Ley de Cookies RGPD: ¿Qué es el reglamento ePrivacy y cómo afectará a tu negocio?

¿Cuál es la diferencia entre el RGPD y la Ley de Cookies ePrivacy?

Hablamos del RGPD (o GDPR, por sus siglas en inglés) y del reglamento de ePrivacy, ¿pero conoces la diferencia entre estos dos términos?

En Mailjet, llevamos mucho tiempo siguiendo ambas regulaciones de cerca. En 2018, encargamos un estudio para comprender el impacto que el ePrivacy tendrá en las estrategias de marketing y en el retorno de la inversión de las empresas, que incluía una encuesta a 400 responsables de marketing europeos. Aunque en esta encuesta el 85% de los profesionales del marketing dijeron conocer la diferencia entre el ePrivacy y el RGPD, todavía hay gente que no tiene clara la diferencia entre ambas.

En pocas palabras, el reglamento de privacidad electrónica ePrivacy, conocido popularmente como la Ley de Cookies, es una ley especial dentro del RGPD. Esto significa que complementa el Reglamento General de Protección de Datos con normas específicas que se aplican al sector de las comunicaciones electrónicas. Como ley especial, reemplaza al RGPD en las áreas específicas que cubre.

¿Qué es el ePrivacy o Ley de Cookies?

El ePrivacy es la propuesta de reglamento del Parlamento Europeo en relación a la protección de datos de carácter personal en el sector de las comunicaciones electrónicas. A través de esta nueva norma se derogará la actual Directiva 2002/58/CE que regulaba la privacidad y comunicaciones electrónicas.

Como parte de los objetivos de la Estrategia para el Mercado Único Digital, renovar esta directiva permite aumentar el nivel de protección de los datos personales de los usuarios de internet, así como adaptarse al uso de nuevas tecnologías que pueden poner en peligro la protección de la privacidad de los usuarios finales.

Para entender mejor por qué se conoce al reglamento ePrivacy como “Ley de Cookies”, conviene comprender primero qué son las cookies y qué rol juegan en el seguimiento de datos de los internautas.

¿Qué es una cookie?

Una cookie es una secuencia de información, generalmente pequeña e identificada por un nombre, que puede ser transmitida a tu navegador por un sitio web al que se conecta. Tu navegador web mantendrá la cookie durante un cierto período de tiempo, y la enviará de vuelta al servidor web cada vez que te vuelvas a conectar a él.

Las cookies tienen múltiples usos y pueden clasificarse en distintos tipos en función de parámetros distintos. Tres clasificaciones posibles son:

¿Cuándo entrará en vigor la Ley de Cookies ePrivacy?

En un principio, la Ley de Cookies debía aprobarse en la Unión Europea para que estuviera lista en el momento en el que el RGPD empezara a ser aplicable, el 25 de mayo de 2018. Sin embargo, esta fecha no pudo ser tenida en cuenta debido al alcance de este reglamento, que afecta a prácticamente todos los sitios webs y aplicaciones de España y la Unión Europea.

Entonces, ¿en qué punto estamos? El Consejo Europeo llegó a un acuerdo sobre su nueva propuesta de borrador en febrero de 2021, aunque aun no existe una fecha definitiva para su aprobación final. Una vez aprobada, las compañías tendrán un tiempo prudencial (potencialmente entre unos meses y un par de años) para adaptarse.

Por su parte, las agencias de protección de datos de los diferentes estados miembro de la UE ya empezaron a ofrecer sus recomendaciones para que las empresas puedan adaptarse antes de la llegada de la normativa ePrivacy, siguiendo las directrices del Comité Europeo de Protección de Datos (CEPD).

En España, la Agencia de Protección de Datos presentó en noviembre de 2019 su guía sobre el uso de cookies (actualizada por última vez en julio de 2023). El límite para la aplicación de las nuevas recomendaciones era el 11 de enero de 2024, por lo que muchas páginas web sufrieron cambios en las primeras semanas de enero.

