Nuevas normativas de cookies y el Consent Mode v2: La Amenaza Fantasma

Los próximos meses van a suponer un gran desafío para los publicistas digitales en Europa. La Ley de Mercados Digitales Europea (DMA) ha entrado en vigor el 6 de marzo de 2024, obligando a las grandes plataformas digitales como Google o Meta a tomar medidas para cumplir con la nueva normativa dentro de su rol como “guardianes de acceso”.

La DMA establece una lista de medidas sobre qué hacer y qué no hacer que estas grandes empresas necesitarán implementar en sus operaciones diarias con el objetivo de asegurar mercados digitales justos y abiertos. Estas obligaciones pretenden abrir posibilidades para que todas las empresas compitan en los mercados basándose en los méritos de sus productos y servicios, dándoles más espacio para innovar frente a los grandes gigantes tecnológicos que han gozado de una posición dominante hasta el momento.

Para cumplir con la nueva legislación, Google está forzando la implementación del Consent Mode v2, un marco actualizado de la gestión del consentimiento de usuario para la publicidad en línea dentro del Área Económica Europea (AEE) y aplicable en el entorno de Google. La realidad es que en sus primeras semanas, la nueva legislación europea y la implementación de Consent Mode v2 están generando un seísmo cuyo alcance es aún impredecible, en donde los publicistas están abocados a una importante pérdida de datos tanto si cumplen como si no cumplen con las nuevas reglas del juego.

La amenaza de Google

A partir de ahora, si no envías información de consentimiento a través del Consent Mode v2 de Google, Google bloqueará la captura de nuevos datos de usuarios de la Unión Europea en tus audiencias de Google. No podrás almacenar nuevos datos de usuarios en tus listas de audiencia de Google Analytics 4, ni compartirlos con Google Ads. Esto podría tener un impacto masivo en tu capacidad para convertir nuevos clientes.

En palabras de Google:

Para seguir utilizando las funciones de medición, personalización de anuncios y remarketing, debes obtener el consentimiento para el uso de datos personales de los usuarios finales ubicados en el Espacio Económico Europeo (EEE) y compartir señales de consentimiento con Google. […] Si usas datos de Analytics con un servicio de Google (como Google Ads, Google Play o Display & Video 360, entre otros) y no tomas ninguna medida, sólo los usuarios finales que estén fuera del EEE se incluirán en las audiencias que usan tus productos publicitarios vinculados a partir de principios de marzo del 2024.” Fuente

Pero hay más, porque a Google no le vale que te montes tu propio banner de cookies, o que uses una plataforma de gestión de consentimiento de tu libre elección (popularmente conocidas como CMPs por sus siglas en inglés), sino que has de usar un CMP certificado por Google… o atenerte a las consecuencias:

A partir del 16 de enero de 2024, si un socio no adopta un CMP certificado por Google, solo los anuncios limitados serán elegibles para ser mostrados en el tráfico del EEE y del Reino Unido. El tráfico de un CMP certificado por Google continuará siendo elegible para anuncios personalizados.” Fuente

Los anuncios limitados desactivan la recopilación, compartición y uso de datos personales para la personalización de anuncios. […] Esto significa que algunas características no están disponibles para los anuncios limitados [incluidos] cualquier personalización de anuncios, segmentación de audiencia, Remarketing, categorías basadas en intereses […]” Fuente

CMPs Certificados por Google

El impacto de la entrada en vigor de la DMA a principios de marzo, y el efecto dominó causado en el uso imperativo de Consent Mode v2 en los distintos servicios de Google, se han dejado notar en los CMPs, que han comenzado en los últimos días una carrera frenética por (1) aparecer en las listas de CMPs certificados por Google, y (2) adaptar su software y su documentación al nuevo marco legal y operacional.

El caso es que averiguar qué CMPs están certificados a día de hoy por Google es toda una yincana. La ayuda de Google Analytics da un listado de 16 CMPs, entre los que se encuentran algunos de los más utilizados, como Cookiebot, CookieYes, Complianz o Iubenda, con links a las páginas web de estos CMPs en donde se dan instrucciones sobre cómo implementar Consent Mode v2.

