Los usuarios pueden elegir ver más información sobre las cookies.

Cómo crear y comunicar su política de cookies

La función de su Política de cookies es proporcionar información clara y completa a los usuarios de su sitio web sobre las cookies que está utilizando y qué tipo de cookies son (funcionales o de sesión, por ejemplo).

Evalúe sus cookies

Para crear su Política de cookies, necesita saber qué cookies está utilizando en su sitio web y cuál es su propósito. Es posible que el propietario de una pequeña empresa no sepa la respuesta, especialmente si el desarrollador de un sitio web configuró su sitio web.

Si no sabe qué cookies hay en su sitio web y para qué sirven, pregunte a su desarrollador web o use una herramienta de auditoría de cookies, como cookiechecker . Ghostery es otra herramienta que puede ayudar con esto: es un complemento de navegador gratuito que también clasifica las cookies, como publicidad, análisis y similares. Para otras opciones, busque en Internet utilizando el término “herramienta para mostrar cookies en sitios web” . Recursos como cookiepedia también pueden ser útiles para obtener más información sobre lo que hacen los diferentes tipos de cookies.

Para redactar su Política de cookies, necesita saber:

  • Qué tipos de cookies se utilizan
  • Para que se utiliza la cookie
  • Cuánto tiempo dura la cookie (por ejemplo, es una cookie de sesión que solo dura la sesión de navegación o una cookie persistente que dura más allá de la sesión y, de ser así, cuál es la fecha de caducidad)
  • Quién sirve la cookie: ¿es una cookie de origen o de terceros y, si es una cookie de terceros, quién la sirve?
  • Cómo rechazar la cookie en una fecha posterior

Además, cuando tenga la lista de cookies que utiliza su sitio web, evalúe qué tan intrusivas son las cookies; en otras palabras, cómo siguen a los usuarios para su navegación en línea. Las cookies de origen, como las cookies de carrito de compras, son menos intrusivas, por ejemplo, que las cookies de seguimiento persistente de terceros, que controlan el comportamiento en línea de los usuarios de su sitio web a largo plazo. Si está utilizando cookies más intrusivas, obtener el consentimiento informado para el uso de esas cookies es aún más importante para usted.

La guía de ICO sobre el uso de cookies es que “debe tener especial cuidado para garantizar un consentimiento claro y específico para cookies más intrusivas a la privacidad, como las que recopilan datos personales sensibles, como detalles de salud, o se utilizan para el seguimiento del comportamiento”.

Las agencias digitales y los editores de sitios web deben tener especial cuidado al utilizar cookies para las ofertas en tiempo real (RTB). RTB es un sistema utilizado por los intercambios de anuncios para transmitir los datos personales (a menudo de naturaleza confidencial) de la persona que navega por el sitio web o utiliza la aplicación a miles de organizaciones con el fin de solicitar las ofertas de los anunciantes potenciales para publicar sus anuncios en el sitio web o aplicación.

Las investigaciones de la ICO sobre RTB han encontrado que, en la gran mayoría de los casos, las cookies utilizadas para RTB no cumplen con la Directiva de privacidad electrónica y el GDPR. El ICO destacó las siguientes deficiencias:

  • Información insuficiente proporcionada al interesado sobre el procesamiento
  • El consentimiento del interesado no se obtiene para el procesamiento de datos de categorías no especiales y, en cambio, se basa en intereses legítimos
  • Consentimiento explícito del interesado no obtenido para datos de categorías especiales (como el seguimiento de la navegación en línea sobre contenido religioso o de salud)
  • No llevar a cabo una evaluación de impacto de protección de datos (DPIA)
  • Compartir con un gran número de terceros los perfiles detallados de las personas sin su conocimiento

El ICO continúa investigando la situación y puede llevar a cabo barridos de la industria de la tecnología publicitaria. Publicarán un nuevo informe en 2020.

