A diario usamos decenas de cookies a medida que navegamos por Internet. De forma invisible permiten que disfrutemos de una buena experiencia en línea.

¿Qué son las cookies?

Son pequeñas cantidades de información que se almacenan en el navegador de internet, asociadas a un determinado sitio web.

cookie

Cuando visitamos un sitio, este tiene la posibilidad de guardar un pequeño archivo de texto con información que desea conservar para la próxima vez que lo visitemos.

Por ejemplo, los casos más comunes:

  • Almacenan el nombre de usuario para que la próxima vez no tenga que ingresarlo.
  • En caso que haya elegido un idioma para ver la página, la próxima vez, recordar mi preferencia.

Como vemos, su principal objetivo es facilitarnos la navegación, imaginen qué molesto sería tener que ingresar usuario y contraseña cada vez que abrimos una nueva pestaña o ventana.

Una cookie solo podrá ser leída por el mismo sitio que la ha creado.

Una descripción más detallada se puede encontrar en el sitio de Cookiepedia

Diferentes tipos de Cookies

Se pueden clasificar de acuerdo a distintos criterios.

  • Por su propósito. Se dividen en necesarias y no necesarias. Las primeras son indispensables para el correcto funcionamiento del sitio web, mientras que las otras son aquellas que añaden características, pero de las que se puede prescindir.
  • Por su origen. Se dividen en directas o de terceros. Las directas son creadas por el propio sitio web que visitamos. Las de terceros, las crean las pequeñas porciones de otros sitios dentro del sitio principal, por ejemplo, los botones de Me gusta de Facebook, o los avisos de Google Ads.
  • Por su duración. Se dividen en persistentes y de sesión. Las de sesión se crean al momento que el usuario inicia una sesión y son temporales, mientras que las persistentes duran más y solo se borran al expirar su tiempo de vida.

Usos y Abusos

Algunos sitios empezaron a usar las cookies como forma de rastrear a los visitantes y construir un perfil asociado con sus preferencias y costumbres de navegación. Esta información les permite mostrar anuncios que serán de mayor interés para los visitantes (y los anunciantes).

privacy

¿Cómo lo hacen?, recordemos que una cookie solo puede ser leída por el mismo sitio que la ha creado. El problema se da con las cookies de terceros.

Supongamos la siguiente situación:

  • Entramos al sitio web A de información de recetas de comida. El botón me gusta de Facebook que tiene el sitio, guarda una cookie, indicando que estuve en el sitio A.
  • Ahora vamos al sitio web B, con otras recetas de comida. el botón me gusta de Facebook puede leer la cookie anterior, ahora sabe que he visitado el sitio A y B sobre recetas de comida. Ya puede informarle a Facebook que estoy ansioso por recibir avisos de publicidad de comidas :).

Mediante el uso de cookies, han llevado registro de los sitios que he visitado.

Navegadores como el que hemos presentado permiten bloquear todas las cookies de terceros, como medida para evitar este tipo de situaciones.

Restricciones Europeas

Europa ha sido la primera en observar esta situación y tomar medidas al respecto para garantizar la privacidad del usuario de Internet.

  • 2002. La Directiva de privacidad Electrónica (ePD). Concebida para proteger la información que se almacena y transmite acerca de los usuarios de Internet.
  • 2009. La Directiva 2009/136/EC, en efecto desde el 25 de Mayo de 2011. Actualización de la ePD, que introduce reglas específicas para el uso de cookies. Por este motivo se la conoce como la Directiva Cookie o la Ley de las Cookies.

La primera puntualización que hay que hacer, es que no se trata de una ley, sino una directiva. Las directivas son recomendaciones a tener en cuenta y no son legalmente vinculantes. Cada país tiene libertad para aplicarlas dentro de su jurisdicción.

La ePD se enfoca principalmente en las comunicaciones entre partes, y cubre más que datos personales, específicamente, tratamiento de cookies y tráfico de datos.

GDPR

En el año 2016 se realiza el lanzamiento del Reglamento General de Protección de Datos Europeo, más conocido por las siglas GDPR (General Data Protection Regulation). Esta normativa entró en vigor en el 2016, pero se estipularon dos años de transición para su imposición (2018). Las regulaciones sí son leyes y responsabilizan legalmente a los involucrados.

Sin embargo, la GDPR no anula la Directiva Cookie, por el contrario, ambas trabajan en conjunto y se complementan.

GDPR

La GDPR no impacta de forma directa en las cookies, de hecho, las menciona una sola vez en su largo contenido. Sin embargo, requiere un consentimiento sin ambigüedad cuando se recolectan datos personales.

Cookies que pueden ser usadas (o su combinación con otros datos) para identificar un individuo, se consideran sujetas a los casos de recolección de datos personales, tratados en el GDPR.

En este caso, los datos recolectados, son la cookie, y por esto bajo la GDPR se requiere que el usuario haga clic de forma explícita en el botón que indica que se brinda consentimiento.

Mientras que la GDPR solo aplica al procesamiento de datos personales, la ePD define reglas para toda comunicación, aún cuando no contenga datos personales.

Jurisdicción

Para sitios web fuera de Europa, pero que trabajan con usuarios europeos, la regla general es que se aplicará GDPR, pero no así el ePD.

Sin embargo, esto es motivo de debate entre abogados, al punto que European Data Protection Board (EDPB), organismo internacional de supervisión, ha tenido que emitir su opinión sobre el criterio de aplicación de uno y otro.

Condiciones por Cumplir

Para cumplir con las exigencias del ePD respecto al uso de cookies, todo sitio debe cumplir:

  1. Al visitar el sitio, se debe informar que usa cookies.
  2. Se debe proveer información detallada de cómo se usarán los datos en la cookie.
  3. El visitante podrá aprobar o rechazar el uso de cookies.
  4. De negarse, se debe asegurar que no se colocarán cookies para el visitante.

El consentimiento debe obtenerse la primera vez que el visitante entra al sitio. Visitas subsecuentes no lo requieren.

Como consecuencia de la entrada en vigencia de la GDPR, el proceso de notificación del uso de cookies se modifica:

  1. Informar claramente sobre el uso de cookies, en la política de privacidad y la política de uso de cookies de su sitio. Estas políticas deben ser de fácil acceso para el usuario.
  2. El consentimiento implícito no es suficiente. Debe ser dado por una acción clara, como marcar una casilla, clic en un botón o selección de preferencias en un menú de opciones. Por este motivo dejan de ser válidos mensajes como: “al usar este sitio, usted acepta el uso de cookies”.
  3. La decisión sobre cookies debe ser granular. Se deben agrupar las cookies por categoría y permitir decidir por cada una.
  4. Los visitantes podrán modificar sus preferencias sobre cookies en cualquier momento.

El GDPR aplica tanto para cookies propias como de terceros.

Política de Cookies

La política de cookies debe especificar claramente que cookies se usan, la categoría de cada una y el motivo de su uso.

Esta política no reemplaza la política de privacidad, sino que la complementa.

Categorías de Cookies

Se requiere la configuración de cookies sea granular, de acuerdo a las siguientes categorías:

  • Esenciales. Necesarias para el correcto funcionamiento del sitio. Por ejemplo, todo lo relacionado con seguridad y autenticación de usuarios.
  • Rendimiento y funcionalidad. Son suplementos de la funcionalidad del sitio, pero no esenciales.
  • Analítica y personalización. Normalmente un sitio comercial usa información de analítica para tener información del uso de los visitantes en el sitio.
  • Publicidad. Son normalmente cookies de terceros.
  • Redes sociales. Vínculos para compartir, resaltar noticias, etc. Normalmente son cookies de terceros.

Algunas cookies no necesitan consentimiento

Se estipula que no se requiere consentimiento cuando las cookies son estrictamente necesarias o esenciales para el funcionamiento del sitio.

Cookies asociadas con la seguridad, como las usadas en autenticación del usuario, son estrictamente necesarias.

De Directiva a Regulación

En estos momentos (inicio de 2021), se trabaja sobre la creación de una Regulación de Privacidad Electrónica (ePR). Así como la GDPR, la ePR tendrá cobertura extraterritorial, lo que significa que afectará países fuera de la Unión Europea.

Un aspecto muy positivo de la aprobación de esta regulación es que el proceso de gestión de cookies se ha revisado, y se espera incorporar su información y aprobación de una forma centralizada, para evitar esos molestos avisos en cada sitio. Por ejemplo, se analiza la posibilidad que las opciones de cookies puedan ser leídas desde configuraciones en el navegador, y así facilitar al usuario su especificación.

La ePR actualiza la ePD incluyendo un número mucho mayor de clases de comunicación, como mensajería web, voz sobre IP (VoIP) así como correo electrónico en Web. A modo de ejemplo, empresas como WhatsApp y Skype serán sometidas a esta regulación.

Presente y Futuro

Es importante tener conocimiento de los procesos asociados al uso de cookies y las reglas a cumplir en caso que nuestros usuarios o nuestra instalación se use dentro de la Unión Europea.

Es muy probable que otros países seguirán el ejemplo europeo, para asegurar el respeto a la privacidad de los usuarios de Internet.