Cómo cumplir la Ley de Cookies sin matar a Google Analytics

[thb_message type=”notice”]DISCLAIMER: Este artículo no es una guía exhaustiva sobre cómo cumplir la mal llamada “Ley de Cookies” ni pretende constituirse como la única interpretación válida de la misma. No soy consultor ni pretendo proporcionar ningún servicio relacionado sobre esta materia, sólo compartir con la Comunidad de camaradas del metal nuestra solución para cumplir la legislación vigente.[/thb_message]

La primera en la frente: la Ley de Cookies no existe

Hay mucho ruido y leyenda alrededor de la “Ley de Cookies“. La mayoría generado por partes interesadas. La mejor forma de entender lo que verdaderamente dice la Ley es… leer la Ley. Sin embargo, no existe una Ley de Cookies como tal sino la LSSI (Ley de Servicios de la Sociedad de la Información) de toda la vida, que fue modificada por el Real Decreto-Ley 13/2012 de 30 de marzo para adaptar nuestra legislación a las directivas comunitarias relativas a las comunicaciones electrónicas dentro de Europa.

La Ley de Cookies explicada a mi mamáLa Ley es un auténtico LADRILLAZO, por supuesto, pero el contenido relacionado con la “Ley de Cookies” se circunscribe al apartado segundo del artículo 22. Parece escrita en klingon, pero sólo hace falta un poco de esfuerzo y paciencia para entenderla. Es mucho más difícil comprender la letra de cualquier canción de Héroes del Silencio.

Si, a pesar de todo, la verborrea jurídica te supera, siempre puedes leer la Guía sobre el uso de Cookies de la Agencia Española de Protección de Datos o recurrir a la versión simplificada para Teletubbies.

Hecha la Ley, hecha la trampa

Cada uno puede extraer su propia interpretación de la Ley, pero, después de pegarme un par de semanas con el texto y debatir largo y tendido con el experto jurista Jeroclo el espartano, he llegado a algunas conclusiones que os pueden ahorrar quebraderos de cabeza y, sobre todo, horas de trabajo:

  • La ley habla del “almacenamiento y recuperación de datos en equipos terminales de los destinatarios”, no de cookies. Así que, si te crees un hacker de nivel 33 por usar eTags o cualquier otra cosa que guarde en el ordenador del usuario datos recuperables, sigues incumpliendo la ley.
  • Para poder utilizar cookies o cualquier otra cosa, necesitamos el consentimiento previo del usuario. Es decir, si avisas al usuario de que usas cookies, pero le instalas una antes de que dé su consentimiento -por ejemplo, de Google Analytics- sigues incumpliendo la ley.
  • Se permite la aceptación implícita, la otorgada por el usuario simplemente por navegar por tu web. Eso sí, después de que le hayas informado y solicitado permiso. A partir de ahí, un simple scroll puede ser interpretado como navegación.
  • La información sobre cómo revocar el consentimiento y eliminar las cookies debe ser accesible y permanente.  Los usuarios podrán retirar el consentimiento previamente otorgado en cualquier momento.

Exta sí. Exta no. Esta cookie me la como yo

En realidad, no todas las cookies están sujetas al artículo 22 de la LSSI. Un dictamen de la Unión Europea determinó que no es necesario informar al usuario ni pedir permiso por el uso de cookies técnicas.

Chimo gestiona las cookies

¿Y qué son eso de cookies técnicas? Pues aquellas destinadas a:

  •  Permitir la comunicación entre el equipo del usuario y la red.
  •  Prestar un servicio expresamente solicitado por el usuario.
  •  Gestionar la sesión de reproductor multimedia.
  •  Gestionar el balanceo de carga sesiones de usuario.
  •  Personalizar la interfaz de usuario.
  •  Gestionar complementos (plugins) para intercambiar contenidos sociales.

Un ejemplo de este tipo de cookies son las utilizadas para autenticar a un usuario, recordar datos introducidos en un formulario o gestionar carritos de la compra.

