Guía completa de cookies: legislación, avisos y CMP

Actualizado el por Ana Rey

Guía completa sobre el aviso de cookies

Las cookies son un elemento omnipresente en nuestra navegación por internet. Cada vez que visitamos una página web, es común encontrar un aviso que nos informa sobre el uso de cookies y nos solicita consentimiento para su almacenamiento en nuestros dispositivos. 

Pero, ¿qué son exactamente las cookies? ¿Por qué son tan importantes? ¿Y qué leyes regulan su uso?

Imagen de galletas en un post sobre aviso de cookies.
La AEPD no lo dice explícitamente, pero en todo artículo que hable de cookies es obligatorio poner una imagen con galletitas de aspecto apetitoso.

ÍNDICE

Empecemos por el principio: ¿qué son las cookies?

Las cookies son pequeños archivos de texto que se guardan en el dispositivo de un usuario cuando visita un sitio web. Estos archivos contienen datos que el sitio puede leer durante la visita del usuario o en visitas posteriores. Esto permite a los sitios web recordar acciones y preferencias del usuario, lo que resulta esencial para proporcionar una experiencia de navegación personalizada y eficiente.

Es decir, aunque leyendo ciertos medios parezca que las cookies son El Mal —así, con mayúsculas—, en realidad fueron creadas para facilitar la navegación al usuario; por ejemplo, permiten recordar en qué idioma queremos navegar en una web o si nos hemos identificado con nuestro usuario y contraseña, para no tener que repetir estas acciones una y otra vez. Otro tema es que el uso de cookies de terceros haya llegado, en algunos casos, a límites que rozan el espionaje del usuario.

¿Qué tipos de cookies existen? 

Todas las cookies se clasifican en función de 3 características:

  • Según su finalidad: para qué sirve esa cookie.
  • Según el tiempo que permanecen almacenadas en el navegador.
  • Según quién es su propietario: es decir, quién la envía a nuestro navegador.

¿Por qué es importante conocer cómo se clasifica cada cookie? Porque, como veremos más adelante, tenemos la obligación de enumerar todas las cookies que carga una web en el ordenador del usuario, describirlas y detallar sus características. 

Según su finalidad

Cookies técnicas u obligatorias

Estas cookies son esenciales para el funcionamiento básico del sitio web. Permiten a los usuarios navegar por el sitio y usar sus funciones fundamentales, como acceder a áreas privadas.

Ejemplo: una cookie que mantiene a un usuario conectado a su cuenta mientras navega de una página a otra, asegurando que no tenga que iniciar sesión en cada página nueva.

Cookies de preferencias o personalización

Permiten que una web recuerde las elecciones que hace un usuario —como su nombre de usuario, idioma o la región en la que se encuentra— con el objetivo de proporcionar funcionalidades mejoradas y personalizar la experiencia de los usuarios.

Ejemplo: una cookie que recuerda el idioma seleccionado por el usuario para que el sitio web se muestre automáticamente en ese idioma en futuras visitas.

Estos dos primeros tipos están exentos de los requisitos de consentimiento, aunque en caso de que se empleen para fines publicitarios o cualquier otro fin, sí que será necesario el consentimiento explícito del usuario.

Esto es especialmente importante en el caso de las de preferencias o personalización, ya que en las exentas solo entrarían aquellas que sean relativas a funcionalidades internas del site, como por ejemplo la selección de idioma. Si la información que se desprende de la selección del usuario se utiliza para personalización de contenidos publicitarios o para elaborar un perfil, no se consideran exentas. 

Cookies de analítica, de medición o estadísticas

Recogen datos sobre el uso del sitio para mejorar su rendimiento, como información sobre cómo navegan los usuarios, las páginas más visitadas o si reciben mensajes de error.

Ejemplo: aquí entrarían las cookies utilizadas por servicios de analítica web, como Google Analytics.

Cookies de publicidad o marketing

Estas cookies recogen información sobre los hábitos de navegación del usuario, con el fin de hacer la publicidad más relevante para el usuario y adaptada a sus intereses. Suelen colocarlas redes publicitarias con el permiso del propietario del sitio web.

Ejemplo: una cookie que rastrea qué productos ha visto el usuario en una tienda online para mostrar anuncios de productos similares en otros sitios web.

