Aunque parece que las cookies tienen los días contados (llevamos oyendo esto al menos los dos últimos años), lo cierto es que muchas páginas web las siguen utilizando y por ello, se debe tener en consideración lo que dice la normativa respecto a su uso y, especialmente, respecto al consentimiento del usuario para usarlas. En este artículo nos vamos a centrar en gran parte en el consentimiento y cómo recabarlo a través del banner de cookies.
En este artículo hablamos de:
- ¿Qué es el banner de cookies?
- El banner de política de cookies en la Guía de Cookies de la AEPD
- ¿Cuándo hay que poner el banner de cookies?
- ¿Qué poner en el banner de cookies?
- ¿Dónde poner el banner de cookies en la web?
- Recomendaciones para hacer el banner de política de cookies
- Ejemplos de banner de cookies
- ¿Qué tipo de banner de cookies escoger?
El banner de cookies es una ventana o aviso emergente que aparece la primera vez que visitamos una página web (o cuando hemos borrado las cookies que usa) en el que se nos informa del uso de cookies de la web y a través del cual se recaba el consentimiento explícito de los usuarios para usar las cookies. En caso de que ese consentimiento no se dé, el banner de cookies debe bloquear la descarga de las cookies en el navegador del usuario.
Así mismo, el banner de cookies es la primera capa de información respecto a la política de cookies de la página web y, cómo veremos en los siguientes puntos, su uso es obligatorio cuando la web usa cookies propias o de terceros y debe cumplir con una serie de requisitos para considerarlo adecuado al RGPD.
Las cookies, esos pequeños archivos que se instalan en nuestro navegador y cumplen desde funciones técnicas (como recordar nuestro usuario y contraseña) como de otra índole (analíticas, de seguimiento, de localización, etc.), dependiendo de si son cookies propias o cookies de terceros, y que recaban diferentes datos del usuario considerados datos personales.
Eso ha hecho necesario que en el RGPD las cookies se tengan también en cuenta y como tal existen unas reglas que seguir para usarlas de acuerdo a la normativa, reglas que encontramos en la denominada ley de cookies y en la Guía de cookies de la AEPD (actualizada en 2021). ¿Y qué nos dicen estas reglas?
Fundamentalmente dos cosas, que necesitamos informar del uso de cookies a los usuarios y que debemos recabar su consentimiento expreso para poder instalarlas en su navegador y recabar datos a través de ella. Cabe señalar que las únicas cookies que pueden usarse sin el consentimiento del usuario son las llamadas cookies técnicas (aquellas que son imprescindibles para el correcto funcionamiento de la web).
Respecto a la información, esta se suministra al usuario a través de la denominada política de cookies, que se referencia de manera breve en el propio banner de cookies y poniendo el correspondiente enlace a la página que la contenga, puesto que esta política de cookies según el RGPD debe ofrecer información detallada sobre todas y cada una de las cookies que usa el sitio web (nombre de la cookie, titulares, tipo de datos que recaba, finalidad, duración, etc.), lo que haría el banner poco práctico en cuanto al diseño de la web.
Un banner de política de cookies, también llamado aviso de cookies, sirve para informar a los usuarios que acceden a tu página web de que ésta usa cookies y para que pueden otorgar o rechazar su consentimiento.
En cuanto al consentimiento, siempre que al usuario se le ofrezca la información sobre los tipos de cookies que emplea la página web de manera adecuada, se puede recabar a través del uso de botones, siempre que aparezcan estas opciones (o formulaciones similares):
- «Aceptar cookies»
- «Aceptar solo cookies necesarias»
- «Rechazar cookies»
- «Configurar cookies» (este botón permitirá al usuario acceder a una nueva ventana, en la que podrá activar o desactivar las cookies que se usan en la web)
Y tal y como explicamos en nuestra guía sobre uso de cookies 2022, en ningún caso podrán usarse fórmulas de consentimiento tácito o implícito, como «si sigues navegando aceptas el uso de cookies», ni usar los muros de cookies, que obliguen a los usuarios a aceptar el uso de cookies si quieren seguir accediendo a la web o sus servicios, puesto que el consentimiento debe ser libre y no condicionado.
Cómo hemos adelantado, el banner de política de cookies (o aviso de cookies) debe ponerse en el momento en que nuestra página web emplea cookies, tanto si son técnicas como si son de otro tipo, propias o de terceros.
Aunque hemos dicho que el uso de cookies técnicas no requiere del consentimiento del usuario, sí debemos informarle sobre las mismas, por lo que deben estar recogidas en la política o texto de cookies en España o cualquier otro país de la UE o que opere en ella.
