La nueva normativa de la AEPD plantea un horizonte sin banners de cookies para miles de webs

La Agencia Española de Protección de Datos ha explicado qué considera como cookies exentas de consentimiento por parte de los usuarios.
imagen de caos generado por las cookies en ecommerce, con galletas gigantes cayendo del cielo en un entorno apocalíptico
15 de enero, de 2024
Copiar enlace

El fin de la era de las cookies está siendo más tumultuoso de lo que se podría haber esperado, al menos en España. Así, a mediados de diciembre te contamos la polémica surgida cuando ElDiario.es comenzó a mostrar un banner en el que mostraba dos opciones a sus usuarios: navegar gratis sin publicidad, para lo que se deben aceptar las cookies; o navegar sin publicidad a cambio de pagar una suscripción a partir de 1 euro semanal.

Ante las dudas surgidas, en ese momento te explicamos que de acuerdo con la normativa de la AEPD (Agencia Española de Protección de Datos) de julio de 2023 era factible optar por esta modalidad: «Podrán existir determinados supuestos en los que la no aceptación de la utilización de cookies impida el acceso al sitio web, o la utilización total o parcial del servicio, siempre que se informe adecuadamente al respecto al usuario, y se ofrezca una alternativa, no necesariamente gratuita, de acceso al servicio sin necesidad de aceptar el uso de cookies».

Aquella polémica, previa a Navidad, se reavivó en los últimos días cuando otros medios comenzaron a seguir este mismo enfoque, solicitando un pago a sus usuarios por esquivar las cookies, como vemos en el caso de Eleconomista.es:

banner de cookies de Eleconomista

Este movimiento, que generó nuevamente una oleada de críticas en X, llega de la mano de una nueva publicación de la AEPD, realizada el pasado 11 de enero, titulada «Guía del uso de cookies para herramientas de medición de audiencia».

Esta guía se centra en las cookies utilizadas con el fin de obtener estadísticas de tráfico o de rendimiento, aclarando que «podrían estar exentas de consentimiento bajo ciertas condiciones«.

normativa cookies aepd

Además, el texto explica que «para estar exentas del consentimiento, estas cookies o tecnologías similares no deben dar lugar a que los datos se cotejen con otras operaciones de tratamiento o a que los datos se transmitan a terceros. Además, no deben permitir el seguimiento agregado de la navegación de la persona que utiliza diferentes aplicaciones o navega por diferentes sitios web. Por lo tanto, se excluye cualquier solución que utilice el mismo identificador en varios sitios (por ejemplo, a través de cookies colocadas en un dominio de terceros cargado por varios sitios) para hacer referencias cruzadas, duplicar o medir una tasa de alcance unificada de un contenido».

De esta forma, la AEPD comienza el año cambiando el paso a un gran número de webs que se encuentran en este caso, y que ven ante sí la posibilidad de evitar el siempre incómodo banner de aceptación de cookies a sus usuarios.

Cuáles son las cookies consideradas exentas por la AEPD

Porque… ¿qué considera la AEPD como cookies exentas de consentimiento? Partimos de un marco en el que en julio de 2023 la Agencia explicaba que «si las cookies que se pretenden utilizar no son necesarias para el funcionamiento del servicio o de la aplicación, se debe permitir a los usuarios dar su consentimiento antes de la descarga del servicio o de la aplicación».  Ahora, lo que hace el nuevo texto es acotar más qué considera como cookies necesarias para el funcionamiento de la web o app en relación con la medición del tráfico.

En su publicación, la AEPD considera que para la correcta administración de un sitio únicamente son estrictamente necesarias las siguientes mediciones:

  • Medición de audiencia, página por página
  • La lista de páginas desde las que se ha seguido un enlace para solicitar la página actual (a veces llamada «referente»), ya sea interna o externa al sitio, por página y agregada diariamente
  • Determinación del tipo de dispositivo, navegador y tamaño de pantalla de los visitantes, por página y agregados diariamente
  • Estadísticas de tiempo de carga de la página, por página y agregadas por hora
  • Estadísticas sobre el tiempo dedicado a cada página, la tasa de rebote, la profundidad de desplazamiento, por página y agregadas diariamente.
  • Estadísticas sobre las acciones de los usuarios (clics, selecciones), por página y agregadas diariamente
  • Estadísticas sobre la zona geográfica de origen de las solicitudes, por página y agregadas diariamente.

Y en cualquier otro caso, sí que debería recurrirse a la captación del consentimiento por parte del usuario.

Cómo actuar en el caso de las cookies exentas

Pero, si te encuentras en este caso, en el de las cookies exentas, ¿cómo debes proceder?

De acuerdo con el texto publicado:

  • Los usuarios serán informados de la utilización de estas cookies o tecnologías similares consideradas exentas con el propósito de medición de audiencias, por ejemplo, a través de la política de privacidad del sitio o la aplicación móvil
  • La vida útil de estas cookies o tecnologías similares se limitará a un período que permita una comparación significativa de audiencias a lo largo del tiempo, como es el caso de una duración de trece meses, y que no se extenderá automáticamente en nuevas visitas
  • La información recopilada a través de estas cookies o tecnologías similares se conservará durante un período máximo de veinticinco meses.
  • La vida útil y periodo de conservación mencionados anteriormente estará sujetas a revisión periódica para limitarse a lo estrictamente necesario.

Pero la AEPD también reserva un espacio para hablar de los proveedores de servicios de analítica («medición comparativa de audiencia a varios editores»), quienes deben garantizar que:

  • Los datos se recopilan, procesan y almacenan de forma independiente para cada editor
  • Las cookies o tecnologías similares utilizadas son completamente independientes las unas de las otras y de cualquier otra cookie o tecnología similar.

Este cambio en la forma de afrontar el problema de las cookies supone un cambio relevante, especialmente para miles de pequeñas webs que centran sus cookies no técnicas en el campo de la analítica y que podrían verse exentas de recoger el consentimiento de sus visitantes, tal y como recuerda el experto en analítica Pablo Moratinos en su perfil de X.

En cualquier caso, se trata de un movimiento que, por el momento, genera más dudas que certezas, y que llega, como decíamos, en un momento en el que muchas webs todavía están adaptándose al cambio de Universal Analytics a GA4, Google está dando sus primeros pasos reales hacia un entorno postcookies y todavía no conocemos cuál será el encaje de esta novedad en el marco de la RGPD, con vigor a nivel europeo.

Imagen: GPT4

Publicado por

Content manager en Marketing4eCommerce
Content manager de Marketing4eCommerce desde 2014. En este tiempo he redactado más de 1.600 artículos relacionados con el mundo del marketing.

Suscríbete a M4C

Únete a nuestro canal de Whatsapp

¡Todo lo que necesitas saber!

Apúntate a nuestra newsletter y recibe gratis en tu correo nuestros mejores artículos sobre eCommerce y marketing digital.