Introducción
En un mundo donde la privacidad en línea es cada vez más prioritaria, las empresas y negocios online enfrentan un desafío colosal: ¿cómo recopilar datos analíticos esenciales sin infringir las normativas de privacidad? Esta pregunta no es solo retórica; es una realidad palpable en el día a día de innumerables negocios. Desde aquellos que ofrecen servicios gratuitos sustentados por publicidad hasta empresas que dependen de datos fiables para optimizar sus estrategias, el equilibrio entre privacidad y analítica es crucial.
Anteriormente, la normativa exigía un consentimiento explícito para las cookies que no estuviesen exentas de lo indicado por el artículo 2.22 de la LSSI, lo que complicaba esta tarea. Sin embargo, las recientes guías publicadas por la AEPD sobre el uso de cookies han introducido algunos cambios significativos.
Reconociendo la importancia de preservar la privacidad del usuario, estas guías también consideran la necesidad de que ciertos tipos de cookies coexistan para asegurar la supervivencia y el correcto funcionamiento de negocios y organismos en línea y siempre dentro de unos parámetros lógicos de protección de la privacidad, como por ejemplo, las cookies necesarias para servicios gratuitos sustentados por publicidad o para obtener estadísticas que permiten optimizar dicha publicidad.
Este cambio normativo no solo representa una oportunidad para mejorar la experiencia del usuario al reducir las solicitudes de consentimiento, sino que también abre la puerta a nuevas formas de seguimiento analítico que respetan la privacidad. En este contexto, surge la pregunta clave: ¿Cómo pueden los negocios adaptarse a esta nueva era de la analítica web? En la siguiente guía te explico los cambios propuestos por las guías y una posible propuesta de utilización de Matomo para hacer un seguimiento analítico con cookies y sin necesidad de pedir el consentimiento para su instalación.
El marco normativo principal y la complejidad del banner de cookies
En el centro de las guías de cookies publicadas por la Agencia Española de Protección de Datos (AEPD) se encuentra la interacción y el entendimiento profundo de dos normativas fundamentales en la regulación de la privacidad en línea y la gestión de datos: el Reglamento General de Protección de Datos (RGPD) de la Unión Europea y la Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI) de España. Estas guías no solo buscan aclarar sino también armonizar la aplicación de estas normativas clave, proporcionando así un marco coherente para el uso responsable y legal de cookies y el tratamiento de datos personales en el entorno digital.
El RGPD y la Protección de Datos Personales
El RGPD, una normativa a nivel de la Unión Europea, establece directrices estrictas para la protección de datos personales. Bajo el RGPD, cualquier recopilación, tratamiento y almacenamiento de datos personales debe ser legítimo, transparente y con el consentimiento explícito del usuario. Esto se aplica no solo a las cookies, sino a cualquier forma de seguimiento analítico que involucre datos personales. Esto se aplica independientemente de si se utilizan cookies o no.
La LSSI y el Uso de Cookies
La LSSI, específica de España, regula, entre otros aspectos, el uso de cookies. Según la LSSI, es necesario obtener consentimiento para el uso de cookies que no estén exentas según lo establecido en el artículo 2.22 de esta ley. Esto implica que para la mayoría de las cookies, especialmente aquellas usadas para seguimiento y publicidad, los sitios web deben informar y obtener consentimiento claro de los usuarios. Hasta la nueva guía del 11 de enero las cookies analíticas no estaban exentas del cumplimiento del artículo 2.22 de la LSSI.
Además de estas 2 normativas principales, las guias de la AEPD se apoyan en contribuciones de grupos de trabajo como el GT29 y EDPB. El Grupo de Trabajo del Artículo 29 (GT29) y su sucesor, el Comité Europeo de Protección de Datos (EDPB), han jugado roles clave en interpretar y aclarar estas regulaciones. Sus recomendaciones y directrices ayudan a entender mejor cómo aplicar el RGPD en el contexto del seguimiento online, incluyendo el uso de cookies.
