¿Qué es la ley de cookies? ¿Por qué cumplirla? ¿Cómo cumplirla?

Ley de cookies, ¿qué es? ¿por qué cumplirla? ¿cómo cumplirla?

¿Qué es la ley de cookies?

Para empezar, no hay tal cosa como una ley de cookies, como bien nos contó Pablo Burgueño hace ya un año largo, la conocida como ley de cookies es en realidad un artículo introducido a una ley existente al ser ésta actualizada. En concreto, se trata de una reforma a la LSSI que lleva vigente desde 2002.

La reforma en concreto donde se introduce el cambio que conocemos como ley de cookies está vigente desde abril de 2012, e impide guardar cualquier tipo de información en el ordenador del usuario para su recuperación posterior por parte de nuestra web si antes no hemos obtenido consentimiento informado (que puede ser implícito) por parte del (valga la redundancia) usuario. Esto incluye todas las técnicas de almacenamiento local disponibles con HTML5, y que la W3Schools define como «una forma de almacenamiento mejor que las cookies».

Resumiendo:

  • La ley de cookies como tal no es sino una modificación a una ley nefasta como es la LSSI introducida en 2002 bajo el rodillo de Aznar y tristemente parcheada para hacerla aún peor bajo el mandato de Zapatero.
  • La ley habla de almacenar datos en el ordenador del usuario y luego recuperarlos, no de cookies. Ningún método de almacenamiento local puede ser iniciado sin consentimiento del usuario.
  • Que el consentimiento pueda ser implícito abre la vía a interpretaciones tan laxas como que clickar en alguno de los enlaces que hemos añadido, o hacer scroll, sean consentimiento implícito. Obviamente, el juez puede también interpretar que eso no es consentimiento (ni siquiera consentimiento implícito) y si tú mandas cookies al usuario basándote en esa interpretación implícita, entonces estarías incumpliendo la ley. En tanto no haya jurisprudencia al respecto, hay que ir con cuidado.
  • Por todo lo anterior, la opinión está dividida entre los que creen que la ley no sirve para defender la privacidad de los usuarios, los que creen que es un disparo en el pie a la competitividad del sector de Internet, y los que creen que ambas afirmaciones anteriores son correctas. Vamos, que la ley parece una chapuza y, efectivamente, tiene muchas papeletas de ser una chapuza.

¿Por qué cumplirla?

Siendo una reforma legal que no deja contento a (casi) nadie, lo cierto es que no es ni mucho menos ésta la reforma que pone en peligro ni las libertades ni la buena salud de la democracia. Hay muchos motivos, y más graves, por los que la LSSI debería ser modificada antes de que entrase en vigor, pero no es éste el objeto de este artículo. Por tanto, por poco que nos guste cómo está hecha esta ley, la conocida como ley de cookies está en vigor... y hay que cumplirla. Nadie puede dudar de la vocación comprometida que en Cartograf mantenemos acerca del respeto a las libertades, pero sinceramente hay problemas mayores que la ley de cookies. Sería imprudente e irresponsable: no es ni con mucho lo más grave que tenemos entre las leyes que de una u otra forma regulan el uso de Internet en nuestro ordenamiento jurídico.

Así que el principal motivo para cumplir la ley es que está en vigor. Para los que creen que en estas latitudes las leyes son orientativas y que uno se las puede saltar sin mucho peligro, vale la pena recordar que en agosto de este mismo año tuvimos conocimiento de que las primeras sanciones por incumplir esta ley ya están en curso, y pueden llegar a concretarse próximamente.

Si eres una pequeña empresa o tienes un pequeño e-commerce, seguramente no vale la pena el riesgo. La ley puede ser un «disparo en el pie» por parte del ejecutivo a todo un sector, pero una multa por saltarse esta regulación puede desequilibrar cualquier balance de cuentas.

¿Cómo cumplirla?

Principalmente, impidiendo que sin el consentimiento del usuario tu web almacene datos en el dispositivo del usuario para luego acceder a esos datos. Aquí entramos en el terreno interpretativo: ¿qué constituye un consentimiento implicito del usuario? Quizá algo tan ridículo como hacer scroll para ver más contenido, tal y como sugiere David Bonilla. Sin embargo, en tanto no veamos cómo los jueces están interpretando la ley, yo sería prudente y apostaría por no cargar cookies hasta que el usuario no navegue efectivamente por nuestra web. ¿Quizá clickando algún enlace de nuestra web? No tiene por qué... al fin y al cabo, puede que ese enlace que el usuario pulsa sea alguno de los que dedicamos a «aviso legal» o a «política de privacidad» o a la explicación misma sobre las cookies que utilizamos.

