El Reglamento General de Protección de Datos (GDPR) y la Directiva sobre intimidad y comunicaciones electrónicas (ePR) afectan la forma en que los propietarios de sitios web deben obtener y almacenar los consentimientos de cookies de sus visitantes de la Unión Europea. Cuando los usuarios abren una página web y el banner que aparece dice «este sitio web utiliza cookies», es porque los sitios las utilizan para personalizar el contenido y los anuncios, proporcionar funciones de redes sociales y analizar el tráfico.
Este artículo profundiza en las cookies y su consentimiento, cómo funciona y por qué es importante que las empresas de ecommerce siempre cumplan con el GDPR y la ePR.
Una cookie es un pequeño archivo que se almacena en el dispositivo del usuario (computadora, smartphone, tablet, etc.), con información relacionada a la navegación en Internet que puede ser necesaria. Es un archivo de texto con pequeños datos que se utilizan cuando un usuario usa una red de computadoras e identificar el equipo que utiliza.
Los datos almacenados en una cookie son creados por el servidor una vez que el usuario se conecta. Estos datos están etiquetados con una identificación única para cada persona, sesión y dispositivo. Cuando la cookie se intercambia entre el navegador y el servidor de red, el servidor lee el ID y sabe qué información entregar específicamente al usuario.
Las cookies son esenciales para el funcionamiento de Internet, permitiendo la prestación de varios servicios interactivos, facilitando la navegación y usabilidad del sitio web. En general, permite que los sitios web ofrezcan una mejor navegación y una experiencia online a sus clientes en función de sus datos.
Ahora, veámoslo desde la perspectiva del comprador. En pocas palabras, es la forma en que los sitios web garantizan el procesamiento legal de los datos personales de sus usuarios. A través de las cookies, el propietario del sitio web comparte información sobre la navegación de los usuarios en su sitio con partners de redes sociales, publicidad y análisis que pueden combinarla con otra información que se les proporcionó o que se recopiló a partir del uso de sus servicios.
A veces nos encontramos con la idea errónea de que el RGPD solo se aplica al territorio europeo o a las empresas europeas, cuando en realidad protege los datos de los ciudadanos de la Unión Europea independientemente de dónde se encuentren en el mundo.
Como parte necesaria de la navegación web, las cookies HTTP ayudan a los desarrolladores web a brindar a los usuarios visitas más personales y convenientes al sitio web. Las cookies permiten que los sitios recuerden a los visitantes, sus inicios de sesión, los carritos de compras, entre otros. En ningún caso las cookies pueden causar daño a sus dispositivos y datos. Por ejemplo, VTEX utiliza dos tipos de cookies: cookies propias, que se envían al navegador del usuario partiendo de los servidores desde los que prestamos nuestro servicio; y cookies de terceros, que se envían a los navegadores de los usuarios desde servidores que no son administrados por VTEX, sino por partners nuestros.
Las cookies de terceros son pequeñas líneas de código de texto que se guardan en los navegadores de los usuarios para diferentes propósitos, inclusive recordar una página que ya se ha visitado, o un artículo que se ha agregado al carrito de compras. Se utilizan cookies de terceros para que esta información sea compartida, con ciertos límites, para comprender la navegación previa realizada por el usuario en diferentes sitios web.
Supongamos que dos personas en algún lugar de Europa navegan por el mismo sitio web al mismo tiempo. Cuando aparece el banner de GDPR, una persona acepta mientras que la otra rechaza. La persona que aceptó las cookies tendrá una mejor experiencia de usuario, mientras que la que las rechazó podría encontrar algunas lagunas de datos que podrían interferir con el uso del sitio web.
En el ecommerce, por ejemplo, las cookies permiten al sitio web realizar un seguimiento de todos los artículos que los compradores han colocado en el carrito mientras continúan navegando. Si un comprador deshabilitara las cookies en el navegador al realizar una compra online, por cada clic en un nuevo enlace, los artículos del carrito de compras desaparecerían.
Esto haría que las compras online fueran prácticamente imposibles y que navegar por el sitio web fuera completamente impracticable. Este es un ejemplo de que las cookies son una necesidad en ciertos sitios. A algunos usuarios les gusta aceptar cookies con el único propósito de guardar el nombre de usuario y la contraseña de inicio de sesión para ciertos sitios web.
