Uso de Cookies en Comercio Electrónico: Guía Completa de la AEPD
Las cookies son elementos fundamentales en nuestro día a día digital, pero ¿sabemos qué son realmente, cómo funcionan y qué implicaciones tienen para nuestra privacidad y seguridad? Para evitar problemas graves, es crucial entender qué estamos aceptando al navegar por la web. Este artículo tiene como objetivo desglosar el mundo de las cookies, su importancia en el comercio electrónico y, sobre todo, cómo cumplir con la normativa vigente en España, según las directrices de la Agencia Española de Protección de Datos (AEPD).
¿Qué son las cookies y cómo funcionan?
Una cookie es un archivo que elabora un sitio web donde se incluyen pequeñas cantidades de datos. Estos datos se envían entre un emisor, en este caso el servidor donde está alojada la página web, y un receptor, es decir, el navegador que usas para visitar cualquier web. Las cookies identifican al usuario mediante el almacenamiento de su historial de navegación en la web.
De esa manera, toman esa información para mostrarle el contenido que más se asemeja a sus gustos. Así, cada vez que se visita una página web por primera vez, se guarda una cookie en el navegador con información. Más adelante, cuando se vuelve a visitar esa misma página, el servidor pide la misma cookie para personalizar la visita del usuario. También sirven, en el caso de las aplicaciones de comercio electrónico, para guardar los artículos que se van incluyendo en el carrito de la compra.
Las cookies almacenan información sobre preferencias de navegación, cuestiones técnicas, personalización de contenidos, etc., y nunca se asocian a un usuario como persona, sino a su navegador web. De hecho, si sueles navegar por Chrome y luego utilizas Firefox o Explorer, las cookies cambian, porque se guardan en tu navegador, no en el ordenador, y no reconocen que seas el mismo usuario.
Tal y como explica la Agencia Española de Protección de Datos (AEPD), las cookies son herramientas que tienen un papel esencial para la prestación de numerosos servicios de la sociedad de la información que concentran la mayor inversión publicitaria, facilitan la navegación del usuario y ofrecen una publicidad basada en ocasiones en los hábitos de navegación. Se utilizan para permitir a los usuarios navegar con más facilidad y desarrollar ciertas funciones y procesos en los sitios web.
Estos textos encriptados se crean cuando el navegador de un usuario carga una página concreta. Esta página envía información al navegador y se genera el archivo de texto. Cada vez que el usuario regresa a la misma página, el navegador rescata este archivo y lo envía al servidor de la página. También aparecen en una misma página las de otras webs (cookies de terceros) que ofrecen anuncios en la URL que el usuario visita.
Las cookies son esenciales en un e-commerce porque permiten crear una experiencia personalizada, mejorar las estrategias de marketing y, sobre todo, aumentar las tasas de conversión. Compartir páginas, artículos, imágenes, contenido en general a través de las redes sociales sería imposible sin las cookies. El «remarketing» -anuncios de publicidad online personalizados para usuarios que ya han visitado tu web- se basa también en cookies.
Clasificación de las cookies
Las cookies pueden clasificarse de diversas maneras, según diferentes criterios:
Según la entidad que las gestiona
Según quién gestione el equipo o dominio desde donde se envían las cookies y trate los datos que se obtengan, podemos diferenciar entre dos tipos de cookies:
- Cookies propias: Son aquellas que se envían al equipo del usuario desde un equipo o dominio gestionado por la propia página web que estamos visitando y desde la que se presta el servicio solicitado por el usuario. Generalmente se utilizan para mejorar la experiencia del usuario al entrar en una página. Como ejemplo, tenemos las de inicio de sesión (que permiten, por ejemplo, recordar el nombre de usuario para facilitar el inicio de sesión), las de personalización (para recordar que hemos interactuado con X para que la propia web nos muestre contenido relevante en base a esa información) o las de preferencias (que recopilan precisamente las preferencias del usuario, como por ejemplo, el idioma o la forma en la que ve un determinado contenido).
