guía de cookies

Guía de cookies. Pestañee: eso es todo, gracias.

 

Nueva guía de cookies: ¿Quién la ha redactado?

Imagínate que la Agencia Tributaria publicara, a bombo y platillo, una guía para hacer la declaración de la renta.

Ahora imagínate que esa guía fuera redactada por la Agencia Tributaria peeeero en colaboración con los asesores fiscales de esos futbolistas de cuyos nombres no quiero acordarme. Esos ímprobos contribuyentes que no han acabado entre rejas de milagro. O por pelotas, según se mire.

¿Qué podría salir mal?

Pues básicamente eso es lo que ha pasado con la nueva guía de cookies: las entidades colaboradoras en la redacción de la guía de cookies han sido IAB, ADIGITAL y la Asociación Española de Anunciantes, tres lobbies de la industria marquetera española y comunitaria.

Ya sólo la sonrojante introducción (lo de los cuarenta euros) debería venir marcada como “espacio publicitario” en alguna esquinita. ¿O no?

Nada más que añadir por aquí, señor juez.

 

Consentimiento libre e informado: ese desconocido

Millones de espectadores observamos con el corazón en un puño cómo Orpheus le ofrecía dos pastillas a Neo.

La gran falacia del consentimiento libre actual es que la libertad sea elegir entre la pastilla roja y la azul.

En los términos planteados, Neo ya no es libre para elegir huevos fritos con chorizo o un buen rodaballo a la parrilla, por decir algo.

Neo sólo es libre para zamparse una puñetera pastilla.

Pero lo importante aquí es que la jugada está preparada para que Neo elija exactamente lo que a Orfeo (y a los espectadores) les interesa que elija.

Y para eso es importante que Neo no sepa nada de los millones de espectadores que estamos esperando a que se papee la pastilla que nos conviene.

 

licencias de uso en redes sociales

¿En realidad, de qué hablamos cuando me preguntas si acepto tus cookies?

Si lo que me preguntas es si acepto cookies en tu web para que tú sepas qué es lo que me interesa para enseñármelo primero, qué compro para ofrecerme cosas parecidas o cuántas veces entro en tu web, por dónde y cómo llego, para comprender qué contenidos me interesan más y cuándo los leo, podríamos estar hablando de un consentimiento informado, un tratamiento no excesivo y unas legítimas expectativas (las mías, únicas que cuentan aquí) no defraudadas.

Podríamos incluso llegar a hablar fácilmente, amigo mío, de que todo eso igual no necesita mi consentimiento, sólo de que se me informe claramente de ello. Sí: interés legítimo.

 

Pero las cookies no sólo hacen eso

Amigo mío, si lo que va a ocurrir después de que pinche “acepto” o (glups) “siga navegando” es que mis datos y preferencias:

  1. Se integren en un perfil longitudinal, un archivo de todas las preferencias que he manifestado en mi vida digital, con mis “me gusta”, LOLs, retuits, fotos subidas a “feis” y a “insta”, compras, etc… Y ADEMÁS
  2. Vuelen a miles de sitios para que, en dos parpadeos, un matrix publicitario subaste los anuncios que van a ver mis ojos cuando termine de cargar la web…

…la cosa cambia bastante.

Por cierto, esta es una representación gráfica de los lugares a donde manda “Expansión.com” tus datos, cuando aceptas cookies. De nada.

guía de cookies

Sin transparencia no hay consentimiento (ni hay nada más)

Por eso necesitas explicarme exactamente qué quieres hacer con mis datos, tú y tu manada de partners, si consiento el uso de cookies o tecnologías parecidas.

Y si no me informas de modo que lo comprenda, mi consentimiento no será válido. Es así de simple. Ya lo conté en la TedTalk con ejemplos batante más memorables que estos.

Este otro esquema es el de elpais.com ¿Cómo te quedas?

guía de cookies

Real Time Bidding (RTB) o pujas publicitarias en tiempo real

Desde que pinchas en, por ejemplo, el enlace de “Elpais.com” (o abres una app con anuncios) hasta que se carga el contenido entero que quieres ver (normalmente dos segundos máximo) todo el historial de tus datos recolectados hasta el momento se ponen a la venta, en forma de subasta de los espacios publicitarios disponibles en esa web o app.

Un número indeterminado de intermediarios, agencias y anunciantes, tienen acceso a tus datos, y pujan por anunciar lo que sea en ese espacio para que tú lo veas.

