La actual normativa sobre cookies es absurda y un auténtico cachondeo. Sí. Pero es lo que tenemos. Nos ha tocado bailar con el más feo del baile o jugar al mus con las de alpedrete (el 4, el 5, el 6 y el 7).
Para colmo, uno se lee el texto legal y, vaya, puede parecer «a priori» más o menos sencillo, pero, ¡ojo!, vete después a guías de agencias y dictámenes de Grupos, que nos obligan a ganarnos la vida poco menos que igual que en el circo, haciendo malabarismos y andando por la cuerda floja, como la risa que nos entra, porque, claro, tienes que informar exhaustivamente sobre las cookies -qué son, los tipos, si son tuyas o de terceros, sus finalidades, cómo desactivarlas…- pero has de hacerlo de forma clara que asegure que el usuario medio se queda enterado y bien enterado de algo que, en la mayoría de las ocasiones, ni el editor de la página sabía y le va a requerir un gran esfuerzo aprender.
Como me considero optimista (porque todos lo hacemos aunque luego realmente seamos unos amargados, no por otra razón), me dije a mí misma: “Mimisma, aquí hay que poner un poco de claridad”. Bien, ya quedó expuesto aquí y aquí el momento en el que pueden activarse las cookies, que resumidamente es una vez que el usuario haya consentido su instalación, previo a lo cual ha debido ser informado, y bien informado, sobre las las mismas.
Para cumplir con la actual normativa, entre otros posibles modelos, tenemos:
1.- Un aviso, que se active cuando se acceda a la web, en el que se suministre absolutamente toda la información sobre las cookies y se de la opción al usuario de aceptarlas o no. Esto sería algo así como las ventanitas o menús que nos aparecen cuando nos queremos instalar un software, con los términos y condiciones, y la casilla o botón de “acepto” que todos pinchamos sin haber leído ni una línea. Paradojas.
2.- El famoso sistema de información en dos capas. Se encuentra detallado en la Guía sobre el Uso de las Cookies de la AEPD, y ha sido comentado en la primera sanción por ella impuesta en la materia. Esquemáticamente, la información que debe contener cada capa sería:
Quiero detenerme en este segundo modelo, el de la doble capa, por dos motivos: Me da la sensación de que está siendo el más utilizado y además, aunque aparentemente puede parecer sencillo, me da en la nariz que no lo es tanto.
En la propia guía de la AEPD que he mencionado y enlazado, se nos ofrece un ejemplo de cómo podría ser el aviso correspondiente a la primera de estas capas:
Pues bien, en mi opinión, tal aviso resulta algo insuficiente. Veamos las posibilidades que tiene el usuario que se encuentra con esto:
1.- Continuar navegando: en este caso se podrán activar las cookies. Esto sería semejante a pinchar en un botón de “aceptar”, aunque no se haya accedido a toda la información, y entiendo que aquí es el usuario el responsable de tal aceptación. Se le dio la oportunidad de informarse y si él no lo ha hecho no puede responsabilizarse al editor de la web.
Ahora bien requerirá una navegación efectiva, no basta con que el usuario permanezca con la pantalla abierta estática sin mover siquiera el curso (que le puede haber dado un apretoncillo y ha tenido que salir disparado al WC). “En todo caso la mera inactividad del usuario no implica la prestación del consentimiento por sí misma” nos indica la Agencia en su guía.
En este supuesto, se suele dejar transcurrir cierto tiempo, que normalmente va de 10 segundos a 1 minuto, para que las cookies sean activadas, de modo que transcurrido ese tiempo, si el usuario ha continuado navegando de forma efectiva por la web, le serán instaladas las cookies.
2.- Absolutamente nada: Supongamos que le ha dado el apretoncillo… En teoría no podrían instalarse las cookies, que deberían permanecer en suspenso, por lo recién comentado, hasta que el usuario lleve a cabo algún otro tipo de acción.
3.- Pinchar el enlace para cambiar la configuración u obtener más información: ¿Y aquí qué sucede? Porque si entendemos que eso es navegar por la web, podríamos instalar las cookies transcurrido el tiempo que hayamos previsto para ello. Pero, ¿a alguien le da tiempo a leerse toda la información que nos obligan a suministrar sobre las cookies en un minuto? ¡Y encima entenderla! Menos aun en 10 segundos, ¿verdad?
De modo que si aplicamos la regla del punto nº 1 ante esta acción del usuario, le habremos «metido» las cookies en su dispositivo sin haberle dado la oportunidad de haberse informado debidamente cuando dicho usuario sí ha querido obtener tal información. Y esto, siguiendo los criterios de la Agencia, entiendo sería sancionable, pues no puede entenderse que haya habido consentimiento válido.
