El 9 de febrero, la autoridad de protección de datos de Baviera publicó un comunicado de prensa (solo en alemán) sobre los resultados de una investigación a gran escala, en parte automatizada, sobre las cookies. La autoridad sospecha que al menos 350 sitios web y 15 aplicaciones infringen la legislación de la UE y colocan cookies sin consentimiento.
Aunque la investigación es sólo preliminar, hay algunos aspectos importantes que merece la pena debatir.
- ¿Por qué es importante esta investigación?
- ¿Cuál era el problema con los banners de cookies?
- ¿Son legales los banners engañosos sobre cookies?
- ¿Por qué sigo viendo un montón de banners de cookies engañosos?
- Panorama general
- Reflexiones finales
¿Por qué es importante esta investigación?
El comunicado de prensa destaca dos puntos importantes. En primer lugar, la autoridad exige una opción de "rechazar todo" en la primera palanca del banner de cookies, algo en lo que también insiste la Junta Europea de Protección de Datos. En segundo lugar, la autoridad utilizó herramientas automatizadas para la investigación a gran escala y tiene previsto seguir explorando su uso en el futuro.
Empecemos por las cookies. ¿Qué problemas detectó la autoridad y cómo puede evitarlos en su propio sitio web?
¿Cuál era el problema con los banners de cookies?
Según la autoridad, la mayoría de los banners de cookies no ofrecían una opción de "rechazar todo" en la primera capa. Esto puede parecer un punto menor, pero no lo es, y he aquí por qué.
Déjeme preguntarle algo: ¿cuándo fue la última vez que le resultó difícil o confuso aceptar las cookies de un sitio web? Probablemente nunca. Rechazar las cookies suele ser molesto, confuso y tedioso. Sin embargo, aceptarlas es facilísimo.
Esto se debe a su diseño. La legislación de la UE exige el consentimiento para las cookies (con pequeñas excepciones que no se aplican realmente a la analítica web). Los sitios web no pueden rastrearle sin su consentimiento, así que hacen todo lo posible para que el proceso de rechazar las cookies sea lo más difícil y molesto posible.
Normalmente, la opción "rechazar cookies" se encuentra en un nivel más profundo del banner de cookies y está enterrada entre otras opciones inútiles y confusas. Esto convierte el banner de cookies en un pequeño y molesto rompecabezas: o te tomas tu tiempo para resolverlo, o aceptas todas las cookies y sigues con tu vida. Hay otros trucos en la cutre caja de herramientas del banner de cookies, pero ocultar la opción "rechazar todas" en una segunda capa es el principal.
El truco funciona. Muchos usuarios simplemente carecen de los conocimientos digitales necesarios para descifrar el lenguaje intencionadamente confuso y el diseño de los banners de cookies. Estamos hablando de millones de personas que son sistemáticamente engañadas por sitios web que no cumplen las normas. Incluso los usuarios mejor equipados suelen rendirse a la fatiga porque jugar al tonto minijuego de las cookies en cada sitio web es molesto y lleva mucho tiempo.
¿Son legales los banners engañosos sobre cookies?
No. Si hago clic en el botón "aceptar todo" porque carezco de tiempo/paciencia/alfabetización digital para averiguar cómo "resolver" una ventana emergente de cookies engañosas, no he dado mi consentimiento libremente y, por lo tanto, mi consentimiento carece totalmente de sentido en virtud del GDPR.
Esta es también la posición de la Junta Europea de Protección de Datos (es decir, la institución de la UE que reúne a las autoridades de privacidad). Un documento reciente del EDPB insiste en que las ventanas emergentes de cookies deben facilitar el rechazo del consentimiento, presentando una opción de "rechazar todo" en la primera capa. Y aunque no se trata de una postura totalmente unánime, es la posición de la gran mayoría de los organismos de control de la privacidad de toda Europa, y la autoridad bávara se refiere expresamente a ella en su comunicado de prensa.
En la práctica, esto significa que a las autoridades europeas no les gustan nada los banners de cookies engañosos. No sólo enterrar el botón de "rechazar" en la segunda capa, sino también todo el conjunto de trucos.
¿Por qué sigo viendo un montón de banners de cookies engañosos?
Las autoridades bávaras no han dicho nada nuevo. Hemos tenido estas normas sobre el consentimiento de cookies durante décadas, son más antiguas que el propio GDPR.
