La mayoría de las ventanas emergentes de consentimiento de cookies se sirven a los usuarios de Internet en Unión Europea – aparentemente buscando permiso para rastrear la actividad web de las personas – es probable que estén incumpliendo las leyes de privacidad regionales, un nuevo estudio por investigadores del MIT, UCL y la Universidad de Aarhus sugiere.
"Los resultados de nuestra encuesta empírica de CMP (plataformas de gestión de consentimiento) hoy ilustran hasta qué punto prevalecen las prácticas ilegales, con los proveedores de CMP haciendo la vista gorda o, peor aún, incentivando las configuraciones claramente ilegales de sus sistemas", argumentan los investigadores , agregando que: "La aplicación en esta área es muy deficiente".
Sus hallazgos, publicados en un artículo titulado Patrones oscuros después del RGPD: Eliminar ventanas emergentes de consentimiento y demostrar su influencia, repique con otra investigación que cubrimos en agosto – que también concluyó que la mayoría de las implementaciones actuales de avisos de cookies no ofrecen una opción significativa para los usuarios de Internet de Europa, a pesar de que la legislación de la UE lo requiere.
Cuando se confía en el consentimiento como la base legal para procesar los datos personales de los usuarios de la web, la barra para el consentimiento válido (es decir, legal) establecida por el Reglamento General de Protección de Datos (GDPR) de la UE es clara: debe ser informada, específica y libremente dado.
La jurisprudencia reciente del Tribunal de Justicia de la Unión Europea también cristalizó aún más la ley en torno a las cookies, dejando en claro que el consentimiento debe ser activamente señalado – lo que significa que un servicio digital no puede inferir el consentimiento para el seguimiento por acciones indirectas (como que el usuario cierre la ventana emergente sin una respuesta o se ignore a favor de interactuar con el servicio).
Muchos sitios web utilizan el llamado CMP para solicitar el consentimiento para rastrear cookies. Pero si está configurado para contener casillas marcadas previamente que permiten a los usuarios compartir datos de forma predeterminada, lo que requiere una acción afirmativa del usuario para optar por no participar, cualquier "consentimiento" reunido tampoco es legal.
El consentimiento para el seguimiento también debe obtenerse antes de que un servicio digital elimine o acceda a una cookie; Solo se pueden implementar cookies esenciales para el servicio sin preguntar primero.
Todo lo cual significa que, según la legislación de la UE, debería ser igualmente fácil para los visitantes del sitio web elegir no ser rastreado para aceptar que sus datos personales sean procesados.
Sin embargo, el Patrones oscuros después del GDPR estudio encontró que está muy lejos del caso en este momento.
"Descubrimos que los patrones oscuros y el consentimiento implícito son omnipresentes", escriben los investigadores en resumen, diciendo que solo un poco más de uno de cada diez (11.8%) de los CMP que observaron "cumplen con los requisitos mínimos que establecemos según la ley europea ", Que definen como" si no tiene casillas opcionales previamente marcadas, si el rechazo es tan fácil como la aceptación y si el consentimiento es explícito ".
Para el estudio, los investigadores recolectaron los 10,000 principales sitios web del Reino Unido, según la clasificación de Alexa, para recopilar datos sobre los CMP más frecuentes en el mercado, que están hechos por cinco compañías: QuantCast, OneTrust, TrustArc, Cookiebot, y Crownpeak, y analizaron cómo el diseño y las configuraciones de estas herramientas afectaron las elecciones de los usuarios de Internet. (Obtuvieron un conjunto de datos de 680 instancias de CMP a través de su método; una muestra que calculan es representativa de al menos el 57% de la población total de los 10k sitios principales que ejecutan un CMP, dado que la investigación previa encontró que solo alrededor de un quinto lo hace. )
Se consideró que el consentimiento implícito, también conocido como inferir (ilegalmente) el consentimiento a través de acciones no afirmativas del usuario (como el usuario que visita o se desplaza en el sitio web o no responde a una ventana emergente de consentimiento o lo cierra sin una respuesta) (32.5%) entre los sitios estudiados.