Cada web es un mundo…

… y todos creemos que somos el ombligo del mundo. La mía es una aplicación web, un producto que no contiene ningún tipo de publicidad y, por ello, tiene unas necesidades específicas que no se parecen en absoluto a las que tiene un medio de comunicación que vive de la publicidad. Debido a esto, he decidido definir por separado los requisitos y problemáticas de cada uno:

Web de Producto

  • No hay espacios publicitarios revendidos a terceros.
  • La métrica principal son las visitas, los usuarios de la aplicación.
  • Las páginas vistas son una métrica secundaria utilizada para aprender cómo usan la aplicación los usuarios, no para vender publicidad a los mismos.
  • En la mayoría de los casos, la recogida y gestión de métricas se hace con Google Analytics.

Medio de Comunicación

  • Existen espacios publicitarios –banners– gestionados por terceros mediante iframes por lo que NO tienen control sobre el HTML del mismo.
  • Las páginas vistas son una métrica principal, puesto que son el stock publicitario, el activo con el que el medio obtiene ingresos.
  • La recogida y gestión de métricas se hace con Google Analytics y otros productos más específicos como ComScore o Nielsen.

Google Analytics es como el Atleti: Me mata. Me da la vida.

La lista de cookies técnicas nos enseña que la mayoría de las tiendas, aplicaciones y webs de producto no usan ninguna cookie cuyo uso exija un consentimiento previo por parte de los usuarios… exceptuando las de Google Analytics. Vaya por Dios.

Analytics y las cookies

Aunque no uses Analytics con ningún objetivo publicitario, lo cierto es que su uso sirve para identificar a los usuarios, por lo que cae dentro de los supuestos que cubre el apartado segundo del artículo 22 de la LSSI.

Algunos pensarán que, para lo que usan Analytics, lo mejor que pueden hacer es desactivarlo y así hacer que su web cumpla inmediatamente la LSSI. Es verdad. El resto, los valientes o inconscientes que quieran o necesiten métricas web, bienvenidos a Mordor:

  • Algunos dicen que usando la última versión de Analytics, Universal Analytics, se puede  tener tracking y métricas webs sin usar cookies. Es verdad… a medias. Universal Analytics tiene un modo cookieless que te permite usarlo sin utilizar una sola cookie… mientras tú te encargues de identificar al usuario. La única manera de hacerlo es asignarle un ID para Analytics a los usuarios registrados en tu web, pero es muy probable que los usuarios registrados en tu web acepten que uses cookies. Así que, ¿qué pasa con el resto? Pues, o utilizas algún método prohibido por la “Ley de Cookies” para identificarlo o no usas ninguno. Al no proporcionar ningún ID a Analytics todas las visitas serán anónimas. Sí, anónimas y NUEVAS. No tendrás ni una sola visita recurrente. Fuego. Destrucción. Mordor.
  • Una solución muy buena es Cookie Consent, un script personalizable que te permite tener aceptación implícita o explícita, gestionar IPs que no sean europeas y un montón de cosas más… el único problema de Cookie Consent es que, si el usuario no acepta, pierdes cualquier tipo de métrica porque no carga el script de Analytics. Muchos pensarán que dejar de contabilizar algunas visitas no es muy importante, pero, al hacerlo, estás dejando de registrar la tasa de rebote de las visitas nuevas y, por tanto, la efectividad de nuestra web para interesar y adquirir nuevos usuarios. Muerte. Pesadillas. Mordor.

Cookie-kun, nuestro monstruo de las galletas

Intentamos encontrar una solución mejor para Otogami, pero no lo conseguimos. Así que, tuvimos que crear a Cookie-kun, nuestro propio monstruo de las galletas.

Ley de Cookies en Otogami

Intentaré explicar cómo funciona Cookie-kun; aunque, si eres un muggle, un humano sin poderes mágicos ni conocimientos técnicos, es probable que no te enteres de mucho:

  • Usamos un lenguaje poco glamouroso como Java. Eso nos impide ser considerados como hackers que molan en la Comunidad estartapil, eso si, con tecnologías como los filtros web, disponibles desde 1964.
  • Configuramos un filtro web para que intercepte todas la peticiones y las que no lleven adjuntos datos de nuestra cookie de consentimiento, se sirven incluyendo en la página web el HTML y javascript que hace aparecer a Cookie-kun.