En esos dos segundos se consideran y deciden cosas como si “mereces” tal o cual anuncio, si puedes pagar el producto o servicio, si estás en esos días del mes en los que a lo mejor opones menos resistencia a una compra compulsiva, el precio a pagar por el anunciante, si al anunciante le interesa que su anuncio salga en ese periódico o no, etc…

Todo ello en dos vertiginosos segundos y, claro, de forma totalmente automatizada. Un artículo 22 RGPD como una catedral. Ubicuo. Leviatanesco. Y con datos de categoría especial a cascoporro.

Aquí el esquema de una de esas páginas de porno que, pese a mover el 80% del tráfico en internet, a muchos anunciantes les interesa evitar.

Recuerda que tus preferencias, también en esto y en otras cosas igualmente sensibles -más sobre esto, aquí-, se comparten potencialmente con miles de empresas, antes de que se decida quién acaba plantándote el anuncio de marras precisamente a ti.

guía de cookies

 

¿Qué dice la AEPD Británica sobre esto de las cookies?

La ICO o agencia de protección de datos británica publicó en mayo un documento anticipando conclusiones preliminares sobre sus actividades de investigación sobre el sector de la publicidad online. En concreto sobre RTB o sistemas de pujas en tiempo real.

El informe constata la grave y generalizada situación de incumplimiento de la normativa de protección de datos en la industria Adtech, y su poca o ninguna disposición para cambiar de conducta.

Un momento: ¿había dicho ya que IAB –coautora de la guía española- es la industria publicitaria en España y Europa? Por si acaso.

La ICO, en sus desoladoras conclusiones (pg 23), destaca, entre otros que:

  • La información suministrada a los usuarios no es suficientemente clara: no cumple con el tratamiento de datos lícito y transparente que el RGPD impone.
  • Los datos especialmente protegidos son tratados sin consentimiento explícito de sus titulares.
  • Los perfiles creados sobre los usuarios son extremadamente detallados y se comparten repetidamente entre cientos de organizaciones, todo ello sin el conocimiento de los individuos.
  • Miles de organizaciones procesan miles de millones de transacciones publicitarias online en el Reino Unido cada semana con (en el mejor de los casos) una aplicación incoherente de medidas adecuadas para garantizar la seguridad de los datos tratados, y poca o ninguna consideración al cumplimiento de la protección de datos en relación con transferencias internacionales de datos personales.
  • Los individuos no tienen ninguna garantía de la seguridad de sus datos personales dentro de este ecosistema.

Ayer mismo se presentaban las conclusiones definitivas, que no mejoran el panorama. Los promotores del navegador centrado en la privacidad Brave, calificaban la actividad ordinaria de esta industria como data breach sistémico.

El informe definitivo de la ICO será enlazado aquí.

La otra parte de la pinza es, cómo no, echarle la culpa a la víctima: señalar la responsabilidad del usuario, al que “no le importa” su privacidad, “no lee” las políticas de privacidad ni los avisos de cookies, y en fin, “regala sus datos”.

En realidad, el ciudadano de a pie está obligado a utilizar internet a diario, no está informado en absoluto de lo que representa para él -para todos- el abuso de sus datos, cree erróneamente que su consentimiento está debidamente informado y que es tratado de forma legal y cree también que hay alguien al otro lado velando por sus intereses.

 

Campo de batalla: la negociación del Reglamento e-privacy

Hace años que se libra una lucha de titanes entre las instituciones europeas que han promulgado normas que apuestan sólidamente por la protección de los derechos de privacidad de los ciudadanos y consumidores, y el sector de la publicidad online a nivel mundial.

Estas empresas ven seriamente afectados sus intereses si se les impone la obligación de cumplir obligaciones mucho más gravosas en Europa que en el resto del mundo.

 

“Seguir navegando” equivale como consentimiento inequívoco para la AEPD

La AEPD lleva años diciendo que seguir navegando puede servir como consentimiento al uso de cookies si se refuerza con determinadas medidas. La guía de cookies lo documenta oficialmente ahora: hacer “cosas” como seguir navegando, hacer clic en un contenido de la web, o cerrar el aviso de privacidad se interpreta como consentimiento inequívoco del usuario.

Es normal: hay todo un universo adtech ahí fuera del que nunca has oído hablar, pero que vive de tus datos: sus datadólares dependen de que hagas lo que tienes que hacer, maldito, y te tragues la pastillDIGO pinches el puñetero botón de “acepto”.

Y claro, si haciéndolo bien no pincha ni Blas, hay que ir pensando en otras cosas más fáciles de conseguir…

Para un estudio sistemático de la guía de cookies, es mejor que vayan directamente a este post de @albero en el Blog Secuoya.

Yo voy a seguir quejándome por aquí.

 

guía de cookies

Pestañee. Gracias.

