El Reglamento General de Protección de Datos (rgpd) ha cambiado la forma en que las organizaciones de todo el mundo manejan los datos personales. Los propietarios y operadores de sitios web siguen trabajando para cumplir la normativa rgpd y muchos siguen preguntándose cómo interactúan rgpd, las cookies y el consentimiento.
Veamos cómo se entrecruzan rgpd y las cookies, qué implica rgpd consentimiento de cookies y cómo garantizar el cumplimiento de rgpdpor parte de las cookies.
1. rgpd y Cookies
Todo aquel que gestione un sitio web con tráfico internacional necesita saber cómo están conectados rgpd y las cookies. La rgpd se menciona a menudo en las conversaciones sobre cookies, pero el texto oficial de la ley sólo menciona las cookies una vez.
rgpd El considerando 30 dice:
Las personas físicas pueden asociarse a identificadores en línea proporcionados por sus dispositivos, aplicaciones, herramientas y protocolos, como direcciones de protocolo de Internet, identificadores de cookies u otros identificadores [...] cuando se combinan con identificadores únicos y otra información recibida por los servidores, pueden utilizarse para crear perfiles de las personas físicas e identificarlas.
Las cookies se consideran identificadores únicos, ya que pueden utilizarse de forma independiente o combinadas con otros datos para identificar a una persona. En consecuencia, se consideran un medio de recogida de datos personales en virtud de la rgpd.
Sin embargo, rgpd no es estática. En mayo de 2020, la Unión Europea (UE) publicó una actualización para eliminar la ambigüedad con respecto a su posición oficial sobre aspectos del uso de cookies, junto con varias otras aclaraciones. Esta actualización nombra específicamente a las cookies como una forma de identificador único en lugar de dar a entender que lo son. La actualización también ofrece normas específicas sobre cómono se puede adquirir consentimiento de cookies .
Además, la rgpd está pensada para interactuar con la Directiva sobre la privacidad y las comunicaciones electrónicas (también conocida como la Ley de Cookies). Cumplir con los requisitos de cookies de rgpd significa que también debe cumplir con la Ley de Cookies.
Sin embargo, la Directiva sobre la privacidad y las comunicaciones electrónicas podría ser sustituida en breve por una alternativa conocida como Reglamento sobre la privacidad y las comunicaciones electrónicas, una ley aún más específica.
Profundizaremos en cómo debe establecer su consentimiento de cookies y política de cookies de forma que cumpla los requisitos tanto de la rgpd como de la Directiva o Reglamento sobre privacidad electrónica.
rgpd: Cookies y datos personales
La relación entre rgpd y las cookies depende de las normas de rgpdsobre recopilación y uso de datos personales.
Dado que las cookies pueden utilizarse para identificar a una persona, están sujetas a los siete principios del tratamiento de datos personales descritos en rgpd:
- Los datos personales deben tratarse de forma lícita, justa y transparente.
- Los datos personales deben recogerse y tratarse únicamente con fines específicos y legítimos.
- La recogida de datos debe reducirse al mínimo (sólo lo necesario para los fines declarados).
- Debe garantizarse la exactitud de los datos personales, y deben realizarse los esfuerzos oportunos para rectificar los datos incorrectos (o cumplir con otras solicitudes de gestión de datos).
- Los datos sólo deben conservarse el tiempo necesario para cumplir su finalidad.
- Es necesario adoptar medidas de seguridad adecuadas en el tratamiento de datos para evitar su violación.
- Las organizaciones deben responsabilizarse y rendir cuentas de los datos que recopilan manteniendo registros de consentimiento.
Si aplica amplias medidas de cumplimiento en rgpd , como el mapeo de datos o el refuerzo de los sistemas de seguridad, cumplirá la mayoría de estos requisitos sin mayor esfuerzo.