Cookie Kun de otogami

  • Pedimos aceptación implícita (con lo que, si el usuario navega por la web o hace scroll de 200 pixeles o más, acepta nuestra política de cookies). ¿Son muchos o pocos 200 pixeles? Abrimos el debate…
  • En esa primera carga, hacemos tracking sin usar cookies con una cuenta de Universal Analytics que hemos llamado ‘Otogami Anónimo’. De esta manera, podemos registrar las visitas anónimas que aún no han aceptado las cookies. ¿Por qué no lo hacemos con nuestra cuenta principal? Porque después de la aceptación de las cookies, Analytics cree que se está produciendo una nueva visita con lo que registraríamos dos visitas cuando en realidad sólo se está produciendo una.
  • Intentamos cargar Analytics sólo cuando hubiera aceptación implícita o cuando hubiera rebote  -es decir, cuando el usuario que no hubiera aceptado, abandonara o cerrara el navegador o pestaña- para poder usar la misma cuenta, pero llegamos al Abismo de Helm. Un problema técnico que no supimos resolver porque no dependía de nosotros sino de algunos navegadores: la primera vez que visitas una web, al intentar registrar la visita en el evento onbeforeunload, el evento no se llegaba nunca a Analytics. A partir de la segunda visita, con el mismo código, sí ¿Por qué? NI IDEA…

Doble cuenta en Analytics

  • Después de la aceptación implícita o explícita del usuario, creamos la cookie de aceptación y, en la siguiente petición, cargamos nuestra cuenta de Analytics de toda la vida, que registra visitas y páginas vistas como siempre.
  • Para saber exactamente el número de visitas, páginas vistas y rebote de Otogami tenemos que sacar la calculadora:
    • Nº de páginas vistas en un día: el sumatorio de las páginas de las dos cuentas
    • Nº de visitas reales de un día: el número de visitas de la cuenta original + (las visitas de la “cuenta anónima” – las visitas nuevas de la cuenta original).
    • % de rebote de una página: (Nº de vistas de la cuenta original + Nº de vistas de la “cuenta anónima”) / Nº de rebotes de la cuenta original + Nº de vistas de la “cuenta anónima” que no han registrado un evento de aceptación en Analytics

Hasta el infinito y más allá

Evidentemente no es una solución elegante. Tener que sumar datos de dos cuentas de Analytics es una chapuza, pero al menos nos permite registrar todo lo que pasa en nuestra web y no perder ningún dato.

Espero que, en breve, alguien más listo y con más medios que nosotros implemente una solución que mejore la nuestra; pero, si esta tarda en llegar, lo más seguro es que tiremos de API de Analytics y de un dashboard de nuestros amigos de Ducksboard para consultar nuestras métricas sin tener que usar un ábaco.

Conoce a Cookie-kun en todo su esplendor, visitando Otogami, el Google de los videojuegos.

  • Por cierto, me acabo de dar cuenta de que en este blog no tengo implementado ni Cookie-kun ni Boni-kun ni nada que se le parezca. En casa del herrero… ^___^

    • Amos a ver, que no me ha quedado claro, si no tienes publicidad y tienes un sitio web sin animo de lucro, tienes que aplicar la ley de cookies también?

      Por cierto, muy buen articulo.

      • Es un tema más jurídico que técnico pero, bajo mi interpretación de la ley, NO. Así que el que dice que todo el mundo que tenga un blog con Analytics puede ser multado con 30.000€ está creando una alarma innecesaria. En la ley siempre se habla de entidades, empresas.

        En cualquier caso, si tienes un blog y no te importa dejar de registrar algunas visitas, siempre podrías poner Cookie Consent, es fino pochettino.

        • Si, yo pensaba lo mismo, que no era necesario.

          Bueno, yo uso Piwik, lo que puedo hacer es usar tracking por imagen en lugar de usar cookies, da menos info, pero menos da una piedra. Gracias por la respuesta.

        • Anxobc

          Tu redacción el el artículo 2.3 me acaban de salvar de estudiar nada ni implementar ningún aviso :p

          • Anxobc

            Tu redacción Y el artículo, no “el el”

  • esto para mi es un infierno
    no tengo ganas, ni tiempo, ni conocimientos para solucionar esto
    como no saquen un pluging de WP que lo haga todo …

  • “Fuego. Destrucción. Mordor.” No puedo parar de reírme
    … gracias por el humor y por el post.