La autoridad supervisora ​​francesa, CNIL, emitió un aviso de ejecución en octubre de 2018 a una agencia digital francesa llamada Vectaury que había obtenido datos personales de cientos de millones de personas del sistema RTB. El aviso de ejecución requería que Vectaury dejara de procesar datos de geolocalización con fines publicitarios sin los motivos legales adecuados para su procesamiento. La CNIL declaró que “está claro que Vectaury no puede demostrar que los datos recopilados actualmente a través de solicitudes de licitación en tiempo real estén sujetos a un consentimiento informado, libre, específico e inequívoco”. Vectaury no cumplió en:

  • Agrupar varios propósitos de procesamiento separados en una sola opción
  • No verificar que se haya obtenido realmente el consentimiento del individuo y basarse únicamente en cláusulas contractuales a tal efecto.
  • Usar un lenguaje engañoso y vago en la primera pantalla de consentimiento
  • Uso de casillas previamente marcadas para el consentimiento
LEER  Cómo actualizar su Chromebook

Vale la pena señalar que Vectaury creía que estaba siguiendo el marco de la IAB, algo que la IAB discute al señalar que Vectaury no siguió sus políticas correctamente.

Sin embargo, en términos prácticos, para la mayoría de los controladores de datos, la evaluación más importante es si la cookie es “estrictamente necesaria” o no. Si es estrictamente necesario, la cookie está exenta de consentimiento. Si la cookie no es estrictamente necesaria, se requiere el consentimiento del usuario de la web.

También puede aprovechar esta oportunidad de auditar las cookies utilizadas en su sitio web para ordenar su uso de cookies y eliminar las que realmente no necesita.

Escriba su política de cookies

El Reglamento general de protección de datos (GDPR) requiere que los controladores de datos proporcionen cierta información a los interesados, a través del Aviso de privacidad, sobre cómo procesan los datos personales. Puede proporcionar información sobre cookies en su Aviso de privacidad. Sin embargo, los controladores de datos suelen tener una Política de cookies independiente que especifica qué cookies están utilizando.

El requisito de proporcionar cierta información sobre las cookies que utiliza en su sitio proviene principalmente de la actual Directiva de privacidad electrónica. Para cumplir con esta Directiva, debe explicar para qué se utilizan las cookies y obtener el consentimiento del usuario para almacenar una cookie en el dispositivo.

La obligación en virtud de la Directiva de privacidad electrónica de obtener el consentimiento es solo en relación con las cookies no esenciales. Sin embargo, debe proporcionar información sobre todas las cookies utilizadas, tanto las esenciales como las no esenciales.

Ni el GDPR ni la Directiva de privacidad electrónica especifican la información que debe incluirse en la Política de cookies. Sin embargo, debe incluir, como mínimo, la siguiente información que obtuvo de su evaluación de cookies:

  • Qué tipos de cookies se utilizan (como publicidad o analíticas)
  • Quien pone la cookie
  • Cómo un usuario puede rechazar la cookie

De acuerdo con la Directiva de privacidad electrónica, el lenguaje de su póliza debe ser claro y completo. La autoridad de supervisión del Reino Unido, la ICO, dice que esto significa que “el texto debe ser lo suficientemente completo e inteligible para permitir que las personas comprendan claramente las posibles consecuencias de permitir las cookies si así lo desean”. En otras palabras, asegúrese de que los usuarios comprendan lo que hacen las cookies y lo que eso significa para ellos; por ejemplo, se hará un seguimiento de sus hábitos de navegación y compras, y verán anuncios que reflejen el seguimiento.

La guía de la ICO también establece que debe considerar los niveles generales de comprensión que los usuarios del sitio web tienen sobre las cookies. La comprensión es todavía bastante baja, por lo que la Política de cookies debe ser fácil de entender, especialmente para las personas que no tienen conocimientos técnicos. Por lo tanto, enumerar los tipos de cookies que utiliza su sitio web no es suficiente; debe explicar completamente para qué se utiliza cada tipo de cookie y cómo afecta al usuario.

Cuando utilice un banner o una ventana emergente para vincular y proporcionar la información necesaria y obtener el consentimiento, tenga en cuenta la experiencia del usuario. Muchos usuarios encuentran las ventanas emergentes molestas e incluso confusas, por lo que es posible que desee usarlas con moderación, en todo caso, o de la manera más discreta posible. Consulte la siguiente sección para obtener más información sobre las formas de comunicar su Política de cookies a los usuarios.

