Controlando tus cookies: cómo instalar un CMP

Publicado el por jorgecarrion

A principios de 2023, nada parece más relevante en el panorama digital que la privacidad. Como si de la fuerza de la gravedad se tratara, está atrayendo y moldeando todo lo que encuentra a su paso. No sólo ha hecho que nuestras interacciones con las webs o las apps sean diferentes, sino que ha impuesto sanciones inimaginables hace unos años a los grandes behemoths de la industria. (estas de Meta, por ejemplo)

Uno de los puntos fundamentales que debemos tener en cuenta a la hora de adaptarnos a este nuevo modelo online si poseemos un sitio web es la gestión de nuestras cookies. Ya no vale con decirle al usuario que utilizamos cookies y recoger toda su información sin tener en cuenta nada más: debemos pedir su consentimiento y actuar de acuerdo a la decisión tomada por este usuario.

Una de las herramientas que ayuda a gestionar esto de forma sencilla son los llamados Consent Management Platforms (CMP), el objeto de nuestro artículo de hoy. Entre otras cosas, las tareas fundamentales de un CMP son escanear y categorizar todas las cookies existentes en tu sitio web, generar un banner de cookies que permita a los usuarios tomar una decisión y proporcionar la información necesaria para actuar en base a esa decisión.

¿Qué quiere decir toda esta jerga en realidad? Muy sencillo:

  1. El CMP va a buscar en tu web todas las cookies que estás utilizando en la actualidad.
  2. Las va a categorizar en bloques, según el propósito final de esa cookie (si proporciona información a un producto de marketing, la cookie tendrá categoría de marketing)
  3. Va a generar un banner de cookies en el que dirá al usuario qué quiere aceptar o denegar (aceptar todas? denegar todas? aceptar sólo las de analítica?)
  4. Recogerá la información que ha dado el usuario sobre el consentimiento que otorga y la hará disponible para nosotros.
  5. Utilizaremos esa información para bloquear o no la salida de información de los usuarios a las diferentes plataformas que tengamos instaladas.

En cualquier caso, como sé que todo esto puede sonar abstracto para todos aquellos que no lo hayáis hecho nunca, vamos a ver un caso práctico con una de las herramientas con mayor crecimiento de los últimos meses: Cookie Information. He tenido la suerte de conocer -y hasta dar un webinar con ellos- a la gente de Cookie Information y quería hacer este post con esta herramienta por dos razones: por un lado, creo que se toman la privacidad muy en serio y por otro, me permite mostraros un CMP desde 0 porque no tenía nada preinstalado.

Generación de dominio y escaneo

Cuando creéis vuestra cuenta en Cookie Information (tenéis 30 días gratis aquí), algo parecido a la pantalla anterior aparecerá en vuestro navegador. ¿Qué está pidiendo aquí? Básicamente nos está diciendo que necesita que le digamos una url que escanear para encontrar todas las cookies que existan en ella. Lo que heremos por tanto, es algo parecido a lo siguiente:

Como véis, nada muy complicado. De hecho, lo único que he hecho ha sido completar mi URL, he dejado el resto tal y cómo venía marcado por defecto. Si seguimos, seremos interrogados para definir los idiomas que contiene nuestra página web. Aunque en realidad mi web sólo está en español, pongo aquí como adicional el inglés para efectos didácticos.

BUM! Ya tenemos nuestra solución de consentimiento creada. No ha sido difícil, ¿verdad? Con esto hemos conseguido escanear nuestro sitio web en busca de todas las cookies, algo que nos permitirá avanzar en nuestros siguientes pasos. ¿Dónde podemos ver estas cookies? Lo veremos un poco más adelante en el apartado de gestión.

Hemos adelantado mucho trabajo en muy poco tiempo, pero la cosa no acaba aquí. Aunque la carcasa está creada, necesitamos rellenarla con el verdadero valor que ofrece una herramienta como esta, que pivota en tres puntos fundamentales: visualización y diseño del banner, gestión de las cookies y condicionamiento de scripts.

Visualización de Banner

El primer paso que debemos dar para empezar a visualizar el banner en nuestra web sería colocar este script en el código fuente de nuestra web, en la parte que corresponde al <head>.

A partir de ese momento, tendremos la solución de banner por defecto de Cookie Information en nuestra web, algo como esto:

Este banner se vertebra en dos puntos fundamentales: las categorías de cookies y el diseño. Las primeras se obtienen a través de la propia lógica que implementa Cookie Information a partir de las cookies encontradas en la web, y se dividen de la siguiente manera:

El método empleado en realidad funciona siempre igual en todos los CMPs y es bastante sencillo: se recoge una cookie, se matchea con una base de datos para ver si existe y dentro de esa base de datos se comprueba su propósito. Por ejemplo, si el propósito final de la cookie es realizar acciones de publicidad, se le otorgará la categoría de Marketing.

Las cookies encontradas -y veremos más adelante por qué este número es algo extraño- en mi web se muestran a continuación, dentro de la interfaz de Domains List:

Una vez tenemos esto claro gracias al escaneo que se ha realizado, pasaríamos al punto dónde generamos el diseño específico de nuestro banner. Para ello, Cookie Information ha generado una serie de plantillas que nos ayudarán a ser más ágiles en todo este proceso. Para visualizarlas, nos iremos al apartado de Pop-Up y, dentro de este, a Change Template. Esto nos redirigirá a una página dónde podremos ir viendo el catálogo de plantillas disponibles.

