Los banners de consentimiento de cookies que usan trucos de diseño descarados para tratar de manipular a los usuarios de la web para que acepten entregar sus datos para la publicidad conductual, en lugar de darles a las personas una opción libre y justa para rechazar este tipo de seguimiento espeluznante, se enfrentan a un rechazo coordinado de la Unión Europea. reguladores de protección de datos de la Unión.
Un grupo de trabajo de varias DPA, liderado por la CNIL de Francia junto con la autoridad de Austria, ha pasado muchos meses en un trabajo conjunto que analiza los banners de cookies. Y en un informe publicado esta semana, llegaron a cierto consenso sobre cómo abordar las quejas sobre ciertos tipos de patrones oscuros de consentimiento de cookies en sus respectivas jurisdicciones, un desarrollo que parece destinado a dificultar que los diseños engañosos vuelen por la UE.
El grupo de trabajo se convocó en respuesta a cientos de quejas estratégicas, presentadas entre 2021 y 2022 por el grupo europeo de derechos de privacidad, noyb, que desarrolló su propia herramienta para ayudar a automatizar el análisis de los banners de cookies de los sitios web y generar informes y quejas (un truco inteligente de una pequeña organización sin fines de lucro para escalar su impacto estratégico).
Las cookies y otras tecnologías de seguimiento se rigen por la Directiva de privacidad electrónica de la UE, lo que significa que la supervisión de los anuncios de cookies generalmente se descentraliza a los reguladores de los Estados miembros. Eso, a su vez, significa que puede haber diferentes aplicaciones de las reglas en todo el bloque, dependiendo de dónde esté alojado el sitio web en cuestión. (Los reguladores de algunos Estados miembros, por ejemplo, permiten que los sitios de noticias ofrezcan a los usuarios la posibilidad de elegir entre aceptar el seguimiento de anuncios para obtener acceso (gratuito) al contenido o pagar una suscripción para obtener acceso sin seguimiento, aunque estos “muros de pago de consentimiento de cookies” siguen controvertido y es poco probable que pase la prueba con todos los DPA).
Dado el grado de consenso informado por el grupo de trabajo, sugiere que habrá cierta armonización en la forma en que las DPA hacen cumplir las quejas relacionadas con el diseño de los carteles de consentimiento de cookies; por ejemplo, la gran mayoría de las autoridades están de acuerdo en que la falta de un ‘rechazar todo ‘ al mismo nivel que un botón ‘aceptar todo’ es una violación de la privacidad electrónica. Por lo tanto, es probable que se apliquen más medidas contra los sitios que intentan ocultar una opción para rechazar el seguimiento.
El grupo de trabajo también acordó que los flujos de consentimiento que cuentan con opciones preverificadas (es decir, como otra táctica para tratar de impulsar un acuerdo) tampoco son un consentimiento válido, lo que no debería sorprender a nadie, dado que el tribunal superior de Europa ya aclaró la necesidad de un consentimiento activo para rastrear cookies en todo momento. el camino de vuelta en 2019.
Durante los últimos cinco años, desde que entró en vigor otra ley de la UE que refuerza las reglas sobre el consentimiento, a saber, el Reglamento general de protección de datos (GDPR), las DPA sin duda han prestado más atención a los consentimientos de cookies. Incluso como quejas sobre la forma rutinaria en que se burlaban las reglas.
Esto, a su vez, ha llevado a muchos a actualizar (y endurecer) su orientación sobre este tema, lo que dificulta que los sitios afirmen que las reglas sobre el seguimiento del consentimiento no están claras.
Las fuerzas del orden también han aumentado, con ciertos organismos de control muy activos, como la CNIL de Francia que, desde 2020, ha multado a una serie de gigantes tecnológicos (incluidos Amazon, Google, Meta, Microsoft y TikTok) por una variedad de infracciones relacionadas con las cookies. , incluidas múltiples ejecuciones (y multas) por el uso de patrones oscuros para tratar de manipular el consentimiento.
La actividad de aplicación de la CNIL también ha incluido órdenes correctivas que han ayudado a forzar algunos cambios de diseño importantes, incluida la revisión de Google del banner de cookies que muestra en toda la UE el año pasado para (finalmente) presentar una opción de “rechazar todo” de nivel superior. Lo cual es bastante la victoria.
Y dado que la CNIL ha tenido un papel de liderazgo en la coordinación del trabajo del grupo de trabajo, parece que parte de su convención se está contagiando a otras DPA.
En un comunicado de prensa para acompañar la adopción del informe del grupo de trabajo por parte de la Junta Europea de Protección de Datos a principios de esta semana y resumir el resultado, el regulador francés escribe: “Este informe establece en particular que la gran mayoría de las autoridades consideran que la ausencia de cualquier opción para rechazar / rechazar/no aceptar las cookies al mismo nivel que el previsto para aceptar su almacenamiento constituye una infracción de la legislación (artículo 5, apartado 3, de la Directiva de privacidad electrónica). La CNIL ya había tomado esa posición en sus directrices y en el contexto de varias sanciones”,
Además del acuerdo sobre la necesidad de que un botón de ‘aceptar todo’ vaya acompañado de uno de ‘rechazar todo’, el grupo de trabajo acordó que el diseño de los banners de cookies debe proporcionar a los usuarios de la web suficiente información para que puedan comprender qué son. consentimiento y cómo expresar su elección.
Y que los banners de cookies no deben estar diseñados de tal manera que den a los usuarios “la impresión de que tienen que dar su consentimiento para acceder al contenido del sitio web, ni que empujen claramente al usuario a dar su consentimiento”, como dice el informe.
