Artículo anterior
La Ley de Cookies y la solución de Google
Publicado el 25 Ene 2018
Este post y todos los de este sitio web implementan varios sistemas de seguimiento del usuario, lo que supone el uso de Cookies, la explicación de las cuales se muestra a continuación para que el usuario decida si sigue navegando por este sitio o se va a donde le dé la real gana y no tengan cookies.
—————————————————————————————————–
Las últimas semanas hemos tenido mucho movimiento en los blogs acerca del tema de las cookies y el correcto cumplimiento de una directiva europea que viene de largo y que, en España, ha tardado un poco más de lo esperado en tener su modelo local, además de dejarnos un documento lleno de faltas, huecos y muy abierto a interpretaciones.
NOTA 1: No voy a explicar qué és una cookie, si estas leyendo esto ya deberías saberlo.
NOTA 2: Este artículo es muuuuy simplificado, para que lo entienda todo el mundo, así que las cuestiones más técnicas y legales no es preciso apuntillarlas en comentarios.
De donde viene esto
Desde hace un par de años, un modelo de marketing llamado Retargeting trajo a la palestra la capacidad de los sistemas online de trazar a un usuario en internet, sus gustos, preferencias, hasta la edad, sexo, nivel de estudios e ingresos económicos – durante unos meses la herramienta AdPlanner de Google mostraba estos datos para un sitio web – y algunos países de la UE, principalmente de Alemania, sacaron el hacha de la privacidad para crear una ley que garantizase el anonimato en la navegación y aumentar la confianza en la red.
Como no puedes enseñar a la gente a cerrar sus cookies, a navegar de forma privada y que tengan un poco de sentido común en internet, la solución pasaba por forzar a las webs que dejaran de medir de una forma tan personalizada. El Lobby publicitario se echó las manos a la cabeza porque era una herramientas super útil, completa y económica poder conocer los gustos de cualquier usuario sin su necesaria intervención ni permiso. Así que tirando unos por un lado y otros por el otro, se consiguió una norma que se queda a mitad de camino, que ha sufrido N interpretaciones desde su publicación y que, en la aplicación Española, ha quedado peor que en la europea.
De qué va la Ley de Cookies
El fondo del tema es sencillo: garantizar que el usuario es consciente de que se recogen sus datos y para qué se utilizan. El diablo está en los detalles: ‘debidamente informado y de forma explícita‘, esa es la frase que mete al zorro en el gallinero, cómo interpreta cada uno, cada país y cada empresa esas palabras.
Como últimamente era exagerada la forma en que te perseguían los banners, que volvías de Rumanía y seguías viendo banners de hoteles en Rumanía hasta 4 meses después, y te sale un banner curioso mientras navegas por la web de Disney con tus niños en el sofá, ya tocaba poner algo de orden, y se optó por forzar a los sitios a conseguir el permiso expreso del usuario antes de dejar ninguna cookie de seguimiento.
Aplicación por países
Los ingleses fueron los primeros en poner manos sobre esto y fueron muy claros: DEBIDAMENTE es que no quede duda de que al entrar a un sitio te están trackeando, y la aplicación de esto es muy sencilla: banner de 400×400 y aviso en NARANJA, y hasta que no aceptes no hay cookies o no navegas más por el sitio. La BBC dio claro ejemplo de esto y el resultado fue el esperado: tasa de rebote del 70%. Claro, el acojone cuando ves ese pedazo de cartel es como para cerrar la página en cero coma.
Alguien con un pelín de conocimiento se debió dar cuenta y pensó que hundirían el comercio online de UK, así que recularon y pasaron a un ‘correctamente informado‘, que se traduce en un ‘barra superior de lado a lado, que se vea, pero discretita’, y el ‘explicita’ pasó a un ‘lo has visto, así que si te quedas en el sitio damos por sentado que aceptas esto’.
Spain is different
Todo esto seguiría su camino de normal adaptación, interpretación de la norma española, que no deja nada definido, y durante meses veríamos sitios con implementación dura, media, light o ninguna, pero con calma y despacito todo el mundo se acostumbraría a las barras de cookies y con el tiempo seríamos conscientes de que para navegar por un sitio ‘o aceptas las cookies o te vas’. En un país donde este tipo de adaptaciones llevan mucho tiempo, basta con mirar cómo está de implantada la LSSI y la LOPD, como poco 2-3 años.