"Los asistentes populares de implementación de CMP aún permiten a sus clientes elegir el consentimiento implícito, incluso cuando ya han indicado que CMP debe verificar si la IP del visitante está dentro del alcance geográfico de la UE, lo que debería ser mutuamente excluyente", señalan, argumentando que: "Esto plantea preguntas importantes sobre la adhesión al concepto de protección de datos por diseño en el GDPR".
También descubrieron que la gran mayoría de los CMP hacen que rechazar todo seguimiento sea "mucho más difícil que aceptarlo", con una mayoría (50.1%) de los sitios estudiados que no tienen el botón "rechazar todo". Mientras que solo una pequeña minoría (12.6%) de los sitios tenía un botón "rechazar todo" accesible con el mismo número de clics o menos como un botón "aceptar todo".
O, para decirlo de otra manera, hai Ohhai diseño de patrón oscuro‘…
"Un botón de" aceptar todo "nunca fue enterrado en una segunda capa", continúan señalando los investigadores, y también descubren que "el 74.3% de rechazar todos los botones tenía una capa de profundidad, que requiere dos clics para presionar; 0.9% de ellos estaban a dos capas de distancia, requiriendo al menos tres ".
Se descubrió que las casillas marcadas previamente también se implementaron ampliamente en los CMP estudiados, a pesar de que tal configuración no es legalmente válida. (En esto encontraron: “56.2% de los sitios seleccionaron previamente proveedores opcionales o propósitos / categorías, con 54.1% de los sitios con fines opcionales marcando previamente, 32.3% categorías opcionales marcando previamente y 30.3% marcando ambos”).
También señalan que la gran cantidad de rastreadores de terceros que los sitios utilizan habitualmente plantea un problema importante para el modelo de consentimiento de la UE, dado que requiere un "tiempo prohibitivamente largo" para que los usuarios estén suficientemente informados para poder dar su consentimiento legal. .
El número exacto de rastreadores de terceros que encontraron empacados como sardinas en CMP varió, con entre decenas y varios cientos en juego según el sitio.
Cincuenta y ocho fue el número más bajo que encontraron. Mientras que la instancia más alta fue de 542 proveedores, en una implementación del CMP de QuantCast. (Y, bueno, imagínense la "fricción" involucrada en la desactivación manual de todos esos, suponiendo que fuera uno de los sitios que también carecía de un botón "rechazar todo" …)
Los sitios dependían de una gran cantidad de rastreadores de terceros, lo que tomaría un tiempo prohibitivo para que los usuarios se informaran claramente. Del 85.4% de los sitios que sí incluyeron proveedores (por ejemplo, rastreadores de terceros) dentro del CMP, hubo un número medio de 315 proveedores (cuartil bajo 58, cuartil superior 542). Diferentes proveedores de CMP tienen diferentes números promedio de proveedores, siendo el más alto QuantCast con 542… 75% de los sitios tenían más de 58 proveedores. El 76.47% de los sitios proporcionan algunas descripciones de sus proveedores. La longitud total promedio de estas descripciones por sitio es de 7,985 palabras: aproximadamente 31.9 minutos de lectura para el lector promedio de 250 palabras por minuto, sin contar el tiempo de interacción, p. desplegar cuadros contraídos o navegar y leer políticas de privacidad específicas de un proveedor.
Una segunda parte de la investigación involucró un experimento de campo que involucró a 40 participantes para investigar cómo los ocho diseños CMP más comunes afectan las opciones de consentimiento de los usuarios de Internet.
"Descubrimos que el estilo de notificación (banner o barrera) no tiene ningún efecto (en la elección del consentimiento); eliminar el botón de exclusión de la primera página aumenta el consentimiento en 22 a 23 puntos porcentuales; y proporcionar controles más granulares en la primera página disminuye el consentimiento entre 8 y 20 puntos porcentuales ”, escriben en resumen al respecto.
Argumentan que esta parte del estudio respalda la noción de que dos de los diseños de interfaz de consentimiento más comunes: "no mostrar un botón de" rechazar todo "en la primera página; y mostrar opciones masivas antes de mostrar un control granular ": aumenta la probabilidad de que los usuarios den su consentimiento, lo que" viola el principio (GDPR) de "otorgado gratuitamente".
