Ley RGPD 2018

La RGPD a vista de cookies

Ya llevamos tiempo hablando de la RGPD e incluso en el blog se han hecho varios posts sobre cómo adaptar tu formulario de WordPress o adaptar Google Analytics a la RGPD, pero creo que es un tema muy candente y del que podemos seguir escribiendo durante tiempo, porque la ley se puede interpretar de muchas maneras.

Uno de los cambios más notables a nivel de diseño y experiencia de usuario que creo se ha tenido que modificar, es el de la caja de «aceptar cookies». Antes la poníamos en una esquina, es decir, en un lugar donde no entorpeciera la lectura del usuario, ahora es preferible que moleste, e incluso si puede ser, evitar la navegación mediante un opacity para forzar el clic, puesto que en este caso sí nos interesa que la acepten, aunque como todo depende de cómo apliquemos o interpretemos la ley.

El cambio más importante que supuso la RGPD, es el de considerar las cookies como un dato personal (junto a los que ya sabíamos que no debemos enviar a Analytics: emails, nombres, DNI, etc). Otro cambio era el consentimiento explícito (recordemos que antes era implícito) que se necesita para recoger estos datos.  Si aplicamos e interpretamos la ley de esta forma, es cierto que el aviso de cookies deberá ser lo más intrusivo posible para forzar al usuario a dar ese consentimiento y evitar perder la medición del tráfico.

Interpretación de la ley RGPD

Aunque la interpretación que se puede seguir no contempla todas las cookies de esta forma, se pueden dividir los datos que recogemos en dos grupos: los datos estrictamente necesarios para la medición con Analytics y los datos personales o para fines publicitarios.

  • Los datos funcionales que necesitamos exclusivamente para medir con Analytics:  la cookie de Analytics se lanza siempre. Esta cookie es una cadena numérica por navegador (no por usuario) y aunque cruzándolo de mil maneras junto con un número de transacción, podría llegar a saberse el nombre y apellidos de esa persona, no es un cruce fácil y no se realiza para detectar a estos usuarios. La cookie de Analytics se usa solo para sacar datos de tendencias y de navegación anónimos de nuestros usuarios.
  • Los datos que puedan identificar al usuario y las cookies publicitarias: podemos tener algunos identificadores que recogemos en dimensiones personalizadas que sí pueden darnos mucha información del usuario. Por ejemplo, el id de la herramienta Tealeaf (que graba las sesiones, recoge nombre y apellidos de usuarios). Este dato solo se debería recoger si la sesión acepta las cookies. Otro dato dentro de este grupo es la IP, que se considera un dato personal, y aunque no se vea en Analytics, la herramienta lo recoge para ofrecer informes geográficos. Esta IP se mantiene anónima hasta que se aceptan las cookies. Se seguirían viendo informes geográficos, pero con menor precisión.
  • Las cookies publicitarias: la suite de google comparte muchos datos entre sus herramientas. Desde Analytics se ofrece la posibilidad de habilitar las funciones publicitarias y esto hace que se añada una cookie publicitaria a los usuarios. Estas funciones se deben activar solo tras aceptar el aviso de cookies.
  • Los píxeles publicitarios: generalmente se utilizan diversos píxeles relacionados con publicidad como es el caso de los píxeles de remarketing. Éstos también se deben lanzar tras aceptar la política de cookies.

Por tanto, si nos encontramos en una de las tesituras anteriores y necesitamos que se acepte previamente, pero el usuario acepta después de navegar por la página web, es decir, no acepta en una primera instancia, este tráfico para Analytics aparece de pronto en una página sin información de su procedencia. Podría ser referencia, pero sería de nuestro propio dominio (las referencias de nuestro propio dominio están excluidas desde Analytics), así que Analytics lo va a interpretar como tráfico directo o desconocido. Esto va a ocurrir sobre todo para los canales que más usuarios nuevos traen a nuestra web, ya que no tendrán depositada la cookie cuando nos visiten.