La guía de aplicación, para cuya elaboración no se ha tenido en cuenta al objeto más importante de la ley, el usuario – ninguna asociación de usuarios ha sido invitada a participar en la redacción ni de la ley ni de la guía -, está abierta a interpretaciones y los ejemplos que exponen rozan el límite de aplicación, así que la lees y piensas que siguiendo los ejemplos ya lo tienes todo. Luego sale el responsable de turno y dice: los ejemplos presentados no suponen un cumplimiento de la ley, solamente se ponen a modo de ejemplo.
Cómo se implanta en España
La mayoría de sitios optan por ‘discrete consent‘, barrita arriba o abajo y si sigues navegando es que sí, que te has coscado de qué va y aceptas. Perdón, me he equivocado, la inmensísima mayoría de sitios no ha hecho nada, NADA DE NADA, exponiéndose a un ‘toma denunciaca’ del Ministerio que corresponda. NOTA MENTAL: Esta sanción administrativa creo que puede ser puesta por cualquier entidad oficial, lo tengo que aclarar, pero si un ayuntamiento puede hacerlo veo los problemas de financiación municipal resueltos en pocos meses y el comercio online español hundido en la miseria.
Para evitar suspicacias, en la campaña de luces de Navidad en Madrid, la empresa desarrolladora ha optado por no usar seguimiento web (ni Analytics ni nada) para no tener que molestar con el aviso de cookies. Un acierto, simple y sencillo, imagino que medirán de otra manera, con logs, por ejemplo.
Total, que los pocos sitios que la implementan, la mayoría optan por la discreción y se juegan que si mañana el Ministerio reinterpreta la ley, todos a pagar.
El problema es que casi ningún sitio impide la cookie cuando entras, es decir, no se bloquea la cookie hasta que navegas o aceptas, sino que la cookie te la ponen nada más entrar y te informan de ello y te dicen cómo eliminarla de tu ordenador (en la mayoría de los móviles no se puede hacer esto). Esto es una clara violación de la ley, que deja muy claro que NO pueden dejar cookies hasta que aceptes o sigas navegando, por lo que a efectos de que AEPD, LOPD, LSSI o quien sea te meta un palo, da igual que uses un plugin o script discretito que no tenerlo, porque al final, la cookie la estás dejando nada más entrar y antes de que la acepten.
Solo he visto un sitio donde se aplica de rigor, en un centro formativo privado de renombre con expertos en la materia y que aplican la normal como debe ser: abres la página, te sacan un mega banner de 500×500 en el medio de la pantalla y, si no aceptas, te sacan de su web y te llevan a Google. A efectos de marketing online prefiero no ponerle adjetivos a esta salvajada, pero las 4 veces que entré a consultar temarios acabé en Google, y ya deben de tener una tasa de rebote del 90 o 95%. Eso sí, no les multarán, pero están tirando a los usuarios de su web a la velocidad del rayo.
A esto es a lo que obliga una ley poco y mal explicada, muy poco y muy mal implantada y, en mi opinión, reforzada por el creciente nivel de mediocridad que cada vez más veo en la administración pública española, seguramente fruto de sus recortes salariales (yo estaría de muy mala leche tras cuatro años así) y de recursos.
La solución de Google (que además es la más lógica y simple)
Hace un tiempo (Oct. 2013) Google metió baza en el tema y modificó las condiciones de uso de Google Analytics. No te ha llegado ningún email, porque es responsabilidad tuya ir a revisar estas condiciones, así que ponte las pilas que te explico cómo queda esto.
El contrato de uso de Analytics ya lo aceptaste, en tu idioma, al abrir la cuenta de Analytics para un sitio web, así que lo han puesto con Enmienda al contrato, pero no te han dicho dónde está y ese es un grave problema, como veremos más adelante.
De momento vamos a aceptar las condiciones, porque es ‘O aceptas’ o… …, bueno, no dicen que pasará si no aceptas, pero luego te daré mi opinión. Volvamos al tema, has de abrir Analytics, entrar en una cuenta web y, a la derecha, darle al botón Administración, y luego a la izquierda del todo a Configuración de cuenta.
Abajo verás que hay un nuevo texto que dice algo así como que ‘si tu negocio está en la UE, estás en tal y tal y tal país y estás obligado a cumplir la directiva UE 95/nosequé/EC tienes que aceptar la enmienda que te muestran’. Cuando le das al botón correspondiente te sale el texto de la enmienda, en inglés, sin traducción a ningún otro idioma, lo cual es para empezar una pequeña putada, pero ¿qué opción tienes? ninguna, pues aceptas y tiras palante.