  • Pingback: Bonilla genial La Ley es un auténtico… | Breves de La Vigi()

  • joseluisgv

    Dicen, se comenta… que incluso por tiempo de visita podríamos
    considerar “aceptación implícita”… lo que me parece más ajustado para
    coger tasa de rebote….

    Ahora bien, si planteas debate respecto a 200px… ¿qué tal respecto a… 5 segundos?

    DUDA sobre los 2 trackings (anónimo y “normal”….)
    User entra, haces tracking x Universal…

    Hace
    scroll…. SUPONGO que en ese momento “escribes” el código del
    Analitics éfico (Eldertodalavida) y mandas evento de pageTracking a
    Analytics (dejas inmediatamente cooooooookie normal)

    si es así –> ¿ Puedes tener el código de Analytics Universal y Analytics Élfico en la misma página y no se lian a tortas ?

    • Hola Jose Luis!

      Pues, respecto a la aceptación implícita no puedo darte la razón porque la Guía de Uso de las cookies deja bien claro que “la simple inacción del usuario nunca podrá considerarse como aceptación“. Ni con 5 segundos ni con 50 🙂

      Respecto al segundo caso que comentas, no se puede hacer porque registraría dos visitas (la registrada con Universal nada más cargar la página y la segunda con el Analytics normal) por eso dejo claro en el artículo que nosotros no cargamos la cuenta A, la de toda la vida hasta la segunda petición.

      Por último, me confirma Jeroclo el espartano que no sólo Analytics y Universal Analytics no se pegan de tortas sino que la propia Google recomienda cuando hagas la migración mantener los dos en paralelo.

      ¡Espero que el artículo te haya servido de ayuda!

      • joseluisgv

        Por supuesto !!
        En mis clientes lo teníamos implementado como indicas (con otro núm. de px por scroll, y con algún que otro evento (clic en imagen para lanzar un thickbox y estas cosas…)
        Y cierto talmente: “dejar pasar el tiempo” es una inacción total….

        Ahora mismo yo dejo una cookie en primera visita, técnica (control de sesión, la títpica JSESSIONID….) y es en ella donde descubro si ya ha estado antes, en esa sesión, en alguna página y en base a ella dejo otra cookie (en la segunda página visitada) que en visitas futuras me dirá si ya ha aceptado antes (implícita, obvio…) y ya no le muestro aviso (obviamente, YA ha aceptado de forma implícita anteriormente) y ya le dejo el analytics de “siempre”.

        ¿Sería “bueno” identificar en Universal al visitante con algo único del tipo jsessionid y así poder saber el nivel de repetición del user…? Y si pones esa sesión a 30 días…. ya no te digo nada…

        ¿estoy pensando una burrada o lo ves medianamente aceptable?

        Quizás el % de rebote fuera algo más ajustado o “estudiable” y por supuesto, el de visitantes recursivos (que ojalá, tengan ya su cookie por acción….).
        Tendrías visitas, visitantes únicos y alguna “bola extra” más…

        PORQUE me ha parecido entender que en Universal identificabais a todos los visitantes con el mismo ID… ¿o la neurona estaba en el estómago (las horas…) y no me he enterado bien?

        • Nosotros es que partimos de la base de que dejar una cookie nuestra que pueda llegar a identificar al usuario podría entrar en conflicto con lo que dice la ley, por eso no se nos pasó pro la cabeza utilizarla para coger el SESSIONID y pasárselo a Universal Analytics.