Pero, también deberíamos tener en cuenta que si el usuario acepta en la primera página visitada y hacemos referencia al consentimiento explícito que he mencionado más arriba, hay que demostrar de alguna forma este consentimiento. La manera más sencilla de hacerlo desde Analytics, es guardando un evento de clic en el botón aceptar. La información que recogemos en ese evento es genérica, del tipo “cookies acepted”, pero vinculada a las cookies de navegación o a otro id (como el de transacción). Podemos saber y demostrar si fuera necesario que ese usuario aceptó las cookies y por tanto, lo más importante, podemos saber el canal desde el que llegó a la web.

En este punto volvemos al dilema de considerar la cookie de Analytics como dato personal o no. En principio se podría lanzar la cookie de Analytics al visitar la web, pero no todo el mundo lo está interpretando así. Deberíamos dejar de recoger los datos personales o que identifican al usuario (excepto la cookie de Analytics) y los publicitarios, claro.

Otros datos sensibles son los que se recogen en el momento del registro o la compra, como el id de transacción o el user id (número que identifica al usuario cuando ha hecho login) pero al tener que pasar por un login previo donde recogemos datos personales (o «pedido sin registrar» en el que recogemos exactamente los mismos datos), podemos medir la navegación del usuario con una cookie y recoger el id de transacción. Aunque evidentemente, deberíamos tener en cuenta cuáles son las condiciones que se han tenido que aceptar previamente para ese registro de usuario. Resumiendo, las cookies funcionales que no se pueden quitar, deben ser de análisis, o de funcionalidades de la web (mantener el registro del usuario, el idioma, etc) y las de personalización deberían ser todas las cookies publicitarias.

Incluso la implementación básica de Analytics precisa de cookies. Para esta herramienta es fundamental utilizar cookies de sesión (son las que agrupan las páginas vistas bajo una misma sesión) y las cookies del navegador (son las que informan de si un usuario es nuevo o recurrente). Por este motivo, si se aplica la ley de forma escrupulosa sería necesario tener un aviso y un consentimiento. Sin embargo, estamos considerando todas las cookies por igual, cuando tienen fines diferentes.

Para la recopilación de datos con fines publicitarios, debería decidir el usuario. Las cookies de Analytics se utilizan para optimizar nuestra web en base a la navegación con datos como la página de aterrizaje, el navegador o el dispositivo que utilizó.

La ley parece que está sobreprotegiendo al usuario y que al final está provocando interpretaciones diversas. También va a generar prácticas molestas (como modales que impidan la navegación) o la búsqueda de zonas grises para aplicar la ley (interpretar el clic en aceptar o en cualquier lugar de la página como consentimiento explícito).

Por último solo comentar el tema del derecho al olvido. Ahora debo poder borrar cualquier cookie que recoja Analytics de forma sencilla. Google ha habilitado APIs para poder borrar los datos de un usuario que reclame este derecho. También se han designado representantes y contactos para la protección de estos datos.

Créditos:
Muchas gracias a Sandra Rivera, que sin su ayuda no tendríamos este post 🙂

 

 

Rate this post
The following two tabs change content below.

Loren Valero

Cuenta la leyenda que me inicié en el mundo online hace ya unos 14 años, tras estudiar ingeniería informática en la Universitat Jaume I de Castellón. Por aquel entonces, el SEO era un concepto propio de la ciencia ficción y la conexión a internet no era posible sin un cable. A lo largo de mi trayectoria profesional me he atrevido con todo, dando servicio como SEO Manager a RTVE y al Diario AS entre otras compañías. En mi otra vida debí de ser corrector en un periódico, porque no se me escapa ni un detalle en lo que a la ortografía se refiere. En "mi tiempo libre" imparto clases en el IEBS de la asignatura "análisis de contenidos para SEO". Puedes seguirme en → @lorenvalero

Últimos artículos de Loren Valero (Ver todos)