Además, de la función de informar y recabar el consentimiento, el banner de cookies tiene otra función más y es la de bloquear la instalación de aquellas cookies para las que el usuario no haya dado su consentimiento o en algún momento lo haya revocado. Es decir, que el banner de cookies no es solo un mensaje informativo, sino que emplea código de programación para activar, desactivar o bloquear el uso de las cookies.
Este detalle es importante y debéis tenerlo en cuenta cuando elaboréis el banner de cookies de vuestra página web, puesto que si no bloquea la instalación de cookies hasta obtener el consentimiento de los usuarios, no sería un banner de cookies válido de acuerdo al RGPD.
Más allá de que debe aparecer cuando el usuario visita la web por primera vez, ha borrado las cookies o no las ha aceptado y que debe remitir mediante enlace a la política de cookies, no hay una regla oficial sobre qué poner en el banner de cookies.
Por norma general, en la mayoría de páginas web, el texto del banner de cookies es corto y conciso, limitándose a informar del uso de cookies y añadiendo tanto el citado enlace a la política de cookies como los botones para aceptar, rechazar o configurar las cookies (en diferentes variaciones de esta fórmula, como podéis ver en los ejemplos más abajo).
Así, el texto que mayoritariamente vais a encontrar en los banners de cookies es este (o similar):
«Este sitio web utiliza cookies propias y de terceros para obtener datos estadísticos de la navegación de nuestros usuarios y mejorar nuestros servicios, así como la experiencia de usuario. Más información en nuestra Política de cookies».
No hay ninguna norma que indique dónde debe ponerse el banner de cookies, mientras que este aparezca y cumpla con esa doble función de informar y recabar el consentimiento para el uso de cookies.
Lo más habitual es que aparezca como ventana emergente en el centro de la pantalla (incluso oscureciendo el resto de contenido de la página) o en la parte superior o inferior de la misma, como un banner propiamente dicho.
Dónde decidamos colocarlo dependerá, en gran medida, del diseño de nuestra web y nuestro criterio personal.
Llegados a este punto, puede que te estés preguntando cómo hacer un banner de política de cookies que cumpla con los requisitos de la normativa, pero que a su vez esté en línea con el diseño de tu web. A continuación te damos varias recomendaciones para hacer un banner de cookies adecuado a la ley y funcional.
- El banner de cookies debe ser conciso e informativo a un nivel básico, ya que puedes incluir él un enlace a la política de cookies o la política de privacidad que incluye esta.
- Debe aparecer siempre que un usuario visita por primera vez tu página web o cuando las cookies para las que hubiese dado su consentimiento hayan expirado. Además, debe guardar las preferencias del usuario, de manera que no sea necesario que vuelva a configurar las cookies cada vez que visite tu sitio web, salvo que quiera revocar un consentimiento dado o aceptar el uso de alguna cookie en particular.
- Si usas una ventana de configuración de cookies, salvo las técnicas, el resto siempre deben aparecer desmarcadas o desactivadas.
- Puedes emplear botones tipo «Acepto», check box o interruptores para que el usuario acepte, rechace o configure las cookies.
- La información debe aparecer en el idioma del país (España en este caso) y aquellos idiomas extra que use la web.
- El rechazo de las cookies no puede impedir la navegación por todas las secciones de la web.
- No hay una posición obligatoria en la web en la que deba aparecer el banner de cookies, puede hacerlo arriba, en medio, abajo, difuminar la web hasta que el usuario acepte o rechace las cookies, etc. Dónde lo coloques dependerá del diseño de tu web, pero recuerda que siempre debe ser visible y reconocible como el aviso de cookies.
- Toda la información debe estar redactada de forma clara y comprensible.
- La configuración o aceptación de las cookies no debe desalentar al usuario, por lo que cuanto más sencillo y claro lo hagas, mejor.
Hasta aquí la teoría sobre el banner de cookies, ahora toca ponerla en práctica, para lo que hemos escogido cinco ejemplos de banner de cookies de sitios web bastante conocidos y visitados por miles de usuarios.
- Banner de cookies de Twitter:
Banner de cookies de Twitter
Si es nuestra primera visita, el banner de cookies de Twitter aparece en la parte inferior de la página, nos avisa del empleo de cookies propias y de terceros y nos da dos opciones: «Aceptar todas las cookies» o «Rechazar cookies no necesarias». En ningún momento nos permite configurar las cookies, tampoco dentro de la opción «Preferencias de cookies» en «Privacidad y seguridad».