Este tipo de recursos permitirán a las empresas a prepararse para la llegada de la normativa y anticiparse a las consecuencias que estos cambios tendrán en su forma de trabajar.

¿Qué cookies están afectadas por la directiva ePrivacy?

Para saber qué cookies están afectadas, es más fácil repasar aquellas que están recogidas como excepciones.

El requisito de consentimiento no se aplica a las operaciones cuya finalidad exclusiva sea permitir o facilitar la comunicación por medios electrónicos, o aquellas que sean estrictamente necesarias para la prestación de un servicio de comunicación online a petición expresa del usuario.

En particular, los siguientes tipos de cookies pueden considerarse exentos:

• Cookies que conservan la elección expresada por el usuario en el depósito de cookies o el deseo del usuario de no expresar una elección.

• Cookies destinadas a la autenticación con un servicio.

• Cookies destinadas a mantener en la memoria el contenido de un carrito de compras en una página web de comercio electrónico.

• Cookies para personalizar la interfaz de usuario (por ejemplo, para elegir el idioma o la presentación de un servicio).

• Cookies para equilibrar la carga de los equipos que contribuyen a un servicio de comunicación.

• Cookies que permitan a los sitios de pago limitar el acceso gratuito a su contenido a una cantidad predefinida y/o durante un período de tiempo limitado.

• Cookies que permitan la medición de la audiencia.

Por ejemplo, en el caso de un servicio ofrecido a través de una plataforma para la que se necesite registro, se podrá utilizar una cookie para autenticar al usuario sin pedir su consentimiento (ya que esta cookie es necesaria para la prestación de servicios de comunicaciones electrónicas online).

Por otra parte, sólo se podrá utilizar esta misma cookie con fines publicitarios o para otro tipo de comunicaciones como comunicaciones comerciales si el usuario ha dado su consentimiento previo para este fin específico, de acuerdo con las directrices de la Ley de Cookies.

¿Cuáles son algunas recomendaciones generales para cumplir con la nueva Ley de Cookies?

La Comisión Europea, la rama ejecutiva de la Unión Europea, es responsable de la aplicación de las regulaciones del RGPD y el ePrivacy. En España, la Agencia Española de Protección de Datos es el órgano encargado de regular su aplicación. Su guía sobre el uso de cookies que contiene algunas orientaciones prácticas sobre cómo cumplir el requisito del consentimiento informado recogido en el RGPD.

Para ayudar a los empresas en la aplicación del ePrivacy, hemos recogido aquí una serie de recomendaciones generales.

Propósito de las cookies

El propósito de las cookies debe presentarse al usuario antes de que éste tenga la oportunidad de consentir o no su uso. Además, el usuario debe poder averiguar la identidad de todos los responsables de los datos antes de poder dar o rechazar su consentimiento. Por consiguiente, el usuario debe ser plenamente consciente del alcance efectivo de su consentimiento.

Consentimiento de las cookies

Se debe dar al usuario la oportunidad de dar su consentimiento expreso de manera independiente y específica para cada propósito en particular. La mera aceptación general de las condiciones generales de uso o venta no es suficiente para obtener un consentimiento específico.

El consentimiento debe manifestarse mediante un claro acto positivo por parte del usuario. El mecanismo para obtener el consentimiento de los usuarios debe permitir a la persona ser consciente del propósito y el alcance del acto que le permita manifestar su acuerdo o desacuerdo.

Además, los controladores de datos deben poder demostrar que el usuario ha dado su consentimiento. Deben aplicar mecanismos que les permitan demostrar que han obtenido el consentimiento válido de los usuarios interesados.

No aceptación de las cookies

Podrán existir determinados supuestos en los que la no aceptación impida la utilización total o parcial del servicio, siempre que se informe adecuadamente al respecto al usuario. Sin embargo, no podrá denegarse el acceso al servicio en aquellos supuestos en que la denegación impida el ejercicio de un derecho legalmente reconocido al usuario. Esto puede ocurrir cuando la página web el único medio facilitado al usuario para ejercitar tal derecho.

