web), específico (el usuario ha de hacer algo como click en un botón, no vale por ejemplo con hacer scroll), informado (explícame qué pasa al aceptar o al rechazar) e inequívoco (no mezclar las cookies con la RGPD, por ejemplo)
La cuestión es que en la gran mayoría de las páginas web esto no se produce ya que, sí bien es cierto que existe en todas ellas un aviso de que usan cookies y se nos pide aceptarlas, las cookies ya están cargadas y hagamos lo que hagamos, seguirán ahí a no ser que seamos nosotros mismos los que procedamos a su desactivación en nuestro navegador. Incluso en otros casos solo se nos informa y se nos dice que si continuamos navegando aceptamos la carga de las cookies. Recientemente he encontrado complejos avisos de cookies que incluso permiten seleccionar lo que aceptas y lo que no pero que no tienen ningún efecto en la propia sesión (no sé en futuras) y ya tienes todo un ejercito de galletitas alimentando tu navegador.
Como he dicho no soy jurista pero además de leer artículos como el anteriormente citado, he consultado a varios expertos que sí lo son y todos coinciden: Se deben cargar una vez el usuario acepta y se le deba dar la posibilidad de navegar por nuestra web si las rechaza. También hay algunas sentencias (no muchas) en ese sentido.
Entiendo las reticencias de muchas webs que basan una gran parte (o toda) de su negocio en publicidad, afiliación, etc. y para las que dar la posibilidad de rechazar las cookies significa una pérdida cuantiosa de ingresos. Lo entiendo, ya que en muchas ocasiones proporcionan servicios valiosos al usuario y han de tener la posibilidad de monetizarlo de alguna forma pero están incumpliendo la ley y se exponen a sanciones.
Espero que sea útil para ti esté método que comparto para cumplir la ley cargando las cookies de GA y aunque es cierto que vas a perder cierta capacidad de análisis (hay quien rechaza, por supuesto) creo que vale la pena no exponerse y vivir un poco más tranquilo.
¿Quieres saber cómo cargar las cookies de Google Analytics en WordPress pero solo cuando el usuario haya aceptado el uso de las mismas?
Aunque la mayor parte de los sitios web no lo cumplen, las cookies únicamente deben cargarse en el dispositivo del usuario cuando este acepta el uso de las mismas. Si no se hace así, se está incumpliendo la ley. Pero los aspectos legales los comento al final de artículo, ahora voy a explicarte cómo conseguirlo técnicamente para las cookies de Google Analytics.
En gran parte de las instalaciones de WordPress las únicas cookies de las que hay que advertir a los usuarios son las de seguimiento, normalmente Google Analytics. Hay que recordar que no es necesario advertir de la carga de cookies de tipo técnico como las de sesión, seguridad, etc. siempre y cuando sean necesarias para prestar correctamente el servicio y garantizar una óptima experiencia de usuario.
Si en tu web se cargan otro tipo de cookies porque tienes publicidad o enlaces de afiliados o lo que sea, tendrás que buscar otro método ya que el que voy a describir solo sirve para las cookies de GA.
Así que si ese es tu caso (solo cookies de Google Analytics), y quieres cumplir escrupulosamente con la LSSI (Ley de Servicios de la Sociedad de la Información y del Comercio Electrónico) y la RGPD (Reglamento General de Protección de Datos), este método te será muy útil ya que te permite cargar las cookies de Google Analytics en WordPress solo cuando el usuario hace click en aceptar y le da la posibilidad de rechazar la carga de las mismas en su navegador.
Yo he probado varios plugins y configuraciones y después de muchas pruebas he comprobado que la más eficaz, sencilla y libre de errores ha sido la de estos dos:
Este método ya no es válido dado las constantes actualizaciones que han sufrido los plugins nombrados en el.
- GDPR Cookie Consent para el aviso de cookies.
- CAOS (Complete Analitycs Optimization Suite) para cargar el código de GA.
Configuración de los plugins CAOS y GDPR Cookie Consent
Se trata de dos plugins gratuitos que puedes encontrar en el repositorio de WordPress, con muchas instalaciones activas y con actualizaciones frecuentes por parte de sus desarrolladores.
Instala CAOS (Complete Analitycs Optimization Suite)
y configúralo así:
- Añade la ID de seguimiento de Google Analytics.
- Marca la casilla «Allow tracking… » «When cookie has a value».
- En el campo «Cookie name» escribe el nombre de la cookie que genera el plugin GDPR cuando acepta el usuario: viewed_cookie_policy.
- En «Cookie value» escribe «yes».
- Marca «Advanced settings» y establece el «Cookie expiry period (days)» en 30 días o los que quieras que dure la cookie.
Instala GDPR Cookie Consent.
Tiene muchas posibilidades de configuración y no es el objetivo de este post explicarlas en profundidad. Estos son los ajustes básicos que recomiendo para garantizar que cumplimos la ley:
- Activa el aviso tanto para aceptar como para rechazar las cookies:
- Elige si quieres que el aviso aparezca en la parte superior o inferior de la pantalla.Te recomiendo fijarlo en el header para que tenga más visibilidad y acompañe al usuario cuando hace scroll.
- Marcamos el «no» en las opciones que hacen desaparecer el aviso tras un intervalo de tiempo o al hacer scroll.
- Si la web carga suficientemente rápido yo recomiendo marcar la opción de recargar la página cuando se haga click en el botón «aceptar». De esa forma se cargan las cookies de GA inmediatamente y se comienza a hacer el seguimiento de la visita. En caso contrario se cargarán cuando el usuario navegue por nuestro sitio.
- Cambiamos de apartado haciendo click en «Cookie Law Message Bar» donde escribiremos el mensaje del aviso que queremos aparezca junto con los shortcodes que mostraran diversos botones y enlaces, así como el estilo del aviso:
- Finalmente en el apartado «Customize Buttons» podremos cambiar la apariencia de los botones y enlaces que aparezcan en el aviso.
- Activa el aviso tanto para aceptar como para rechazar las cookies:
Y ya está, el aviso de cookies aparecerá con la opción de aceptar o rechazar las mismas y solo en el caso de que el usuario haga click en «aceptar» se cargarán las cookies de Google Analytics. Puedes comprobar el resultado abriendo este enlace: santifrias.com en una ventana de incógnito.
Deja una respuesta