Una guía práctica de seguimiento con cookies propias

Esta guía explica seguimiento con cookies propias de forma práctica, con un enfoque en decisiones de analítica respetuosas con la privacidad.

Las cookies de origen las establece el sitio web que utiliza el visitante. Las cookies de terceros las establece otro dominio, a menudo para publicidad, retargeting o servicios integrados. Los navegadores y los usuarios suelen confiar más en las cookies de origen, pero no son automáticamente respetuosas con la privacidad ni están exentas de consentimiento.

Para análisis de marketing, las cookies de origen pueden mejorar la calidad de los datos y reducir la dependencia de identificadores de tecnología publicitaria de terceros. La pregunta importante es qué hace la cookie.

¿Para qué sirven las cookies propias?

Las cookies de origen son útiles para la autenticación, la continuidad de la sesión, los carritos de compras, las preferencias de idioma, los controles de seguridad y para recordar la elección de consentimiento del visitante. Suelen ser necesarios para el servicio que el usuario solicitó.

También pueden respaldar el análisis al recordar que el mismo navegador visitó varias páginas o regresó más tarde. Eso ayuda a calcular sesiones, visitas repetidas, embudos y atribución. Debido a que la cookie pertenece a su dominio, es menos probable que los navegadores la bloqueen que las cookies de terceros.

Por qué la propia parte no significa libre de consentimiento

Las reglas de cookies de la UE se centran en almacenar o acceder a información en el dispositivo del usuario, no solo en si la cookie es propia o de terceros. El informe del grupo de trabajo del banner de cookies EDPB explica que el acceso al dispositivo se rige por las reglas ePrivacy, mientras que el procesamiento posterior también puede involucrar a GDPR (Grupo de trabajo del banner de cookies EDPB).

Una cookie de análisis de origen aún puede no ser esencial. Si rastrea el comportamiento para medición, personalización o marketing, muchos sitios necesitarán consentimiento a menos que se aplique una exención local limitada. Si admite seguridad o funcionalidad de sesión estrictamente necesaria, el análisis es diferente.

Análisis propio frente a vigilancia propia

Existe una gran diferencia entre utilizar una cookie propia de corta duración para contar las visitas y utilizar el seguimiento propio para reconstruir el mismo perfil publicitario invasivo que solían soportar las cookies de terceros.

Tenga cuidado con las propuestas de "etiquetado del lado del servidor" o "seguimiento propio". Algunas configuraciones enrutan datos publicitarios a través de su propio dominio para que los navegadores los traten como propios y luego los reenvíen a las plataformas publicitarias. Esto puede mejorar la durabilidad del seguimiento, pero puede aumentar su responsabilidad porque la recopilación de datos parece provenir de su sitio.

El seguimiento propio que prioriza la privacidad debe seguir estas reglas:

• Utilice el período de retención más corto que respalde la métrica.
• Evite recopilar datos personales sin procesar en las propiedades del evento.
• No sincronice identificadores con redes publicitarias a menos que los usuarios lo den claramente.
• Elimina los parámetros de URL sensibles.
• Mantenga la analítica separados de las audiencias publicitarias.
• Explique claramente la finalidad en su aviso de privacidad.

Cuando es mejor sin cookies

Si solo necesita análisis agregado del sitio web, es posible que no sea necesaria una cookie de análisis propia. La analítica sin cookies puede contar visitas a páginas, referencias, campañas, objetivos y clics salientes sin almacenar un identificador de análisis en el navegador.

Se pierde algo de precisión en torno a los visitantes que regresan y la atribución de sesiones múltiples, pero se obtiene un cumplimiento más sencillo, menos fricción con los banners y una historia de confianza más limpia. Para los sitios de contenido, organizaciones sin fines de lucro, páginas del sector público y muchos sitios de marketing, esa compensación suele ser favorable.

Criterios de decisión

Utilice cookies de origen cuando el usuario espere continuidad: inicio de sesión, carrito, preferencia guardada, seguridad o una función que el usuario solicitó. Considere el análisis sin cookies cuando el objetivo sea la medición agregada. Requerir consentimiento explícito cuando la cookie admita publicidad, elaboración de perfiles, medición entre sitios o personalización no esencial.

Para cada cookie, documente:

• Nombre y dominio.
• Objetivo.
• Caducidad.
• Datos almacenados.
• Si es necesario.
• Si los datos se comparten con los proveedores.
• Requisito de consentimiento y base jurídica.

Este inventario pertenece a sus registros más amplios de procesamiento y revisión de proveedores. También ayuda a los equipos de ingeniería a eliminar las cookies obsoletas que no pertenecen a nadie.

Configuración práctica de marketing

Un sitio de marketing consciente de la privacidad puede funcionar así:

• Cookies necesarias solo para la elección del consentimiento, la seguridad y las sesiones iniciadas.
• Análisis sin cookies para tráfico, campañas y objetivos.
• Eventos de compra o registro del lado del servidor sin datos personales enviados a análisis.
• Píxeles publicitarios opcionales cerrados tras un consentimiento claro.
• Revisión mensual de etiquetas para eliminar scripts no utilizados.

Las cookies de origen son una herramienta, no una estrategia de cumplimiento. Pueden ser legítimos y útiles, o pueden ser una forma de preservar las prácticas de seguimiento que los usuarios intentaban evitar. El camino que prioriza la privacidad es comenzar con la pregunta de medición, utilizar el mecanismo menos invasivo que la responda y documentar la compensación.

Preguntas de auditoría antes de establecer una

Antes de agregar una cookie de análisis propia, pregunte quién se beneficia de ella y si el mismo informe funciona sin ella. Si el único beneficio es un recuento de visitantes que regresan un poco más limpio, la medición sin cookies puede ser suficiente. Si la cookie admite una función que el usuario solicitó, documente ese propósito por separado de la analítica de marketing.

Comprueba también la caducidad. Una cookie que dura dos años para facilitar la presentación de informes es difícil de defender. Los períodos más cortos, las métricas aproximadas y los informes agregados suelen brindar a los equipos de marketing los datos de tendencias que necesitan con un menor costo de privacidad.

Ejemplo de inventario de cookies

Documente cada cookie en una tabla antes de enviarla. Incluye name, domain, purpose, category, expiry, data stored, vendor, consent required y deletion owner. Una cookie llamada _site_session para la continuidad del inicio de sesión puede ser necesaria y de corta duración. Una cookie denominada _visitor_id para análisis de visitantes recurrentes puede requerir consentimiento y debe tener una caducidad clara.

El inventario debe coincidir con lo que realmente muestra un navegador, no con lo que dice el folleto de un proveedor. Pruebe en un perfil limpio, rechace el consentimiento opcional, acepte el consentimiento opcional, inicie sesión si es relevante y exporte las cookies resultantes. Este pequeño paso de control de calidad detecta cookies de origen accidentales establecidas por administradores de etiquetas, medios integrados o scripts publicitarios.

Auditoría final de cookies

Antes de aprobar una cookie análisis de origen, pruebe el sitio antes de cualquier elección, después del rechazo y después de la aceptación. Inspeccione las cookies, el almacenamiento local y de sesión, los píxeles, los activadores del administrador de etiquetas, las llamadas de red y los eventos del lado del servidor.

Si la cookie admite una función solicitada por el usuario, documente ese propósito por separado de la analítica de marketing. Si admite la medición, documente la caducidad, el requisito de consentimiento, el acceso del proveedor y si el mismo informe podría funcionar con datos agregados sin cookies.