Validez y retirada del consentimiento

La validez del consentimiento prestado por un usuario será recordado sin que haya necesidad de solicitarlo cada vez que visite la página. Se considera buena práctica que el consentimiento para el uso de una determinada cookie no tenga una duración superior a 24 meses.

Los usuarios que hayan dado su consentimiento para el uso de cookies deben poder retirarlo en cualquier momento. Además, debe ser tan simple retirar como dar el consentimiento.

Si quieres leer las recomendaciones de la Agencia de Protección de Datos, te animamos a consultar su guía sobre el uso de las cookies de 2023.

¿Cómo afectará a las empresas la nueva normativa sobre de cookies?

Según el mismo estudio de Mailjet, el 93% de los profesionales del marketing de hoy en día utilizan la publicidad basada en cookies para llegar a sus clientes. Con la nueva normativa sobre privacidad electrónica, las empresas tendrán la obligación, con pocas excepciones, de recabar el consentimiento del usuario antes de cualquier operación de escritura o lectura de cookies.

Para las marcas, esto podría significar una reducción drástica de la cantidad de datos que almacenan sobre sus usuarios digitales. Parece que las empresas han comprendido que tendrán que revisar su estrategia de marketing. De hecho, un 30% de los encuestados destacó que planean reducir su volumen publicidad basada en cookies, inmediatamente después de la entrada en vigor de la nueva normativa.

Para ciertos sectores, como los medios de comunicación, la nueva directiva ePrivacy amenaza incluso su modelo de negocio en internet.

Los órganos de regulación europeos sabían que la aplicación de la legislación europea podía tener repercusiones económicas en determinadas empresas. Por ello, han planteado una aplicación progresiva y la posibilidad de que algunas empresas pueden estar total o parcialmente exentas.

¿Qué cambios pueden implementar los equipos del marketing para prepararse para el ePrivacy?

Pero entonces, ¿qué soluciones se pueden implementar para compensar esta reducción en el número de datos almacenados a través de las cookies?

A continuación te explicamos algunos cambios potenciales que puedes implementar ante la llegada de la nueva normativa:

• Recopilar datos sobre sus audiencias a través de otros medios que no sean las cookies, por ejemplo, mediante encuestas o sondeos de opinión. Esta solución tiene la ventaja de que proporciona información más detallada sobre las motivaciones y necesidades de los consumidores.

• Revisar sus prioridades con respecto a sus canales de adquisición. Por ejemplo, el 80% de los profesionales del marketing dicen que utilizarán más el email marketing después de la entrada en vigor del ePrivacy, según el estudio de Mailjet.

• Determinar nuevos formatos publicitarios creativos que ya no estén condicionados únicamente por la recogida de datos personales. Por ejemplo, Facebook puede probar nuevas formas de publicidad en las búsquedas siguiendo el ejemplo de Google Adwords.

A pesar de las posibles consecuencias de la directiva, la mayoría de los profesionales encuestados por Mailjet cree que esta representará un cambio positivo para su negocio a largo plazo. El ePrivacy impulsará una mayor transparencia entre las marcas en lo que respecta a los datos de sus usuarios, lo que ayudará a los clientes a verlas como más dignas de confianza.

¿Cómo puede ayudarte Mailjet con la privacidad de datos?

Como solución de emailing, la protección de datos está en el centro de las prioridades de Mailjet. Mailjet cuenta con la certificación ISO 27001, la norma internacional de seguridad de los sistemas de información, así como la certificación AFNOR que garantiza el cumplimiento de los principios fundamentales del RGPD. Gracias a estos logros y a nuestro compromiso constante con la protección de datos, Mailjet ofrece a sus clientes el más alto nivel de privacidad y seguridad de los datos.

El email es el canal de marketing con mejor retorno de la inversión, por lo que muchas empresas están planeando utilizar el email marketing aún más cuando entre en vigor el ePrivacy. Para saber cómo Mailjet ha ayudado a las empresas a impulsar su programa de emailing y descubrir lo que podemos hacer por ti, puedes echar un vistazo a nuestros recursos y nuestros casos de éxito.