Publica tu política de cookies

Puede optar por tener una Política de cookies sencilla en una página web de su sitio web con un enlace destacado en cada página de su sitio web (a través de un banner o una ventana emergente en su sitio web, por ejemplo) o puede utilizar un herramienta para mostrar la Política de cookies y obtener el consentimiento necesario (consulte la sección a continuación para conocer las posibles herramientas).

LEER  Cómo buscar virus informáticos

Si el enlace a la Política de Cookies está en una pancarta que muestra en la parte superior o inferior de la página Web, debe ser fácilmente visible y por encima del pliegue (la sección de la página web de usuarios de la página pueden ver sin necesidad de desplazarse hacia abajo).

Muchos sitios web simplemente tienen un enlace a una Política de cookies que es solo un enlace simple en el pie de página de cada página del sitio web (sin un banner ni una ventana emergente). Es probable que esto no sea lo suficientemente prominente como para cumplir.

Además de la Política de cookies, necesita una declaración de consentimiento de cookies por separado, ya sea en un banner de cookies que se muestra por separado o en una ventana emergente de cookies, que se vincule al aviso de cookies, con un llamado a la acción para brindar consentimiento, como “Aceptar cookies ”Y botones de“ Rechazar cookies ”.

La guía de ICO sobre el uso de cookies establece que:

  • En lugar de tener un enlace que diga “Política de cookies”, debe aclarar de qué se trata el enlace utilizando palabras como “Obtenga más información sobre cómo funciona nuestro sitio y cómo le damos el control”.
  • Debe no tienen cajas que hacen hincapié en ‘de acuerdo’ o ‘Permitir’ (o presumiblemente ‘aceptar’) las cookies, en contraposición a ‘bloquear’ o ‘rechazar’ cookies, ya que esta página web influencias a los usuarios su consentimiento para el uso de cookies. Debe haber una opción de casillas igualmente prominentes de aceptar y rechazar.
  • El mecanismo de consentimiento inicial que utiliza cuando las personas acceden a su página de destino de su sitio web debe permitirle al usuario elegir si acepta o no el uso de cookies; simplemente tener una sección de “más información” donde se ubican los controles no sería suficiente.

La siguiente figura muestra un ejemplo de cómo un banner puede mostrar un enlace a una Política de cookies. El banner aparece en el lado izquierdo de la página web y proporciona un enlace en el que los usuarios pueden hacer clic para leer más sobre las cookies del sitio web.

banner de galletas
El banner de cookies de la ICO

El consentimiento según el RGPD no debe ser un consentimiento de exclusión voluntaria, en el que debe realizar alguna acción (hacer clic en un botón o seleccionar una casilla de verificación) para bloquear las cookies. El RGPD insiste en el consentimiento de aceptación, donde el usuario debe tomar una acción afirmativa para permitir las cookies. Como tal, las políticas de cookies que establecen que al continuar navegando en el sitio web, el usuario consiente el uso de cookies, no se cumplirán.

Paredes de galletas

Del mismo modo, el GDPR le prohíbe hacer que el consentimiento sea un requisito del servicio, por lo que al indicar que, para continuar navegando, el usuario del sitio web debe aceptar cookies (conocido como muro de cookies ), esto también infringiría el GDPR. .

La autoridad de supervisión holandesa emitió una guía de que los muros de cookies no cumplen con el GDPR. Afirmó que había aumentado el seguimiento de las organizaciones que utilizan muros de cookies y les estaba indicando que realizaran los cambios necesarios para garantizar el cumplimiento de GDPR.

La guía de ICO es un poco más permisiva cuando se trata de paredes de cookies. La ICO se refiere al considerando 25 de la Directiva sobre privacidad electrónica que establece que “el acceso al contenido específico del sitio web puede estar condicionado a la aceptación bien informada de una cookie o dispositivo similar, si se utiliza para un propósito legítimo”. Por lo tanto, la guía de la ICO es que los muros de cookies no están permitidos para el “acceso general” a sitios web, pero que es posible restringir cierto contenido si el usuario no da su consentimiento para el uso de cookies. Sin embargo, la ICO continúa diciendo que si el uso de un muro de cookies tiene la “intención de requerir o influir en los usuarios para que acepten que sus datos personales sean utilizados por [el controlador de datos] o cualquier tercero como condición para acceder a su servicio , entonces es poco probable que el consentimiento del usuario se considere válido “.