Por otro lado, el Google CMP Partner Program da un listado un poco más amplio, que incluye 18 CMPs. Pero el listado más completo se puede encontrar en las páginas de ayuda de Google Ad Manager, que en el momento de escribir esta entrada de blog ya incluían 125 CMPs certificados por Google. Probablemente este último listado sea el más completo y fiable de todos.

Pero tener tu cookie banner con un CMP certificado no implica cumplir automáticamente con la legislación europea, ni con el Consent Mode v2 de Google. La configuración del CMP y su conexión con Google no es en absoluto trivial, ni desde el punto de vista técnico ni desde el legal y operacional. Si necesitas ayuda para configurar el Consent Node v2 puedes contactarnos o leer esta otra entrada de blog en donde comentamos cuestiones puramente técnicas. En cualquier caso, si una parte importante del tráfico a tu web viene de España, el primer paso es entender lo que dice la normativa española acerca del uso de cookies, que es lo que paso a describir a continuación.

Qué dice la normativa española sobre el uso de cookies

En enero de 2024 la Agencia Española de Protección de Datos (AEPD) actualizó la Guía sobre el Uso de Cookies, en donde explicita que el banner de aceptación de cookies ha de mostrar explícitamente la posibilidad de rechazar cookies. Esta normativa entró en vigor el 11 de enero de 2024, dejando a las páginas web que aún no se han adaptado al nuevo marco legal vulnerables a una sanción en caso de denuncia por parte de terceros.

Banner de cookies ejemplos

Ejemplos de configuraciones “aceptables” del Banner de Cookies, con la opción explícita de rechazar cookies. Fuente: AEPD 2024.

Implementar la nueva normativa va a provocar (lógicamente) un aumento sustancial del número de usuarios que rechacen cookies, dificultando la tarea de los media buyers, pues nos van a tapar un ojo. Pero mi recomendación es adaptarte al nuevo marco sin demora si no lo has hecho aún, pues éste es un pre requisito para que reanude el funcionamiento normal de Google Analytics y Google Ads. Además, independientemente de que uses o no los servicios de alguna de las plataformas de Google, cualquiera de tus competidores podría denunciarte, desembocando en una sanción económica importante.

La nueva guía de la AEPD incluye además las siguientes consideraciones:

  • [el banner de cookies] deberá contener: a) Un botón o mecanismo equivalente, fácilmente visible, con las palabras “Aceptar cookies”, “Aceptar”, “Consentir” o textos similares, para consentir el uso de todas las cookies. b) Un botón o mecanismo equivalente, similar al anterior (si se utiliza un botón para aceptar, deberá utilizarse un botón para rechazar), con las palabras “Rechazar cookies”, “Rechazar” o textos similares, para rechazar el uso de cookies (salvo aquellas que estén exentas de la obligación de obtener un consentimiento informado).
  • No se podrá dar al usuario la impresión de que tiene que aceptar obligatoriamente las cookies para navegar por el sitio web.
  • No se podrá empujar claramente al usuario a aceptar las cookies. El color o contraste del texto y los botones (o mecanismos equivalentes) no podrán ser obviamente engañosos para los usuarios, de forma que lleven a un consentimiento involuntario. No será válido, por ejemplo, que la opción para rechazar las cookies sea un botón con un texto que no contrasta lo suficiente con el color del botón y, por lo tanto, no pueda leerse.
  • El botón o mecanismo para configurar las cookies, esto es, administrar las preferencias del usuario, debe llevar a este directamente al panel de configuración, sin que tenga que desplazarse por grandes cantidades de texto buscando la información, que deberá seguir siendo accesible de forma permanente. Respecto del panel de configuración, el grado de granularidad a la hora de mostrar la selección de cookies deberá valorarlo el editor del sitio web, si bien es aconsejable que se tengan en cuenta las siguientes reglas: Las cookies deberían agruparse al menos por su finalidad, de forma que el usuario pueda aceptar las cookies para una o más finalidades y, en cambio, no para otra u otras (por ejemplo, el usuario podría elegir aceptar las cookies analíticas y no así las publicitarias comportamentales).
  • […] Seguir navegando no es una forma válida de prestar el consentimiento. Del mismo modo, la consulta de la segunda capa informativa si la información se presenta por capas, así como la navegación necesaria para que el usuario gestione sus preferencias en relación con las cookies no es una conducta activa de la que pueda derivarse la aceptación de cookies.
  • […] El usuario, en todo caso, podrá negarse a aceptar las cookies. La opción para rechazar las cookies deberá ofrecerse en la misma capa y al mismo nivel que la opción para aceptarlas y el mecanismo empleado al efecto (botón u otro) deberá ser similar.
  • […] Siguiendo las directrices del CEPD sobre el consentimiento, para que este se dé libremente, el acceso a los servicios y funcionalidades no debe supeditarse a la aceptación por el usuario del uso de cookies. Por ello, no podrán utilizarse los denominados “muros de cookies” que no ofrezcan una alternativa al consentimiento, tal y como se explica a continuación.
  • […] Podrán existir determinados supuestos en los que la no aceptación de la utilización de cookies impida el acceso al sitio web o la utilización total o parcial del servicio, siempre que se informe adecuadamente al respecto al usuario y se ofrezca una alternativa, no necesariamente gratuita, de acceso al servicio sin necesidad de aceptar el uso de cookies.

