Normativa GDPR y Cookies

gavel El GDPR y las Cookies

El Reglamento General de Protección de Datos (GDPR - Reglamento UE 2016/679) es la normativa europea que regula el tratamiento de datos personales. En vigor desde el 25 de mayo de 2018, el GDPR ha revolucionado la forma en que las empresas deben gestionar los datos de los usuarios en línea.

En cuanto a las cookies y las tecnologías de seguimiento, el GDPR establece que el consentimiento del usuario debe ser libre, específico, informado e inequívoco. Esto significa que todo sitio web que utilice cookies no esenciales debe obtener el consentimiento explícito antes de instalarlas.

Importante: El GDPR se aplica a todos los sitios web que tratan datos de usuarios residentes en la Unión Europea, independientemente de dónde tenga su sede la empresa.

¿A quién se aplica el GDPR?

Sitios web y comercios electrónicos que recopilan datos de usuarios de la UE
Aplicaciones web y móviles que utilizan cookies o tecnologías de seguimiento
Plataformas que ofrecen servicios a usuarios en la Unión Europea
Cualquier actividad en línea que trate datos personales de ciudadanos europeos

cookie Banner de Cookies: Obligaciones y Requisitos

El banner de cookies es la herramienta principal mediante la cual un sitio web informa a los usuarios sobre el uso de cookies y recoge su consentimiento. Según la normativa vigente, el banner debe aparecer en la primera visita del usuario y debe cumplir requisitos técnicos y legales específicos.

Elementos obligatorios del Banner de Cookies

Información clara: Explicación simple y comprensible de qué cookies se utilizan y con qué propósito
Botón de aceptación: Un botón claro para aceptar todas las cookies
Botón de rechazo: Un botón igualmente visible para rechazar las cookies no esenciales
Gestión granular: La posibilidad de elegir qué categorías de cookies aceptar

Atención: Continuar navegando o hacer scroll en la página NO puede considerarse como consentimiento válido. La Autoridad de Protección de Datos ha aclarado que el consentimiento debe ser una acción explícita y positiva.

policy Directrices de la Autoridad de Protección de Datos 2022

Con la disposición del 10 de junio de 2021 (vigente desde el 9 de enero de 2022), la Autoridad de Protección de Datos emitió las nuevas "Directrices sobre cookies y otros instrumentos de seguimiento". Estas directrices introdujeron importantes novedades que todo sitio web debe cumplir.

Principales novedades

block Bloqueo preventivo

Las cookies no esenciales deben bloquearse hasta que el usuario proporcione su consentimiento explícito.

close Botón de rechazo

El banner debe tener un botón de rechazo con la misma visibilidad que el botón de aceptación.

tune Consentimiento granular

El usuario debe poder elegir individualmente las categorías de cookies que desea aceptar.

no_encryption Sin cookie wall

No está permitido condicionar el acceso al sitio web a la aceptación de cookies (con algunas excepciones).

swipe_down Sin scroll como consentimiento

El desplazamiento de la página ya no puede considerarse una forma de consentimiento válido.

settings_backup_restore Revocación del consentimiento

El usuario debe poder revocar el consentimiento en cualquier momento de forma sencilla y rápida.

Validez del consentimiento

El consentimiento de cookies tiene una validez máxima de 6 meses, transcurridos los cuales el banner debe presentarse nuevamente al usuario. Además, el consentimiento debe documentarse y conservarse para demostrar el cumplimiento en caso de auditorías.

checklist Requisitos Técnicos para el Cumplimiento

Para cumplir con la normativa, tu sitio web debe satisfacer una serie de requisitos técnicos específicos. Aquí tienes una lista completa de lo que es necesario implementar:

Cookie Banner

Debe aparecer en la primera visita del usuario
Debe contener una información breve clara y comprensible
Debe tener un botón para aceptar y otro para rechazar con igual prominencia
Debe permitir la gestión granular de las categorías de cookies
Debe ser accesible en todo momento para modificar las preferencias
No debe utilizar prácticas engañosas (dark patterns)

Bloqueo preventivo de scripts

Todas las cookies no esenciales deben bloquearse antes del consentimiento
Los scripts de terceros (Google Analytics, Facebook Pixel, etc.) deben cargarse solo después del consentimiento
El bloqueo debe implementarse del lado del servidor o mediante un tag manager
Las cookies técnicas necesarias para el funcionamiento del sitio están exentas del bloqueo

Registro de consentimientos

Cada consentimiento debe registrarse con marca temporal
Debe ser posible identificar al usuario que dio el consentimiento
Las preferencias expresadas deben conservarse
El registro debe ser accesible para posibles verificaciones de la Autoridad

Documentación necesaria

Política de Privacidad actualizada y detallada
Política de Cookies con listado completo de las cookies utilizadas
Registro de actividades de tratamiento (para empresas con más de 250 empleados)

history El Archivo de Consentimientos

El archivo de consentimientos (o registro de consentimientos) es una obligación introducida por el GDPR que requiere que los responsables del tratamiento puedan demostrar que el consentimiento fue efectivamente obtenido. Esto se aplica no solo a las cookies, sino a cualquier forma de consentimiento recogida en línea.