Pablo Burgueño recomienda obtener consentimiento explícito. Y en su blog deja una guía práctica para no iniciados (en temas legales) de lo más interesante.

Como decía más arriba, aunque la ley parezca escrita a propósito para no contentar a nadie, creo que mientras no sepamos cómo está siendo interpretada vale la pena ser conservador y buscar la aceptación explícita de las cookies que queremos instalar. Esto es aplicable a todos, pero aún más importante si tenemos una web con muchas visitas, dado que las webs con más visitas (por simple muestreo) tienen más posibilidades de recibir demandas de usuarios, o incluso de ser utilizadas en algún tipo de sanción/caso ejemplarizante como «aviso a navegantes» por parte de la AEPD.

Lo cierto es que si uno ve la postura adoptada por algunas de estas webs con muchas visitas (algunos de los periódicos y blogs más conocidos, por ejemplo) descubrirá que optan por informar al usuario a la par que instalan todo tipo de cookies, entendiendo de forma implícita que continuar navegando por la web equivale a la aceptación de las condiciones de uso (que comprenden la instalación de esas cookies). No estoy seguro de que se ajuste a la norma, pero entiendo que cuentan con asesores y han evaluado su situación.

De acuerdo pero, ¿cómo adecuo mi web a la ley de cookies?

Lo primero es saber que no siempre necesitarás avisar de que estás usando cookies. Si tu web es muy sencilla y únicamente utilizas las cookies básicas del sitio (para permitir a los usuarios iniciar sesión en tu web, por ej.), estarás exento de mostrar el aviso.

Si tu web tiene presencia en servicios web de terceros (Facebook, Twitter), esas «páginas de Facebook» seguramente están incumpliendo la ley de cookies sin remedio y sin solución: el titular es responsable, pero no tiene acceso a modificar el modo en que la aplicación interactúa con los visitantes.

Si tienes una web propia alojada en un servidor contratado y controlado por ti, la cosa cambia. Sucede que lo más probable es que tu web, ésa web que tú crees que es hipersencilla, no esté exenta de pedir el consentimiento del usuario para instalar las muchas cookies adicionales que seguramente estás instalando. ¿Usas algún sistema de analítica digital para contar visitas y medir el uso que los usuarios hacen de tu web? ¿Quizá estás embebiendo vídeos de Youtube en tu web? Usas los clásicos botones de compartir en Facebook, Twitter o Google+ y los cargas por defecto y no a demanda del usuario? Esto es para ti: necesitas pedir el consentimiento de tus visitantes para ese «funcionamiento normal» de tu web, porque Analytics usa cookies que no son cookies imprescindibles para el funcionamiento del sitio.

Como no puedo entrar a decir cómo implementar esta solución en los millones de aplicaciones web existentes, me limitaré a dar dos ejemplos para dos gestores web muy utilizados como son Drupal y WordPress. Hay una gran probabilidad de que tu web esté hecha en uno de estos dos sistemas.

  • Drupal. En este caso tenemos un módulo llamado EU Cookie Compliance que en principio viene preparado para trabajar con el consentimiento informado (implícito) del usuario pero puede ser adaptado sin mucha complicación para operar también en términos de consentimiento explícito. Puede trabajar tanto con consentimiento explícito como mostrando simplemente un aviso que luego hacemos desaparecer cuando el usuario sigue usando nuestra web (lo que haríamos si contemplamos basarnos en consentimiento implícito).
  • WordPress. Hay un plugin llamado Cookie Warning que parece ser el que mejor se adapta a la incertidumbre que tenemos aún sobre esta ley. Permite configurar permiso explícito y si el usuario rechaza darnos el mismo, borra incluso la cookie de sesión inicial.

Es una fortuna que las comunidades en torno a estos dos proyectos sean tan activas y ya hayan preparado las herramientas para adaptar nuestra web a esta ley con un trabajo mínimo.

¿Cuál es el impacto real de la ley de cookies?

En principio, la ley toca tantos frentes que para hacer una valoración sensata de la misma lo que procede es preguntarnos por el impacto real de la misma en diferentes ámbitos.

