martes, febrero 16, 2021

Cómo gestionar tus cookies en tu web de forma inteligente, legal e incluso ser cookieless

¿Sabes ese momento en el que te unes a la masa y te pones a quejarte y protestar sobre algo, pero luego si te paras a pensar no tienes claro por qué protestas? Justo justo eso es lo que le pasa a mucha gente con el controvertido tema de las cookies. ¿Por qué deberías pensar en tus cookies? Verás, si tienes una web, analizas tráfico y/o realizas publicidad mediante Google Ads, Facebook, Instagram o cualquier plataforma de publicidad online, deberías pensar en las cookies que descarga tu web. 

Figura 1: Cómo gestionar tus cookies en tu web de
forma inteligente, legal e incluso ser cookieless

Y también en la información que recaban y en cómo gestionarlas de manera adecuada para no tropezar con la legalidad. Pero además, es preciso y necesario que aprendas a gestionarlas de forma inteligente. y ¿qué significa gestionar de forma inteligente las cookies? Pues muy sencillo, utilizar sólo las cookies que realmente necesitas, asegurarte de que tus cookies no te pongan en ningún momento en un brete legal, ni atropellen a tus usuarios malamente y que tampoco destrocen de forma sustancial tus mediciones ni tu cuenta de resultados si monetizas mediante anuncios. Y de cómo hacer esto y otras cosas te vamos a hablar en este artículo.

¿Qué deberías saber sobre las cookies?

¿De qué va todo esto de las cookies?¿Qué son esas pequeñas galletas diminutas y cansinas, esos cuadros de información tan molestos que nos asaltan sin descanso ni pudor? Y lo que es más importante aún: ¿a quién le importan las cookies?

Es evidente que si estás leyendo esto aquí, en el blog de Chema Alonso nada menos, explicarte qué es una cookie y lo que hace sería insultarte de mala manera y no será el caso. Lo que quizás no tengas tan claro es por qué se está regulando legalmente su uso y qué se supone que tenemos que hacer al respecto si queremos tener una web que cumpla la normativa regulatoria.

Todo comenzó con el famoso RGPD o GDPR (la normativa europea que regula el tratamiento de datos personales) que se tomó esto del consentimiento muy en serio y buscó erradicar los trucos y triquiñuelas para hacerse con los datos de las personas por la cara y hacer con ellos lo que más interesa al beneficio de la empresa.

Y como las cookies son finalmente pequeños archivos de datos que van recordando y persiguiendo a usuarios por la red, pues quedan reguladas dentro de la normativa de protección de datos y también por la LSSI-CE (Ley de la sociedad de la información y del comercio electrónico) y por el futuro “e-privacy”, el reglamento del Parlamento Europeo y del Consejo sobre el respeto de la vida privada y la protección de los datos personales en el sector de las comunicaciones electrónicas.

Sí, las comunicaciones electrónicas están reguladas fundamentalmente por este e-privacy, que debería haber sido de aplicación junto con el RGPD pero que lleva casi tres años de retraso por motivos que no viene a cuenta comentar hoy. Lo que es evidente es que en una economía desplazada hacia lo digital es imprescindible que las personas puedan confiar en que sus datos son privados, están seguros y son gestionados de forma lícita y consentida por las empresas que los recaban .

También es esencial que toda persona, independientemente de los productos o servicios que utilice en la red, pueda ejercer control sobre sus datos y decidir qué datos comparte y con quién, cómo, para qué y hasta cuándo. Esto, por supuesto, incluye la posibilidad de negarse a la publicación y al uso comercial de sus datos y su información personal. Y aquí es donde aparecen las cookies y toda la maquinaria persecutoria que supone su utilización.

¿Qué es lo legal en la gestión de cookies?

Muy sencillo. De forma breve, lo que se regula es el uso de las cookies de “Analítica” y “Marketing”, fundamentalmente. Concretamente, la normativa nos exige que informemos al usuario acerca del tipo de cookies que vamos a instalar en su navegador y que ofrezcamos mecanismos para tomar decisiones acerca de lo informado y esto se resuelve mediante un banner o pop-ups de advertencia de cookies.

Desde la perspectiva web, debemos incluir mecanismos de información por capas o multinivel. Esto significa que antes de recabar información personal debemos ofrecer a los usuarios información básica sobre el tratamiento de sus datos en una primera fase y permitir acceder a información completa o ampliada en una segunda fase o capa.

Y por eso estamos expuestos a tantos y variados banners de cookies, que no son otra cosa que esta primera capa informativa, resuelta de forma más o menos óptima o más o menos legal (aunque la mayoría sigue con un nivel muy comprometido de cumplimiento). Al ser archivos de datos personales, con las cookies aplican los mismos principios que en cualquier otro tratamiento de información personal:

1. Transparencia: debemos ser capaces de informar de manera clara y sencilla acerca del tipo de cookies que descarga nuestra web.

2. Consentimiento: debemos ofrecer opciones para que el usuario pueda elegir libremente qué cookies aceptas y qué cookies no, exceptuando las cookies que no sean técnicas o estrictamente necesarias para el funcionamiento de una web.

