Francia ha multado con 100 millones de euros a Google y con 35 millones de euros a Amazon por instalar cookies sin el permiso de los usuarios. Un problema puede afectar a cualquier empresa que disponga de una página web. En esta categoría entran por supuesto, las pymes, que conforman más del 95% del tejido empresarial español.
¿Qué es una cookie? Las cookies hacen referencia a la información que envía un sitio web acerca del usuario que navega por una página. Esta información es almacenada en el navegador para que el site pueda consultar por dónde ha navegado ese usuario anteriormente.
Esto permite trazar perfiles de personas para ofrecerles, entre otras cosas, una experiencia publicitaria más afín a sus intereses, con el objetivo de que se produzca una compra. Si Amazon sabe por dónde ha navegado anteriormente el usuario, conocerá cuáles son sus interéses, y le mostrará publicidad acorde a los mismos, algo que también hace Google.
La legislación establece que para la instalación de cookies el usuario debe estar debidamente informado. La Comisión Nacional de la Informática y las Libertades (CNIL), la autoridad francesa en materia de protección de datos, considera que Google y Amazon no eran claros al informar al usuario sobre estos rastreadores publicitarios.
"El elevado importe de la sanción viene derivado del hecho de que Francia trata la regulación de cookies dentro de su norma de protección de datos. Esto hace que apliquen las sanciones del Reglamento General de Protección de datos, y basan el cálculo de la sanción en función del volumen de facturación mundial de las empresas infractoras", explica Esmeralda Saracíbar Socia de Protección de Datos, Risk&Compliance en Ecix Group.
Es algo que se puede trasladar a las empresas españolas, especialmente a las pymes, que con menores posibilidades de digitalización que las grandes empresas están más expuestas a la regulación. Desce Ecix explican qué medidas deben poner en marcha las empresas españolas que no quieran incurrir en riesgos en materia de cookies:
- Las empresas con web que instala cookies deben obtener el consentimiento del usuario. Este debe ser debidamente informado antes de su instalación del propósito de las mismas. Si el usuario se niega , no se podrán instalar cookies.
- El modo de obtener ese consentimiento debe ser expreso, es decir, ha de realizar una acción concreta para darlo. La inactividad no da por hecho este consentimiento.
- Se ha de disponer de sistemas para acreditar que ese consentimiento ha sido efectivamente prestado en la forma exigida por la ley.
- La información mostrada para solicitarle autorización a la instalación de cookies, debe ser clara y legible.
- La página contará con un configurador de cookies, en el que se solicitará el consentimiento al usuario parala instalación. La opción de consentir no debe aparecer nunca premarcada por defecto. Es el usuario quien debe llevar a cabo una acción para marcar aquello que desea. La única excepción es la relativa a la instalación de aquellas cookies técnicas necesarias para poder navegar por la página.
- Se prohíben los 'cookie walls'; aquellos banners que no permiten seguir navegando si no aceptas cookies distintas a las necesarias.
- Cuando la página ofrece vídeos o servicios de terceros, hay que advertir al usuario de que, en caso de no aceptarlas, algunas funciones de la web pueden ser deshabilitadas.
- La fecha máxima permitida para la instalación de cookies es de 24 meses. Pasado ese tiempo, hay que renovar el consentimiento del usuario.
- En el primer banner que se muestra al acceder a la web debe incluirse un enlace a la política de cookies. Debe estar accesible de forma sencilla y gratuita, dentro de un apartado específico de la propia web.
- El usuario debe tener la posibilidad de cambiar la configuración de sus cookies de manera permanente a través del panel de configuración, por lo que en todo momento la política de cookies debe incluir un enlace al configurador.
- Es importante contar con empresas especializadas para revisar tanto los textos referentes a las cookies como el funcionamiento del configurador, así como realizar auditorías de forma periódica.