- Cookies de terceros: Son aquellas que se envían al equipo del usuario desde un equipo o dominio que no es gestionado por la propia página web, sino por otra entidad que trata los datos obtenidos a través de las cookies. Pueden ser muy variadas y con diferentes finalidades: recopilar datos estadísticos, de uso, de gustos de los usuarios, etc. Hay que tener en cuenta que esta información no se analiza por usuario, sino por navegación. Es decir, si entramos desde Google Chrome a una página web y aceptamos sus cookies, esta configuración no se mantendrá posteriormente si accedemos desde Mozilla Firefox.
Según su finalidad
Según su finalidad, podemos diferenciar entre:
- Cookies técnicas: Son aquellas que permiten al usuario la navegación a través de una página web, plataforma o aplicación y la utilización de las diferentes opciones o servicios que en ella existan, incluyendo aquellas que el editor utiliza para permitir la gestión y operativa de la página web y habilitar sus funciones y servicios, como, por ejemplo, controlar el tráfico y la comunicación de datos, identificar la sesión o compartir contenidos a través de redes sociales, entre muchas otras. También pertenecen a esta categoría, por su naturaleza técnica, aquellas cookies que permiten la gestión, de la forma más eficaz posible, de los espacios publicitarios que, como un elemento más de diseño o “maquetación” del servicio ofrecido al usuario, el editor haya incluido en una página web, aplicación o plataforma en base a criterios como el contenido editado, sin que se recopile información de los usuarios con fines distintos, como puede ser personalizar ese contenido publicitario u otros contenidos.
- Cookies de preferencias o personalización: Son aquellas que permiten recordar información para que el usuario acceda al servicio con determinadas características que pueden diferenciar su experiencia de la de otros usuarios, como, por ejemplo, el idioma, el número de resultados a mostrar cuando el usuario realiza una búsqueda, el aspecto o contenido del servicio en función del tipo de navegador a través del cual el usuario accede al servicio o de la región desde la que accede al servicio, etc.
- Cookies de análisis o medición: Son aquellas que permiten el seguimiento y análisis del comportamiento de los usuarios de los sitios web a los que están vinculadas, incluida la cuantificación de los impactos de los anuncios. La información recogida mediante este tipo de cookies se utiliza en la medición de la actividad de los sitios web, aplicación o plataforma, con el fin de introducir mejoras en función del análisis de los datos de uso que hacen los usuarios del servicio.
- Cookies de publicidad comportamental: Son aquellas que almacenan información del comportamiento de los usuarios obtenida a través de la observación continuada de sus hábitos de navegación, lo que permite desarrollar un perfil específico para mostrar publicidad en función del mismo.
En todo caso, debe tenerse en cuenta que estas tipologías se ofrecen a título orientativo por ser las más habituales. Los editores y los terceros podrán realizar las categorizaciones que consideren que mejor se ajustan a las finalidades de las cookies que utilizan, de forma que se respete el principio de transparencia frente a los usuarios.
Según el plazo de tiempo que duran
Y finalmente, según el plazo de tiempo que permanecen activadas, podemos diferenciar entre dos tipos de cookies:
- Cookies de sesión: Son aquellas diseñadas para recabar y almacenar datos únicamente mientras el usuario accede a una página web. Son cookies temporales, que se borran cuando el usuario abandone la página y cierre el navegador.
- Cookies persistentes (o permanentes): Son aquellas en las que los datos siguen almacenados en el terminal y pueden ser consultados y tratados durante un periodo definido por el responsable de la cookie, y que puede ir de unos minutos a varios años. Estos archivos permanecen en una subcarpeta del navegador hasta que el usuario las elimina manualmente o el navegador las elimina de acuerdo con el periodo de duración establecido en el archivo de la cookie.
Otros tipos de cookies
- Secure cookies: Almacenan información cifrada para evitar que los datos que guardan sean vulnerables ante un ataque malicioso.