          También por eso lanzamos Universal Analytics sin ID, lo que conlleva que la visita sea “anónima”, justo el espíritu de la ley ^___^

          • joseluisgv

            Pero la jsessionid la dejas sí o sí aunque no useséis el id para identificar al user en Universal, ¿no?
            Nosotros no lo hacemos ahora, pero hay que investigar opiniones y posilidades…

            Pero sí dejamos la jsessionid… va “con” el sistema y no nos hemos planteado bloquear su escritura (que sería solo si no existe aceptación previa, claro…)

            Y si el user no va más allá de esa primera página (o hace scroll), seguirá igual de anónima (pero sabes si ese anónimo ha visitado antes la web…)

            Esto ya es discusión filosófica sobre la posible interpretación de la LSSI…. como en tantísimos otros casos… claro… pero joer, encuentras a alguien que sabe de qué habla y me lanzo…. je, je, je…. así que perdona por el atraco ;-))

          • jerolba

            Yo no te aconsejaría usar el jsessionid para identificar al usuario en Universal Analytics, porque es diferente entre cada sesión del usuario. Yo usaría algún token que crees por cada usuario y que puedas poner cada vez que se loga.

            ¿En tu aplicación el usuario puede hacer denegación explícita?
            Si es así, incluso el jsessionid podría ser considerado problemático, dependiendo del uso que le des internamente en tu aplicación.
            Si usando el jsessionid no haces nada de lo que dice la ley yo no me preocuparía y la seguiría usando.

          • joseluisgv

            Bueno, como dices el jsessionid en realidad es único por sesión, que puede durar desde los típicos 30m a 30d…. 😉 y sabrías la “recurrencia” de visitas “bounced”.

            No puede hacer denegación explícita. Solo tenemos las cookies títpicas de cualquier ecommerce: sesión, analytics, redes sociales (les damos mismo tratamiento que analytics).

            Pero obviamente, las tasas de rebote han cambiado como de la noche al día. Igualmente, la tasa de conversión (mucho mejor…. je, je, je…) y el número de visitantes (suma de anónimos + suma de normales) no es real, porque en los “reales” se incluye, siempre, los anónimos, pero no todos los anónimos pasan a ser reales…. y ahí perdemos “puntería”… sobre todo en las páginas que se estén posicionando por algo que no queremos o que queramos afinar más el SEO…. perdemos bastante capacidad de “estudio”.

            Por eso el darle vueltas para saber un poco más de los anónimos (afinar el bounce real, la tasa de conversión real por landing, etc…)

  • me he tirado al barro con una vía puerca en inglés:

    http://wordpress.org/support/view/plugin-reviews/cookie-confirm

  • He llegado hasta el final y me he ido a conocer a Cookie-kun. Me he ganado un cacho de empanada!!

  • miquelcamps

    hola david,

    según tu post veo que una de las conclusiones de la ley es:

    “la información sobre cómo revocar el consentimiento y eliminar las cookies debe ser accesible”

    en la mayoría de webs que han puesto el mensaje de uso de cookies, veo que una vez has aprobado el consentimiento no ponen como revocarlo.

    en otogami lo tenéis en alguna sección?

    gracias

    • jerolba

      Hola Miquel!

      Lo tenemos puesto dentro de la página explicando la política de Cookies:

      http://www.otogami.com/politica-cookies

      Al final del todo, donde se dan enlaces donde cada navegador explica como se quitan, hemos puesto un botón que ejecuta un JS que elimina todas nuestras cookies junto con las de analytics

  • Pingback: Lo mejor de la semana sobre desarrollo web en español vol. 28 | ADWE()

  • Lucía del Castillo

    David que arte tienes, gracias por el post 😉

  • Creo que hay una aclaración de la ley para Google Analytics en la que se dice que sólo hay que avisar y si que permite la carga de la cookie en un primer momento…

    • Hola Borja,

      ¿Puedes poner un enlace a la “aclaración”? Creo que en lo relativo a esto hay mucho RUIDO. Si no es oficial sino una interpretación de alguien, no lo tendría en cuenta. Esta ley se hizo, precisamente, para cosas como Analytics.

      Un saludo,
      David

      • Hola David, me baso en el ejemplo del PDF facilitado por la agencia de protección de datos: “Utilizamos cookies propias y de terceros para mejorar nuestros servicios y mostrarle publicidad relacionada con sus preferencias mediante el análisis de sus hábitos de navegación. Si continua navegando, consideramos que acepta su uso. Puede cambiar la configuración u obtener más información aquí.” Dice que se utilizan, no que se van a utilizar o instalar. Es un aviso de que ya se están usando. http://www.agpd.es/portalwebAGPD/canaldocumentacion/publicaciones/common/Guias/Guia_Cookies.pdf

  • Alberto Molpeceres

    No estoy muy de acuerdo con lo que dices del cookie-less Analytics y la identificación del usuario.