El primer principio -tratamiento de datos lícito, justo y transparente- es el más aplicable a su uso de cookies y el mandato más amplio. Nos centraremos en cómo puede garantizar que su uso de las cookies cumple este requisito fundamental de rgpd .
rgpd Requisitos de las cookies
Según las directrices de rgpd para la recogida de datos personales, existen varios requisitos para las cookies de rgpd utilizadas para el seguimiento de usuarios. Más adelante, profundizaremos en cada uno de estos requisitos, pero las directrices básicas para el uso legal de cookies en virtud de rgpd son las siguientes
- Sepa qué cookies utiliza su sitio web y a qué categoría de cookies pertenecen.
- Describa claramente el uso que hace de las cookies en su política de privacidad y en política de cookies.
- Informea los usuarios de sus políticas de privacidad y cookies con un lenguaje claro en rgpd consentimiento de cookies .
- Permita que los usuarios den su consentimiento claro y explícito al uso de cookies.
- Sólo implante cookies no esenciales después de que cada usuario haya dado su consentimiento a dichas cookies.
- Ofrecer a los usuarios la posibilidad de cambiar sus preferencias de cookies en cualquier momento o de retirarlas por completo de consentimiento de cookies .
- Respetar las preferencias y consentimientosde los usuarios .
- Mantenga registros recuperables de las preferencias de consentimiento de sus usuarios.
Las principales características de su estrategia de cookies rgpd serán su política de cookies, su banner consentimiento de cookies y su plan de cookies gestión del consentimiento .
2. rgpd consentimiento de cookies
Asegúrese de cumplir con la rgpd utilizando Termly
Paso 1: Introduzca la URL de su sitio web en el siguiente escáner
Paso 2: Escanearemos su sitio web y clasificaremos la mayoría de sus cookies
Paso 3: Generaremos su política de cookies y personalizable banner de cookies
Así pues, rgpd consentimiento de cookies es fundamental para su plan de cumplimiento rgpd . Pero, ¿qué es consentimiento de cookies? Se define como el consentimiento claro, específico y libremente otorgado a todas las cookies o a categorías específicas de cookies.
Este consentimiento se basa en dos componentes fundamentales:
- Conocimiento por parte de los usuarios del uso que usted hace de las cookies (incluidas las categorías y finalidades de las cookies )
- Capacidad de los usuarios para consentir, denegar o establecer preferencias para su uso de cookies
Para que los usuarios sean conscientes del uso que hace de las cookies, necesita una página web completa, política de cookies , a la que puedan acceder fácilmente y que esté bien visible en su sitio web.
La forma más sencilla de permitir a los usuarios establecer sus preferencias de consentimiento es instituir un banner de cookies o un método comparable como una ventana emergente.
Por último, debe mantener su banner política de cookies y de consentimiento mientras recopila las preferencias de los usuarios.
Veamos cómo puede crear y mantener cada uno de estos elementos para el cumplimiento de rgpd .
3. rgpd política de cookies
En rgpd política de cookies (también denominada política de cookies) se indica qué cookies utiliza su sitio web y por qué se utilizan.
Un política de cookies estándar incluye la siguiente información:
- Qué cookies utiliza su sitio web
- A qué categoría pertenece cada cookie
- Por qué utiliza esas cookies
- Qué otras tecnologías de seguimiento utiliza (como balizas web o etiquetas de píxel)
- Cómo pueden los usuarios controlar sus preferencias de cookies
- Qué cookies utiliza su sitio web
- A qué categoría pertenece cada cookie
- Por qué utiliza esas cookies
- Qué otras tecnologías de seguimiento utiliza (como balizas web o etiquetas de píxel)
- Cómo pueden los usuarios controlar sus preferencias de cookies
Las políticas de cookies deben complementar su política de privacidad, no sustituirla. También debe tener una política de privacidadrgpd que cubra su uso de cookies y enlaces a su política de cookies específico.
Uso de cookies propias y de terceros en virtud de la rgpd
rgpd se aplica a todos los tipos de cookies, tanto de terceros como de origen. Para crear una política de cookies completa y mantener el cumplimiento de rgpd , debe comprender las cookies que utiliza.