Ejemplo de aviso de cookies con configuración granular

Según el tiempo que permanecen almacenadas 

Cookies de sesión

Son cookies temporales que se utilizan para recordar la actividad del usuario durante la duración de su visita a la web. Estas se borran automáticamente cuando el usuario cierra el navegador. Son útiles para funciones como mantener una sesión de usuario activa y asegurar que las operaciones realizadas se recuerden durante la navegación en una sesión.

Ejemplo: una cookie de sesión se utiliza en un sitio de banca en línea para recordar que el usuario ha iniciado sesión. Cuando el usuario cierra el navegador, la sesión termina y la cookie se elimina automáticamente, lo que ayuda a proteger la seguridad de la cuenta.

Cookies persistentes

A diferencia de las cookies de sesión, las cookies persistentes permanecen en el dispositivo del usuario durante un periodo específico o hasta que sean eliminadas manualmente. Estas cookies son utilizadas para recordar las preferencias del usuario y diversas configuraciones entre sesiones, facilitando el acceso y la personalización del sitio en futuras visitas.

Ejemplo: una cookie persistente podría ser utilizada en un ecommerce para recordar el carrito de compras del usuario o sus preferencias de idioma y región, incluso si cierra el navegador y vuelve días después.

Este tipo de cookies es más sensible, ya que pueden suponer un mayor riesgo para la privacidad de los usuarios. Es por ello que desde la AEPD (Agencia Española de Protección de Datos) se recomienda reducir su uso en la medida de lo posible y utilizar cookies de sesión en su lugar. Si no nos queda más remedio que utilizar cookies persistentes, la recomendación es limitar su duración al tiempo estrictamente necesario.

Según su propietario

Las cookies también pueden clasificarse según quién las gestiona, es decir, el propietario. Así, tenemos dos categorías principales: cookies propias y cookies de terceros:

Cookies propias (first-party cookies)

Son aquellas que coloca directamente el sitio web que el usuario está visitando. Estas cookies suelen ser esenciales para el funcionamiento de la web y son más fáciles de gestionar en términos de cumplimiento normativo, ya que la información recopilada es mantenida y controlada por el propietario del sitio.

Ejemplo: cuando un usuario visita un ecommerce y el site utiliza una cookie propia para mantener la sesión activa mientras el usuario añade artículos a su carrito de compra.

Cookies de terceros (third-party cookies)

Son cookies que coloca un dominio diferente al del sitio web que el usuario está visitando. Estas cookies son utilizadas principalmente para rastrear al usuario a través de varios sitios, ya sea con fines publicitarios, de investigación de mercados o de comportamiento en línea. 

Ejemplo: si un usuario visita un blog y este blog tiene un widget de comentarios de una plataforma de redes sociales, la plataforma puede colocar una cookie de terceros para rastrear la actividad del usuario en la web y mostrar anuncios personalizados.

Este tipo de cookies están en el centro del debate sobre la privacidad y desde hace unos años se han ido restringiendo en muchos navegadores, como Safari de Apple o Mozilla Firefox. También está previsto que Google Chrome deje de utilizarlas en 2025.

Independientemente del tipo que sean, la gestión adecuada de las cookies es crucial para cumplir con las regulaciones de privacidad. Como veremos, la ley requiere que los sitios web obtengan consentimiento explícito de los usuarios antes de guardar o recuperar información en sus dispositivos, especialmente en el caso de cookies que no son estrictamente necesarias. 

Qué dice la ley

La AEPD, en su Guía sobre el uso de las cookies, nos indica las directrices que debemos cumplir para asegurar el cumplimiento de la legislación al respecto (en concreto, hablamos de la LSSI, la RGPD y la LOPDGDD) y el respeto por la privacidad del usuario. Sintetizando mucho, se resume en:

  • Solicitar al usuario consentimiento explícito para el uso de las cookies, mediante el uso de un aviso o banner de cookies. 
  • Facilitar información sobre las cookies que utiliza el sitio web, incluyendo finalidad, duración y propietario. Lo habitual es incluir esta información en una página específica.

Veamos, a continuación, cómo debemos gestionar el consentimiento del usuario para cumplir la ley.

Cómo debe ser el aviso de cookies

En la misma guía de la AEPD se nos detalla cómo debe ser el aviso de cookies de una web, tanto a nivel visual como funcional.  