También hacen referencia a "reflexiones cualitativas" de los participantes en el documento, que se obtuvieron a través de una encuesta después de que las opciones de consentimiento de los individuos se hubieran registrado durante el estudio de campo, lo que sugiere que estas respuestas "cuestionaron todo el modelo de notificación y consentimiento no debido a decisiones de diseño específicas, pero simplemente porque se requiere una acción antes de que el usuario pueda realizar su tarea principal y porque aparecen con demasiada frecuencia si se muestran sitio por sitio web ”.
Entonces, en otras palabras, solo el hecho de interrumpir a un usuario de la web para pedirle que haga una elección puede aplicar una presión lo suficientemente sustancial como para que cualquier "consentimiento" resultante sea inválido.
El hallazgo del estudio de la prevalencia de diseños y configuraciones manipuladores destinados a empujar o incluso forzar el consentimiento sugiere que los usuarios de Internet en Europa en realidad no se benefician de un marco legal que se supone que protege sus datos digitales de la explotación no deseada, y que están sujetos a mucho del ruidoso, distractor y falso teatro de consentimiento.
Los avisos de cookies no solo generan fricción y frustración para el usuario promedio de Internet, ya que tratan de hacer sus negocios diarios en línea, sino que la situación actual está creando una falsa apariencia de cumplimiento, además de lo que en realidad es un pisoteo masivo de derechos a través de lo que equivale a robo digital a la luz del día de los datos de las personas a escala.
El problema aquí es que los reguladores de la UE han mirado durante años hacia otro lado en lo que respecta al seguimiento en línea, fallando por completo en hacer cumplir el estándar en papel.
De hecho, la aplicación es deficiente, como señalan los investigadores. (El cabildeo de la industria / la presión política, los recursos limitados, la aversión al riesgo y la captura regulatoria, y un legado de inacción en torno a los derechos digitales tienen toda la culpa).
Y aunque el RGPD solo comenzó a aplicarse en mayo de 2018, Europa ha tenido regulaciones sobre mecanismos de recopilación de datos como cookies por cerca de dos décadas, y el documento señala que una enmienda a la Directiva de privacidad electrónica en 2002 lo convirtió en un requisito que "almacenar o acceder a información en el dispositivo de un usuario no 'estrictamente necesario' para proporcionar un servicio solicitado explícitamente requiere información clara y completa y consentimiento de aceptación".
Cuando se le preguntó sobre los resultados de la investigación, el autor principal, Midas Nouwens, preguntó por qué los proveedores de CMP están vendiendo las llamadas herramientas de "cumplimiento" que permiten configuraciones no conformes en primer lugar.
"Es triste, pero no creo que nadie se sorprenda más por las pocas ventanas emergentes que cumplen con el GDPR", dijo a TechCrunch. “Lo sorprendente es la forma en que las empresas que proporcionan ventanas emergentes de consentimiento permiten diseños de interfaz no conformes. ¿Por qué dejan que sus clientes cuenten el desplazamiento como consentimiento o entierren el botón de rechazo en algún lugar de la tercera página?
"La aplicación de la ley es realmente el próximo gran desafío si no queremos que el GDPR siga el mismo camino que la directiva de privacidad electrónica", agregó. “Dado que las agencias de aplicación tienen recursos limitados, centrarse en los proveedores emergentes de consentimiento popular podría ser una estrategia mucho más efectiva que apuntar a sitios web individuales.
"Desafortunadamente, mientras esperamos la aplicación, los patrones oscuros en estas ventanas emergentes siguen manipulando a las personas para que sean rastreados".
Otro de los investigadores detrás del documento, Michael Veale, profesor de derechos y regulación digital en UCL, también expresó su sorpresa por el hecho de que los proveedores de CMP están permitiendo que sus herramientas se configuren de una manera que claramente está destinada a manipular a los usuarios de Internet, por lo que no cumplen con la ley.