Art. 7 GDPR: "Cuando el tratamiento se base en el consentimiento, el responsable del tratamiento debe ser capaz de demostrar que el interesado ha dado su consentimiento al tratamiento de sus datos personales."

¿Qué significa esto en la práctica?

Cada vez que un usuario interactúa con un mecanismo de consentimiento en tu sitio (banner de cookies, formulario de contacto, suscripción a newsletter, etc.), debes conservar una prueba de dicho consentimiento. Esta prueba debe incluir quién dio el consentimiento, cuándo, a qué y cómo.

¿Qué consentimientos archivar?

Todos los consentimientos recogidos a través de tu sitio web deben archivarse y conservarse. Estos son los principales:

cookie Consentimiento de Cookies

Cada interacción con el banner de cookies debe registrarse con las preferencias expresadas.

mail Formulario de Contacto

El consentimiento al tratamiento de datos expresado a través de los formularios de contacto.

newspaper Newsletter

La suscripción a la newsletter con prueba de consentimiento (doble confirmación).

shopping_cart E-commerce

Consentimientos relativos a términos de servicio, marketing y perfilado.

person_add Registro de Usuario

El consentimiento expresado durante la creación de una cuenta.

campaign Marketing y Perfilado

Consentimientos específicos para actividades de marketing directo y perfilado.

Contenido del registro

Cada registro del archivo de consentimientos debe contener la siguiente información:

Identificador del usuario: Email, ID de usuario u otro identificador único
Marca temporal: Fecha y hora exacta en que se expresó el consentimiento
Tipo de consentimiento: Cookies, política de privacidad, marketing, etc.
Versión de la información: A qué versión de la política de privacidad/cookies consintió el usuario
Método: Cómo se recogió el consentimiento (banner, formulario, checkbox, etc.)

Atención: La falta de conservación de los consentimientos puede acarrear sanciones significativas. En caso de inspección, deberás poder demostrar que cada consentimiento fue obtenido legítimamente.

Consentio automatiza la recopilación y archivo de todos los consentimientos, generando un registro completo y a prueba de auditorías, siempre disponible para inspecciones.

warning Sanciones por Incumplimiento

El incumplimiento de la normativa GDPR y las directrices de la Autoridad de Protección de Datos puede acarrear sanciones administrativas muy severas. Las multas pueden alcanzar hasta el 4% de la facturación anual global de la empresa o hasta 20 millones de euros, según cuál sea mayor.

Sanción máxima: Hasta 20 millones de euros o el 4% de la facturación anual mundial, según cuál sea superior.

Ejemplos de sanciones en Italia

Falta de banner de cookies: Sanciones de €10.000 a €120.000
Cookies instaladas sin consentimiento: Sanciones de €6.000 a €36.000 por infracción
Aviso de privacidad inadecuado: Sanciones de €6.000 a €36.000
Falta de registro de consentimientos: Sanciones de hasta €20.000.000 o 4% de la facturación
Transferencia de datos extra-UE no conforme: Sanciones de hasta €20.000.000 o 4% de la facturación

No arriesgues sanciones que podrían poner en jaque tu negocio. El cumplimiento del GDPR no es opcional, es una obligación legal. Consentio te ayuda a cumplir en pocos minutos.

analytics Google Consent Mode v2

A partir de marzo de 2024, Google exige que todos los sitios web que utilicen servicios de Google (Analytics, Ads, Tag Manager) implementen el Consent Mode v2. Sin esta implementación, los datos de conversión y analíticas podrían perderse.

¿Qué es el Consent Mode?

Google Consent Mode es una API que permite comunicar a Google el estado del consentimiento de los usuarios. Según el consentimiento obtenido, Google adapta el comportamiento de sus etiquetas y servicios, garantizando el respeto de la privacidad de los usuarios.

Desde marzo de 2024: Google exige la implementación del Consent Mode v2 para seguir recopilando datos de conversión y remarketing en el Espacio Económico Europeo (EEE) y el Reino Unido.

Parámetros del Consent Mode v2

ad_storage: Controla el uso de cookies para publicidad
analytics_storage: Controla el uso de cookies para analíticas
ad_user_data: Controla el envío de datos del usuario a Google para publicidad
ad_personalization: Controla la personalización de anuncios

Consentio está certificado como CMP (Consent Management Platform) compatible con Google Consent Mode v2. La integración es automática y no requiere configuración adicional.