Es importante que le des a Aplicar (abajo) para que se quede guardado o no verás la fecha de registro en que has aceptado la enmienda.
Ahora voy a explicarte qué has aceptado sin mirar, y si algún abogado se toma a bien corregirme que lo haga de forma que todos podamos entenderlo, porque yo me la he leído muy por encima.
Lo que Google te ha exigido es que aceptes que sí, que conoces la normativa de cookies, que es cosa tuya el cumplimiento de esta, que informas adecuadamente en tu sitio del uso que haces de las cookies de Analytics conforme a la ley y que, en cualquier caso, si algún ‘estudiante de engendro maligno’ decide denunciar a Google por poner una cookie suya al visitar tu sitio web, lo que a todas luces indica que no tiene todos los cables en su sitio, el marrón es cosa tuya, como propietario de la web, ya que has liberado a Google de cualquier responsabilidad y le das permiso para hacer con los datos que recoge de tu web lo que le dé la real gana. Punto.
Ojo, que está genial, porque a Google no le afecta la ley, ya que sus herramientas no son ni conformes ni disconformes a la ley, es una ley que te afecta a tí, pero por si acaso te lo deja claro en las condiciones de uso de Analytics. En este sentido, y en muchos otros, Google hace lo que toca y no es juez ni parte.
¿Y si no aceptas, qué?
Si no cumples el contrato, puede ser rescindido por Google en cualquier momento sin aviso previo y de forma unilateral, o lo que es lo mismo, dentro de X meses pueden cerrarte la cuenta de Analytics si no aceptaste la enmienda como precaución a ser denunciados por un leguleyo aburrido. Entiendo que deberían enviarte una carta de aviso, pero si no te la enviaron para avisarte de dónde está la Enmienda, no puedes presuponer que la enviarán cuando te saltes el contrato que deberías haber aceptado.
Si gastas Analytics sabes que usa cookies y que, por lo tanto, debes cumplir las leyes que te son de aplicación, aceptar el contrato o, tal vez, perder la cuenta de Analytics si en un futuro deciden cerrarla a quien no acepte la enmienda.
Cómo te has quedado
El resumen rapido de todo esto es que: debes informar en tu web del uso de cookies, no deberías dejar ninguna cookie sin que el usuario acepte (esto en España solo lo hacen cuatro, literalmente cuatro), ponle dos velas a la virgen para que la administración no te denuncie porque seguro que aun haciendo todo esto, sin saberlo, estas dejando cookies al usuario y, realmente, no estas cumpliendo la ley, y no olvides aceptar la enmienda de Analytics por lo pueda pasar.
Para pasar una auditoría de cookies, implementarlas correctamente y/o una consultorías sobre este tema, puedes contactar con MOV en el 91 005 91 85 o enviar un email a info@mov.es
La supercookie de Google
Se comenta en los mentideros de la red que Google está preparando una supercookie que sería inmune a cualquier legislación europea (básicamente es la UE la única que está tocándole las bowlings al único que nos está generando negocio online, Almunia es un crack). No se tratará de una cookie que se salte las normativas, sino de una que cumplirá estríctamente con todas ellas, centrada en el usuario y no en los anunciantes, medios, agencias, organismos estatales y equipos de fútbol.
El sentido de esta cookie es simple y sencillo, pero su diseño, desarrollo y aplicación llevará meses. Se basa en lo siguiente: el usuario dispone de una herramienta para gestionar el uso de las cookies de Google y es consciente y acepta que, durante su navegación online, sus actividades serán monitorizadas y utilizadas con fines estadísticos, publicitarios o de cualquier otra índole.
Esto ya lo aceptas cuando usas Google Search, todos hemos visto el botón azul de Aceptar, también lo aceptaste cuando creaste tu cuenta de Gmail y, una vez más, al abrir tu cuenta en Google+. Google ha recabado 3, 4 o 5 consentimientos para que puedas usar sus servicios, así que ¿por qué no pedirte permiso para que aceptes el seguimiento de tu actividad online en todos aquellos sitios web que utilicen Google Analytics?
Si le das ese consentimiento informado y puedes manejar el uso que hace de tu cookie, porque tiene una cookie tuya que puedes consultar AQUI, ya no será necesario que todos los sitios web te pidan permiso, ya que al dárselo a Google, se lo das a Analytics y a todos los sitios que lo utilicen, cumpliendo el fin último de la ley: eres plenamente consciente de que has aceptado estos términos de uso de presencia en internet.