En el documento, los investigadores instan a los reguladores a adoptar un enfoque más inteligente para abordar una violación tan generalizada, como el uso de herramientas automatizadas "para acelerar el descubrimiento y la aplicación" de avisos de cookies no conformes, y sugieren que trabajen "más allá" por ejemplo, al imponer requisitos a los proveedores de CMP "para permitir que solo se comercialicen diseños conformes".
"Es impactante ver cuántos de los grandes proveedores de ventanas emergentes de consentimiento permiten que sus sistemas estén mal configurados, como a través del consentimiento implícito, de maneras que infringen claramente la ley de protección de datos", nos dijo Veale, y agregó: "Sospecho que la protección de datos Las autoridades ven esta ilegalidad generalizada y no están seguros exactamente por dónde empezar. Sin embargo, si no comienzan a aplicar estas pautas, no está claro cuándo comenzará a detenerse esta ilegalidad generalizada ".
"Este estudio incluso sobreestima el cumplimiento, ya que no nos centramos en lo que realmente sucede con el seguimiento cuando hace clic en estos botones, que otros estudios recientes han enfatizado en muchos casos engañar a las personas y no hacer nada en absoluto ", señaló también.
Nos comunicamos con el organismo de control de protección de datos del Reino Unido, el ICO, para obtener una respuesta a la investigación, y una portavoz nos señaló esto publicación de blog de consejos sobre cookies publicó el año pasado, diciendo que el consejo que contiene "sigue en pie".
En el blog Ali Shah, jefe de política tecnológica de la OIC, sugiere que podría haber alguna acción (aunque limitada) por parte del regulador este año para limpiar el consentimiento de las cookies, con Shah escribiendo que: "El cumplimiento de las cookies será una prioridad reguladora creciente para el ICO en el futuro. Sin embargo, como es el caso con todos nuestros poderes, cualquier acción futura sería proporcional y basada en el riesgo ".
Mientras los ciudadanos europeos esperan que los reguladores de protección de datos tomen medidas significativas sobre las infracciones sistemáticas del RGPD, incluidas las relacionadas con el seguimiento sin consentimiento de los usuarios web, hay un paso que los usuarios web europeos pueden tomar para reducir el dolor de las ventanas emergentes de consentimiento de cookies : Los investigadores detrás del estudio han creado una extensión de navegador de código abierto que puede responder automáticamente a las ventanas emergentes en función de las preferencias personalizables por el usuario.
Se llama Consent-o-Matic, y hay versiones disponibles para Firefox y Cromo.
En el lanzamiento, la herramienta puede responder automáticamente a los banners de cookies creados por los cinco grandes proveedores de CMP (QuantCast, OneTrust, TrustArc, Cookiebot y Crownpeak).
Pero como es de código abierto, la esperanza es que otros se basarán en él para expandir los tipos de ventanas emergentes a las que puede responder automáticamente. En ausencia de un estándar de navegador "No rastrear" legalmente obligatorio, esto es tan bueno como lo es para los usuarios de Internet que buscan desesperadamente una agencia más fácil en la industria de rastreo en línea.
en un Hilo de Twitter El mes pasado, al anunciar la herramienta, Nouwens describió el proyecto como el uso de la "interoperabilidad de confrontación" como una táctica a favor de la privacidad.
"Automatizar las preferencias de consentimiento y privacidad no es nuevo (DNT y P3P), pero este proyecto utiliza interoperabilidad adversarial, en lugar de confiar en la autorregulación de la industria o la aceptación de partes interesadas fundamentalmente opuestas (navegadores, anunciantes, editores) ", observó.
Sin embargo, agregó una advertencia, recordando a los usuarios que estén en guardia ante un mayor incumplimiento de los retoños de datos, señalando lo anterior trabajo de investigación también marcado por Veale, que encontró que una pequeña porción de los sitios (~ 7%) ignora por completo las respuestas a las ventanas emergentes de cookies y rastrea a los usuarios independientemente de la respuesta.
Por lo tanto, a veces incluso un "no" al seguimiento perfectamente automatizado podría sumar un seguimiento …