    AFAIK, el objetivo de la directiva no es impedir que tú saques información de negocio, usando herramientas propias o de terceros, sino que es está enfocada sobre todo a su utilización “cross domain” con fines más allá de los de tu sitio. Y prueba de ellos es que a este jaleo se le ha llamado “ley de cookies” y en la norma se habla de “dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios” y no de “identificar al usuario”. Entre otras cosas porque eso sería algo así como impedirte tener un contador de visitas en tu base de datos.

    El problema no viene de que tú uses analytics o alguien te promocione en Facebook, sino que el problema viene del uso que han hecho hasta ahora Google, Facebook y los millones de sitios de tracking de esa información. Y han hecho uso de esa información porque nosotros, los desarrolladores y webmasters (palabro tristemente en desuso), les hemos dado esa información alegremente. No nos ha importado nunca lo que ha han hecho con esa información mientras consiguiéramos un Like más o tuviéramos un número de visitas adecuado para nuestro ego. Con quejarnos diciendo que es una ley estúpida tenemos suficiente.

    Pero esto es únicamente mi opinión, claro.

    • No sé si he entendido muy bien tu comentario Alberto porque, básicamente, todo lo que dices comparte lo que dice el artículo:

      En el texto creo soy bastante neutro sobre el fondo de la Ley, y no opino sobre si me parece bien, mal o regular.

      Precisamente, para cumplir el espíritu del artículo, nosotros no sólo usamos Universal Analytics en forma cookie-less sino que además, al no registrar ningún tipo de userID (Google te exige que tu gestiones el ID de usuarios si trabajas cookie-less) en la práctica, estamos haciendo que nadie que no haya aceptado nuestra política de cookies pueda ser identificado.

      Cuando vengas a la oficina te lo enseño pero, para Google, las visitas cookie-less son todas “nuevas” y ni siquiera detecta el origen de las mismas. En vez de poner “directo”, “búsqueda” o lo que sea, pone “ordenador”.

      Creo que ese es el espíritu de la Ley. Que si alguien no quiere ser identificado por Google o cualquier otro -para utilizar sus datos cross-domain para publicidad o lo que sea- no lo sea. Con nuestra implementación lo hemos conseguido. El único “extra” que tenemos es que nosotros registramos esas visitas anónimas.

      • Alberto

        Yo he entendido lo que haces, pero no estoy de acuerdo con lo de:

        “Pues, o utilizas algún método prohibido por la “Ley de Cookies” para identificarlo o no usas ninguno. ”

        No creo que la ley diga que tienen que ser anónimos para ti, sino que no debes favorecer que otros les tracen.

        Si tu le das un identificador a esa visita, (un hash a partir de tu dominio, su IP y el user agent por citar algo), Google no está trazando ese usuario a través de sus servicios, sino que te está ofreciendo a ti una herramienta de estadísticas. Y eso, ya sea con Google Analytics, con un contador en tu base de datos, sacando información de tus logs, no va en contra, hasta donde yo sé, en contra de la norma.

        Repito, no creo que la norma quiera impedir que estudies lo que hacen los usuarios en tu sitio, sino que el objetivo es impedir que favorezcas que sean trazados online.

        • Alberto

          Por poner un ejemplo cercano, lo que la ley quiere evitar no es que tengas estadísticas de tu sitio, sino esto:

          https://www.monosnap.com/image/py5HaZupxkwDX7vnIcuCQgL9W.png

          • BTW, mira lo que dice la misma herramienta cuando accedes a Otogami sin haber aceptado lo de las cookies: http://monosnap.com/image/IMQAcGeaB5EnS9kYG9KH08AO5

          • Alberto

            Que conste que no tenía nada en contra de tu blog, solo era un ejemplo de que la cosa se nos ha ido de las manos. Y no por mala intención, sino simplemente porque esas 7 empresas pueden hacer “lo que quieran” (y algunas harán el bien, y otras el mal)

        • Pero es que yo creo lo mismo que tú. Lo que pasa es que nosotros ni nos planteamos hacer eso que tu dices (lo de la hash) porque:

          1. Eso implicaba revisar todo el website para comprobar que se adaptaba al nuevo Analytics… incluidos múltiples eventos de medición más allá de las pageviews. Por eso, si nos dan el OK cargamos el Analytics de toda la vida.
          2. El día de mañana, con usuarios en la web, si queremos proporcionar un ID asignado por usuario de verdad para luego poder trackear lo que hacen en la aplicación de móvil (tipo Mixpanel).