Las cookies creadas por su propio dominio se denominan cookies de origen. Se suelen utilizar para almacenar información como la configuración del sitio web y datos introducidos por el usuario (por ejemplo, preferencias de moneda o artículos en un carrito de la compra).
Las cookies de terceros son cookies creadas por un dominio que no es el suyo, desplegadas por su sitio web y utilizadas para controlar al usuario, no sólo sus interacciones en su sitio.
Cuando se trata del cumplimiento de rgpd , es esencial conocer la diferencia entre las cookies de origen y las cookies de terceros. Usted es responsable de entender cómo sus proveedores de cookies de terceros tratan los datos recogidos de sus usuarios. Y lo que es más importante, usted es responsable de asegurarse de que ese tratamiento es conforme con rgpd .
rgpd Categorías de galletas
En rgpd, las cookies deben clasificarse en categorías específicas en su política de cookies.
Dado que rgpd consentimiento de cookies debe ser específico y granular, debe informar a los usuarios de los diferentes propósitos de sus cookies y darles la posibilidad de aceptar o rechazar esas cookies en consecuencia.
Por ejemplo, sólo porque los usuarios den su consentimiento a las cookies de funcionalidad que permiten la reproducción de vídeo, pueden no dar su consentimiento a las cookies de redes sociales que recopilan datos para Facebook.
Para obtener un consentimiento válido a las cookies por categoría, debe dar a sus usuarios información sobre sus categorías de cookies a través de su política de cookies. Le recomendamos que clasifique sus cookies en las cinco categorías siguientes cuando solicite rgpd consentimiento de cookies .
- Esenciales - Las cookies esenciales son necesarias para la funcionalidad básica de su sitio web. Una cookie esencial recuerda a un usuario determinado mientras navega por su sitio. Por ejemplo, las cookies esenciales hacen un seguimiento de la página en la que se encuentra un usuario o desde qué cuenta accede a su sitio. Según la Ley de Cookies y rgpd, las cookies esenciales y las cookies estrictamente necesarias son lo mismo, y estos rastreadores necesarios no requieren el consentimiento del usuario.
- Rendimiento y funcionalidad - A diferencia de las cookies esenciales, estas cookies se utilizan para complementar la funcionalidad de su sitio, pero no son necesarias. Por ejemplo, las cookies de rendimiento y funcionalidad pueden ayudar a reproducir vídeos en su sitio web.
- Analíticay personalización - Cuando se trata de rgpd y las cookies de rastreo, las cookies analíticas están a menudo en el primer plano de la conversación. Como la mayoría de las empresas en línea utilizan cookies analíticas en alguna capacidad para rastrear y analizar el comportamiento del usuario, los propietarios y operadores de sitios están comprensiblemente preocupados por la desactivación de estas cookies en ausencia de la ley rgpd consentimiento de cookies .
- Publicidad - Las cookies publicitarias son una forma común de cookies de terceros. Si muestra anuncios en su sitio web, esos propietarios de anuncios de terceros rastrean a sus usuarios a través de las cookies adjuntas a sus anuncios. Al igual que con cualquier otra cookie de terceros, tenga cuidado al utilizar cookies publicitarias, ya que los incumplimientos de rgpd por parte de su proveedor de publicidad podrían convertirse en su propia responsabilidad rgpd .
- Redes sociales - Si tiene alguna función de me gusta, compartir o suscribirse en su sitio que conecte con una plataforma de medios sociales, utiliza cookies de redes sociales. Por naturaleza, estas cookies son de terceros para la mayoría de los sitios.
Comprender sus categorías de cookies es la base de su cookie y de su banner consentimiento de cookies .
4. rgpd banner de cookies
consentimiento de cookies puede obtenerse a través de un sitio web rgpd-compliant banner de cookies. Debe mostrar este banner cuando un usuario visite su sitio por primera vez para solicitar que los usuarios den su consentimiento al uso de cookies o configuren sus preferencias de cookies.
Su banner de cookies debe incluir los siguientes elementos.
