Pautas para poder cumplir GDPR en una web construida con Drupal y así evitar el dolor de cabeza que conlleva.

Introducción al GDPR

Desde el ya pasado 25 de mayo de 2018 se aprobó en Europa la normativa GDPR (General Data Protection Regulation) en inglés, o también conocido cómo RGPD (Reglamento General de Protección de Datos).

Esta normativa trae nuevos retos para cumplir la ley europea, una normativa que cómo habréis leído ya, regula el tratamiento que lleva a cabo una página web con la información individual y personal recogida de ciudadanos que residan en la Unión Europea, independientemente de dónde esté situado el servidor que da servicio a los usuarios.

Por suerte contamos con una amplía comunidad dispuesta a arrimar el hombro, nuestra querida comunidad Drupal, que ya ha preparado una solución.

La solución

Este artículo tratará el módulo contribuido y libre Eu Cookie Compliance (eu_cookie_compliance), un primer paso hacia el camino correcto.

Como se puede adivinar en el nombre del módulo, se trata de un sistema para gestionar las cookies en forma de un banner.

Casi todas las webs presentan uno, por no decir todas. Pero hasta ahora era suficiente con decir al usuario que la página usaba cookies y mostrar un enlace a la política correspondiente. Sin embargo, eso ya no es suficiente para cumplir la nueva normativa GDPR. Ahora es necesario darle la opción de elegir si la web traquea las cookies o no y eso es lo que nos trae el módulo Eu Cookie compliance, una forma rápida y sencilla de gestionar las cookies.

Instalación

Vamos a tratar el módulo en su versión 8.x-1.2 para Drupal 8.

Cómo es ya habitual en Drupal 8 la manera más sencilla de instalarlo es con composer:.

composer require 'drupal/eu_cookie_compliance:^1.2'

O si lo prefieres puedes descargar el módulo y situarlo en la carpeta modules/contrib de tu sitio Drupal. Puedes encontrarlo en el apartado Downloads de la página del proyecto.

Solo nos queda habilitarlo para poder empezar a usarlo. Nosotros preferimos drush para esto, aunque también se puede hacer por interfaz desde /admin/modules.

drush en eu_cookie_compliance

Una vez habilitado el módulo ya podremos configurarlo.

Configuración del módulo Eu Cookie Compliance

Veamos cada apartado del módulo y de sus ventajas e inconvenientes.

El enlace para configurar el módulo se encuentra en /admin/config/system/eu-cookie-compliance.

Lo primero que hay que hacer para que tengamos el banner es habilitarlo y posteriormente podremos elegir para qué tipo de usuarios queremos mostrarlo.
 

Enable and permissions Eu Cookie Compliance.

 

El siguiente paso es el que verdaderamente va a hacer que cumplas o no el GDPR.

Podremos elegir en el módulo qué comportamiento se llevará a cabo con el seguimiento de los usuarios en la web.

  • La primera opción lo único que mostrará es el banner de cookies sin hacer nada más.

Primer método Eu Cookie compliance

  • La segunda opción no recogerá información del usuario hasta que éste dé su consentimiento, es la que deberemos elegir si queremos cumplir a la normativa GDPR

    El principal inconveniente de este método es que perderemos la información de origen del usuario ya que realiza una limpieza de todas las cookies y sólo permite su uso cuando el usuario ha aceptado. Sin embargo, las otra opciones no sirven para cumplir la GDPR por lo que no nos queda más remedio que activarla.

Segundo método Eu Cookie Compliance

  • El tercero hace lo contrario que el anterior método, por defecto traquea las cookies y sólo deja de hacerlo si el usuario decide que no se siga haciendo.

Tercer método Eu Cookie Compliance

  • El último método es automático, según las preferencias del navegador traqueará o no.

Cuarto método Eu Cookie Compliance

Además podremos elegir qué ficheros JavaScript deshabilitar hasta que el usuario dé su consentimiento. Esto es útil para evitar la carga de ficheros JavaScript que hagan algún tipo de tratamiento con la información del usuario, por ejemplo Google Tag Manager.

Podremos deshabilitar su carga si lo hemos instalado escribiendo la ubicación del fichero.

Deshabilitar javascript Eu Cookie Compliance.

Debido a que puedes tener el fichero en distintos directorios según el sitio, hemos contribuido un parche que te permite usar la rutas públicas y privadas. Puedes aplicarlo descargándolo desde la issue para convertir uris como public:// a rutas relativas.

Convertir uris como public:// a rutas relativas.

Puedes deshabilitar Google Analitics añadiendo este código al principio de la carga de tus ficheros JavaScript para evitar que se recoja información de Google Analitics hasta que el usuario acepte.

if (!Drupal.eu_cookie_compliance.hasAgreed()){
  window['ga-disable-UA-xxxx-1'] = true;
}

Algo que te permite hacer el módulo es especificar que cookies ignorar para que se usen, ya que algunos sitios las necesitan para funcionar y no tienen nada que ver con la información personal del usuario.

También te dan la opción de guardar un registro en base de datos de los usuarios que han dado su consentimiento, esto puede ser demasiado pesado si tienes mucha carga de usuarios. Por ello te permiten elegir si almacenarlo o no.

Lo siguiente es la información que parecerá en el banner, existiendo la opción de mostrar un mensaje diferente en móviles.
Según el método de consentimiento que hayas elegido te aparecerán unos botones u otros.

Nosotros hemos elegido no almacenar la información del usuario hasta que acepte por lo que tendremos disponibles los botones de aceptar (Agree button label), información sobre la política de cookies (Cookie policy button) e ignorar (Disagree button label).

Banner eu cookie compliance

 

Este módulo además te permite que al aceptar el uso de cookies te aparezca un botón fijo para que el usuario pueda retirar el consentimiento de las cookies. Esta opción la puedes habilitar o deshabilitar, pero es necesaria para cumplir con la GDPR por lo que lo normal es dejarla activada.

Retirar consentimiento Eu cookie compliance

Te dan la opción de mostrar un mensaje de agradecimiento cuando se aceptan las cookies, con dos botones, uno para mostrar la página de política de cookies y otro para ocultarlo.

Banner agradecimiento

 

En el siguiente punto podrás configurar el enlace a la política de cookies, un punto importante ya que por defecto está puesto para la página principal.

Enlace de privacidad.

En el grupo Avanzado tendrás que configurar donde no quieres que se muestre el banner, además una práctica recomendada sería que lo excluyeras de páginas de administración.

Opciones avanzadas.

Esta es la principal configuración a tener en cuenta, el resto puedes ir descubriéndolo tú mismo navegando por las distintas opciones del módulo. Espero que os haya servido de ayuda para poder cumplir la GDPR de forma sencilla y rápida.

 

 

Share