Cómo cumplir la Ley de Cookies sin matar a Google Analytics

scroll

[thb_message type=»notice»]DISCLAIMER: Este artículo no es una guía exhaustiva sobre cómo cumplir la mal llamada «Ley de Cookies» ni pretende constituirse como la única interpretación válida de la misma. No soy consultor ni pretendo proporcionar ningún servicio relacionado sobre esta materia, sólo compartir con la Comunidad de camaradas del metal nuestra solución para cumplir la legislación vigente.[/thb_message]

La primera en la frente: la Ley de Cookies no existe

Hay mucho ruido y leyenda alrededor de la «Ley de Cookies«. La mayoría generado por partes interesadas. La mejor forma de entender lo que verdaderamente dice la Ley es… leer la Ley. Sin embargo, no existe una Ley de Cookies como tal sino la LSSI (Ley de Servicios de la Sociedad de la Información) de toda la vida, que fue modificada por el Real Decreto-Ley 13/2012 de 30 de marzo para adaptar nuestra legislación a las directivas comunitarias relativas a las comunicaciones electrónicas dentro de Europa.

La Ley de Cookies explicada a mi mamáLa Ley es un auténtico LADRILLAZO, por supuesto, pero el contenido relacionado con la «Ley de Cookies» se circunscribe al apartado segundo del artículo 22. Parece escrita en klingon, pero sólo hace falta un poco de esfuerzo y paciencia para entenderla. Es mucho más difícil comprender la letra de cualquier canción de Héroes del Silencio.

Si, a pesar de todo, la verborrea jurídica te supera, siempre puedes leer la Guía sobre el uso de Cookies de la Agencia Española de Protección de Datos o recurrir a la versión simplificada para Teletubbies.

Hecha la Ley, hecha la trampa

Cada uno puede extraer su propia interpretación de la Ley, pero, después de pegarme un par de semanas con el texto y debatir largo y tendido con el experto jurista Jeroclo el espartano, he llegado a algunas conclusiones que os pueden ahorrar quebraderos de cabeza y, sobre todo, horas de trabajo:

  • La ley habla del «almacenamiento y recuperación de datos en equipos terminales de los destinatarios», no de cookies. Así que, si te crees un hacker de nivel 33 por usar eTags o cualquier otra cosa que guarde en el ordenador del usuario datos recuperables, sigues incumpliendo la ley.
  • Para poder utilizar cookies o cualquier otra cosa, necesitamos el consentimiento previo del usuario. Es decir, si avisas al usuario de que usas cookies, pero le instalas una antes de que dé su consentimiento -por ejemplo, de Google Analytics- sigues incumpliendo la ley.
  • Se permite la aceptación implícita, la otorgada por el usuario simplemente por navegar por tu web. Eso sí, después de que le hayas informado y solicitado permiso. A partir de ahí, un simple scroll puede ser interpretado como navegación.
  • La información sobre cómo revocar el consentimiento y eliminar las cookies debe ser accesible y permanente.  Los usuarios podrán retirar el consentimiento previamente otorgado en cualquier momento.

Exta sí. Exta no. Esta cookie me la como yo

En realidad, no todas las cookies están sujetas al artículo 22 de la LSSI. Un dictamen de la Unión Europea determinó que no es necesario informar al usuario ni pedir permiso por el uso de cookies técnicas.

Chimo gestiona las cookies

¿Y qué son eso de cookies técnicas? Pues aquellas destinadas a:

  •  Permitir la comunicación entre el equipo del usuario y la red.
  •  Prestar un servicio expresamente solicitado por el usuario.
  •  Gestionar la sesión de reproductor multimedia.
  •  Gestionar el balanceo de carga sesiones de usuario.
  •  Personalizar la interfaz de usuario.
  •  Gestionar complementos (plugins) para intercambiar contenidos sociales.

Un ejemplo de este tipo de cookies son las utilizadas para autenticar a un usuario, recordar datos introducidos en un formulario o gestionar carritos de la compra.

Cada web es un mundo…

… y todos creemos que somos el ombligo del mundo. La mía es una aplicación web, un producto que no contiene ningún tipo de publicidad y, por ello, tiene unas necesidades específicas que no se parecen en absoluto a las que tiene un medio de comunicación que vive de la publicidad. Debido a esto, he decidido definir por separado los requisitos y problemáticas de cada uno:

Web de Producto

  • No hay espacios publicitarios revendidos a terceros.
  • La métrica principal son las visitas, los usuarios de la aplicación.
  • Las páginas vistas son una métrica secundaria utilizada para aprender cómo usan la aplicación los usuarios, no para vender publicidad a los mismos.
  • En la mayoría de los casos, la recogida y gestión de métricas se hace con Google Analytics.

Medio de Comunicación

  • Existen espacios publicitarios –banners– gestionados por terceros mediante iframes por lo que NO tienen control sobre el HTML del mismo.
  • Las páginas vistas son una métrica principal, puesto que son el stock publicitario, el activo con el que el medio obtiene ingresos.
  • La recogida y gestión de métricas se hace con Google Analytics y otros productos más específicos como ComScore o Nielsen.

Google Analytics es como el Atleti: Me mata. Me da la vida.

La lista de cookies técnicas nos enseña que la mayoría de las tiendas, aplicaciones y webs de producto no usan ninguna cookie cuyo uso exija un consentimiento previo por parte de los usuarios… exceptuando las de Google Analytics. Vaya por Dios.