La complejidad del banner de cookies
Pero ¿qué es eso de la “complejidad” del banner de cookies?. En la práctica, los banners de cookies suelen cumplir una doble función. Por un lado, solicitan consentimiento para la instalación de cookies conforme a la LSSI. Por otro lado, también piden consentimiento para el tratamiento de datos personales bajo el RGPD. Aunque técnicamente son dos consentimientos distintos (uno para cookies y otro para datos personales), en muchos casos se manejan conjuntamente a través de un único banner de cookies. Esto significa que, incluso en situaciones donde no se instalan cookies, si una herramienta de seguimiento analítico recoge datos personales (como direcciones IP o datos de geolocalización), es necesario solicitar el consentimiento bajo el RGPD. La complejidad técnica de diferenciar estos dos tipos de consentimiento a menudo lleva a que se gestionen juntos en el mismo banner de cookies.
Este detalle es importante porque tendemos a centrarnos mucho en la instalación o no de cookies y solemos pensar que NO COOKIES NO BANNER… lo cual no es del todo cierto ya que aún no instalando cookies, si tu herramienta analítica capta datos personales (o transfiere esos datos a través de dominios, por ejemplo) seguimos estando obligados a solicitar un consentimiento de alguna forma.
La situación antes del 11 de enero de 2024
Antes de la llegada de las nuevas guías sobre el uso de cookies de la AEPD, como ya he comentado, la normativa existente, enmarcada principalmente por el artículo 2.22 de la LSSI, exigía un consentimiento explícito para el uso de cookies que no estuvieran exentas (incluidas las cookies analíticas):
“…será necesario informar y obtener el consentimiento para la utilización de cualquier otro tipo de cookies, tanto de primera como de tercera parte, de sesión o persistentes, que no queden fuera del ámbito de aplicación del artículo 22.2 de la LSSI…”
Y aquí desmiento otro de los bulos frecuentes que me he encontrado… poco importa si las cookies son de primera o tercera parte. Hay que seguir solicitando el consentimiento.
Esto planteaba, y sigue planteando, un impacto en la recolección de datos ya que afecta significativamente la capacidad de las empresas para recopilar datos analíticos. Muchos usuarios optaban por no dar su consentimiento, lo que resultaba en una pérdida considerable de datos valiosos y, por ende, en una disminución en la capacidad de optimización de estrategias y de conocimiento de los usuarios.
Sin embargo, en la guía anterior de cookies ya se comentaba que, en el caso de las cookies analíticas, según el GT29 “…a pesar de que no están exentas del deber de obtener un consentimiento informado para su uso, es poco probable que representen un riesgo para la privacidad de los usuarios siempre que se trate de cookies de primera parte, que traten datos agregados con una finalidad estrictamente estadística, que se facilite información sobre sus usos y se incluya la posibilidad de que los usuarios manifiesten su negativa sobre su utilización.”
Intentando mitigar este problema han ido surgiendo distintos métodos que han tenido mayor o menor éxito, como el Consent Mode de Google. Una de las opciones que más me gusta, por su fiabilidad, es el seguimiento híbrido de Matomo, en el que es posible hacer un seguimiento sin cookies hasta que el usuario da su consentimiento para la instalación. En ese momento se instalan las cookies y se sigue midiendo, pero de una forma más precisa. Este método no recurre a estimaciones, extrapolaciones o interpretaciones… siguen habiendo datos reales en los que basarse y nada se inventa.
Pero aquí viene la letra pequeña, y es que, para poder hacer el seguimiento sin pedir el consentimiento, como hemos comentado en el apartado anterior, no sólo basta con no instalar cookies, sino que también es necesario que la herramienta analítica no capte datos que se considere que puedan identificar a un usuario. Esto implica que debemos configurar Matomo de forma que aseguremos este punto. Obviamente este detalle va a repercutir en la calidad del dato.
Las novedades respecto al consentimiento
En enero del 2024 la AEDP ha sacado una nueva versión de la Guia de Cookies y una nueva guia que regula el uso de cookies para herramientas de medición de audiencia, y es aquí donde encontramos las principales novedades afectando al banner de cookies.
Y es que, según la guía, ahora se contempla la posibilidad de eximir del consentimiento a las cookies analíticas bajo ciertas condiciones. En concreto, la guía habla, a grandes rasgos, de una finalidad estrictamente limitada a la medición exclusiva de la audiencia del sitio o de la aplicación y que el tratamiento debe producir datos estadísticos anónimos. Es decir, enlazando con lo que he venido explicando, hay que asegurar también que la herramienta no capta ningún tipo de dato personal y que genera estadísticas completamente anónimas para cumplir también con el RGPD y no necesitar el consentimiento… y esta es la letra pequeña que comentaba antes ya que estos matices descartan automáticamente algunas herramientas y formas de medición analítica. Voy a intentar detallar cada punto de la guía para que puedas hacerte una idea de las implicaciones:
Finalidad Limitada a Medición de Audiencia:
Las cookies deben tener como único propósito la medición exclusiva de la audiencia del sitio o de la aplicación. Esto significa que su uso debe estar estrictamente restringido a obtener datos para análisis estadísticos y que no deben poder capturar ningún tipo de dato personal.