Por tanto, las webs que utilizan cookies no exceptuadas del deber de obtener consentimiento, deben necesariamente adaptar fórmulas de información y consentimiento que reúnan los requisitos de transparencia y control que exige la normativa, adaptándola al actual nivel de conocimiento de los usuarios.

La gestión ilegal y torticera de las cookies

El primer error es la incoherencia y la hipocresía respecto a la utilización de las cookies, que potencia el asalto continuado al usuario y sus derechos. Todos los avances y tendencias en marketing hablan de poner al usuario en el centro de todas las acciones de marketing a realizar. Hablamos de adoptar una filosofía Customer Centric", que indica que el valor de una empresa depende de cuán obsesionado esté con el cliente”. En este sentido lo ratifica el informe de Forrester con predicciones para EMEA 2021 y tienes un genial resumen en la publicación en LinkedIn de mi colega Alicia Rodríguez Ruiz Pues bien, en lo que respecta a las cookies, el usuario es el último mono del circo, lo explica con humor y genialidad mi compañero Santiago Alonso en este post.

Por otra parte, hay una especie de “Diógenes” con la información personal y los datos en general. Acumulamos ingentes cantidades de información que ni siquiera sabemos analizar, y esto forma parte de la ilegalidad y de la estupidez. ¿Necesitas de verdad todos esos datos? Porque siempre que recabas datos, asumes un compromiso con esa información que genera determinadas obligaciones.

Y aquí viene lo de la estupidez: ¿tiene algún sentido acumular compromisos para almacenar una información que no vas a utilizar? y en la parte legal: recabar información sin una causa que lo justifique, vulnera el principio de minimización de datos expresado en el RGPD, que indica que todos los datos deben ser adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados. En el caso de las cookies, este es un error ilegal que se repite hasta la saciedad.

Otro despropósito que maltrata al usuario con mucha frecuencia es el de crear soluciones enrevesadas y nada recomendables que dejan al usuario atrapado en un bucle de fórmulas imposibles para que se vea forzado a aceptar sin remedio.

La gestión inteligente de las cookies

El dilema es claro: nos interesan “supuestamente” los usuarios y queremos tratarlos correctamente. Pero nos interesa aún más obtener la máxima información posible y convertirla en la divisa que mejor nos convenga. Por eso, gestionar “legalmente” las cookies puede suponer un gran entuerto. Y de hecho, lo es. El principio legal es muy claro: debe ser tan sencillo aceptar las cookies cómo rechazarlas. Y toda fórmula que no aplique este principio es ilegal, sin paliativos. Por eso, la gestión legal de cookies debe considerar estos “action items”:

1. Ofrecer información clara, específica y personalizable sobre el tipo de cookies de la web y su finalidad. Esta información se debe proporcionar de forma directa, clara y accesible, básicamente mediante un banner o pop-up de advertencia (primera capa).

2. Bloquear la carga de cookies analíticas y publicitarias hasta obtener consentimiento expreso del usuario.

3. Mantener un archivo de los consentimientos obtenidos, recuerda que los consentimientos deben ser verificables.

4. Permitir aceptar, consultar o rechazar cookies de manera sencilla.

Pero si además de legal, quieres que una gestión inteligente de las cookies, deberías centrarte en seleccionar sólo aquellas que realmente vayas a utilizar y que cuya información sepas utilizar. Y descartar estas opciones que siguen presentes en muchas webs rezagadas legalmente:

● Descargar cookies analíticas o publicitarias sin previa información y consentimiento de los usuarios.
● Utilizar la opción “seguir navegando” o scroll como forma de prestar el consentimiento.
● Utilizar “muros de cookies” y limitar el acceso a determinados servicios o contenidos.

Nadie mira las cookies, es mejor hacerse el sueco

Otro mito. Las sanciones por incumplimiento son abundantes y públicas. Y no solo a las grandes marcas y empresas. De hecho, están cayendo multas como panes a webs de empresas y autónomos muy normalitos. Como una de las últimas de 3.000 euros (que se quedó en 1.800€ por pronto pago) a una web muy común por incumplimiento del art 22.2 LSSI al no existir banner o información sobre las cookies que utilizaba. Y, además, sin realizar ninguna otra acción para la obtención del consentimiento o su rechazo, ya que se descargaban cookies no necesarias tanto propias como de terceros (Google.com)


La AEPD señala en su auto que tampoco existía en la 2ª capa, un mecanismo que permitiera rechazar todas las cookies y/o gestionarlas de forma granular y recuerda que remitir a la configuración del navegador del equipo puede ser considerada una opción complementaria para obtener el consentimiento pero no como único mecanismo.

Cómo cumplir sin comprometer la analítica y el bolsillo

El primer escollo siempre que hablamos de cumplir la legalidad con las cookies gira en torno al mismo tema: la pérdida de datos. Desde el lado de la analítica, uno podría sentirse “ciego” al reducir el número de datos registrados. En la práctica, siempre intento hacer la pregunta del millón: ¿realmente estás utilizando los datos que recopilas de tus usuarios?