          Así que, lo que comentas, aquí más lo que has puesto en Twitter tiene muy buena pinta:

          – anonimizar la IP para garantizar aún más que Google no sepa quien es
          – Crear un mecanismo de hash para asignarle un ID siempre, haya autorizado o no.

          Lo veo como una mejora a meter en el backlog… pero, tal como estamos, más allá de anonimizar la IP no sé cuando encontraremos tiempo para implementar el hash y todo lo que conlleva, la verdad…

          • Alberto

            Ok. Simplemente quería decir que, en el caso que más parecía preocupar a todo el mundo (GA), *parece* haber una solución “sencilla” para la *mayoría* de los casos.

  • Pingback: Noticias 09-10-2013 - La Web de Programación()

  • Pingback: Incorporar el aviso de la Ley de cookies en tu WordPress en 5 pasos | CONCEPTO 05()

  • dudanteYsonante

    Tierra trágame, o trágate a los que votaron esto… yo tengo una web con publicidad solo tras autenticarse (no en el index). ¿Bastaría con hacerles firmar que están de acuerdo con la utilización de cookies? También utilizo de Google Analytics, tanto en el index como una vez autenticado.

    Muchas gracias!

  • Pingback: La ley de cookies, su interpretación y sus consecuencias | El blog de Javier Ordás()

  • Oscar Herrera

    Hola que tal, perece bien
    lo que dices es una nota muy interesante saludos.

    https://www.facebook.com/OscarHerreraFans?ref=ts&fref=ts

  • Pingback: Mario Armenta | Código para cumplir la ley de Cookies()

  • Pingback: La Ley de cookies en WordPress : Recolectora De Luz()

  • Pingback: Conclusiones acerca de la Ley de Cookies()

  • David

    Hola David,

    ¿como calculais el número de visitantes únicos si es que lo haceis?… saludos y buen trabajo!

  • Hola,

    una pregunta… si la finalidad de la ley es evitar que alguien sea identificado sin su consentimiento, ¿no podría usarse el ga(‘set’, ‘anonymizeIp’, true); en UA o su variante en Classic? Obviamente es un método que no garantiza 100% el anonimato de nuestros usuarios, pero en caso de un uso indebido por parte de terceros, la pelota caería del lado de Google.

    Naturalmente los de Google se quieren librar del marrón con la nueva y secretísima “Enmienda para el procesamiento de datos” (tan desconocida que si alguien busca este término en el motor de búsqueda el 90% de resultados corresponde a la propia Google).

    Yo trabajo en Alemania y aquí la directiva europea ni siquiera ha sido reflejada en las leyes nacionales, a pesar de que ya hace bastante tiempo que se cumplió el plazo para hacerlo. Y hablamos de Alemania, mundialmente conocida por tener más leyes que habitantes.

    Sinceramente, creo que han hecho una gran chapuza con la adaptación de la LSSI en España.

    Saludos,
    Agustín

  • Fran

    Las cookies se pueden cargar perfectamente en un sitio web y al final la carga de la web se puede eliminar de forma directa , de este modo las cookies se resetearán en una primera carga para ese dominio y ese navegador y esto se puede hacer perfectamente con jquery y su plugin de cookies , eliminando todas las cookies en una primera carga , por otro lado esta ley entre comillas , no se sabe bien en que basa su acusación , las denuncias de esa organización se basan a su vez en denuncias de terceras personas y las pruebas son cuales ? las cookies grabadas , que preparación técnica tiene esta gente para dictaminar esto , de igual modo el acceso a un sitio web es voluntario , el sitio web es una propiedad privada y parece que el espacio internautico es propiedad de quien de Europa o de quien , un dominio internacionalizado .com no es de ningun país , internet es global no es de españa ni de méxico ni de usa , hay contenidos legales en todo el mundo y no legales el resto es bucar temas sin sentido , internet es global y una página es de acceso voluntario , es el usuaro el que debe aceptar las normas de esa página y no la página las normas del país de cada vsitante , eso es lo ridículo pero como siempre españa haciendo el ridículo en el mundo , es lo qeu tiee ser gobernante y un auténtico burro integral y como no el analfabetismo tecnológico de mucha gente