También acordaron algunos ejemplos de diseños de cookies que no conducen a un consentimiento válido, como cuando el diseño es tal que “la única acción alternativa que se ofrece (aparte de otorgar el consentimiento) consiste en un enlace detrás de palabras como ‘rechazar’ o ‘continuar sin aceptar’ incrustado en un párrafo de texto en la cookie banner, en ausencia de soporte visual suficiente para llamar la atención de un usuario medio sobre esta acción alternativa”; o cuando “la única acción alternativa que se ofrece (aparte de otorgar el consentimiento) consiste en un enlace detrás de palabras como ‘rechazar’ o ‘continuar sin aceptar’ colocado fuera del banner de cookies donde se presentan los botones para aceptar cookies, en ausencia de suficiente apoyo visual para llamar la atención de los usuarios sobre esta acción alternativa fuera del marco”.
Entonces, básicamente, obtuvieron cierto consenso sobre descartar ciertos patrones oscuros de pancartas de cookies comunes.
Pero en cuanto a los trucos visuales, como el uso de colores resaltados que podrían seleccionarse para llamar la atención sobre un botón de “aceptar todo” y hacer que sea más difícil ver una opción de rechazo, el grupo de trabajo decidió que el análisis caso por caso de la apariencia y la sensación (y la posibilidad de que este tipo de opciones de diseño sean obviamente engañosas) serían necesarias en la mayoría de los casos. Y estuvieron de acuerdo en que no es su lugar imponer un estándar de banner general (vis-a-vis color y/o contraste) a los controladores de datos.
También acordaron que rechazar todos los botones que están diseñados de tal manera que el texto sea “ilegible para prácticamente cualquier usuario” podría ser “manifiestamente engañoso” para los usuarios.
Otros problemas con los que lidió el grupo de trabajo incluyeron una adición más reciente al infierno del consentimiento de cookies, en el que los sitios pueden buscar (también) reclamar un “interés legítimo” para el procesamiento de anuncios. A veces, agregar un montón de alternancias adicionales junto con los botones de base legal de consentimiento que generalmente se muestran solo en un submenú secundario (u otro submenú), y donde el nivel superior no ofrece una opción de ‘rechazar todo’, sino que requiere que los usuarios hagan clic en la configuración para desenterrar este lío confuso de alternar (a veces con los LI premarcados).
“La integración de esta noción de interés legítimo para el procesamiento posterior ‘en las capas más profundas del banner’ podría considerarse confusa para los usuarios que podrían pensar que tienen que negarse dos veces para que no se procesen sus datos personales”, dice el informe. observa sobre esto.
El grupo de trabajo también acordó cómo los reguladores deben determinar si cualquier procesamiento posterior basado en cookies es legal, diciendo que esto implicaría determinar si “el almacenamiento / obtención de acceso a la información a través de cookies o tecnologías similares se realiza de conformidad con el Artículo 5 (3) ePrivacy directiva (y las normas nacionales de aplicación): cualquier procesamiento posterior se realiza de conformidad con el RGPD. 24”.
“En este sentido, los miembros del grupo de trabajo consideraron que el incumplimiento encontrado en relación con el art. 5 (3) en la directiva ePrivacy (en particular cuando no se obtiene un consentimiento válido cuando se requiere), significa que el procesamiento posterior no puede cumplir con el RGPD 5. Además, los miembros del TF confirmaron que la base legal para la colocación/lectura de las cookies de conformidad con el artículo 5 (3) no pueden ser los intereses legítimos del controlador”, agregan en el informe.
Aunque parecen haberse reservado en gran medida el juicio sobre cómo manejar el nuevo flagelo de las alternancias de LI que aparecen en los flujos de consentimiento de cookies, diciendo que “acordaron reanudar las discusiones sobre este tipo de práctica en caso de que encuentren casos concretos en los que sea necesaria una mayor discusión para garantizar un enfoque coherente”.
El grupo de trabajo también discutió qué hacer con los sitios que buscan clasificar algunos procesamientos de datos no esenciales como estrictamente necesarios/esenciales y, por lo tanto, agruparlos en una categoría que no requiere consentimiento bajo ePrivacy o GDPR. Sin embargo, opinaron que existen dificultades prácticas para determinar qué procesamiento es estrictamente necesario.
“Los miembros del grupo de trabajo acordaron que la evaluación de las cookies para determinar cuáles son esenciales plantea dificultades prácticas, en particular debido al hecho de que las características de las cookies cambian regularmente, lo que impide el establecimiento de una lista estable y confiable de tales cookies esenciales”, dijeron. escribió. “Se ha discutido la existencia de herramientas para establecer la lista de cookies utilizadas por un sitio web, así como la responsabilidad de los propietarios de sitios web de mantener dichas listas y proporcionarlas a las autoridades competentes cuando así lo soliciten y demostrar la esencialidad de las cookies. listado.”
En otro tema, el de retirar el consentimiento, acordaron que los propietarios de sitios web deben implementar “soluciones de fácil acceso que permitan a los usuarios retirar su consentimiento en cualquier momento”, dando el ejemplo de un pequeño icono (“sobrevolando y visible permanentemente”) o un enlace ” colocada en un lugar visible y estandarizado”.
Sin embargo, nuevamente se negaron a imponer una forma estandarizada específica para que los usuarios retiren el consentimiento a los propietarios del sitio, diciendo que solo se les podría exigir que implementen “soluciones de fácil acceso” una vez que se haya obtenido el consentimiento.
“Siempre será necesario un análisis caso por caso de la solución mostrada para retirar el consentimiento. En este análisis se debe examinar si, en consecuencia, se cumple el requisito legal de que es tan fácil retirar como dar el consentimiento”, agregaron.