  • En lo técnico, ¿toca reprogramar todas las webs para adecuarlas a la ley de cookies? Sí. Por suerte para ti, si tu web está construida usando software libre, puedes trabajar junto a la comunidad y construir una solución libre que valga a todos los usuarios de la herramienta que uséis (ya sea Joomla, o Magento, o Prestashop); eso en el caso de que no existan ya soluciones. Los casos de los más conocidos Drupal y WordPress ya los hemos mencionado arriba. Si tu web usa un gestor de software privativo el coste de adaptación de tu web a la nueva normativa recaerá sobre ti completamente.
  • En la concerniente a privacidad, ¿constituye la ley un avance? Según se mire: podría parecerlo, pero el hecho de que el consentimiento sea implícito abre la puerta a toda una serie de interpretaciones laxas de lo que constituye consentimiento informado por parte del usuario, de forma que no haga falta ni que el usuario lea los avisos, ni reflexione sobre el tema, ni tome conciencia de la importancia, ni nada de nada. Por si fuera poco, Google ya en 2012 presentó Universal Analytics, un sistema de seguimiento e identificación de usuarios que no usa ningún tipo de cookies. La obsolescencia de la ley puede llegar por la vía rápida. Google no ha dejado de actualizar sus protocolos y ajustar las definiciones que hace de su servicio para colarse por los resquicios de la ley buscando que sus sistemas de medición no se vean afectados, ante la estupefacción de los anunciantes que temen que el movimiento granjee una cuota de mercado abrumadora para Google.
  • Pero entonces, ¿es una ley fracasada ab initio como todos dicen? Es una ley en la que se ha intentado nadar y guardar la ropa: anteponer controles al seguimiento masivo de lo que los usuarios hacen en Internet, pero penetrada de posibilidad bajo ambigüedades como el consentimiento implícito. Es una ley, me temo, diseñada de espaldas a Internet y a los sectores económicos implicados. Y eso no puede salir bien. Pero es por ese motivo, por estar diseñada sin tener en cuenta la sensibilidad de los implicados, y no porque a día de hoy la ley no se cumpla porque las webs no se han adecuado, como decían en Expansión. Si no existe voluntad, las sanciones económicas movilizarían esa voluntad (al menos, si les presumimos algo más que finalidad recaudatoria). Pero asumir que la ley tiene éxito cuando todos la cumplen es una barbaridad. La ley de cookies no cumple a su propósito: no sirve a la privacidad de los usuarios y tampoco ayuda a los prestadores de servicios de Internet. Dificulta la vida de todos sin mejorar la de nadie (más desarrollos en una parte, más «teatro de privacidad» en la otra). Por eso es una ley abocada al fracaso: porque (a menos que se descubra un uso útil) es una ley que sólo reporta molestias a unos y a otros.

Conclusiones

La ley de cookies está entre nosotros y toca cumplirla mientras así sea. Es una ley que no deja contento a nadie porque a nadie reporta beneficios claros y, en ese sentido, es una ley abocada al fracaso a menos que algo lo evite. Una ley que ha cabreado a los prestadores de servicio y titulares de webs para dejar a los usuarios en un estado de falsa privacidad, un teatro de privacidad, en el que pueden tener la errónea sensación de que están perfectamente informados o que todos sus movimientos no están siendo perfectamente supervisados por algunos servicios, cuando la realidad es que probablemente nada va a cambiar y eso va a seguir siendo exactamente así.

Desde el punto de vista del titular de una web, por suerte si trabajas con software libre es posible que adecuar tu presencia a la nueva normativa sea bastante sencillo y en este post damos algunas soluciones al problema técnico que se nos presenta. Si tu caso es diferente, puedes contárnoslo en comentarios, quizá encuentres ayuda.

Categorías: 
Imagen de Jose Alcántara
Jose Alcántara es consultor de innovación especializado en redes y toma de decisiones tecnológicas, y socio fundador de Cartograf.
Es autor de dos libros publicados, La sociedad de control (2008) y La neutralidad de la Red (2010). Publica análisis (casi) diariamente en Versvs.

Comentarios

1
Imagen de David

Buenas.

Llevaba años con dos blog y un host dominio .es de pago. A pesar de ser una actividad libre sin animo de lucro, solo divulgacion me gusta cumplir las leyes. Como no pude ni se implementarlo de la forma debida, tuve que eliminarlo todo hasta que lo aprenda.

Mi.pregunta es la siguiente. Para que sea correcto hay que identificar cookies al visitante y ya es el primer paso pues hay cookies basicas sin saberlo crro.

Hay alguna web o soft libre que sea fiable te las identifique y explique para que son y funcionan cada una? O no me queda mas remedio que pagar a alguien?

Gracias de antemano!