El RGPD (Reglamento General de Protección de Datos) dicta que un sitio web solo puede recopilar datos de usuarios si estos últimos han dado su consentimiento explícito.
Esto significa que el sitio web puede activar cookies solo después del consentimiento del usuario.
La Aceptación es especifica para dos tipologías de cookies, siendo la funcional necesaria para poder usar el sitio web:
- Cookies de Marketing (ejemplo: Facebook, Google Ads….).
- Cookies estadísticas (ejemplo: Google Analytics).
Recuerda, ¡no puedes meter cookies hasta que no acepten! No vale el simple mensajito de Si, NO, configurar… La mecánica que está detrás del mensajito de tu web debería funcionar…..
Malas prácticas en políticas de cookies
A continuación, os hago un ejemplo de una web que actualmente no está respetando la política de consentimiento:
Como podéis ver en la imagen, aún no he aceptado las cookies y el sistemas está lanzando los script de tracking de analytics que están indicados abajo en la consola.
Como consecuencia de esto se han activado las cookies en el navegador del usuario sin su previo consentimiento:
En la captura que está arriba, podéis ver las cookies que activa Google Analytics. La captura se hizo usando la extensión de Google Chrome Cookie Editor.
Buenas prácticas en gestión de cookies
Lo contrario al ejemplo anterior sigue una marca, Wildeway, que lo está haciendo muy bien 😉
La única cookie que se lanza en la web sin consentimiento previo es la de idiomas del propio wordpress que es una cookie funcional.
En este caso concreto, Wilderway está utilizando lo que se llama Consent Mode de Google para respetar la GRPD. En los próximos párrafos te contaré el secreto de cómo lo hacen…
¿Que es el consent mode?
El consent mode es la propuesta de Google para la gestión del consentimiento del usuario. En mi opinión, es la solución más práctica actualmente presente en el mercado. La gestión del consentimiento se hace a través de Google Tag Manager y permite gestionar el consentimiento de todas las etiquetas de estadísticas o de marketing. Para mi, no es casualidad que sea el primer proveedor de plataforma de marketing de performance del mundo (Google Ads), y como sabéis la performance está bien relacionada con la correcta medición. ¡No números, no performance!
Implementando la gestión del consentimiento vía Google GTM, Google nos permite crear una capa de datos (dataLayer) que nos permite lanzar las etiquetas a según que el usuario haya aceptado o no las diferentes cookies.
Como no se ve bien la captura, os especifico aquí a seguir el objeto lanzado:
~ Object: { g: { 0: «consent», 1: «default», 2: { ad_storage: «denied», analytics_storage: «denied», personalization_storage: «denied», wait_for_update: «500» } }} |
Aunque posiblemente no te guste el código y no seas técnico, creo que es importante que se entienda para poder defenderlo y sobre todo explicar a un técnico para que lo implemente.
Gracias al dataLayer, Google Tag Manager lanza etiquetas transmitiendo valores sobre los usuarios dependiendo de si han aceptado las cookies o no.
No olvidéis que podemos recopilar información de nuestro site, lo que no podemos hacer sin consentimiento previo es asociar esta información a una persona, aunque sea anónima.
Técnicamente esto es visible en el código de Google Universal Analytics y Analytics 4 observando el hit enviado al cargar la página del sitio web. Dicho en cristiano, cuando se carga una web, sin que haya aceptado las cookies, se lanza igualmente el código (script) de Google Analytics, solo que la información no llega al sistema.
Os estaréis preguntando, y ¿cómo puedo yo saber si está enviando más o menos información a GA?
Es muy sencillo, si en el hit de Google Analytics aparece una variable que se llama GSC, significa que la web está usando Consent Mode y, dependiendo del valor que tiene esta variable, vuestra web está transmitiendo más o menos información sobre el usuario a Google Analytics:
En nuestro ejemplo, tomado como caso de buenas prácticas, efectivamente el valor de la variable GSC= G100 si el usuario no acepta las cookies:
Bueno, si has llegado hasta aquí significa que conseguí explicarme bien 🙂 Así que te invito a seguir con la lectura para aprender cómo configurarlo en tu site. A continuación, hago un ejemplo de implementación de Google Consent Mode en WordPress.
Cómo implementar el consent mode en WordPress. Un caso real
Para acceder a la configuración del consentimiento vía Google Tag Manager es necesario hacer una llamada via gtag o bien vía API.
Por lo tanto tenemos que picar código.
¡No panic!
Como siempre, en el mundo hay alguien que se lo ha currado antes y por esta razón aceptamos con mucho gusto su ayuda para evitar repetir trabajo.
Con esto, os quiero decir que no hace falta codificar y que desde GTM podemos seleccionar en la Galería de plantilla de la comunidad que replica la funcionalidad que estamos buscando.
En mi caso, uso la de Simo Ahava, ¡es un crack! En todo caso, hay plantillas ideadas también por proveedores que gestionan el banner de consentimiento como Cookie Bot.
Según el tipo de plantilla que eliges y del tipo de proveedor con el que trabajas por la gestión del consentimiento en tu sitio (banner) es aconsejable seguir una guía u otra.
En el caso de que se elija un sistema de pago como Cookiebot, la implementación es bastante sencilla, de lo contrario se le puede complicar un pelin.
En este post describo la más sencilla 😉
Implementar Cookiebot via GTM y consent mode
Lo primero que tendremos que hacer es instalar el banner de CookieBot. Si tu site tiene ya la gestión de consentimiento a través de otra tecnología, tendrás que usar otro método de implementación.
Lo primero que hay que hacer es tener una cuenta creada en Cookot.
Lo segundo, entrar en Google tag Manager y clicar en el icono de resumen de consentimiento:
En la ventana que aparece, en el banner donde pone “Descubra las plataformas de gestión del consentimiento destacadas”, dale a “Empezar”
En la ventana que aparecerá a tu derecha, clica en Cookiebot CMP
Importa la plantilla y ¡listo el primer paso!
Después de la importación, creamos un tag para lanzar Cookiebot. Creas una nueva etiqueta seleccionado Cookiebot CMP y seleccionas el idioma que quieres que aparezca el banner y el ID que te aparecerá en el registro en la plataforma.
Si no sabes dónde está, no te preocupes, loguéate en CookieBot, pincha en tu script y allí encontrarás el ID 😉
Una vez tengamos el tag creado, definimos el estado de default del consentimiento, que debería estar todo denegado antes de que el usuario acepte las cookies….
Ahora bien, tenemos que hacer una configuración en los diferentes tags para que se actualice su modo de consentimiento a según que el usuario haya aceptado o no las cookies.
En el caso de tags como el de Google Analytics, Google Ads y Floodlight de DV360 y el Conversion Linker, hay una comprobación de consentimiento integrada que hay que activar:
En el caso de otros tags, como el de Facebook Ads por ejemplo, tenemos que hacer un ajuste a mayor.
Creamos un custom event, y lo llamamos cookie_consent_update
Cuando creamos el tag de Facebook clicamos en configuraciones avanzadas y luego en Consent Setting. Le decimos al sistema que se requieren consentimiento adicionales antes de activar el tag:
En nuestro caso específico necesitamos el consentimiento de ad_storage, o sea, de aceptación de cookies de marketing.
Como ves, la implementación es bastante sencilla.
Espero que el post haya sido de ayuda y, sobre todo, haya remarcado la necesidad de revisar si tu web respeta la RGDP. Si necesitas ayuda en la implementación, si tienes un site a medida o si no quieres pasar por cookiebot no dudes en contactarme, ¡estaré encantado de ayudarte!