- Un enlace a su política de cookies
- Un mecanismo de aceptación (como un botón) que permita a los usuarios dar su consentimiento a las cookies.
- Un método que permita a los usuarios establecer preferencias específicas en materia de cookies (es decir, una forma de que los usuarios puedan alternar las categorías de cookies a las que dan su consentimiento).
He aquí un ejemplo dergpd consentimiento de cookies :
Al presentar a los usuarios un botón que deben pulsar para dar su consentimiento a todas las cookies, este banner cumple el requisito de rgpd de que el consentimiento debe darse de forma activa y libre.
Si un usuario no desea todas las cookies, puede hacer clic en el botón "Preferencias de cookies", que le llevará a la siguiente pantalla:
Observará que las categorías de cookies están enumeradas y desmarcadas (salvo las cookies esenciales, de las que no se puede prescindir). Una vez más, permitir a los usuarios seleccionar activamente las categorías de cookies a las que dan su consentimiento satisface las normas de rgpd relativas a los datos personales. Marcar todas las categorías de cookies no esenciales obliga a los usuarios a optar por no recibir cookies, lo que no se considera consentimiento activo.
rgpd consentimiento de cookies Idioma
El lenguaje en el que redacte su política de recogida de cookies es tan importante como el resto de la política. Debe redactarla en un lenguaje claro y comprensible. La política también debe proporcionarse en todos los idiomas en los que esté disponible su sitio. Su rgpd consentimiento de cookies idioma debe ser accesible para todos los visitantes del sitio y cubrir todos los detalles necesarios.
He aquí un ejemplo del lenguajergpd consentimiento de cookies :
Básicamente, el lenguaje de consentimiento de cookies no debe ser confuso. Una redacción innecesariamente complicada puede oscurecer el objetivo de su banner consentimiento de cookies , lo que puede interpretarse como un impedimento para que sus visitantes den su consentimiento de forma activa.
5. rgpd Actualiza
Como ya se ha mencionado, la rgpd no ha permanecido estática. La actualización de mayo de 2020 ha añadido cierto contexto crítico a la rgpd. Mientras tanto, el Parlamento de la UE se dispone a votar una actualización de la Directiva sobre privacidad y comunicaciones electrónicas. Estas actualizaciones añaden principalmente restricciones a métodos específicos de recogida de consentimientos y despliegue de cookies. He aquí cómo estas actualizaciones han alterado la rgpd.
Métodos prohibidos rgpd consentimiento de cookies
La actualización dergpd se puso en marcha tras varios años de observar cómo interpretaban las empresas el texto original del Reglamento. La actualización aclara varios puntos para poner fin a situaciones en las que las empresas habían seguido el texto y no la intención de la ley.
En cuanto a las cookies, la actualización prohíbe específicamente tres tipos de recogida de consentimiento: muros de cookies, consentimiento por desplazamiento y consentimiento por continuar navegando. Esto es lo que significa para su sitio web.
Muros de cookies: Un muro de cookies es un script o pantalla emergente que impide a los usuarios ver el contenido de un sitio a menos que den su consentimiento a las cookies. El muro puede mostrar la información sobre cookies de rgpd , pero no es un elemento necesario de un muro de cookies.
El elemento fundamental de un muro de cookies es que bloquea el acceso del visitante al contenido a menos que haga clic en el botón "Aceptar cookies" de la ventana emergente.
Este es un ejemplo de un muro de cookies. Observe que sólo hay un botón y que los usuarios no pueden optar por no recibir cookies.
La UE ha determinado que esto no es legal, ya que no da al usuario una verdadera opción. Las ventanas emergentes de cookies no pueden impedir al usuario visitar el sitio en su conjunto basándose en la aceptación de cookies. Los sitios pueden limitar el acceso a determinados contenidos, pero el usuario debe poder lograr un "acceso general" sin dar su consentimiento a las cookies.