Respecto a la información, dar con la política de cookies es más complicado de lo que debería de acuerdo al RGPD, porque debemos acceder primero al Centro de privacidad, allí a la Política de privacidad y después consultar «Datos que recogemos cuando usas Twitter», donde tenemos un enlace a la política de cookies en el apartado «Cookies y tecnologías similares».
Por lo tanto, aunque el banner de cookies de Twitter es legalmente correcto, podemos decir que dar con la información relativa a las cookies que usa esta red social no se adecua completamente al RGPD ni a las normas recogidas en la guía de la AEPD respecto al uso de cookies.
- Banner de cookies de Spotify:
Banner de cookies de Spotify
Si accedemos vía web a Spotify, nos encontraremos el aviso de cookies de la imagen. Como veis, nos ofrece una información básica sobre las cookies y dos botones, «Aceptar cookies» y «Configurar cookies». Al pulsar el segundo, accedemos a una ventana en la que podemos activar aquellas cookies para las que demos nuestro consentimiento. Esta ventana incluye también un enlace a la política de cookies de Spotify.
Además, si pulsamos en cada tipo de cookie, se desplegará información sobre la misma y, en algunos casos concretos, incluirá un enlace al proveedor de la cookie.
Así, el banner de cookies de Spotify es un banner adecuado al RGPD.
- Banner de cookies de LinkedIn:
Banner de cookies de LinkedIn
El banner de cookies de LinkedIn aparece en la parte superior de la web, da información básica sobre el uso de cookies que hace la red social e incluye un enlace a la política de cookies. Podemos aceptar o rechazar el uso de cookies a través de los botones y cambiar esas preferencias a través de la opción de «ajustes» en nuestro perfil, en la sección «Privacidad de datos».
A diferencia de Twitter, en LinkedIn sí podemos configurar las cookies, o, al menos, tres grupos de cookies: publicitarias, análisis e investigación y funcionales. Todas ellas con un enlace que nos ofrece más información sobre las mismas.
De manera que el banner de cookies de LinkedIn también se ajusta adecuadamente a las normas del RGPD respecto al uso de cookies.
- Banner de cookies de Fnac:
Banner de cookies de Fnac
El banner de cookies de Fnac aparece en la parte inferior, con una información escueta sobre el uso de cookies y el correspondiente enlace a la política de cookies, así como los botones de «Aceptar todas las cookies» y «Configuración de cookies».
Pulsando el segundo botón aparecerá una ventana en la que nos informa de manera básica sobre los tipos de cookies que emplea el sitio online de Fnac y nos permite activar aquellas para las que es necesario el consentimiento del usuario.
El banner de cookies de Fnac es, por tanto, otro banner adaptado correctamente a la normativa de protección de datos.
- Banner de cookies de Cerveza San Miguel:
Banner de cookies de Cerveza San Miguel
Cerramos nuestros ejemplos de banner de política de cookies con el de la web de Cervezas San Miguel, para mostrar un banner de cookies que, aparentemente, no es adecuado al RGPD.
Decimos que aparentemente, porque al acceder a la web por primera vez (al ser un sitio relacionado con bebidas alcohólicas), nos preguntan si somos mayores de edad, pero justo bajo esta pregunta, se nos informa ya sobre el uso de cookies y la política de cookies, aunque sin enlaces a la misma o posibilidad de configurar nada aquí. Esto es confuso porque parece que estamos aceptando las cookies de la web al responder que sí somos mayores de edad y seguir navegando.
Sin embargo, no es así, ya que una vez que accedemos a la web, nos aparece el banner de cookies propiamente dicho, con un enlace a la política de cookies y los correspondientes botones para aceptar o configurar las cookies (muy similar al usado por Fnac).
Por lo tanto, el problema está en la confusión que genera esa pregunta sobre la edad junto al aviso del uso de cookies.
Como has podido ver en los ejemplos, hay diferentes tipos de banners de cookies, escoger el más adecuado para tu página, como ya comentábamos más arriba, dependerá de tus preferencias en diseño y de cómo quieras ofrecer la información y la configuración de las cookies a tus usuarios.
Es recomendable optar por un banner de cookies que permita incluir la información básica esencial para informar sobre el uso de las mismas, así como el correspondiente enlace a la política de cookies. Y añadir dos o tres botones, con uno de ellos permitiendo la configuración de las cookies.
Y, sobre todo, el widget o complemento que uses para el banner de cookies de tu web, debe bloquear la instalación de cookies hasta que el usuario dé su consentimiento y dejar este registrado, tal y como explicamos en nuestra entrada sobre política de cookies en WordPress.