Redacción
En 2012 entraba en vigor en España la polémica ‘Ley de cookies’ (adaptación nacional de una directiva europea de 2009) y, seis años más tarde, en 2018, el nuevo Reglamento General Europeo de Protección de Datos estableció normas estrictas para la obtención del consentimiento explícito que afectaban directamente al modo en que estas empresas solicitaban la admisión de las cookies.
En este tiempo, muchas empresas webs han delegado el cumplimiento de dichos requisitos por parte de sus sitios web en CMPs externos (Consent Management Platforms, o plataformas de gestión del consentimiento), que se encargan de todo lo necesario para la obtención de la cesión de datos personales y de navegación.
Pero ahora, investigadores del CSAL del MIT, de la Universidad de Aarhus (Dinamarca) y del University College de Londres se han preguntado qué nivel de cumplimiento ha logrado cosechar esta normativa europea… y la conclusión resulta bastante descorazonadora.
1 de cada 3 sitios web se conforma con el (ilegal) «consentimiento implícito»
Su estudio ha llegado a la conclusión de que la mayoría de los sitios webs online están incumpliendo la normativa europea a la hora de gestionar las cookies. Concretamente, tan sólo el 11,8% de los 10.000 sitios web analizados (poco más de 1 de cada 10) recurren a técnicas que se ajusten completamente a las exigencias de la normativa europea.
La forma más común de gestionar el consentimiento por parte de estas webs es recurrir al «consentimiento implícito», en el que los gestores de la web asumen que si estás visitando la misma es que necesariamente estás aceptando las cookies que la integran. Prácticamente 3 de cada 10 páginas (el 32,5%) apuestan por esta práctica.
Legalmente, se considera que los usuarios deben realizar alguna acción que evidencie su voluntad informada de aceptar las cookies (como clicar un botón) y deben tener y dejar claro qué están aceptando. Sin embargo, el diseño de los sistemas de aceptación de cookies manipulan sutilmente al usuario, incitándolo a aceptar éstas. Es lo que conocemos como ‘patrones oscuros‘.
De nuevo, según la norma, si existen varios elementos a aceptar, éstos deben ser igualmente sencillos de rechazar o aceptar, sin que quepan ‘trampas’ como las casillas preseleccionadas. Pero sólo el 12,6% de los sitios web que incluyen un botón de «Aceptar todas las cookies» ofrecen también otro para rechazarlas todas, como sería preceptivo.
Un ejemplo de la efectividad de los citados ‘patrones oscuros’: los investigadores descubrieron, por ejemplo, que cuando el sitio web no ofrece de un botón de «rechazar todo» en la primera ventana (muchos recurren a esconderlo mediante clics extra) se incrementa en un 23% la cantidad de usuarios que aceptan el seguimiento mediante cookies.
Según los investigadores, la aplicación de la normativa «brilla por su ausencia»: «Los proveedores de CMP hacen la vista gorda -o peor, incluso, incentivan- ante configuraciones claramente ilegales en sus plataformas», concluyen los investigadores.
Y proponen, dado que las autoridades de protección de datos parecen no ser capaces de detectar este incumplimiento masivo, que recurran a herramientas automatizadas como la desarrollada para la realización del estudio.