Básicamente, debe permitir que los usuarios visiten la parte general de su sitio sin dar su consentimiento a las cookies de ninguna manera. Sin embargo, puede pedirles que acepten las cookies para acceder a información limitada.
rgpd consentimiento de cookies por desplazamiento: Los sitios que afirmaban obtener el "consentimiento por desplazamiento" colocaban un banner estrecho en la parte superior de la pantalla con su información de consentimiento rgpd y afirmaban que "al continuar desplazándose, usted da su consentimiento al uso de cookies."
Sin embargo, la actualización deja claro que la UE no considera esto consentimiento pleno. El acto de desplazarse para consentir no puede distinguirse claramente del de desplazarse para leer el resto de la página web. Por lo tanto, la UE ha prohibido el consentimiento por desplazamiento y exige una recogida del consentimiento más intencionada.
Consentimiento al continuar navegando: Al igual que el consentimiento por desplazamiento, los sitios de consentimiento por navegación continua ofrecen un pequeño banner que informa al usuario de que, si continúa navegando, está consintiendo el uso de cookies. Sin embargo, la UE ha determinado que "seguir navegando" no es una acción clara y afirmativa. El sitio debe exigir al usuario que realice una acción intencionada para consentir la recogida de cookies.
Actualizaciones de la Ley de Cookies
La Directiva sobre privacidad electrónica se aprobó en 2002, por lo que es relativamente antigua para los estándares tecnológicos. Desde febrero de 2021, el Consejo de la UE ha ultimado un proyecto de reglamento conocido como Reglamento ePrivacyque pretende sustituir a la Directiva sobre privacidad electrónica. Aunque este proyecto no se ha finalizado, ampliaría los tipos de comunicaciones cubiertos por la ley. Los cambios incluyen:
- Definición de los datos de localización
- Ampliación del ámbito de aplicación del Reglamento a las empresas que traten datos de comunicaciones electrónicas fuera del Espacio Económico Europeo.
- Exigir a las empresas que compartan datos personales estadísticos anonimizados procedentes de comunicaciones electrónicas que realicen evaluaciones de impacto sobre la protección de datos
- Exigir a las empresas que informen a los usuarios sobre sus actividades previstas de tratamiento de datos
Actualmente, el Reglamento sobre la privacidad y las comunicaciones electrónicas aún no ha entrado en vigor. Entrará en vigor dos años después de su aprobación como ley. Si el Parlamento Europeo decide aprobarlo, podría entrar en vigor en 2023.
No sustituirá a la rgpd; el proyecto deja claro que el Reglamento pretende complementar esta ley. Aunque todavía no está obligado a seguirlo, debe prepararse para que esta ley u otra muy similar entre en vigor en los próximos años.
6. Gestión de la conformidad rgpd
No basta con comprender las normas de rgpd consentimiento de cookies y las actualizaciones de la ley. Tienes que poner en práctica estas normas para que tu uso de cookies rgpd-cumpla la normativa.
Siga estos pasos para optimizar el cumplimiento de su rgpd consentimiento de cookies .
Paso 1: Entender qué cookies utiliza
Para clasificar sus cookies y detallarlas en su política de cookies, necesita saber realmente qué cookies utiliza realizando una auditoría de cookies. Esto es más fácil de decir que de hacer, ya que muchos sitios despliegan inadvertidamente más cookies de las que se dan cuenta.
La forma más sencilla de descubrir sus cookies es utilizar un sitio web dedicado escáner de cookies. Tomemos como ejemplo Termly's consentimiento de cookies Manager:
Primero escaneamos su dominio en busca de cookies para localizar y clasificar las cookies propias y de terceros que utiliza.
Tenga en cuenta que si no está utilizando un software de búsqueda de cookies con categorización incorporada como el ejemplo anterior, deberá clasificar cada cookie en una categoría basada en el propósito que cumple, de modo que pueda obtener información detallada consentimiento de cookies.
Además, debe evaluar el uso que hace de las cookies y determinar si todas las que utiliza son necesarias. Recuerde las directrices de rgpd para el tratamiento de datos personales mencionadas anteriormente: la minimización de los datos (recopilar únicamente lo necesario para los fines designados) es un componente fundamental del cumplimiento de rgpd . Por tanto, debe evaluar el uso que hace de las cookies y dejar de utilizar las que ya no sean útiles para su sitio web.