Tratamiento en Nombre del Editor:
El tratamiento de los datos debe realizarse exclusivamente en nombre del editor del sitio o aplicación, sin que los datos se utilicen para otros fines o se compartan con terceros. En este contexto, el “editor” se refiere a la entidad que gestiona el sitio web o la aplicación móvil. Esto podría ser una empresa, una organización o incluso un individuo que opera el sitio o la aplicación.
Lo que viene a significar este punto es que los datos recopilados a través de las cookies solo pueden ser utilizados para los propósitos definidos por el editor y no pueden ser empleados para otros fines por terceros. Esto significa que los datos no deben ser compartidos o utilizados por empresas de publicidad, análisis de terceros o cualquier otra entidad que no sea el editor mismo.
Hay que recordar que el editor es responsable de asegurarse de que el tratamiento de los datos cumpla con todas las normativas pertinentes, incluyendo el RGPD y la LSSI. Esto incluye la responsabilidad de seleccionar proveedores de servicios y herramientas de análisis que también cumplan con estas normativas.
Producción de Datos Estadísticos Anónimos:
Es fundamental que las cookies y las herramientas generen únicamente datos estadísticos anónimos, evitando cualquier posibilidad de identificación personal.
Prohibición de Cotejo y Transmisión de Datos:
Las cookies y las herramientas no deben permitir el cotejo de los datos con otras operaciones de tratamiento ni la transmisión de datos a terceros. Es decir que no se pueden usar los datos recopilados para compararlos o combinarlos con otros datos, ya sea dentro de la misma web o de fuentes externas. No podemos usar estos datos vincular actividades de usuarios en diferentes contextos o para combinarlos con otro tipo de información personal o de comportamiento.
Por ejemplo, si se recopila información sobre lo que un usuario hace en un sitio web específico, esta información no debe combinarse con datos de otro sitio o con información adicional del mismo usuario para crear un perfil más detallado de su comportamiento. Un ejemplo aún mas claro podría ser cuando se recogen datos estadísticos para establecer audiencias que luego se envían a una herramienta publicitaria.
Por otra parte es importante para garantizar que la información recopilada por un sitio web no sea compartida o vendida a otras empresas, como anunciantes o firmas de análisis de datos.
La transmisión de datos a terceros podría implicar un uso de la información que va más allá del propósito original de medición de audiencia del sitio web, lo cual no está permitido bajo estas condiciones.
Exclusión de Seguimiento Agregado en Múltiples Sitios:
Se excluye cualquier solución que permita el seguimiento agregado de la navegación de la persona a través de diferentes aplicaciones o sitios web. Esto excluye soluciones que utilizan el mismo identificador en varios sitios para hacer referencias cruzadas o medir una tasa de alcance unificada.
La guía también excluye el uso de cookies que emplean el mismo identificador en varios sitios web. Esto se refiere a la práctica de utilizar un identificador único (como una cookie de seguimiento) que opera a través de varios dominios o sitios web para rastrear el comportamiento del usuario de manera más amplia.
Este tipo de seguimiento permite hacer referencias cruzadas o medir una tasa de alcance unificada de un contenido o publicidad en diferentes sitios, algo que la guía busca evitar para proteger la privacidad del usuario.
Mediciones Consideradas Estrictamente Necesarias:
La AEPD detalla qué mediciones son consideradas estrictamente necesarias, como la medición de audiencia por página, el seguimiento de referentes, la determinación del tipo de dispositivo, estadísticas de tiempo de carga, entre otros.
Las herramientas admitidas
Las guías de la Agencia Española de Protección de Datos (AEPD) no señalan herramientas específicas. La única información que aportan en este sentido apunta a que ciertos servicios de analítica y medición de audiencia podrían no ajustarse a sus recomendaciones, especialmente aquellos que reutilizan los datos para fines más allá de la mera medición de audiencia.