Analytics y las cookies

Aunque no uses Analytics con ningún objetivo publicitario, lo cierto es que su uso sirve para identificar a los usuarios, por lo que cae dentro de los supuestos que cubre el apartado segundo del artículo 22 de la LSSI.

Algunos pensarán que, para lo que usan Analytics, lo mejor que pueden hacer es desactivarlo y así hacer que su web cumpla inmediatamente la LSSI. Es verdad. El resto, los valientes o inconscientes que quieran o necesiten métricas web, bienvenidos a Mordor:

  • Algunos dicen que usando la última versión de Analytics, Universal Analytics, se puede  tener tracking y métricas webs sin usar cookies. Es verdad… a medias. Universal Analytics tiene un modo cookieless que te permite usarlo sin utilizar una sola cookie… mientras tú te encargues de identificar al usuario. La única manera de hacerlo es asignarle un ID para Analytics a los usuarios registrados en tu web, pero es muy probable que los usuarios registrados en tu web acepten que uses cookies. Así que, ¿qué pasa con el resto? Pues, o utilizas algún método prohibido por la «Ley de Cookies» para identificarlo o no usas ninguno. Al no proporcionar ningún ID a Analytics todas las visitas serán anónimas. Sí, anónimas y NUEVAS. No tendrás ni una sola visita recurrente. Fuego. Destrucción. Mordor.
  • Una solución muy buena es Cookie Consent, un script personalizable que te permite tener aceptación implícita o explícita, gestionar IPs que no sean europeas y un montón de cosas más… el único problema de Cookie Consent es que, si el usuario no acepta, pierdes cualquier tipo de métrica porque no carga el script de Analytics. Muchos pensarán que dejar de contabilizar algunas visitas no es muy importante, pero, al hacerlo, estás dejando de registrar la tasa de rebote de las visitas nuevas y, por tanto, la efectividad de nuestra web para interesar y adquirir nuevos usuarios. Muerte. Pesadillas. Mordor.

Cookie-kun, nuestro monstruo de las galletas

Intentamos encontrar una solución mejor para Otogami, pero no lo conseguimos. Así que, tuvimos que crear a Cookie-kun, nuestro propio monstruo de las galletas.

Ley de Cookies en Otogami

Intentaré explicar cómo funciona Cookie-kun; aunque, si eres un muggle, un humano sin poderes mágicos ni conocimientos técnicos, es probable que no te enteres de mucho:

  • Usamos un lenguaje poco glamouroso como Java. Eso nos impide ser considerados como hackers que molan en la Comunidad estartapil, eso si, con tecnologías como los filtros web, disponibles desde 1964.
  • Configuramos un filtro web para que intercepte todas la peticiones y las que no lleven adjuntos datos de nuestra cookie de consentimiento, se sirven incluyendo en la página web el HTML y javascript que hace aparecer a Cookie-kun.

Cookie Kun de otogami

  • Pedimos aceptación implícita (con lo que, si el usuario navega por la web o hace scroll de 200 pixeles o más, acepta nuestra política de cookies). ¿Son muchos o pocos 200 pixeles? Abrimos el debate…
  • En esa primera carga, hacemos tracking sin usar cookies con una cuenta de Universal Analytics que hemos llamado ‘Otogami Anónimo’. De esta manera, podemos registrar las visitas anónimas que aún no han aceptado las cookies. ¿Por qué no lo hacemos con nuestra cuenta principal? Porque después de la aceptación de las cookies, Analytics cree que se está produciendo una nueva visita con lo que registraríamos dos visitas cuando en realidad sólo se está produciendo una.
  • Intentamos cargar Analytics sólo cuando hubiera aceptación implícita o cuando hubiera rebote  -es decir, cuando el usuario que no hubiera aceptado, abandonara o cerrara el navegador o pestaña- para poder usar la misma cuenta, pero llegamos al Abismo de Helm. Un problema técnico que no supimos resolver porque no dependía de nosotros sino de algunos navegadores: la primera vez que visitas una web, al intentar registrar la visita en el evento onbeforeunload, el evento no se llegaba nunca a Analytics. A partir de la segunda visita, con el mismo código, sí ¿Por qué? NI IDEA…

Doble cuenta en Analytics

  • Después de la aceptación implícita o explícita del usuario, creamos la cookie de aceptación y, en la siguiente petición, cargamos nuestra cuenta de Analytics de toda la vida, que registra visitas y páginas vistas como siempre.
  • Para saber exactamente el número de visitas, páginas vistas y rebote de Otogami tenemos que sacar la calculadora:
    • Nº de páginas vistas en un día: el sumatorio de las páginas de las dos cuentas
    • Nº de visitas reales de un día: el número de visitas de la cuenta original + (las visitas de la «cuenta anónima» – las visitas nuevas de la cuenta original).
    • % de rebote de una página: (Nº de vistas de la cuenta original + Nº de vistas de la «cuenta anónima») / Nº de rebotes de la cuenta original + Nº de vistas de la «cuenta anónima» que no han registrado un evento de aceptación en Analytics

Hasta el infinito y más allá

Evidentemente no es una solución elegante. Tener que sumar datos de dos cuentas de Analytics es una chapuza, pero al menos nos permite registrar todo lo que pasa en nuestra web y no perder ningún dato.

Espero que, en breve, alguien más listo y con más medios que nosotros implemente una solución que mejore la nuestra; pero, si esta tarda en llegar, lo más seguro es que tiremos de API de Analytics y de un dashboard de nuestros amigos de Ducksboard para consultar nuestras métricas sin tener que usar un ábaco.

Conoce a Cookie-kun en todo su esplendor, visitando Otogami, el Google de los videojuegos.