Para los propietarios de sitios web, los dos aspectos principales que deben tener en cuenta son: cómo administrar y almacenar datos personales, así como las cookies y el seguimiento utilizado en el sitio web. Para cumplir con los requisitos, asegúrese de tener una configuración completa y compatible para obtener y almacenar de forma segura los consentimientos de cookies en el sitio web. Se recomienda completar una descripción general de cómo la empresa almacena y recopila datos actualmente, centrándose en el consentimiento otorgado. Esto es especialmente importante si la empresa utiliza métodos de marketing en el extranjero.
Asegúrese de configurar y presentar el banner de cookies desde la perspectiva del comprador, donde el mensaje para ellos se simplifica. Facilite la lectura y la comprensión. Un aspecto positivo del GDPR es que otorga la máxima importancia al consentimiento del consumidor. Las empresas deben obtener un consentimiento explícito sobre el tipo de datos que recopilarán y cómo los procesarán.
Desde la perspectiva del ecommerce, existen diferentes niveles de control que los sitios web pueden brindar al comprador y, en función de eso, pueden afectar al negocio tanto positiva como negativamente. Cada vez que aparece esa ventana preguntando acerca de las cookies, los usuarios pueden optar por aceptar todas, ninguna, o seleccionarlas manualmente. La lógica detrás de eso es: hay un mínimo necesario para que el sitio funcione correctamente, pero a la empresa le gustaría hacer más con su permiso, lo que permitirá la personalización de la experiencia.
En algunos casos, si el pop-up no está bien configurado, puede hacer que los clientes no vayan más allá de la primera página del sitio web, lo que da como resultado una tasa de rebote más alta. Ningún negocio de ecommerce quiere eso, así que asegúrese de que usted, como propietario de un sitio web, obtenga su consentimiento para las cookies a través de una respuesta directa de sí o no, evitando casillas previamente marcadas y botones «x» neutros.
Por ejemplo, Motorola informó una alta tasa de rechazo de cookies debido al banner de aceptación, que estaba configurado de manera ambigua, un problema similar al mencionado anteriormente. Después de analizar qué determinó que el comprador reaccionara negativamente al banner, los equipos de Motorola y VTEX entendieron que la redacción era demasiado técnica y que al cerrar el banner con el botón «x», el usuario no acepta ni rechaza las cookies. Poco después de cambiar la redacción a «usamos cookies» (asumiendo la aceptación en el back-end) y el botón «rechazar» a «opción», cambiando su tamaño y color, la tasa de rechazo de cookies disminuyó del 55% al 6%, llevando a la tasa de rebote a sus parámetros normales.
En resumen, sí, ya que cada región tiene su propia legislación. Sin embargo, en la práctica, es más complejo. Por ejemplo, una empresa con sede en los Estados Unidos que tiene clientes de la Unión Europea aún debe cumplir con el GDPR. Esto es así porque el GDPR se aplica no a una región específica, sino a sus ciudadanos, independientemente de dónde se encuentren.
Si una empresa es de fuera de la UE y no tiene reglas vigentes con respecto a la privacidad de los datos, debería poner sus cookies en orden, o podría ser multada muy pronto; si el país o estado tiene reglas bien definidas para la privacidad de los datos, son las que deben seguirse.
Además del RGPD y las cookies, que son específicos de la UE, también existe la Ley de privacidad del consumidor de California (California Consumer Privacy Act o CCPA), que es la ley de privacidad más reciente de California destinada a mejorar los derechos de privacidad del consumidor para los residentes de ese estado. Los dos difieren en muchos aspectos, pero la diferencia más importante es que mientras que el RGPD protege a los interesados, definido como «una persona física identificada o identificable», mientras que la CCPA otorga ciertos derechos a los consumidores, definido como «una persona física que reside en California».
Por lo tanto, si la empresa tiene como objetivo un conjunto global de clientes, debería considerar la posibilidad de contabilizarlos a todos. Asegúrese de que la investigación sea amplia y precisa.