No COOKIE

Ya me he pronunciado en más de una ocasión sobre el tema de las cookies y políticas como la de la RGPD.


La idea de regular los usos tergiversados de este tipo de herramientas me parece totalmente lícita.

Su implementación, una auténtica mierda.

El tener que forzar al usuario a que en todas y cada una de las páginas a las que llega deba decidir ya no solo si acepta o no las cookies, sino encima entender qué cookies intentan cargarse y decidir cuáles acepta y cuáles no, me parece absurda.

  • ¿Se hace por el bien del usuario? Sí.
  • ¿Sirve de algo? Lo dudo muchísimo, sinceramente.

La mayoría simplemente o pasa del popup (siempre y cuando se pueda pasar, que esa es otra, ya que hasta hace no mucho ese popup debía BLOQUEAR la navegación de la web, como si de un muro de pago se tratase), o las acepta todas y sigue navegando.

Si al menos existiera alguna manera de preconfigurar tu navegador para que acepte unas y no otras, pues todavía. Pero como cada desarrollador (un servidor incluido, ojo) implementa la política de cookies en sus proyectos como le viene en gana (no hay estándar alguno más allá de recomendaciones y una base regulatoria que hay que cumplir), toca, como decía, hacer esto en cada página que entramos.

Y claro, son contadísimos los casos de usuarios que en efecto se van a leer la política de cookies y más aún entender qué supone aceptar unas y no otras.

¿Cuál es principal fallo que le veo? La necesidad de que sea PROACTIVAMENTE el usuario quien tome esa decisión. El que, de pronto, para navegar por una web, tengas que previamente tomar una serie de decisiones y hacer unos cuantos clics extra.


Si lo que esperamos como administradores de sitios es que el usuario tenga que hacer lo menos posible (llegue, acceda a lo que tenga que acceder, y se vaya feliz de la vida, a poder ser habiendo pagado por el servicio), el cumplir la política de cookies europea rompe de facto esta posibilidad.

Descontando el trabajo que cuesta cumplirla de forma estricta. Cada desarrollo es un mundo, y por ese mismo motivo, se decidió en su día dividir las cookies entre aquellas estrictamente necesarias por funcionalidad, de aquellas otras que son de seguimiento o de terceros.

Es más, hace unas semanas hice una prueba intentando cumplir estrictamente la política en esta misma página.

¿El resultado? Para Google Analytics el tráfico pasó a ser un 4,8% del real. Los usuarios entraban, pero al no activar el popup, a ojos de Google ese tráfico no existía.

Y puesto que hoy en día Google Analytics es el estándar de la industria, ya te puedes imaginar la razón de por qué todos los medios de comunicación no cumplen la RGPD en su forma estricta.

Cumplirla estrictamente supone, de facto, limitar de forma muy agresiva el negocio publicitario.

Y curiosamente este paradigma entra en conflicto con la que hoy en día sigue siendo, lamentablemente, la principal fuente de monetización de páginas webs: la publicidad.


Para que la publicidad funcione, necesita cargar cookies. Pero si tenemos que bloquearlas por defecto, hasta que el usuario no las acepta, no monetizamos.

Y puesto que la mayor parte de la monetización por esta vía viene, precisamente, de lo que yo llamo paracaidistas (gente que llega a tu web desde búsquedas por un contenido específico, lo consume y no vuelve a visitarte a no ser que le vuelvas a aparecer en otra búsqueda), cumplir estrictamente la política de cookies supone perder una parte significativa de la monetización del sitio.

Por ello, no es raro que haya muchos proyectos que o bien deciden bloquear por defecto el tráfico desde Europa (claro está que hablamos de portales donde sus usuarios provienen, principalmente, de otros países), o bien, directamente, modificar el propio proyecto para adaptarlo al cumplimiento de la RGPD por defecto.

Y esto pasa, habitualmente, por eliminar funcionalidades que quizás hasta entonces considerábamos críticas.

Vuelta a las páginas sin funcionalidades dinámicas

Un ejemplo de ello es GitHub, que hace unos meses (EN) decidía cambiar su portal para desarrolladores eliminando tanto la opción de comentar como el sistema de logging.

Es decir, que si navegamos ahora por su blog, lo que vemos realmente no es la parte dinámica de un CMS, sino una página estática sin funcionalidades dinámicas, creada adhoc con un software intermediario que transforma lo que el autor escribe en el CMS que utilicen en lo que vemos.

No es necesario por tanto cargar cookies, ya que no hay funcionalidades dinámicas. Simplemente HTML e imágenes. Punto.


Y no nos olvidemos que Google, quien hoy en día parte el bacalao en esto de la publicidad en páginas web, ya está probando su sistema FLoC libre de cookies y por ahora RPGD friendly.

Que es triste que hayamos llegado a esta situación, con webs perdiendo funcionalidad no porque tenga un sentido funcional, sino por cumplir una regulación debida, principalmente, al mal uso que históricamente algunos grandes medios han hecho de este tipo de elementos.

Qué penita, de verdad…

Newsletter nuevas tecnologias seguridad

Imagínate recibir en tu correo semanalmente historias como esta

Suscríbete ahora a “Las 7 de la Semana”, la newsletter sobre Nuevas Tecnologías y Seguridad de la Información. Cada lunes a las 7AM horario español un resumen con todo lo importante de estos últimos días.