Una guía práctica de banner de consentimiento de cookies

Esta guía explica banner de consentimiento de cookies de forma práctica, con un enfoque en decisiones de analítica respetuosas con la privacidad.

Un cartel de galletas no es una decoración. Es una interfaz de consentimiento. Si la interfaz es engañosa, está incompleta o activa rastreadores antes de que el visitante elija, puede crear un riesgo de cumplimiento y al mismo tiempo empeorar el uso del sitio.

La primera pregunta no es "¿Qué complemento de banner deberíamos instalar?" Es "¿Necesitamos consentimiento para las tecnologías que utilizamos?"

Cuando normalmente no necesitas un banner de cookies

Por lo general, no necesita consentimiento para cookies o almacenamiento similar que sea estrictamente necesario para proporcionar un servicio solicitado por el usuario. Los ejemplos incluyen:

• Mantener un usuario conectado
• Recordar artículos en un carrito de compras.
• Mantener funciones de seguridad o prevención de fraude.
• Guardar una preferencia de privacidad
• Equilibrar la carga o mantener una sesión necesaria para el servicio solicitado.

Aún debe explicar estas tecnologías en tu aviso de privacidad o de cookies, pero generalmente no requieren una ventana emergente de consentimiento.

Cuándo normalmente necesita consentimiento

Por lo general, se requiere consentimiento cuando se utilizan cookies, píxeles, almacenamiento local, SDK o tecnologías similares para fines tales como:

• Publicidad comportamental
• Reorientación
• Seguimiento entre sitios
• Píxeles de redes sociales
• Análisis de terceros
• Mapas de calor o grabaciones de sesiones.
• Personalización que no es estrictamente necesaria
• Pruebas A/B vinculadas a perfiles identificables o persistentes

La ICO del Reino Unido explica que las organizaciones deben proporcionar información clara y obtener consentimiento para las cookies que no son estrictamente necesarias según PECR (orientación sobre cookies de la ICO). Los países de la UE aplican las normas ePrivacy a través de la legislación nacional, y los estándares GDPR determinan si el consentimiento es válido.

Analytics es un área gris, no un pase gratuito

Las cookies de análisis a menudo se tratan con demasiada informalidad. Algunos reguladores permiten exenciones limitadas para la medición de la audiencia, pero solo bajo condiciones estrictas.

Por ejemplo, la CNIL explica que los rastreadores de medición de audiencia pueden estar exentos del consentimiento solo cuando se limitan a medir la audiencia para el editor, se utilizan para producir estadísticas anónimas, no se combinan con otros tratamientos y se configuran dentro de límites específicos (hoja de análisis CNIL).

Eso no describe muchas configuraciones de análisis predeterminadas. Si una herramienta de analítica establece identificadores persistentes, comparte datos con un ecosistema publicitario, rastrea a los usuarios en todos los sitios o transfiere datos personales a un tercero para sus propios fines, no debe asumir que califica para una exención.

La analítica sin cookies que prioriza la privacidad puede reducir o eliminar la necesidad de un banner cuando evita almacenar identificadores en el dispositivo y no procesa datos personales para el seguimiento. Pero la configuración importa. "Sin cookies" no es una etiqueta legal mágica si la herramienta toma las huellas digitales de los usuarios o recopila datos excesivos.

Qué debe hacer un banner compatible

El informe del EDPB Cookie Banner Taskforce criticó patrones oscuros comunes, como casillas marcadas previamente, falta de opciones de rechazo y diseños que hacen que el rechazo sea más difícil que la aceptación (Informe EDPB PDF).

Un buen banner debería:

• Bloquear rastreadores no esenciales hasta que se dé el consentimiento.
• Presentar las opciones "Aceptar" y "Rechazar" con igual importancia al solicitar el consentimiento.
• Evita las casillas marcadas previamente.
• Permitir a los usuarios tomar decisiones detalladas según su propósito.
• Utiliza un lenguaje sencillo, no niebla legal.
• Haga que el retiro sea tan fácil como dar consentimiento.
• Registre el estado de consentimiento sin crear un seguimiento innecesario.
• Evita presionar sobre el color, el tamaño o la ubicación de los botones.

El consentimiento debe ser una elección real. Si la ruta de "rechazar" está oculta detrás de tres pantallas mientras que "aceptar todo" es brillante e inmediata, el diseño está haciendo lo opuesto a la privacidad por diseño.

Un mejor flujo de trabajo que el cumplimiento de banner-first

Antes de agregar un banner, ejecute una auditoría de seguimiento:

1. Enumere cada script, píxel, SDK, regla del administrador de etiquetas, cookie, clave de almacenamiento local e iframe.
2. Registre el proveedor, el propósito, los datos recopilados, la retención, la región y si se activa antes del consentimiento.
3. Clasificar cada elemento como estrictamente necesario, análisis, publicidad, personalización o soporte.
4. Eliminar herramientas sin propietario o sin propósito comercial claro.
5. Reemplazar herramientas invasivas donde la medición agregada sea suficiente.
6. Configura el banner de consentimiento solo para lo que queda.

Esto a menudo revela que el banner más sencillo es el que ya no necesitas. Muchos sitios descubren píxeles antiguos, herramientas de mapas de calor no utilizadas, etiquetas de análisis duplicadas y scripts de pruebas A/B abandonados.

Errores comunes

Disparar etiquetas antes del consentimiento es el más importante. Un banner que aparece después de que los rastreadores ya estén cargados no tiene significado.

Otros errores incluyen:

• Tratar el "interés legítimo" como una solución alternativa para las cookies publicitarias.
• Combinar análisis y anuncios en una opción de todo o nada
• Hacer que el banner sea imposible de descartar sin aceptarlo.
• Uso de etiquetas vagas como "mejora tu experiencia" para el seguimiento de anuncios
• Olvidar los diseños móviles, donde los botones de rechazo pueden aparecer fuera de la pantalla.
• No respetar Global Privacy Control o las señales de exclusión voluntaria regionales cuando corresponda

Lista de verificación de control de calidad del banner

Pruebe el sitio antes de cualquier elección, después de aceptar, después de rechazar y después de retirar. Inspeccione las llamadas de red, las cookies, el almacenamiento local y de sesión, los píxeles, los activadores del administrador de etiquetas y los eventos del lado del servidor. Si se activan análisis o publicidad opcionales antes de una elección válida, el banner es cosmético. Si se afirma que la analítica están exentos, documente el propósito limitado, sin seguimiento entre sitios, sin reutilización de publicidad, retención breve e información clara del usuario.

El resultado final

El cumplimiento de los banners de cookies no consiste en instalar una ventana emergente. Se trata de decidir qué seguimiento es necesario, pedir un consentimiento válido cuando no lo es y respetar la respuesta.

El mejor resultado de privacidad y UX es minimizar el seguimiento antes de diseñar el banner. Si el análisis agregado y sin cookies responde a la pregunta empresarial, a menudo se puede reducir la fricción en el consentimiento, mejorar la calidad de los datos y dejar de pedir a los visitantes que aprueben un sistema de seguimiento que nunca quisieron.