Con esto Analytics se convertiría en la única herramienta mundial (con una cuota de mercado cercana al 80%) que no requiere el consentimiento expreso en la web. Ese sitio español que te tira de su web si no aceptas no necesitará poner el banner, ni avisarte, ni sacarte de su web, porque tu ya has asumido que si hay Analytics le diste permiso para tu seguimiento. Juego, set y partido para Google.
Esto está muy relacionado con el giro que ha dado Universal Analytics para la medición de un usuario en multiplataformas (web, móvil, consola, offline), dejando de contar visitas para contar Personas. Esta implementación todavía está en desarrollo y por eso Universal Analytics seguirá en Beta por un buen periodo de tiempo.
El desarrollo de esta SuperCookie es muy complejo, requiere de una programación por parte de Google muy avanzada y, como en otras ocasiones, sólo un gigante como Google tiene los recursos necesarios para innovar y abrir nuevos canales, nuevos medios y sistemas. Otras empresas tendrán que ir a rueda, pero por eso quiero a Google, porque a nivel profesional, para un profesional del marketing online como yo, Google está muy por delante de todos los demás.
Mientras tanto, seguiremos peleándonos con la normativa UE de la cookie y viendo que noticias salen en los medios. Yo, de momento, me voy a la Virgen de los Desamparados a ponerle dos velas y rezar porque NADIE mire si este sitio te ha dejado alguna cookie, porque SI, TE HEDEJADO UN PORRÓN DE COOKIES y te he informado adecuadamente de ello en la primera linea del post. ¿Vale?
NOTA 3: Si vas a comentar una pollez, o lo haces para conseguir el enlace de vuelta, no te molestes ya que este sitio está estrictamente moderado.
He entendido que si mi sitio web usa cookies debo informar a los visitantes de esto, pero que pasa con los enlaces a otros sitios ¿Yo tengo que informar a mis visitantes que si van a ese sitio aceptan que ese sitio instale cookie si las tiene?
No tienes por qué, cada sitio ya se encargará de informar de las cookies a sus usuarios.
Una cosa que os pregunto yo a vosotros. Una idea.
Cómo me estoy volviendo loco mirando por de cómo c*** se ponen los cookies actualizados para que no te pongan una multa en el 2016.
Me voy a una página que esté en España que vendan en España que venda sus servicios aquí en España y tenga la política de privacidad la de cookies actualizada, la voy a copiar la voy a cambiar de unos cuantos sinónimos de voy a cambiar la frase va a ser lo mismo y ya está qué te parece?
Bueno, es una opción. Muchas páginas de información de cookies y políticas de privacidad son clones unas de otras.
Excelente articulo! Me ha servido para despejar algunas de mis dudas. Pero hay algo que no me queda claro, lo que leo es solo en Europa. Que pasa con el mercado estadounidense? Es obligatorio ya a nivel mundial? O como va eso por regiones
Si la web vende o comercia con usuarios de la Unión Europea debe cumplir los mismos requisitos que cualquier otra. Solo está exenta si NO toma ningún dato de ciudadanos europeos, así que como es imposible porque la analítica digital no distingue esto, deberán aplicarlo todas las webs, a no ser que si ven que es IP europea te denieguen el acceso. Si de alguna manera puedes entrar a la web, lo han de aplicar; si te bloquean por ser de la UE, entonces no es necesario.
Hola.
Gracias por el artículo!.
Por su lectura deduzco que el tema de las cookies va más enfocado hacia los sitios web que tienen venta online, pide datos para contactar, acceso mediante claves, etc., pero…
¿Y si un sitio web no pide datos personales, ni email, ni se necesita login para entrar, ni vende nada…sólo es una web con artículos propios, hobby,…?
¿En ese caso hay que poner el aviso de uso de cookies? ¿Con un texto explicativo distinto?
Gracias de antemano, a ver si salgo de dudas.
Un saludo
Sí, porque inevitablemente vas a lanzar alguna Cookie, aunque sea técnica, y es obligatorio informar de quién es el responsable de los datos, igual que en la LSSI no se puede ignorar que en todas las webs debe estar claramente identificado el propietario del sitio web y responsable del fichero de datos de acceso.
Buenas Miguel, dos preguntas concretas sobre las cookies y el SEO.
1) Podemos encontrar por ahí algún artículo que menciona una “penalización” a sitios que no tengan avisos legales, cookies, etc. Es raro pero ¿Puede ser cierto que no tener un aviso de cookies o de LSSI te reste con respecto a otro que sí lo tenga?