En la película “The revenant” al compañero Leo DiCaprio le hacen un “truqui cuqui” digno de la próxima guía de IAB: “Por favor, sigue pestañeando para mostrar tu consentimiento a que te deje aquí tieso y tirao con esos lobos tan majos y el cadáver de tu hijo caliente”.

En realidad, sobre este tema ya está todo dicho, y desde hace dos años: en las directrices del consentimiento del EDPB, estaba clarinete. Y hace año y medio que señalé las diferencias de la receta española de cookies que, lamentablemente, no es la misma que la que nos llega de Bruselas.

Es redundante invocar las guías de la ICO, la CNIL, la autoridad de Berlín y demás que se alinean con el EDPB. Bruselas gana.

 

Privacy by design

Pero sí podría ser clarificador invocar la penúltima guía de la AEPD.

La guía sobre la privacidad desde el diseño es muy buena. Y ya sabeis que soy muy fan del tema.

Pues bien, a la luz de los siete sagrados principios del privacy by design de la suma sacerdotisa Cavoukian…

  • ¿Cómo demonios se aguanta la equiparación del “seguir navegado” al consentimiento para el uso de cookies como ¿”protección preventiva” y “predeterminada” de la privacidad del interesado?
  • ¿Es este un planteamiento win-win? ¿Dónde está el “win” del usuario aquí?
  • La transparencia ya hemos visto que brilla por su ausencia…
  • … pero y el enfoque “user-centric” ¿¿¿???

Las cosas importantes hay que currarlas bien, y con esto estamos a tiempo: la Lista Robinson gestionada por Adigital funcionó muchos años -hasta mayo de este 2019-… permitiendo que las empresas de marketing se descargaran los datos de quienes se apuntaban a la misma… Por comparar, aquí los amigos de Secuoya desarrollamos Lista Viernes con una solución zero knowledge y plenamente “win win” en cuanto le dimos unas cuantas vueltas (en mayo, la nueva versión de la Lista Robinson implementó la misma solución de comparación de lista hasheadas que desarrollamos nosotros).

guía de cookies

Opt-out by design

Me quedo con los dos principios del estándar que más alegrías me dan, cuando los consigo desplegar:

  • El “win-win”: el pobriño sector del marketing directo tiene que comer, oh sí, pero no vale todo, como bien dice la ICO.

El sector ha hecho de su capa (de su vampírica capa) un sayo estos años, y tiene que acostumbrarse a cumplir el RGPD. Y digo bien: el RGPD, no la última guía española de cookies.

  • La integración de la privacidad en el diseño de procedimientos. La industria publicitaria ha hecho un gran esfuerzo económico en la creación de plataformas para la gestión y garantía del cumplimiento en esta materia.

El RGPD comprende un omnímodo y demoledor derecho de oposición al tratamiento de datos para mercadotecnia directa ejercitable por el interesado, sin motivo especial, y que tiene que ser atendido de forma automática e incondicional.

Si a alguien le importara de verdad todo esto… ¿Cómo es que no se obliga a la industria marquetera a embeber en sus plataformas de “gestión de consentimientos” una “función Lista Robinson” que permita al particular con un solo opt-out escapar a la morralla de todas las empresas afiliadas a cada plataforma?

Ese opt-out debe ser universal y practicable en dos modalidades:

  • Tanto bajo la forma de derecho de oposición contra mercadotecnia (sea de donde sea de donde ustedes, manada, hayan captado mis datos personales –casi mejor no saberlo-
  • Como bajo la forma de revocación del consentimiento, que, recordemos, debe ser tan fácil de revocar como de dar.

¿Quién ha ganado con esta guía de cookies?

Como asesor de la industria sobran desde luego motivos para dar palmas con las orejas.

Con esta guía en la mano es difícil que alguna empresa sea sancionada por utilizar la fórmula del “entenderemos que consiente si respira en los dos próximos minutos” en España. Aunque no esté permitido en el resto de Europa.

Pero parece inevitable un próximo terremoto de confusión en el sector cuando la agencia se vea obligada a cambiar su criterio.

Será ser una sentencia del TJUE (mi opción favorita) o un tirón de orejas –o de otras cosas- del Comité Europeo de Protección de Datos. Hagan sus apuestas.

hay quien no gana absolutamente nada con esta guía:

  • Los ciudadanos, pobrecicos míos, que ven como sus derechos lícitamente impunemente ignorados a través de la ancha autopista construida en la nueva guía de cookies a medida de la industria Adtech.
  • La Agencia Española de Protección de Datos, que tiene una bien labrada trayectoria de rigor y prestigio, inexplicablemente ha elegido cabalgar este cuadrúpedo que tiene toda la pinta de venir de Troya. Y encima cabalga solo: muy solo.

 

 

Jorge García Herrero

Abogado y Delegado de Protección de Datos