En mi opinión, en este último supuesto, se debería dejar en suspenso la instalación de las cookies y, bien al inicio del texto informativo de la segunda capa, bien al final, o incluso en ambas posiciones, volver a dar la oportunidad al usuario de aceptar (tanto pinchando en un botón de aceptar como si sale de esa capa sin haber pinchado el botón rechazar) como de rechazar la instalación de las cookies.
Divertido, ¿verdad?
No dejo de preguntarme en qué estaría pensando el legislador europeo… Entiendo que al usuario hay que protegerlo y soy la primera en defender tal protección, pero lamentablemente suele ocurrir que se legisla sin tener en cuenta las consecuencias prácticas que se pueden derivar. En este caso, además, resulta sangrante, ya que ese usuario al que los prestadores europeos van a proteger y evitar que se le instalen cookies sin su información previa y consecuente consentimiento, ése, no va a dejar de visitar multitud de páginas web a la que no resulta de aplicación la normativa sobre cookies y, por lo tanto, éstas continuarán instalándose en sus dispositivos.
Para terminar, les dejo el esquema de lo que, en mi opinión, se puede o no hacer en función de la acción elegida por el usuario en o tras el aviso que constituye la primera capa de información:
* Siempre que se haya avisado en la primera capa de que el acto de continuar navegando se entenderá como aceptación.
Foto y esquemas: Ruth Benito Martín
PD: No. Este blog no cumple estrictamente con la actual normativa de cookies. Primera y fundamental razón: no considero que estemos ante un prestador de servicios de la sociedad de la información, a pesar de que por los textos contenidos en algunas de sus páginas así pudiera entenderse (¿qué quieren?, finalmente no sería yo quien decidiera si se me ha de colgar tal etiqueta, así que al menos cumplir con lo que se pueda). Segunda razón: al parecer (carezco los conocimientos técnicos para asegurarlo), esta versión de wordpress no admite la instalación de pluggin alguno para ello, y como consecuencia no puedo paralizar la activación de las cookies de Automaticc Inc (wordpress) hasta obtener consentimiento del usuario. No obstante, si alguien tiene cualquier sugerencia o solución, le agradeceré enormemente me la haga llegar (abogada[arroba]ruthbenito.com).
Con la venia, señorías 
Por fin una explicación sobre los avisos sobre cookies que llevo viendo estos últimos meses; tendré que volver a leerla, eso sí, porque la encuentro complicada (a pesar de tener una idea general sobre la función que realizan las dichosas galletas).
El último párrafo es el que más me preocupa, ya que yo también tengo un par de blogs (como cientos de miles de personas que no somos expertos ni en informática ni en derecho) y parece que también me afecta.
Prohibir Internet, no la prohibirán (porque no pueden), pero cada vez le ponen más palos en las ruedas con la escusa de la seguridad.
Muchas gracias por el artículo.
Reblogged this on ATRESADVOCATS.
No tener nada claro lo de las cookies por más que leo guías y normativa es normal?
Es terrible, ya no sé que decirle a mis clientes, basicamente lo estoy recomendado a los que llevan publicidad de terceros y todos los que tenga Analytics. Yo la primera.
Pero también he leído que WordPress utiliza una cookie para sus estadísticas que entraría dentro de las que hay que informar. Lo que hace aplicable la ley a todas las páginas hechas con WordPress.
Gracias por tu preocupación por el tema. Buen artículo.
Buenos días.
Genial el post y muy bueno el símil del WC para describir que es lo que pasa la mayoría de veces con el mensaje de las cookies.
¿Realmente a alguien que le interese el contenido de una web, va a estar muy atento realmente a si acepta o no ciertas cookies?. Lo dudo mucho la verdad.
Por mi propia experiencia, si algo me interesa lo leo sin pensar en el aviso de las cookies y si hago click en este aviso, el 90% de las veces es para que no moleste en la navegación.
Pero de momento, es la norma que tenemos y habrá que cumplirla con todo el sentido común que podamos.
Un saludo desde Gandia.
Creo que no entiendes muy bien como funciona una cookie. Las cookies no las para un banner, sino el programador. Y no es obligatorio parar solo indicarlas…El problema es que si bloqueas las cookies las estadísticas se de desmadran…Personalmente sin estadísticas no monto blog…
El problema importante, es que pasa con esos datos después…Porque tu entras en mis blog y a mi lo único que me interesa es donde has estado y la permanencia…pero Google te hace una trazabilidad de todo lo que visitas…lo cual es peor .
En fin…Al final nos toca aprender a programas a los abogados no hay otra….Vaya añito que nos está dando el Php y los scripts..Ya nos podían preguntar por multas de tráfico XD