2) Acerca del contenido duplicado, este aviso de cookies se repite en todas las páginas de un sitio, dependiendo del aviso que pongan puede ser más o menos largo. Me imagino una página de producto con una descripción escueta en un prestashop, ahora me imagino otra igual, y otra y otra. Este aviso de cookies puede representar x% de texto real. ¿Puede llegar a considerar google este contenido como duplicado ?
Lo primero, no. Este cumplimiento no tiene NADA que ver con los rankings de Google. Si encuentras el sitio donde lo leíste pasa la URL, me gustaría ver dónde se publicó.
Y lo segundo, tampoco es contenido duplicado. Estos contenidos suelen estar en una URL aparte, y en las fichas de producto solo hay un enlace a los mismos. Si tienes una web donde el contenido es tan malo y corto que el aviso de cookies es más largo, entonces la penalización es por Thin Content, pero no porque el texto de las cookies se repita en toda la web. Google ya ha dicho que identifica bastante bien los textos Sitewide que se repiten en todas las URLs del sitio.
Perfecto Miguel, tal y como me imaginaba estamos en consonancia. Gracias por tu aclaración
Buenos días.
Por lo que estoy leyendo, salvo que algo se me esté escapando, si o si hay que capturar el consentimiento del usuario para poder instalar las cookies que dotan de funcionalidad a analytics.
¿Si no me aceptan esa instalación no puedo medir?
Dicho de otra manera
¿No puedo contar los usuarios que se pasean por “mi casa”?
Implementar ese control no es imposible y se puede cumplir al 100% la ley, lo que veo complicado es medir sin herramientas.
Tengo un caso real, si no veo otra alternativa le modificaré la web cumpliremos la ley y nos quedaremos sin métricas.
Saludos.
Hola Adolfo,
puedes instalar las cookies de Analytics SIN consentimiento siempre que desmarques todas las funcionalidades demográficas, de publicidad, etc., que hay en el panel de Configuración de la Propiedad. En ese caso estás utilizando únicamente las Cookies técnicas, y esas no requieren consentimiento. Eso sí, como se cargue algo de seguimiento con AdWords, Remarketing, etc., entonces ya has de pedir permiso ANTES de instalarlo.
Nosotros en MOV utilizamos Cookie Bot http://moves.es/cookiebot, que es una solución económica (pero no gratuita), que nos libera de todo ese problema.
Muchas gracias Miguel por tu rápida respuesta.
No es problema de cómo controlarlo, con JavaScript y PHP se pueden controlar las cookies y cumplir todos los “caprichos legales”.
Es más problema e concepto y/o interpretación de la norma.
Por lo que estoy entendiendo si tienes una campaña AdWords y el ususario-visitante no ha prestado consentimiento expreso NO se pueden instalar sus cookies.
Entonces se daría la circunstancia de gastar el presupuesto en la campaña y no saber ni el cliente ni Google como y cuando se gastó.
Si está correctamente implementado el aviso y la funcionalidad de las cookies nadie va a prestar un consentimiento expreso, un visitante entre mira y no se va a configuraciones.
¿Correcto?
Saludos.
La norma no es interpretable, otra cosa es que la gente haga lo que quiera, pero es la norma es la que es.
Efectivamente si el usuario no da permiso para la cookie de publicidad, solo podrás saber que llegó de AdWords (la segunda vez) pero no de qué campaña, ya que el Origen es cookie técnica de Analytics. Ni podrás hacerle Remarketing ni listas de Audiencias en Analytics. Sí podrás saber la información de AdWords EN Analytics porque esa información se la pasa AdWords, no es que la tome Analytics.
Y te equivocas, la gente da el consentimiento expreso sin problemas. Con la implementación correcta, que puedes ver cómo la tenemos en la agencia https://www.marketingonlinevalencia.com/ y los informes de CookieBot, apenas un 5% no da consentimiento, el 95% da a OK con todo marcado y no personaliza sus cookies, cumpliendo con un consentimiento explícito, como marca la ley.
No Miguel, no me equivoco.
Claro que te están dando el 95%, es que el panel no debería tener preselecionadas las casillas.
Los checkbox deberían estar sin marcar por defecto según instrucciones de una “Consultora de ámbito nacional e internacional”
Al hacer click para cerrar la ventana los usuarios se tragan las cookies preseleccionadas.
Consúltalo y nos cuentas.
Saludos.