- Zombie cookies: Este tipo de cookie se vuelve a crear a sí misma después de ser borrada. Se almacenan en el dispositivo y no en el navegador, una característica que puede convertirlas en una amenaza para la privacidad y seguridad del usuario y ser utilizada con fines ilegítimos.
Marco Legal y la Normativa de la AEPD
La legislación que regula el uso de cookies está principalmente basada en el Reglamento General de Protección de Datos (RGPD) de la Unión Europea y la Ley de Servicios de la Sociedad de la Información (LSSI). La Agencia Española de Protección de Datos (AEPD) publicó en el año 2020 una nueva normativa de cookies de importante conocimiento, sobre todo, para desarrolladores y diseñadores web. Esta guía fue actualizada en julio de 2023, adaptándose a las Directrices 03/2022 sobre patrones engañosos del Comité Europeo de Protección de Datos (CEPD).
Obligaciones legales
Las obligaciones legales impuestas por la normativa son dos: informar al usuario y obtener su consentimiento.
- Informar al usuario: Se debe facilitar a los usuarios información clara sobre la utilización de los dispositivos de almacenamiento de datos, así como los fines del tratamiento de dichos datos. Los propietarios de las webs deben proporcionar información clara y completa sobre el uso de las cookies, incluyendo su definición, función y finalidad. Esto implica detallar los tipos de cookies utilizadas (técnicas, de personalización, de análisis, etc.) y cómo nuestros usuarios pueden aceptarlas, rechazarlas o revocar su consentimiento.
- Obtener el consentimiento: Se tiene que obtener el consentimiento del usuario para la instalación y utilización de las cookies. Para conseguir dicho consentimiento se pueden utilizar diferentes métodos como, por ejemplo, hacer clic en un apartado que indique “acepto” u otros sinónimos. El consentimiento informado debe ser libre, específico y explícito.
Cambios y Novedades de la Guía AEPD
La AEPD ha actualizado su Guía sobre el uso de cookies para adaptarla a las Directrices 05/2020 y 03/2022 del CEPD. Estas son las principales novedades:
- El "seguir navegando" ya no es una forma válida de consentimiento: El Comité considera que la opción de “seguir navegando” no constituye en ninguna circunstancia una forma válida de prestar el consentimiento, en la medida en que tales acciones pueden ser difíciles de distinguir de otras actividades o interacciones del usuario, por lo que no sería posible entender que el consentimiento es inequívoco. El mero hecho de permanecer visualizando la pantalla, hacer scroll o navegar por el sitio web no se considerará una clara acción afirmativa bajo ninguna circunstancia.
- Prohibición de los "muros de cookies": La Guía anterior ya precisaba que para que el consentimiento pudiera considerarse otorgado libremente, el acceso al servicio y a sus funcionalidades no podía estar condicionado a que el usuario consintiese el uso de cookies. Por lo tanto, no podrán utilizarse los denominados “muros de cookies” que no ofrezcan una alternativa al consentimiento. Un muro de cookies es la situación en la que los sitios web ponen a sus usuarios cuando los obligan a aceptar el uso de cookies y rastreadores, incluso en contra de su voluntad, para permitirles el acceso al dominio y sus funcionalidades.
- Casillas pre-marcadas: Las casillas premarcadas o activadas por defecto no son válidas para obtener el consentimiento.
- Diseño de los avisos de cookies: Las acciones de aceptar o rechazar cookies tienen que presentarse en un lugar y formato destacados, y ambas acciones deben estar al mismo nivel, sin que sea más complicado rechazarlas que aceptarlas. La Guía incluye nuevos ejemplos sobre cómo deben mostrarse estas opciones ofreciendo indicaciones sobre, entre otros, el color, tamaño y lugar en el que aparecen.
- Cookies de personalización: Cuando el propio usuario toma decisiones sobre ellas (por ejemplo, la elección del idioma de la web o la moneda), se trata de cookies técnicas que no requieren de consentimiento, siempre y cuando no se utilicen para otras finalidades. Si es el editor quien toma estas decisiones basándose en la información del usuario, debe informar sobre ello ofreciendo la opción de aceptarlas o rechazarlas.