Paso 2: Cree y muestre su rgpd política de cookies
Una vez que sepa qué cookies utiliza y a qué categorías pertenecen, deberá crear una página web que cumpla la normativa rgpd política de cookies .
Puede generar un política de cookies a través de un servicio, contratar a un abogado para que se lo redacte o crearlo usted mismo desde cero. Elijas la opción que elijas, asegúrate de que tu política de cookies cumple las normas de transparencia de rgpd , es decir, que es exhaustivo, claro y accesible para los usuarios.
Observe en el ejemplo anterior cómo se enumera la categoría de cookies, seguida de las cookies clasificadas en esa categoría. La descripción de cada cookie enlaza con las políticas relacionadas a las que los usuarios deberían tener acceso.
Observe la breve descripción de la categoría de cookies y el lenguaje comprensible de rgpd consentimiento de cookies . Aunque no se trata de un requisito específico de rgpd , debe esforzarse por que política de cookies sea lo más fácil de usar y comprensible posible.
Paso 3: Configure y active su banner consentimiento de cookies
Una vez que haya categorizado sus cookies y creado su política de cookies, deberá compilar esa información en un banner que cumpla con las normas de rgpd consentimiento de cookies .
Los banners se presentan en diferentes formas, en función de las necesidades y preferencias de su empresa. Por ejemplo, los banners creados a través de Termly's consentimiento de cookies Manager pueden tener tres formas distintas:
Una vez que haya finalizado el diseño y las características de su banner, es hora de implementarlo en su sitio. El mecanismo de consentimiento (ya sea banner de cookies, pop-up o tool-tip) debe configurarse para que aparezca cuando los usuarios accedan a su sitio por primera vez. Asegúrese de que el usuario puede seguir accediendo a su sitio sin tener que ver el banner o sin dar su consentimiento a las cookies para que su banner no se convierta en un muro de cookies.
Para cumplir con la rgpd, también es necesario bloquear las cookies no esenciales para que no se ejecuten antes de que los usuarios hayan dado su consentimiento para su despliegue o hayan establecido sus preferencias de cookies a través de su banner.
Paso 4: Rastrear y registrar los consentimientos de cookies
Una vez instalados el banner consentimiento de cookies y el aviso sobre cookies, debe recopilar y registrar los consentimientos. Guarde sus registros de consentimientos y preferencias de usuario en un lugar accesible, para poder recuperar pruebas del cumplimiento de rgpd en caso de reclamación.
No olvide respetar las preferencias y consentimientos de los usuarios (o la falta de ellos) a medida que los reciba.
7. Implante hoy mismo una solución de consentimiento rgpd
rgpd consentimiento de cookies es un proceso continuo para las empresas de todo el mundo. Si utiliza cookies y está sujeto al cumplimiento de la rgpd o de la Ley de Cookies, debe evaluar sus tecnologías de rastreo y establecer medidas de cumplimiento ahora.
Pruebe gratis Termly
Termly es una solución fácil de usar para las cookies gestión del consentimiento y el cumplimiento de la privacidad de los datos.
Sabemos que mantenerse al día con las complejas leyes de privacidad de datos puede ser confuso y llevar mucho tiempo; por eso hacemos el trabajo duro por usted.
Pruebe GRATIS nuestras soluciones para cookies gestión del consentimiento y nuestros generadores de políticas legales.
Más sobre el autor
Escrito por KJ Dearie
KJ Dearie es especialista de producto y consultora de privacidad en Termly, donde asesora a los propietarios de pequeñas empresas sobre cómo cumplir las últimas leyes y tendencias en materia de privacidad de datos. Ha publicado artículos en Business News Daily, Omnisend, ITProToday y MarTechExec, entre otros. Más sobre el autor
Revisado por Masha Komnenic CIPP/E, CIPM, CIPT, FIP Directora de Privacidad Global
