Normativa sobre gestión de cookies y recogida de consentimientos: lo que debes saber para cumplirla

Las empresas con visitantes en la Unión Europea ya deben obtener un consentimiento válido de los usuarios en virtud del GDPR antes de recopilar sus datos. La DMA (que abarca a los usuarios de la UE y del Espacio Económico Europeo) refuerza la definición de consentimiento conforme al RGPD. Impone obligaciones estrictas a los gatekeepers -que establecerán las normas para que las empresas de terceros sigan utilizando sus servicios- para lograr el cumplimiento.

Las empresas que utilicen plataformas de gatekeeper tendrán que seguir estas normas y alinear sus políticas de privacidad de datos con la DMA para poder seguir utilizándolas.

Utilizar una plataforma de gestión del consentimiento (CMP) en tu sitio web puede ayudarte a obtener el consentimiento granular y conforme al GDPR de tus visitantes que tu sitio web necesita para procesar datos personales.
El banner de cookies debe cumplir la normativa aplicable sobre el tratamiento de datos personales, pero también las Directivas que definen determinadas características físicas del banner de cookies.
Además, si tu sitio web utiliza las herramientas de Google, puedes plantearte adoptar un CMP certificado para el Google Consent Mode v2.
Si integras herramientas publicitarias, como Google Ads, puedes plantearte adoptar un CMP certificado para el TCF v.2.2 de la IAB.

El Digital Markets Act (DMA) exige el consentimiento previo u opt-in de los consumidores antes de que los operadores de sitios web puedan recopilar sus datos personales. Las empresas de terceros que utilicen las plataformas y servicios de Google pueden utilizar el Google Consent Mode para notificar a Google el estado de consentimiento de los usuarios, de modo que los servicios de Google no recopilen sus datos en ausencia de consentimiento explícito.

Esto ayuda a lograr el cumplimiento de la DMA, para que las empresas puedan disfrutar de un acceso ininterrumpido a las plataformas y servicios de Google.

Sí, nuestra solución cumple las normas europeas y muchas normas mundiales, y se actualiza constantemente.

No, existen varias bases jurídicas que hacen lícito el tratamiento de datos personales y especiales del interesado. El consentimiento es una de las bases jurídicas.
El responsable del tratamiento debe buscar primero otras bases jurídicas que hagan posible el tratamiento que está llevando a cabo. A falta del apoyo de otras bases, puede basar el tratamiento en el consentimiento.
La obtención del consentimiento debe cumplir normas precisas porque sólo así es lícita.
Por este motivo, es indispensable contar con un CMP capaz de gestionar la obtención del consentimiento de forma lícita y conforme a la ley.

Todas las cookies se pueden procesar de forma conforme o no conforme, dependiendo de cómo configures CMP.
Existen diferentes tipos de cookies: cookies que se pueden registrar sin pedir consentimiento al visitante y cookies que sólo se pueden registrar tras pedir consentimiento. Si el visitante da su consentimiento pueden registrarse con datos personales, si no, no pueden registrarse ni contener datos personales del visitante.
Las cookies de Google Analytics (GA) no son una excepción: son cookies que sólo pueden registrarse y contener datos personales del visitante si éste ha dado su consentimiento. Si no lo hace, estas cookies no pueden registrarse.
Google, con el Consent Mode v2, ha evolucionado sus herramientas e incluso cuando el visitante no da su consentimiento, mediante el uso de técnicas de modelado e inteligencia artificial, sin procesar datos personales, deduce ciertas características y así hace estadísticas mucho más fiables y precisas.

El Reglamento General de Protección de Datos (GDPR) de la UE establece que los sitios web con usuarios en Europa deben solicitar y obtener su consentimiento explícito antes de procesar sus datos personales.
Las cookies y rastreadores utilizados con fines estadísticos y publicitarios en tu sitio web procesan datos personales de los visitantes, como identificadores únicos, direcciones IP, historial de búsqueda y de navegación, por lo que estás obligado a informar a los usuarios y pedirles su consentimiento para activarlas.

¡Por supuesto! Los propietarios de sitios web con sede en EE.UU. o en cualquier parte del mundo, incluso fuera de la Comunidad Europea, que ofrecen bienes o servicios a usuarios situados en la Unión Europea, deben cumplir con el GDPR y por lo tanto deben contar con una CMP (Consent Management Platform) conforme.
El GDPR y todas las demás normativas sobre el tratamiento de datos aplicables a los sitios web se aplican no solo a las empresas con sede en Europa, sino también a aquellas fuera de la UE que:

• ofrecen bienes o servicios a personas en la UE (aunque no sean de pago),
• o monitorizan el comportamiento de los usuarios en la UE (por ejemplo, mediante cookies, analytics, tracking, perfilado).

Lo establece el Artículo 3, párrafo 2 del GDPR.
Entonces, ¿qué debe hacer el propietario de un sitio estadounidense que opera en Europa?
Si una empresa estadounidense (o de cualquier otro país fuera de Europa):

• vende productos o servicios a clientes europeos,
• tiene el sitio en el idioma de un país europeo (por ejemplo, italiano, alemán, etc.),
• acepta pedidos o envía a la UE,
• muestra precios en euros,
• o utiliza cookies o tecnologías de seguimiento para usuarios europeos (Google Analytics, Facebook Pixel, etc.)

entonces está sujeta al GDPR y debe mostrar una CMP conforme al GDPR, con:

• bloqueo preventivo de cookies no necesarias,
• recolección y registro del consentimiento granular (registro de consentimientos),
• posibilidad de revocar/modificar el consentimiento (de forma sencilla),
• banner claro, transparente y conforme.

¡Utiliza CookieMan para tus sitios, dondequiera que te encuentres, hagas lo que hagas en línea y estarás seguro de hacer lo correcto!

El Reglamento sobre la privacidad y las comunicaciones electrónicas se adoptó en 2017, pero por motivos de espera para su entrada en vigor se ha pospuesto varias veces y actualmente sigue a la espera de su entrada en vigor.
La Directiva sobre la privacidad y las comunicaciones electrónicas (2002/58/CE, modificada en 2009) sigue en vigor.

La Directiva sobre la privacidad y las comunicaciones electrónicas sigue regulando el uso de cookies, las comunicaciones electrónicas y otras cuestiones relacionadas con la privacidad hasta que entre en vigor el Reglamento
Se supone que el Reglamento sobre la privacidad y las comunicaciones electrónicas complementa y sustituye a la Directiva sobre la privacidad y las comunicaciones electrónicas, pero el retraso en la entrada en vigor provoca una situación normativa en transición.