La nueva guía de la AEPD tiene sin embargo algunos puntos ambiguos, como por ejemplo el punto sobre “No se podrá empujar claramente al usuario a aceptar las cookies”. ¿Qué significa “claramente”? ¿Y en qué casos es el botón de rechazar cookies suficientemente “similar” al de aceptar? ¿Es válido que la opción para rechazar las cookies sea un botón con un texto que pueda leerse perfectamente pero ofrezca menor contraste que el botón de aceptar cookies? Nosotros entendemos que sí, pero no somos juristas, y nuestra opinión no tiene validez legal. Lo que podemos decir es que algunas empresas como Amazon también lo interpretan así, mientras que otras grandes empresas como El Corte Inglés han optado por una opción más conservadora, poniendo los botones de aceptar y rechazar cookies exactamente iguales.

Banner cookies Amazon

Banner de Cookies de Amazon España

Banner cookies Corte Inglés

Banner de Cookies del Corte Inglés

El futuro a corto plazo

Es de esperar que a corto plazo la AEPD aclare el panorama sobre ésta y otras dudas sobre la implementación de la nueva normativa. En todo caso, este no será el único gran cambio que nos espera en el futuro próximo, una vez que la privacidad de la información compartida online se ha convertido en una prioridad dentro de la Unión Europea. Google ya ha anunciado que las cookies de terceros se eliminarán completamente para finales de 2024. Se estima que el 1% de los usuarios de Google Chrome ya están probando este enfoque sin cookies en enero de 2024.

Cronograma eliminación cookies de terceros

Cronograma para la eliminación gradual de las cookies de terceros en Chrome

Aunque ahora las nuevas regulaciones sólo afectan al EEE es cuestión de tiempo que se extienda a otros países. Por otra parte, la transformación en la gestión de las cookies pronto será universal. Esto es un enorme desafío pero también una gran oportunidad para quienes primero se adapten al nuevo escenario.

¿Tienes dudas sobre la implementación de Consent Mode v2 y/o la gestión de cookies de tu página web? Contáctanos sin compromiso. Estaremos encantados de ayudarte.

ARTÍCULOS MÁS RECIENTES

Scroll al inicio

FÁKTICA ANALYTICS

Calle Núñez de Balboa, 35A

28001 Madrid

España

 

DATALYTICS

4 Portland Ct

St. Louis, MO 63108

Estados Unidos

Contacto: info@faktica.com

¿Podemos ayudarte?

Incluida por Google en el Top 3% de las agencias PPC españolas

Neotec-CDTI-logo

Subvencionado por el CDTI en 2021-2023.

¿Podemos ayudarte?

Presupuesto Sin Compromiso

Estimación de Tráfico, Coste y Conversiones Potenciales

Tarifas por Resultado

Análisis de Oportunidades Gratuito

¿Podemos ayudarte?

Contáctanos ahora sin ningún  compromiso