- Periodo transitorio: Estos nuevos criterios debían implementarse, a más tardar, el 31 de octubre de 2020.
La AEPD puede imponer sanciones cuantiosas por no cumplir la obligación de gestionar correctamente las cookies. De hecho, en el primer año desde la entrada en vigor de la ley de cookies de España, se han registrado un total de 22 multas de la AEPD relacionadas con el uso inadecuado de las cookies en sitios web. A lo largo de este año, se han impuesto sanciones por un valor total de 85.000 €. La multa más cuantiosa se corresponde con la impuesta a Iberia, por un importe total de 30.000 €, debido al uso de muros de cookies en su sitio web.
Tabla: Resumen de Obligaciones de Cumplimiento de Cookies según la AEPD
| Tipo de Cookie | ¿Requiere Consentimiento Explicíto? | Información Requerida | Ejemplo de Uso |
|---|---|---|---|
| Técnicas/Necesarias | No | General (por transparencia) | Inicio de sesión, carrito de compra |
| Preferencias/Personalización (elección del usuario) | No (si el usuario elige) | Completa y detallada | Idioma, configuración de visualización |
| Preferencias/Personalización (elección del editor) | Sí | Completa y detallada | Contenido basado en región |
| Análisis/Medición | Sí | Completa y detallada | Google Analytics |
| Publicidad/Comportamental | Sí | Completa y detallada | Remarketing, anuncios personalizados |
Consejos para un buen uso de las cookies y cumplimiento de la normativa
Para hacer un buen uso de las cookies y cumplir con la normativa, es importante seguir algunas recomendaciones:
Para el usuario
- Eliminar las cookies a través de la limpieza del historial de navegación al acabar la sesión.
- Acceder a los ajustes de privacidad de tu navegador y modificar la información que rastrean las cookies.
- Evitar introducir datos personales en lugares donde las cookies puedan guardarlos.
- No dejar abierta ninguna cuenta o sesión.
- Instalar siempre una buena solución de seguridad para controlar la privacidad.
Para los propietarios de sitios web
- Información por capas: Lo más recomendable es darle un enfoque de "información por capas", es una de las prácticas más recomendadas. Esto implica mostrar una primera capa de información básica y esencial en el banner de cookies, con opciones para aceptar o configurar las preferencias de cookies, seguido de una segunda capa con información más detallada accesible mediante un enlace. Esto ayuda a evitar sobrecargar al usuario con información mientras se asegura de que tenga acceso fácil a todos los detalles necesarios para tomar una decisión informada y concienciada.
- Botón de “Rechazar” claro: Las páginas web y aplicaciones móviles deben ofrecer a los usuarios un botón de “Rechazar” las cookies, claramente visible y accesible. Si le damos al usuario una tercera opción, además de “Aceptar” y “Rechazar”, esta tercera opción abrirá un panel con más información, donde muestre los tipos de cookies que utiliza el sitio.
- No pre-marcar casillas: Puesto que estamos solicitando el consentimiento, las casillas premarcadas o activadas por defecto no son válidas.
- Panel de configuración: Será necesario que la información de la primera capa (banner informativo) se complete con un sistema o panel de configuración en el que el usuario pueda optar entre aceptar o no las cookies de forma granular, o un enlace que conduzca a dicho sistema o panel. Para facilitar la selección, deberá implementarse un botón para habilitar todas las cookies y otro para rechazarlas todas, siendo esta opción recomendable cuanto mayor sea el número distinto de cookies que se utilicen. El grado de granularidad a la hora de mostrar la selección de cookies deberá valorarlo el editor del sitio web. Como mínimo deberían agruparse las cookies por su finalidad (por ejemplo, el usuario podría elegir habilitar las cookies analíticas y no así las publicitarias).
- Actualización y revocación del consentimiento: Los propietarios de una web debemos facilitar a los usuarios la posibilidad de que puedan actualizar sus preferencias de cookies en cualquier momento, así como revocar su consentimiento previamente otorgado. Es importante que esta opción sea accesible de forma fácil.
- Identificación de cookies: Para garantizar el cumplimiento de la normativa sobre cookies, los propietarios de sitios web tenemos que seguir varios pasos prácticos. Esto incluye realizar un listado de todas las cookies utilizadas en nuestra web, clasificarlas según el tipo y finalidad, y asegurar que la información proporcionada a los usuarios sea clara y completa.
Prácticas incorrectas y cómo evitarlas
Es crucial evitar prácticas como:
- Ausencia de botón de rechazo: No ofrecer un botón de rechazo claro en la primera capa del banner.
- Cajas pre-marcadas: Utilizar casillas pre-marcadas por defecto.
- Diseño engañoso: Que los enlaces para rechazar cookies no sean claros o induzcan a dar consentimiento.
- Colores y contrastes engañosos: Destacar indebidamente la opción de aceptar todas las cookies.
- Clasificación inexacta de cookies "esenciales": Determinar incorrectamente qué cookies son realmente esenciales.
- Ausencia de icono para retirar el consentimiento: No ofrecer soluciones fácilmente accesibles para retirar el consentimiento.
Importancia de las CMP (Plataformas de Gestión del Consentimiento)
Las Plataformas de Gestión del Consentimiento (CMP) permiten facilitar el cumplimiento de las normativas de cookies, de una forma simple y sencilla. Permiten a los propietarios de sitios web gestionar las preferencias de consentimiento de los usuarios de manera eficiente y transparente, asegurando que el consentimiento se obtenga y registre de acuerdo con los requisitos legales. La implementación de una CMP adecuada puede simplificar significativamente el proceso de cumplimiento y mejorar la experiencia del usuario.
Algunos de los servicios de CMP más populares y avalados por Google son:
- Plugin de Wordpress Compilanz: Permite realizar el procesamiento de solicitudes de datos, tiene soporte para el modo de consentimiento de Google V2 y plantillas CSS y HTML personalizadas, entre otras opciones.
- Cookiebot: Esta plataforma ofrece dos opciones de implementación, mediante un script que se inserta en la web o mediante un plugin de Wordpress. Cuenta con más de 1 millón de usuarios activos y soporte multilenguaje.
- CookieYes: Permite tener un panel de configuración con varios dominios, se inserta en la web con un simple script en el head y tiene opciones de personalización automáticas que ajustan los estilos del banner al estilo de la web con un solo clic. Es el CMP utilizado por grandes marcas en sus webs.
- One Trust: Parecida a las anteriores y también utilizada por grandes marcas, cuenta con su propio panel de configuración y un servicio de asistencia rápido.
Cabe destacar que la lista oficial cuenta con más de 40 CMP avalados por Google, por lo tanto, tienes la libertad de revisarlos y escoger el que más te convenga.
Cómo agregar un Banner de Cookies a Shopify
Imagen: Ejemplo de un banner de consentimiento de cookies bien diseñado y conforme a la normativa, ofreciendo opciones claras para aceptar, rechazar y configurar.
Conclusión sobre las Cookies y la Normativa AEPD
Cumplir con la normativa de cookies no es solo una obligación legal, sino un compromiso con la transparencia y la confianza de tus usuarios. En el dinámico mundo del comercio electrónico, comprender y aplicar correctamente las directrices de la AEPD es esencial para evitar sanciones y construir una relación sólida con tu audiencia. La adaptación constante a estas normativas garantiza la protección de datos y la privacidad en el entorno digital.
Si quieres acabar con los problemas de seguridad en tu negocio conoce el programa de Ciberseguridad de la Cámara de Comercio de España. Puedes descargar la Guía sobre el uso de Cookies en España de la Agencia Española de Protección de Datos aquí.