LEER  ¿Qué es una cuarentena antivirus?

La ICO también señala, en una publicación de blog publicada por él mismo el mismo día que su guía sobre los muros de cookies, que “reconocemos que hay algunas opiniones diferentes, así como consideraciones prácticas sobre el uso de muros de cookies parciales y buscaremos más comunicaciones y opiniones sobre este punto de las partes interesadas “.

Sin embargo, la autoridad supervisora ​​austriaca rechazó una queja de que el consentimiento obtenido a través de un muro de cookies de un periódico en línea no se dio libremente. El periódico había proporcionado una versión en línea gratuita del periódico y también una versión por suscripción sin publicidad. Solo permitía que los usuarios de la versión gratuita tuvieran acceso si aceptaban cookies con fines publicitarios.

La Junta Europea de Protección de Datos aboga por una prohibición total del uso de cualquier muro de cookies como parte de las enmiendas a la Directiva de privacidad electrónica. Por lo tanto, es posible que solo recibamos claridad sobre el tema de los muros de cookies cuando entren en vigor las nuevas regulaciones de privacidad electrónica. Consulte el Apéndice A para obtener más información al respecto.

Para garantizar el pleno cumplimiento, necesita una herramienta (que se explica en la siguiente sección) que muestre, antes de que se activen las cookies, las cookies utilizadas en su sitio y permita a los usuarios del sitio web tomar decisiones granulares con respecto a las cookies que aceptan con gusto.

Herramientas para comunicar su Política de cookies y obtener consentimiento

Algunas herramientas existentes pueden permitirle cumplir con las normas en mayor o menor medida. Una de estas herramientas, Cookiebot, le permite mostrar los diferentes tipos de cookies que utiliza en su sitio web y le brinda al usuario del sitio web la opción de continuar navegando por el sitio web utilizando solo las cookies necesarias (para las cuales no se requiere consentimiento). Cookiebot también parece tener la capacidad de evitar que las cookies se activen hasta que se obtenga el consentimiento, aunque debe agregar cierto código a sus otros complementos. (Consulte el sitio web de Cookiebot para obtener más información).

La siguiente figura muestra el banner de Cookiebot, que puede colocar en la parte superior o inferior de su sitio web.

Banner de Cookiebot
Cookiebot ofrece a los usuarios una elección sencilla.

Los usuarios pueden hacer clic en la pestaña Mostrar detalles para ver la información adicional que se muestra aquí. Al hacer clic en la pestaña Acerca de las cookies, se muestra más información sobre los diferentes tipos de cookies, por ejemplo, cookies para estadísticas o marketing.

Los usuarios pueden elegir ver más información sobre las cookies.
Los usuarios pueden elegir ver más información sobre las cookies.

Con Cookiebot, los usuarios no pueden aceptar ni rechazar cookies individuales; más bien, la elección es simplemente entre Preferencias, Estadísticas y Marketing. Con otras soluciones GDPR más caras, como One Trust , puede permitir que los usuarios de su sitio web tomen decisiones más granulares sobre qué cookies aceptan con gusto.

Se puede usar otro complemento asequible de WordPress para evitar la activación de cookies antes de obtener el consentimiento (sin tener que agregar ningún código). Este complemento también permite a los interesados ​​acceder a datos personales básicos sobre sí mismos (y actualizarlos) cumpliendo el Considerando 63 que establece que la mejor práctica es que las organizaciones proporcionen acceso remoto a un sistema seguro de autoservicio donde el interesado pueda tener acceso directo a su o sus datos personales. Además, el complemento proporciona una Política de privacidad y un generador de Política de cookies que se actualiza automáticamente en su sitio para obtener nuevas orientaciones o enmiendas a las regulaciones.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *