<disclaimer> No soy jurista ni especialista en leyes, y tampoco pretendo proporcionar servicios relacionados con este ámbito ni nada parecido. Este artículo es simplemente mi visión del asunto tras haber investigado, haber buscado mucha información y haberme leído la última versión de la LSSI. Espero simplemente que te haya resultado útil. </disclaimer>
En primer lugar vaya por delante que esta mal llamada "Ley de Cookies" me parece un despropósito tal y como está planteada, y en mi opinión supone poner más palos en las ruedas de las maltratadas empresas europeas, poniéndolas en mayor desventaja aún con las empresas de otras partes del mundo y en especial con las de EEUU.
La "Ley de Cookies"
La Ley de Servicios de la Sociedad de la Información, más conocida como LSSI, que data del año 2002, describe los derechos de los usuarios de servicios en la Red así como las obligaciones de los prestadores de dichos servicios. Es decir, que afecta a todas las empresas y personas que hagan uso de Internet para vender algo, promocionarse, prestar servicios, poner publicidad, etc… En la práctica, por tanto, afecta a casi todo el que haga algo en Internet, por lo que hay que tenerla muy en cuenta.
Nota: Esta ley es muy amplia y tiene muchas exigencias. En esta ocasión me voy a centrar únicamente en la parte relativa a las "cookies" y el almacenamiento de información, así que ten en cuenta que hay muchas más cosas que hacer para adaptarse a la LSSI.
En marzo del año pasado (2012), con vigencia desde abril, se aprobó en España el Real Decreto-Ley 13/2012 de 30 de marzo,por el que (y cito):
"se transponen directivas en materia de mercados interiores de electricidad y gas y en materia de comunicaciones electrónicas, y por el que se adoptan medidas para la corrección de las desviaciones por desajustes entre los costes e ingresos de los sectores eléctrico y gasista".
¿Comorrrr? ¿Qué tiene que ver la electricidad y el gas con la LSSI?
Bueno, por lo que se ve en el Real Decreto en el que se establecía principalmente esa corrección, incluyeron de canto lo que nos afecta a nosotros como trabajadores de la Red. Se trata de una modificación que afecta a la manera en la que podemos almacenar en el navegador la información sobre los visitantes y usuarios de nuestros sitios web, y es una adaptación de una directiva de ámbito europeo que paulatinamente están adoptando todos los países de la UE. Es lo que se ha llamado "Ley de cookies".
Esta mal llamada "Ley" no es tal, sino que se trata únicamente del artículo 22 de la LSSI, que dice algo tan escueto como lo siguiente:
"Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.
Cuando sea técnicamente posible y eficaz, el consentimiento del destinatario para aceptar el tratamiento de los datos podrá facilitarse mediante el uso de los parámetros adecuados del navegador o de otras aplicaciones, siempre que aquél deba proceder a su configuración durante su instalación o actualización mediante una acción expresa a tal efecto.
Lo anterior no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión de una comunicación por una red de comunicaciones electrónicas o, en la medida que resulte estrictamente necesario, para la prestación de un servicio de la sociedad de la información expresamente solicitado por el destinatario."
¿Qué demonios quiere decir todo esto?
Traducido al cristiano, de lo que habla este artículo es de la ilegalidad de almacenar información de cualquier tipo en el navegador del usuario que vaya a estar disponible entre visitas sin el previo consentimiento de éste. Lo más habitual: las cookies. Ya he hablado anteriormente de las cookies: qué son, para qué sirven, cómo se utilizan, etc…
El espíritu de la Ley me parece muy apropiado: proteger tu privacidad evitando que, sin tu permiso previo, los anunciantes vayan siguiéndote por todo Internet sabiendo qué páginas visitas, qué artículos o temas te interesan, etc… Eso es bueno, pues evita ciertos abusos que se cometen constantemente por parte de grandes anunciantes, grandes buscadores, grandes medios de comunicación y grandes tiendas on-line.
¿Ves un patrón en lo anterior? ;-) Sí, efectivamente, la palabra clave es "grandes". Y es ahí, a mi juicio, donde la LSSI (y otras leyes similares) no están bien diseñadas. El problema es que, en lugar de atajar el problema enfocándose en las prácticas que llevan a cabo Google, Facebook, DoubleClick y otras muchas grandes empresas, lo que hacen es trasladar el problema a los pequeños empresarios y a la gente que simplemente trata de ganarse a vida en Internet. El resultado es: mucha más complejidad, uso de las leyes como arma arrojadiza o para tácticas contra la competencia, y finalmente que es inefectiva para el objetivo real que debiera tener, porque los grandes siguen haciendo lo que les da la gana (entre otras muchas cosas porque no se guían por la Ley Española o europea).
Dejando de lado este asunto: ¿qué implicaciones tiene sobre mis desarrollos en Internet?
Tipos de cookies y almacenamientos locales según la directiva europea
Lo que implica, grosso modo, es que debemos informar a los usuarios de manera clara sobre qué cookies vamos a guardar en su ordenador antes de hacerlo. Y ello incluye no solo las cookies propias que podamos generar con nuestras aplicaciones, sino también las cookies de terceros que pudiera haber: esto incluye por ejemplo las de Google Analytics, Faceboook y otros botones de redes sociales, etc…
Aunque el artículo 22 de la LSSI no se mete en nada más específico, podemos referirnos a la directiva europea y leer el Dictamen 4/2012, adoptado en Junio de 2012, en el que aclara con mucho detalle qué implicaciones tiene todo esto. Este dictamen, algo posterior a la modificación de la LSSI y surgido como aclaración, divide las cookies que pueden estar exentas de la aplicación de la directiva, y que por tanto están permitidas, en dos criterios:
- Criterio A: la cookie se utiliza "al solo fin de efectuar la transmisión de una comunicación a través de una red de comunicaciones electrónicas".
- Criterio B: la cookie es "estrictamente necesaria a fin de que el proveedor de un servicio de la sociedad de la información preste un servicio expresamente solicitado por el abonado o el usuario". Esto quiere decir que sea "estrictamente necesario" desde el punto de vista del usuario, no del prestador de servicios, lo cual es una puntualización extremadamente importante.
Y también distingue entre "cookies de sesión" (las que se eliminan cuando el usuario cierra el navegador) y las "cookies de terceros" (que son las que generan en tu sitio web otras empresas que no son la tuya, por ejemplo Google o Facebook).
Esto quiere decir que, sin consentimiento previo del usuario, está permitido usar: cookies de sesión y las cookies que -aún siendo persistentes- sean estrictamente necesarias para el funcionamiento de la aplicación.
El documento anterior muestra un montón de ejemplos prácticos reales y es bastante interesante leerlo, pero por ejemplo serían válidas la siguientes cookies:
- Cookies de identificación de sesión: como las que usa ASP.NET y casi todos los frameworks de servidor.
- Cookies de autenticación: las que se utilizan para persistir la sesión abierta de una visita a las siguientes, algo muy habitual también.
- Cookies de seguridad: según el criterio B. Serían las que pongamos para tratar de mejorar la seguridad del usuario, como por ejemplo una que almacene que ha intentado autenticarse erróneamente varis veces y que tomamos medidas extra de seguridad al detectarlas. Cosas así.
- Cookies multimedia: necesarias a veces para reproducir audio y vídeo y que almacenan cosas como la velocidad de conexión, la calidad preferida, etc… y que según el criterio B se consideran indispensables para el funcionamiento de este tipo de aplicaciones.
- Cookies para personalización de la interfaz de usuario: si el usuario indica su idioma favorito, una plantilla concreta que quiere utilizar para cambiar la estética, colores, etc… Este tipo de almacenamiento entre sesione está permitido.
- Algunas de las cookies necesarias para intercambiar contenidos sociales: con ciertas salvedades. Este caso es bastante complejo, por lo que lo comentaré en exclusiva un poco más adelante.
Cookies de redes sociales
Esta parte es demencial, y merece una explicación por separado.
Hoy en día es muy común colocar en tu página web botones específicos de redes sociales, tanto para permitir que te sigan a ti o a tu empresa, como para fomentar que compartan artículos, productos y otros contenidos en las diferentes redes sociales. Además las redes sociales se integran en nuestras páginas y aplicaciones de muchas otras formas: para hacer comentarios, con posts embebidos, contadores de compartición de páginas… En la actualidad las principales redes sociales están presentes en una gran mayoría de las páginas web de terceros, y se puede considerar en muchos casos que son una parte casi indispensable.
Esta situación otorga un poder sin precedentes a estas redes sociales, ya que tienen un "chivato" en casi cada página de Internet, recaban información sobre las visitas, su frecuencia, su ubicación y muchos otros datos. Y como la mayoría de los usuarios se encuentra conectado permanentemente a esas redes (por vagancia generalmente nadie cierra la sesión) toda esa información se recoge en muchos casos con nombre y apellidos, y puede ser atada para crear perfiles muy completos de cada usuario de esas redes. Existe un vídeo muy efectista que te recomiendo que veas para darte cuenta de lo que esto representa. Se trata de un "medium" que le cuenta cosas personales a gente que conoce por la calle en Bruselas, y que lo único que hace es darles información que saca simplemente de su perfil público de Facebook. Imagínate lo que saben Facebook y otras redes de ti accediendo a toda la información, no solo a la que es pública.
Está claro que esto es algo que debería ser controlado en aras de nuestra privacidad, así que una Ley bien planteada en este sentido es interesante. El problema es que, como la Ley "no puede" forzar a estas grandes empresas extranjeras a comportarse (aunque imagino que sí podría presionarlas actuando sobre las filiales locales, pero…), lo que hace es trasladar el problema a los usuarios finales, es decir, a las empresas que usan las redes sociales de manera totalmente inocua tratando simplemente de dar a conocer sus productos y vender más, pero no invadiendo en modo alguno la privacidad de sus visitantes.
¿Qué dice la directiva europea respecto a las cookies de estas redes sociales?
Primeramente distingue entre los usuarios que están con su sesión abierta en las redes sociales y los que no la tienen abierta o no pertenecen a la red. Los primeros se supone que son conscientes de ello y que saben que las redes en las que estén les están "vigilando" por lo que no es necesario avisarles de las cookies puestas por los botones y complementos de estos sitios que haya en nuestra página. A los demás usuarios (si no están dados de alta o no tienen la sesión abierta) hay que avisarles y además impedir la escritura de las cookies hasta que consientan explícitamente a ello.
En la práctica tú no tienes forma de saber si el usuario está conectado o no, además de que en mi opinión la mayoría de ellos no son conscientes de que sus redes sociales les están siguiendo por Internet y elaborando un perfil de consumo. Los que sí lo saben y por tanto podrían actuar según la directiva son las redes sociales en cuestión. Pero no lo hacen, por lo que la responsabilidad recae en nosotros. Como lo oyes. Aunque tú no seas el que pone esas cookies en tu página o aplicación, y aunque tampoco te beneficies de los perfiles que elaboran, si un usuario denuncia la responsable será tu empresa y no la red social o la aplicación ajena que ha creado la cookie. Así que no nos queda más remedio que controlar este hecho y ser nosotros los que no permitamos que se guarden esas cookies hasta que el usuario de su consentimiento. Surrealista.
Cookies de Google Analytics y otras herramientas de análisis de tráfico
Otra parte esencial de cuaquier sitio web es la necesidad de analizar el tráfico que recibe. Ello nos permite conocer de forma anónima cuestiones fundamentales para mejorar el marketing y el foco de nuestro sitio web o de nuestra aplicación: de dónde vienen nuestros visitantes, qué palabras clave de búsqueda han utilizado para llegar a nosotros, cuánto tiempo echan en el sitio, qué rutas siguen, en qué punto abandonan un proceso de compra…. Imprescindible.
La herramienta más habitual de análisis y que usa un elevado porcentaje de los sitios web es Google Analytics. Es gratuita y fácil de poner en marcha y ofrece un análisis anónimo realmente bueno que, bien utilizado, nos permitirá optimizar nuestro sitio al máximo según nuestros objetivos de negocio.
Por suerte hay relativas buenas noticias en este frente: Google Analytics utiliza solamente cookies de tipo "first-party", es decir, que son generadas en tu propio dominio, y no en un dominio de terceros (cookies "thrid-party", como podría ser uno de Google) y por lo tanto no pueden ser utilizadas para agregar información de tus usuarios, como hacen las redes de publicidad o las redes sociales. Según esto, y mientras no uses ninguna técnica para identificar a los usuarios y sean estadísticas anónimas, sería suficiente con informar al usuario de que estás usando una cookie de analítica, sin que sea necesario que éste la acepte explícitamente. Es decir, bastaría incluso con que estuviese explicado en el aviso legal de tu sitio. Es más, el propio Dictamen 4/2012 de Europa, mencionado antes, dice hacia el final:
"A este respecto, si el artículo 5, apartado 3, de la Directiva 2002/58/CE se revisara en el futuro, el legislador europeo podría añadir un tercer criterio de exención del consentimiento para cookies que se limiten estrictamente a fines estadísticos agregados y de anonimización de origen.
Hay que distinguir claramente entre los análisis propios y los análisis de terceros, que utilizan un cookie de terceros común para recoger datos de navegación de los usuarios a través de diferentes sitios web y suponen un riesgo notablemente más elevado para la privacidad."
Es decir, que no las considera peligrosas e incluso se plantean meterlas en las excepciones más adelante. Se nota que al menos hay alguien que ha pensado bien este asunto :-P
En mi opinión (y la de muchos otros) las cookies de Analytics se pueden utilizar siempre y cuando informes de ello en el aviso legal. De todos modos en Internet hay muchas opiniones enfrentadas al respecto, y he encontrado también muchos artículos expresando una opinión contraria. De todos modos David González Calleja, de Lexnova, dice que la falta de consentimiento para el uso de cookies no podrá ser sancionada (las multas en teoría podrían llegar a ser de 30.000€).
Mi recomendación sería ponernos del lado de la seguridad e informar de manera más evidente (y no solo en el aviso legal) de que estamos usando cookies par analítica anónima en nuestro sitio web.
¿Y si la página de mi empresa está alojada en una plataforma ajena (Wordpress, Blogger, Tumblr, Facebook, LinkedIn…)?
Mala suerte. El hecho de que sean estos servicios, fuera de tu control, los que ponen las cookies y no tú, no te exime de la responsabilidad que emana del artículo 22 de la LSSI. Es tu empresa como responsable de la página la responsable también de cumplir con la legislación e informar y pedir el consentimiento para el uso de las cookies. Si te denuncian el responsable es tu empresa y no la empresa que te presta el servicio.
Así que si tienes la página de tu empresa en wordpress.com, por ejemplo, ojo porque estaréis incumpliendo por defecto la "Ley de cookies" puesto que se generará automáticamente una cookie de seguimiento de la empresa Automatic ("madre" de Wordpress) y encima en EEUU, con lo que es transmisión internacional de datos personales (si los pidieras en la página, aunque la IP de conexión cuenta como dato personal, así que OJO).
Lo mismo si tienes una página de empresa en Facebook, LinkedIn o Google+, algo muy habitual. Aunque dudo que nadie te vaya a denunciar por eso (y le vayan a hacer caso), pero lo cierto es que iría contra la LSSI y su artículo 22.
¿Afecta a mi blog o página personal?
Si tu página no es comercial no estás afectado por la LSSI. Eso sí, si incluyes banners para tratar de ingresar algo por publicidad o si tienes botones de pago para vender algún producto (por ejemplo un pequeño libro electrónico o lo que sea), o si la utilizas con cualquier fin que se pueda considerar mínimamente comercial, entonces sí estará afectado.
¿Llega con poner simplemente un aviso?
En absoluto. Eso sería demasiado fácil ¿verdad?.
La ley obliga a informar de manera clara, exhaustiva y previa a la instalación, de las cookies no-exentas que pueda haber en tu sitio web. Si instalas las cookies y luego informas no vale de nada.
Consulta y cambio de opinión en cualquier momento
No llega solo con informar y que acepten. Se debe permitir que si luego cambian de opinión, los usuarios puedan rechazar el consentimiento. Además en cualquier momento pueden volver a ver la información clara y exhaustiva sobre las cookies, por si quieren pensárselo mejor y estudiarlo un poco más :-/
¿Afecta solamente a las cookies?
No, en absoluto. Afecta a todo aquel sistema de almacenamiento local entre sesiones que se pueda realizar en el equipo cliente de tus usuarios. Es decir, que afecta a las cookies pero también al Local Storage, almacenamiento de Flash, o cosas mucho más exóticas y medio "hacks" como el uso de los ETags de caché para distinguir a usuarios entre llamadas (que son, por otro lado, mucho más difíciles de detectar). Así que cuidado con esto, pues te afectará en cualquier caso.
¿Conoces algunas herramientas que me ayuden a cumplir con la "ley de Cookies"?
Por fortuna la gente se ha puesto las pilas y existen en Internet algunas herramientas interesantes para ayudarnos a cumplir con la legislación europea.
En campusMVP y demás sitios de Krasis estamos utilizando una excelente herramienta llamada Cookie Consent. Es un script gratuito y Open Source muy potente, que puedes descargar y, controlando un poco de JavaScript, colocarlo en tu página y personalizarlo al máximo mediante su API. Además permite que no se muestre automáticamente a los visitantes fuera de la UE, para evitar molestarlos innecesariamente. Muestra información clara, detallada y previa de todas las cookies que tú le marques, añade un enlace donde quieras (una vez que hayas consentido) desde el que podrás ver la información de nuevo y desactivar el consentimiento cookie por cookie. Muy recomendable.
Puedes verlo en acción en la página de campusMVP (si entras desde un país de la Unión Europea).
Si haces una búsqueda rápida en Internet verás que existen infinidad de plugins y servicios para ayudarte a cumplir con la directiva de cookies, algunos gratuitos, otros de pago, algunos sencillos y otros más profesionales. No te puedo recomendar ninguno porque no los he probado.
Una crítica personal
En general encuentro que las leyes que se promulgan en Europa en general y en España en particular sobre cuestiones relacionadas con las tecnologías de la información, tienen un buen espíritu pero están muy mal planteadas:
- No distinguen entre grandes empresas y PYMEs y autónomos. Las primeras se pueden permitir pagar las multas sin problema y les compensa hacerlo en muchos casos incumpliendo la legislación. A las segundas les supone una dificultad enorme conocerlas y cumplirlas, la mayoría no lo hacen y están en perpetúo peligro de ser sancionadas. Si alguna es multada normalmente puede significar su cierre pues las multas son muy elevadas (hasta 30.000€ por una infracción leve en el caso de la LSSI o la LOPD).
- Cargan la responsabilidad en las empresas usuarias y no en los prestadores de origen. En el caso concreto de las cookies, debería obligar a Google, Faceboook, grandes agregadores de publicidad y el resto de grandes empresas de Internet a cumplir con esa legislación. No obligar a un pequeño empresario que bastante hace con tener una web y mantenerla a tener que lidiar con esto y todas sus complejidades. Pero supongo que será lo más fácil. Y así nos va.
- Matar moscas a cañonazos: El peligro a la privacidad no viene del hecho de que un pequeño negocio utilice Analytics o los botones de Facebook en su web. Viene del uso que Google y Facebook en este caso hacen de esa información. Entonces ¿por qué no legislarlos a ellos en lugar de al pequeño negocio que es un mero usuario? Además hay cuestiones como la publicidad agregada y mostrada por unos pocos en la mayor parte de los sitios, que sí es peligrosa para la privacidad y debería estar más controlada, pero hay otros tipos de registros mucho más inocuos que se están poniendo al mismo nivel.
- Nos ponen en clara desventaja frente a empresas de fuera, especialmente las de EEUU. Éstas no tienen que lidiar con estas complejidades y sus negocios fluyen mucho mejor en Internet que los nuestros, sin miedo a recibir sanciones monumentales por las cosas más tontas. Ellos tienen códigos de auto-regulación, no leyes que les obligan. Es el usuario el que decide si una empresa que no se auto-regula le merece confianza o no.
- Se usan de arma arrojadiza. Como estas leyes no hacen distinciones y muchas veces se aplican ciegamente, se pueden usar como armas arrojadizas contra la competencia. Se ponen trampas a la competencia para que incumplan o si se sabe que no cumplen se les puede denunciar para que les caiga una sanción. Una empresa grande puede hundir a una pequeña si ésta es incapaz de conocer y cumplir toda la legislación que le compete. No olvidemos que las multas incluso por sanciones leves pueden ser de hasta 30.000€. Imagino que aquí se está teniendo sentido común a la hora de aplicar la legislación, pero ha habido casos famosos de sanciones claramente desproporcionadas.
- Hoy en día hay medios para la responsabilidad individual. ¿No quieres que te hagan "tracking" en Internet? Usa la navegación privada que tienen todos los navegadores modernos o deshabilita explícitamente las cookies y demás cuestiones en los ajustes de seguridad y privacidad de tu navegador.
- Los usuarios europeos tienen que aguantar molestos pop-ups o capas informativas cuando entran por primera vez en un sitio. En la mayoría de los casos a la gente no le importa pero tendrán que aguantar que los bombardeen en cada sitio con la preguntita. Seguro que hay maneras menos intrusivas de hacerlo. Es más, el que no lo ponga e incumpla la ley tendrá ventaja frente a los que si lo hagamos, que estaremos molestando al usuario.
- Do Not Track. Existe una propuesta, adoptada hoy en día por casi todos los navegadores, para explicitar de manera voluntaria que no se quiere que a uno lo sigan en Internet. No me gusta la opción por defecto de IE10 y posteriores de enviar la cabecera "DNT" por defecto en todas las peticiones, y creo que le está haciendo daño a su adopción. Sin embargo es una idea interesante que sería fácil de implementar en los navegadores de modo que permitiera una decisión sitio por sitio, y combinarla con la legislación relacionada para hacer que los grandes sitios de Internet tuvieran que hacerle caso.
Esperemos que más allá de la ley, los encargados de aplicarla tengan el buen criterio y sentido común de discernir la intención y la casuística a la hora de sancionarla, y no aplicarla ciegamente.
Como digo no soy jurista y con todo lo anterior no pretendo más que facilitar un poco el conocimiento de estos temas a personas con un perfil técnico normalmente y que están alejadas por regla general de este tipo de cuestiones. Es tan solo mi punto de vista obtenido a partir de lo que he podido investigar, y espero que a más de uno le resulte útil y le pueda ahorrar mucho tiempo. Ya bastante difícil nos ponen las cosas a las PYMEs ¿verdad?
¡Espero que te resulte útil!