Cabe destacar dos cosas aquí: una que este proceso también está disponible para el apartado de configuración de cookies (lo que se abre cuando el usuario le da a mostrar detalles) y la política de cookies (donde podremos poner todo el texto donde informamos a nuestros usuarios de las cookies que implementamos). Y dos, que tenemos disponible la opción de personalizar la plantilla tanto como queramos a través de las opciones avanzadas de la misma (modificando desde el css hasta las funciones javaScript disponibles):

Gestión de las cookies

Antes hemos podido vislumbrar un atisbo de las cookies que había atesorado la plataforma. Sabemos que tenemos 51 cookies en nuestra web -o eso parece-, pero no sabemos cuáles son, qué categoría tienen, ni cómo están distribuidas. Pero podemos saberlo. Y aquí entra la que -para mí- es la funcionalidad más potente de Cookie Information y dónde se distancia del resto de sus competidores: el dashboard de Compliance. No es sólo un cuadro de mando con el que comprobar el porcentaje de aceptación o rechazo de cookies. También es un sistema de gestión de la información sobre el consentimiento de los usuarios, de visualización sobre todas las cookies existentes en el sitio web y de gobierno de riesgos en privacidad. Debo confesarlo, esta es mi funcionalidad favorita y la que me parece más fundamental a la hora de dar más poder a los usuarios. Veamos algunos ejemplos de lo que he comentado:

Resumen de cookies, aceptación y riesgos

Resumen ejecutivo de toda la información más relevante sobre nuestros usuarios, nuestras cookies y nuestros riesgos.

Información detallada de las cookies existentes

Aquí podemos ver qué cookies existen en nuestra web y cómo las ha clasificado la herramienta. Este detalle nos permite entender el por qué de ese número extraño que os comentaba antes: el escaneado de la plataforma ha detectado cookies en los botones de social sharing (el típico de compartir en twitter o linkedin) y las ha volcado todas aquí. Esto es algo que no había visto tampoco en otros competidores, lo que me dice que la plataforma se dedica a clicar en todos los botones disponibles de la web para comprobar si estos generan alguna cookie que no podemos ver a simple vista al entrar.

Eso sí, como digo una cosa digo la otra: faltan algunas cookies y el sistema de clasificado no está muy pulido. Me resulta extraño que cookies como la típica de _ga de google analytics llegue a recopilarse y que no sea capaz de clasificar cookies como _ga4, _ga4sid o incluso wp_sharing_[]_twitter en ninguna categoría. En cualquier caso, mi test ha sido de un día prácticamente y lo bueno es que podemos definir la frecuencia de reescaneo que queremos para nuestra plataforma, por lo que creo que estos problemas se solucionarían.

Información detallada del consentimiento de los usuarios

Un apartado para entender mejor a nuestros usuarios, qué porcentaje de aceptación/rechazo de cookies tenemos y cómo gestionarlo.

Información detallada de los riesgos de privacidad

Como os decía, este apartado me parece el más interesante de toda la herramienta: identificación de riesgos potenciales de privacidad. Es posible que aparezcan más en otros casos, pero yo aquí tengo 3: cookies sin clasificar, cookies que no pertenecen a la esfera territorial de la Unión Europea y cookies cuya expiración es mayor a 12 meses. Tener todo esto identificado en un mismo sitio, de manera ordenada y sistematizada es una ventaja enorme. Es un trabajo de auditado que podemos ahorrarnos y que, además, podemos solucionar de forma sencilla gracias a esta rápida identificación. Todo un acierto por parte de los desarrolladores de la plataforma.

Clasificación de cookies

Ya hemos visto anteriormente que muchas de las cookies existentes estaban sin clasificar. En el apartado de Cookies Settings tenemos la opción de añadir una categoría determinada a la cookie que queramos, introduciéndola así en el grupo que más tarde el usuario podrá decidir si acepta o rechaza. Aunque el proceso es sencillo, no vendría nada mal una funcionalidad que nos permitiera hacer bulk en esto y marcar todas las cookies que queramos para una categoría concreta, sin tener que hacer lo mismo una a una.

Configuración final

Una vez tengamos nuestras cookies clasificadas en una categoría, pasaremos al último paso de la configuración: cómo queremos manejar nuestra solución. Nos iremos al apartado de configuración y veremos una serie de opciones que pueden suponer un gran cambio en lo que pongamos al alcance de nuestros usuarios. Especialmente interesante es el punto de shared consent, ya que nos permite de forma bastante sencilla compartir cookies entre diferentes dominios (si tienes dos webs que pertenecen a la misma compañía pero no comparten dominio).

Condicionamiento de scripts

La tercera pata fundamental de este entramado de privacidad es el condicionamiento de los scripts con un TMS como Google Tag Manager según las preferencias del usuario. Ninguna información puede salir de la web a un tercero hasta que el usuario no dé su consentimiento. Eso sí, de esto ya os hablé en este post (aunque con otro CMP), así que no voy a repetir estas instrucciones, ya que la lógica al final es muy muy similar. Para que os hagáis una idea, esto es lo que lanza Cookie Information cuando el usuario acepta todas las cookies.

Por otro lado, la propia plataforma tiene un magnífico artículo donde explica paso a paso cómo realizar esta configuración con GTM, así que acudid ahí si tenéis alguna duda.

Auditoría de normativa de cookies gratis

Como anunciaba en mi publicación de LinkedIn, sólo por leeros este post podéis recibir una auditoría gratuita de normativa de cookies en vuestra web de la mano de la experta en privacidad de Cookie Information, Selene Vega. Para poder recibir esta auditoría, escribidle a su correo: [email protected]

Deja un comentario

Publicado por jorgecarrion

Ingeniero Analítico. Intento escribir las cosas que sé para que no se me olviden.