  • Lo más importante, la funcionalidad: el aviso debe bloquear todas las cookies (salvo las esenciales o de funcionalidad) hasta que el usuario no dé su aceptación explícitamente. Es decir, la opción “si sigues navegando, aceptas las cookies” no es válida. 
  • El aviso de cookies debe incluir opciones que permitan aceptar todas las cookies, rechazar todas las cookies o configurarlas.
    En la opción de configuración, se recomienda agrupar las cookies —por ejemplo, por funcionalidad— para que el usuario no tenga que aceptarlas o rechazarlas una por una. 

Ejemplo de aviso de cookies
  • Los botones de Aceptar y Rechazar deben estar al mismo nivel visual: mismo tamaño y colores similares. No es válido que la opción para rechazar las cookies sea un botón muy pequeño o con difícil legibilidad.
  • Debe enlazar a la página de política de cookies, e incluir un listado descriptivo de las cookies utilizadas y su respectiva clasificación. Este enlace ha de ser claramente visible y el texto del enlace debe de ser un término con el que el usuario esté familiarizado, como “política de cookies”.
  • La información se debe transmitir de forma concisa, transparente e inteligible, de tal manera que pueda comprenderse fácilmente por un usuario medio de nuestra web.

Cómo implementar el aviso de cookies

Lo más habitual es hacerlo mediante un CMP o Plataforma de Gestión de Consentimiento. Un CMP es una herramienta que nos ayuda a diseñar, implementar y mantener el proceso de obtención de consentimiento de los usuarios de acuerdo con las leyes de privacidad aplicables. Estos sistemas permiten a los usuarios gestionar sus preferencias de privacidad de manera transparente y accesible, asegurando que el consentimiento sea verificable y que se pueda retirar con la misma facilidad con la que se otorga.

Un CMP típicamente:

  • A partir de un aviso de cookies, informa a los usuarios sobre qué tipos de datos personales se recogen y con qué propósito.
  • Permite a los usuarios seleccionar o deseleccionar específicamente las categorías de datos que están dispuestos a compartir.
  • Registra y almacena las preferencias de consentimiento de cada usuario de manera segura para cumplir con los requisitos en caso de auditoría.

Algunos ejemplos de CMP

  • Para pequeñas o medianas empresas, empresas con webs de tráfico moderado o empresas que buscan una solución “lista para usar”, hay soluciones sencillas exclusivamente para la gestión de cookies: un ejemplo podría ser Cookiebot o Cookiefirst. Son sencillos de implementar y cuentan con una versión gratuita.
  • Para grandes empresas y multinacionales, que demandan soluciones más integrales, como adaptarse a las regulaciones de privacidad de varios países o que incluyan la gestión de las preferencias de comunicación digital (de cualquier tipo de touchpoint, digital o no), hay soluciones como Cassie o OneTrust.

¿Y qué pasa con la analítica digital?

Las cookies de analítica, al ser de tipo estadístico, deben contar con el consentimiento explícito del usuario antes de cargarse en su navegador. Google Analytics 4 puede integrarse con los CMPs para cumplir con la legislación. ¿Qué debemos tener en cuenta a la hora de gestionar nuestras cookies de analítica?

  • Idealmente, la implementación debería incluir funcionalidad que permita la carga retroactiva de las etiquetas bloqueadas tan pronto como se acepta el consentimiento, sin esperar a la siguiente carga de página. Esto es especialmente importante para evitar pérdidas de atribución e información de origen de las visitas en general.
  • Es recomendable realizar la integración (incluida la carga de los propios scripts del CMP) centralizada en Google Tag Manager, para unificar en un único punto la gestión completa de la carga de etiquetas, modo de consentimiento, etc.
  • Si utilizamos servicios de Google (como Ads o Floodlight), debe integrar el protocolo Consent Mode v2 o de lo contrario se podría perder funcionalidades de dichos servicios. 

En resumidas cuentas, entender qué son las cookies y las regulaciones que las gobiernan es crucial para cualquier organización. Cumplir con las leyes de privacidad no solo es una obligación legal, sino que también contribuye a generar confianza con los usuarios y proteger su información personal.

Si necesitas ayuda para implementar o configurar correctamente el consentimiento de cookies en tu organización, no dudes en ponerte en contacto con aditu. Te asesoraremos en todo el proceso, desde la elección del CMP más adecuado hasta las diferentes opciones de configuración. ¡Contáctanos y protege la privacidad de tus usuarios!

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Autor del post

| Data Analyst

LinkedIn ↗

Suscríbete a nuestra newsletter

Recibirás las últimas novedades del mundo de la analítica y de los datos directamente en tu buzón de correo.

Artículos relacionados