Lacuestión es hacerlas cumplir. Muchas autoridades de protección de la intimidad en Europa hacen un buen trabajo, pero las limitaciones presupuestarias y de personal les impiden hacer más. No están en condiciones de perseguir a todos y cada uno de los sitios web que utilizan un banner de cookies no conforme.
Por eso es importante el uso de herramientas automatizadas. Automatizar una fase preliminar del trabajo podría permitir a las autoridades aplicar la ley con mayor eficacia y amenazar a las empresas con investigaciones a gran escala como la iniciada en Baviera.
Esta es la primera vez que una autoridad europea de privacidad utiliza software para automatizar una parte del trabajo de investigación, pero la estrategia no es completamente nueva en el espacio de la privacidad: la ONG de privacidad noyb utilizó con éxito herramientas similares para litigios a gran escala contra el incumplimiento de las cookies, a pesar de contar con personal y medios técnicos modestos.
En resumen: las herramientas automatizadas no sustituyen a una financiación adecuada, pero pueden ser de gran ayuda. Son una herramienta muy interesante y esperamos que las autoridades sigan el ejemplo de Baviera y exploren su uso.
(Y que quede claro: ¡no se va a multar a nadie sólo porque lo diga el ordenador! La autoridad sólo automatizó la parte "más tonta" del trabajo. Las multas sólo podrán llegar tras una investigación humana de cada caso, y los sitios web podrán defenderse en un procedimiento legal adecuado)
Panorama general
Todo este debate sobre el diseño de las ventanas emergentes puede parecer una minucia, pero no lo es. El diseño engañoso de los banners de cookies es el síntoma de un problema más amplio.
A las empresas les gusta rastrear a los usuarios, pero a los usuarios no les gusta ser rastreados. El 96% de los usuarios de iPhone optaron por no permitir la recopilación de datos de terceros en cuanto Apple les dio la opción de hacerlo. Y en 2022, el 35% de los usuarios de Internet de todo el mundo utilizaban un bloqueador de anuncios, a pesar de que el bloqueo de anuncios no es una función integrada en los navegadores por defecto.
Como a los usuarios no les gusta que los rastreen, la industria de la tecnología publicitaria necesita apelar a una ficción de consentimiento mientras utiliza todos los trucos a su alcance para obtenerlo. Esta ficción desempeña un papel crucial a la hora de legitimar el uso de herramientas de rastreo invasivas y perjudiciales en un mundo cada vez más preocupado por la privacidad.
También vemos esta estrategia en otros escenarios. Google afirma que todos los usuarios de Android consintieron de alguna manera ser rastreados a través de sus ID de publicidad, a pesar de que nunca se les preguntó en primer lugar. Y Meta afirma que eres "libre" de consentir que te hagan perfiles, sin tener en cuenta que la alternativa es pagar 250 euros al año.
Pero el GDPR hace que esta ficción sea difícil de mantener. Esta es la razón por la que los reguladores llevan tiempo echando la bronca a Meta por su modelo de negocio, y por la que los litigios contra el uso indebido de Google Analytics y herramientas de seguimiento similares están teniendo cada vez más éxito a nivel europeo (por ejemplo, la reciente victoria contra el gigante de la tecnología publicitaria Criteo, que podría cambiar las reglas del juego).
Reflexiones finales
Paso a paso, el impulso está cambiando por fin en contra de la vigilancia en línea. Todavía es posible eludir las normas, pero cada día es más arriesgado.
Si quiere asegurarse de que su banner de cookies cumple la normativa, consulte nuestro blog sobre el tema. Pero no se equivoque: el diseño de un banner de cookies conforme a la normativa reduce significativamente las tasas de opt-in. Por eso hay tantos sitios web que infringen las normas claras que tenemos.
Por lo tanto, existe una compensación fundamental para los análisis basados en cookies. Usted puede tener buenas tasas de opt-in, o el cumplimiento.
Hemos creado Simple Analytics para que no tenga que elegir. Le ofrecemos toda la información que necesita sobre el rendimiento de su sitio web sin utilizar cookies ni recopilar ningún dato personal. Nuestro software es ligero y fácil de aprender, con una interfaz de usuario intuitiva y un práctico asistente de inteligencia artificial.
Si esto le parece bien, ¡no dude en probarlo!