  • Pingback: Ley de Cookies: si Triki levantara la cabeza - mjcachon()

  • BeR

    Yo este tema lo comparo a ir a un burdel a practicar sexo sin ponerte un condón. Todos tienen el mecanismo en sus navegadores para impedir el uso de cookies. Entonces si no tienen activada esa protección ¿están ya aceptando implicitamente el uso de cookies? …y la gente dirá que no tienen porqué conocer esos aspectos técnicos de sus navegadores, pero por otro lado nadie conduce un coche sin aprender antes a llevarlo.

    No sé… creo que es una ley muy bien pensada con una solución técnica compleja, pues ninguna empresa quiere perder su primera visita en analytics o meterse en el fregao que comentáis de tener dos cuentas. Le han dado bien al tarro estos sres. políticos para tener otro punto de recaudación bien regulado.

  • Pingback: Cookies: Qué son y cómo funcionan - FUA Social Web | FUA Social Web()

  • Pingback: Guía para que tu e-Commerce no incumpla la “Ley de cookies” | Blog de Mediaclick - Agencia de Marketing Online()

  • Pingback: ¿Porque tengo que instalar un aviso de cookies en mi web? | Dinamic Experience()

  • Hachecode

    “Así que, ¿qué pasa con el resto? Pues, o utilizas algún método prohibido por la “Ley de Cookies” para identificarlo o no usas ninguno.”

    Sería la ip apta para identificar al usuario? Entiendo que en caso de que pudiéramos utilizarla, tenemos el problema de varios usuarios saliendo desde la misma ip, pero como punto de partida, serviría?

  • Pingback: APSL Blog - Ley de cookies con Django()

  • Pingback: Cuestiones legales sobre las cookies. Nivel mentes inquietas y propietarios de webs. - La Métrica()

  • Iván

    Buenas tardes,

    Muy interesante todo. Pero he estado buscando en qué momento cargas el código de GA “estándar” una vez que el usuario ha aceptado las cookies, y no soy capaz de encontrarlo por más que inspecciono el código. Únicamente veo que siempre envías la cuenta GA “anónima”, independientemente de la aceptación o no de las cookies, y que desde el cookie_consent.js vas registrando los eventos de aceptación.

    ¿Me estoy perdiendo algo?

  • Pingback: Cookies: ¿utilidad o invasión de la privacidad? - Dexpierta()

  • Zabalza Estudios

    Os recomiendo http://www.mastercookies.es , y dejaros de complicaciones! Un Saludo.

  • Javi Guembe

    Hola David, este artículo es grandioso, de verdad.
    Quería saber qué tal os funciona la medición puesta ahora, con un clientId basado en el valor de una cookie técnica, la Ip como anónima y storage a none… yo lo estoy probando en mi web, y creo que funciona genial, de hecho en sitios que no requieren una analítica avanzada incluso no pondría doble sistema y pondría ya Universal Analytics.
    Por cierto, en mi modesta opinión la ley de cookies afecta sólo en España no sólo a Analytics, sino a insertar vídeos de Youtube, mapas de Google, botones de compartir y widgets de redes sociales, y otros sistemas externos incrustados… en (casi) todos ellos hay cookies, son de terceras partes y seguro que parte de ellas con finalidad analítica, y entonces la ley requiere ya consentimiento previo.

  • Pingback: ¿Qué es la ley de cookies? ¿Por qué cumplirla? ¿Cómo cumplirla? | Cartograf()

  • Antonio

    Antes de nada, lo mejor del artículo que has escrito es la imagen de la película “El luchador”.

    Pues si hay que hacerlo se hace, buscaremos las interpretaciones