Cookies y RGPD en blogs

El pasado 25 de mayo entró en vigor el Reglamento General de Protección de Datos de la Unión Europea, que ya se aprobó en 2016. Esto obliga a las empresas a adoptar medidas para ajustarse a la nueva legalidad en cuanto al tratamiento de los datos personales se refiere. Es un Reglamento, por lo que la redacción del texto es igual para todos los países miembros, traducida a las diferentes lenguas comunitarias.

¿Cómo me afecta si solo tengo un blog?

Los particulares que hacemos un blog sin ánimo de lucro, en principio parece que estaríamos exentos de cumplir con tal legislación, pero dado que utilizamos tecnología de empresas que sí hacen uso de los datos, como Google en el caso de Blogger o WordPress, las dos principales plataformas de blogs, debemos adoptar algunas medidas. Como he estado trabajando en ello, he sacado un rato para contar cómo lo he hecho y así poder ayudar a quien aún no se haya puesto a punto. Dado que no gano dinero con este blog, sino que me cuesta, he buscado herramientas gratuitas para ello.

Resumiendo, hay cuatro cosas básicas que debemos hacer: procurar una conexión segura (certificado SSL), redactar una política de privacidad, adaptar formularios (si procede) y luchar con las cookies. Esto lo dejo para el final, pues es harto complicado.

Conexión segura

En Blogger tenemos ya la opción de cifrado mediante un certificado reconocido de Let´s Encrypt, válido durante tres meses y renovable de forma automática. Así, nuestra conexión es segura, protegida mediante protocolo HTTPS.

Política de privacidad

Para hacer un primer aviso de política de privacidad hemos usado Iubenda, cuya versión gratuita es muy limitada, pero suficiente para un pequeño blog como este.

Después, hemos creado una página donde hemos explicado todo más detenidamente. No me hagáis un simple copia-pega, porque a vosotros no os serviría. Tendríais que cambiar cosas seguro.

Otros métodos de obtención de datos: comentarios, formularios, etc.

Como no tengo forma humana de poner una casilla de verificación en la casilla de comentarios de blogger, se me ocurren dos formas de lidiar con esto: la primera, deshabilitar los comentarios. La segunda, permitir sólo los comentarios a través de cuentas de Google, que para abrirlas ya han tenido que otorgar permiso a Google y decir esto de alguna manera en la casilla de comentarios (en Blogger, ve a Configuración). Aquí he optado, de momento, por deshabilitar los comentarios.

Yo no uso formularios, pero la única forma de hacerlo (en Blogger) conforme a la nueva ley es a través de GoogleForms.

Cookies

Esto es ya más complicado. Según el Reglamento, el usuario debe aceptar las cookies de forma activa y no se pueden instalar hasta que se haya otorgado esta aceptación.

Aviso de cookies

Hemos usado la herramienta gratuita y de código abierto Cookie Consent y hemos tenido que hacer algunas modificaciones. Básicamente, se trata de introducir un código antes del </head> de la plantilla HTML. Esto nos da un aviso de cookies con varias posibilidades tanto de diseño como de aceptación de cookies por parte del usuario.

No nos vale anunciar que hay cookies y ya está, pues el RGPD exige que se acepten de forma explícita. Por ello, hemos elegido la opción "opt-in", que nos da las opciones de "Acepto", "No quiero cookies" y "más información". Los textos se pueden y deben personalizar, por supuesto. El botón de "más información" nos reenvía a la página de privacidad que hemos creado.

El problema es cómo evitar que esas cookies se instalen hasta que el usuario lo haya aceptado. Es decir, hacer que se instalen sólo después de una aceptación explícita. La propia página de CookieConsent nos da la fórmula, que hay que copiar en el </body> y, al ser java script, convenientemente introducida:

<h:outputScript>
    <![CDATA[
        // ...

  ]]>
</h:outputScript>

En este hilo para los desarrolladores se dan algunas pistas para la correcta implementación del código para evitar que se instalen cookies antes de aceptarlas: https://github.com/insites/cookieconsent/issues/205

Otro punto espinoso es la necesidad de introducir un mecanismo que posibilite la revocación del permiso otorgado para almacenar cookies en cualquier momento. El botón para revocar las cookies tiende a desaparecer tras recargar la página, por lo que habría que modificar el código. La modificación que más nos convence nos la da el usuario ErikN 72 en este hilo de GitHub y, de momento, funciona:

// opens the popup if no answer has been given
CookiePopup.prototype.autoOpen = function(options) {
//!this.hasAnswered() && this.options.enabled && this.open();
if (!this.hasAnswered() && this.options.enabled) {
this.open();
} else {
if (this.options.revokable)
{this.toggleRevokeButton(true);
} 
} 
};

También ayuda a que funcione la magia del css. Si no sabes muy bien dónde ponerlo, en Blogger puedes hacerlo a través de "personalizar tema">"avanzado".

.cc-revoke.cc-bottom {
	display: block !important;
	}

Anonimizar las IP's en Analytics

Si usamos Analytics, en un blog como este deberemos tener desactivada la opción de segmentación de usuarios por edad o sexo, ya que no nos interesa vender ni hacer publicidad. Tampoco activaremos la cesión de datos a terceros para mejorar nuestro márketing, pues no nos interesa. Existe, además, la opción de anonimizar las IP´s.

Una IP, acrónimo de Internet Protocol, es una sucesión de cifras que identifica el origen de su conexión a Internet. Por tanto, al anonimizarlas, perderíamos precisión en la localización geográfica de los usuarios (mola mucho ver que nos leen desde Alicante, por ejemplo), pero, a cambio, nuestros usuarios quedarían mucho más protegidos.

La forma de hacerlo es sencilla: hay que incluir esta pieza en el código de seguimiento de Analytics, ese que escribiste en su día en el <head>:

ga('set', 'anonymizeIp', true);

Si se nos ocurre algo más para introducir mejoras en este sentido, actualizaremos la página.