Siguiendo con el hilo anterior del síndrome de Diógenes, durante todos estos años he encontrado decenas (o cientos) de empresas que tienen herramientas como Google Analytics para medir el comportamiento de sus usuarios, pero jamás han hecho caso de esos datos. Sin embargo, al mismo tiempo le estás “regalando” toda esa información y comportamiento de tus usuarios al proveedor en cuestión. Podemos llamarlo Google, Facebook o cualquier otro gigante que adora recopilar datos a gran escala.

A día de hoy existen soluciones que nos pueden ayudar a mantener el análisis más cuantitativo de nuestros usuarios sin tener que saltarnos a la torera los deseos de privacidad de nuestros usuarios. Hablo de soluciones de analítica sin cookies o cookieless

Analítica cookieless: ¿utopía, realidad o futuro?

Cuando hablamos de analítica, Google Analytics se ha convertido en un estándar de facto dentro del sector a la hora de analizar nuestros datos. Para muchos proyectos, abandonar Google Analytics o los sistemas de analítica más tradicionales sería una utopía difícil de cumplir. Pero, por otro lado, tampoco podemos ignorar la normativa vigente y, sobre todo, los deseos de nuestros usuarios con respecto a su privacidad.

Tenemos al usuario en el centro de toda estrategia de marketing y aquí no debemos hacer la excepción. ¿Se puede cumplir el RGPD, utilizar Google Analytics y además mantener datos de suficiente calidad para tomar decisiones de marketing? Sin duda. Y seguramente nos haga cambiar nuestro concepto de la analítica.

Soluciones híbridas

Te cuento mi experiencia: hemos realizado experimentos durante varios meses que nos traen una conclusión clara: acepten o no acepten las cookies, los usuarios se comportan de manera muy similar cuando los observamos como conjunto.

Figura 3: Comportamiento de usuarios que
aceptan (rojo) o no aceptan (azul) cookies

Esto es realmente muy importante. Antes de dar el paso a un entorno Privacy-first, nos permite plantear escenarios híbridos en cuanto a la analítica, aprovechando así la potencia de ambos mundos:

- Google Analytics para comportamientos cualitativos de aquellos usuarios que aceptan las cookies. 
 
- Soluciones cookieless, para mantener el análisis más cuantitativo, no perder el foco del volumen de tráfico real y marcar la estrategia.

Combinadas y extrapoladas nos permiten mantener una estadística fiable e incluso mejorada del comportamiento de nuestra web. En realidad, si te paras a pensar casi seguro que no necesitas saber qué hicieron el usuario A o el usuario B al entrar en tu web. Lo que te importa es cómo se comportaron esos usuarios, sin entrar al detalle de «ponerle nombre» como hacen las cookies. Justo esa forma de medir (más cuantitativa y de manera más global) es el principio que rige las herramientas de analítica cookieless.

Digamos que es la cuerda de seguridad hasta que te convenzas al 100% de que el futuro (cada vez más cercano) está en la privacidad y en las soluciones Privacy-first. En este grupo de herramientas cookieless tenemos ejemplos como Plausible, Fhatom Analytics (de Paul Jarvis y Jack Ellis) o la propuesta de la española Adinton, que propone además soluciones enfocadas hacia el comercio electrónico.

Quédate en el lado legal. Puedes hacerlo por ética, por preocuparte de la privacidad de tus usuarios o simplemente por evitar las multas. Puedes recabar el consentimiento y seguir usando herramientas con cookies o pasarte a una solución cookieless. Elijas la opción que elijas… cumple con el RGPD y usa tus cookies con inteligencia. Una mala gestión de cookies pone en evidencia el incumplimiento de una web y esto resta credibilidad y confianza a tus usuarios.

Comprometer la percepción que tienen los usuarios de tu web por hacerte el sueco, no parece ser una decisión muy inteligente. Si has venido hasta esta última parte buscando soluciones mágicas, déjame decirte que no existen. Igual que no hay herramientas para crear la campaña de publicidad perfecta en un clic ni el mejor diseño por arte de magia. Lo que sí podemos saber es qué debe tener la herramienta perfecta. Te las recuerdo:

1. Bloquea las cookies: vale, parece lo obvio. Pero hay cientos de herramientas que no cumplen este punto.

2. Es personalizable: para adaptarla al máximo nuestras necesidades, poder hacer experimentos y analizar cuál es la mejor implementación para nuestros usuarios.

3. Incluye botones de aceptar, rechazar y configurar cookies.

¿Has decidido darle a las cookies por fin la importancia que se merecen?


No hay comentarios:

Entrada destacada

ESET te consigue 100 Tempos de MyPublicInbox para consultar con los expertos de seguridad informática @eset_es @mypublicinbox1

La compañía de seguridad ESET , especializada en soluciones de seguridad personal y empresarial, ha puesto activa una campaña de concienciac...

Entradas populares