¿Es necesario el consentimiento para los cookies de carrito de compra?
Fundamentos técnicos
Los cookies de carrito de compra se utilizan cuando el usuario añade productos al carrito de compra de la tienda online. Esto sirve para la identificación del usuario por parte del servidor o de la tienda online, independientemente de la sesión.
Sin la posibilidad de identificación, la tienda online no podría asignar el carrito de compra al usuario si este cierra su navegador después de llenar el carrito de compra antes de finalizar la compra o si la sesión termina por otros motivos (por ejemplo, tiempo de espera por inactividad prolongada del usuario).
Por lo tanto, el servidor o la tienda online guarda en el dispositivo del usuario un cookie que identifica al usuario. De este modo, cuando un usuario accede a la tienda online, esta puede determinar, al leer el cookie, si el usuario ya tiene un carrito de compra sin canjear y recuperar el contenido del carrito de compra de la base de datos.
Al guardar un cookie de carrito de compra en el dispositivo del usuario y leerlo posteriormente el servidor/la tienda online, la tienda online puede identificar al usuario más allá del final de una sesión y asignar al usuario el contenido de su carrito de compra.
Necesidad técnica / Consentimiento
Es razonable suponer que el usuario espera una solución de carrito de compra que funcione, que el contenido del carrito de compra no se pierda simplemente al cerrar el navegador o por una inactividad prolongada. ¿A quién le apetece volver a buscar todos los productos solo porque se ha realizado una llamada telefónica o se ha hecho una comparación de precios en otras tiendas?
En consecuencia, los cookies de carrito de compra, de conformidad con el artículo 5, apartado 3, de la Directiva 2002/58/CE (o, en Austria, el artículo 96, apartado 3, de la Ley de Telecomunicaciones), se clasificarían como cookies que son estrictamente necesarios para la prestación de un servicio expresamente solicitado por el usuario.
Por lo tanto, no sería necesario el consentimiento para guardar y leer los cookies de carrito de compra.
Proceso de tratamiento «Carrito de compra»
Sin embargo, el establecimiento del cookie de carrito de compra no es un proceso de tratamiento independiente, sino solo una parte del proceso de tratamiento precontractual «Carrito de compra». El carrito de compra es un proceso de tratamiento precontractual que se activa cuando un usuario añade productos al carrito de compra. Por lo tanto, el proceso de tratamiento «Carrito de compra» es necesario, de conformidad con el artículo 6, apartado 1, letra b, del RGPD, para la ejecución de medidas precontractuales adoptadas a petición del interesado.
Por lo tanto, no sería necesario el consentimiento para todo el proceso de tratamiento precontractual «Carrito de compra».
Implementación conforme a la ley
Hasta aquí todo bien. Como suele ocurrir, también en el caso del carrito de compra, la implementación correcta es fundamental.
Cookies de sesión
Los cookies de sesión serían totalmente inocuos, es decir, los cookies que se eliminan al final de la sesión al cerrar la ventana del navegador. En ese caso, el contenido del carrito de compra podría seguir existiendo en la base de datos, pero no podría asignarse a ningún usuario por falta del cookie de carrito de compra correspondiente.
Sin embargo, los cookies de sesión no son óptimos para las soluciones de carrito de compra. Los clientes suelen añadir productos al carrito de compra, pero no compran inmediatamente por diferentes motivos. Si el cliente cierra la ventana del navegador para comparar precios o para pensárselo mejor antes de comprar, el contenido del carrito de compra desaparecería al volver a acceder a la página si se utilizara un cookie de sesión.
Esto no es óptimo ni para el operador de la tienda, porque reduciría significativamente la tasa de finalización de la compra, ni para los clientes, porque tendrían que volver a buscar sus productos.
Cookies permanentes
Por lo tanto, en el carrito de compra se utilizan cookies permanentes, es decir, cookies que perduran más allá del final de la sesión. Estrictamente hablando, la denominación permanente es inexacta, porque también los cookies de carrito de compra permanentes caducan. El momento exacto en que caduca el cookie se determina mediante el atributo Expiry o Max-Age del cookie.
Fecha de caducidad conforme a la ley
Teóricamente, se podría diseñar un cookie de carrito de compra de tal manera que no caducara hasta dentro de 10 años. Sin embargo, esto no sería técnicamente necesario para lograr el propósito de una solución de carrito de compra sensata, porque es demasiado tiempo. Ningún cliente vuelve al cabo de 10 años y dice: «bueno, hoy lo compro». Por lo tanto, una fecha de caducidad tan larga solo estaría permitida con el consentimiento del cliente por falta de necesidad técnica. Sin embargo, dado que una fecha de caducidad tan larga no tiene sentido de todos modos, la obtención del consentimiento no es una opción, por supuesto.
Lo correcto es adaptar la fecha de caducidad del cookie de carrito de compra a las necesidades reales del cliente. Esto es fácil si se puede recurrir a la experiencia o leer la información necesaria de las estadísticas web. La fecha de caducidad perfecta se establece de tal manera que la mayoría de los clientes que regresan más tarde y compran todavía encuentren un carrito de compra lleno.
Probablemente, de 7 a 14 días no presenten problemas. Todo lo que sea más largo debería poder justificarse con una estadística. Los casos exóticos a la «una vez tuvimos a uno que volvió semanas después y compró» no deben tenerse en cuenta al fijar la fecha de caducidad.
No es necesario el consentimiento
Si la fecha de caducidad está configurada de forma sensata, se considera técnicamente necesario para poner a disposición la función de carrito de compra deseada por el cliente. Por lo tanto, en este caso no se requiere el consentimiento del cliente para el almacenamiento y la lectura del cookie.
Obligación de informar
Independientemente de esto, siempre existe la obligación de informar. Por lo tanto, la función de carrito de compra debe incluirse en la política de privacidad.