“Algunos servicios de analítica y medición de audiencia, implementados por el propio editor o por proveedores, no entran en el ámbito de aplicación de la exención. Esto sucede, en particular, cuando declaran que reutilizan los datos para otras finalidades, como es el caso de varias ofertas de medición de audiencia disponibles en el mercado.”
Guía uso de cookies para herramientas de medición de audiencia
Por lo que, a falta de más precisiones, nos corresponderá a nosotros el desafío de configurar nuestras herramientas de manera que cumplan estrictamente con lo estipulado en la guía, asegurándonos de que tanto nosotros como nuestros proveedores de servicios respetemos estas condiciones.
¿Qué Herramientas Podrían Ser Admitidas?
En cuanto a herramientas como Google Analytics, su admisión bajo estas directrices no está del todo clara en estos momentos, dadas sus características. Sería necesario evaluar si las opciones de configuración permiten acotar el seguimiento a lo exigido por la guía y que, Google no esté realizando, por su parte, acciones con los datos que no hayamos tenido en cuenta.
Sin embargo, alternativas como Matomo o Piwik Pro emergen como opciones viables. Estas plataformas, conocidas por su flexibilidad y respeto por la privacidad del usuario, pueden configurarse de tal manera que se alineen con las exigencias de la AEPD.
Si te interesa cómo configurar Matomo para que sea compatible con la Guía de Cookies de la AEPD y así realizar un seguimiento analítico exento de solicitar consentimiento para las cookies, te invito a descargar la Guía de Configuración. En ella, encontrarás paso a paso cómo ajustar Matomo para maximizar su potencial analítico dentro del marco legal actual.
Descarga GRATIS
Guía de Configuración Matomo
¡Haz un seguimiento sin consentimiento de cookies y optimiza tu analítica web legalmente!
Conclusión
La reciente actualización de las guías de cookies de la AEPD marca un avance significativo para todos los que nos movemos en el ámbito del marketing digital y la analítica web en España. Este cambio en la interpretación de la normativa no es solo una adaptación a los tiempos digitales, sino también una oportunidad valiosa para optimizar el seguimiento web de manera más eficiente y respetuosa con la privacidad de los usuarios.
Ahora, con un marco más claro para el uso de herramientas analíticas sin la necesidad de consentimiento constante mediante banners, las empresas pueden enfocarse en lo esencial: obtener un entendimiento profundo de su audiencia y mejorar sus estrategias digitales, todo dentro de un entorno legalmente seguro y respetuoso con la privacidad del usuario.
Herramientas como Matomo y Piwik Pro, que se pueden configurar en línea con los requisitos de la AEPD, son ejemplos claros de cómo la tecnología puede adaptarse para cumplir con estas nuevas directrices. Esto representa una gran noticia para quienes buscan maneras eficientes y éticas de recopilar datos esenciales, equilibrando las necesidades de análisis con el respeto a la privacidad del usuario.
En conclusión, estamos ante una transformación relevante en la normativa de cookies en España, una que abre puertas a una analítica web más respetuosa y menos intrusiva. Es un momento clave para adaptarse y aprovechar las posibilidades que este cambio normativo ofrece, marcando un antes y un después en cómo abordamos la analítica digital.
Disclaimer
Aunque en mi día a día aconsejo a usuarios y clientes, no soy abogado ni experto en legislación sobre protección de datos y privacidad digital. La información que comparto respecto al uso de cookies y los banners de consentimiento se basa en mi experiencia y conocimiento en el ámbito del análisis web y a mi interpretación de las nuevas Guías publicadas por la AEPD. No, por tanto, interpretarse como asesoramiento un legal.
Es fundamental comprender que, aunque he realizado un esfuerzo considerable por asegurarme de que la información proporcionada sea precisa y esté actualizada, esta representa, en ocasiones, una interpretación personal y no una consulta legal. Las normativas en torno al RGPD y el uso de cookies pueden ser complejas y están sujetas a interpretaciones y cambios constantes.
Por lo tanto, recomiendo encarecidamente que cualquier decisión o implementación relacionada con estas temáticas sea consensuada con un abogado o un experto en protección de datos y privacidad digital. Esto asegurará que las acciones que se tomen estén completamente alineadas con las leyes y regulaciones vigentes.
El propósito de este artículo es ofrecer una perspectiva práctica y orientativa desde el punto de vista del análisis web, y no sustituye el asesoramiento legal especializado en estas áreas.
Deja una respuesta