Consentimiento de cookies: la mayoría de los sitios web infringen la ley al dificultar el «rechazo de todo» el seguimiento

Consentimiento de cookies la mayoria de los sitios web infringen

El Reglamento General de Protección de Datos (GDPR) de Europa introdujo reglas estrictas para obtener el consentimiento explícito de los usuarios cuando las empresas recopilan y procesan los datos personales de los usuarios. Pero la mayoría de los formularios en línea que utilizan los sitios web para obtener ese consentimiento no cumplen con las reglas, según un nuevo estudio.

Cuando GDPR entró en vigencia en mayo de 2018, los sitios web comenzaron a mostrar los llamados «banners de cookies» donde los visitantes pueden aceptar cookies o ir a una página de configuración para ajustarlas.

Junto con el RGPD, los sitios web han adoptado cada vez más plataformas de gestión de consentimiento (CMP) subcontratadas para gestionar el cumplimiento del consentimiento de cookies y el seguimiento de terceros.

VER: Guía para profesionales de TI sobre el cumplimiento del RGPD (PDF gratuito)

Pero un nuevo estudio realizado por investigadores del MIT CSAIL, la Universidad de Aarhus de Dinamarca y el University College London encontró que solo el 11,8 % de los CMP más populares utilizados en los sitios web del Reino Unido cumplen con los requisitos mínimos del RGPD y las normas eDirective de Europa con respecto a las cookies y el consentimiento.

Además, los investigadores creen que los formularios de consentimiento de cookies de sitios web pasan desapercibidos para las autoridades europeas de protección de datos (DPA), que no prestan atención a la aplicación.

Los investigadores argumentan que las APD europeas deberían utilizar el tipo de herramientas automatizadas que desarrollaron los investigadores para el análisis a gran escala del cumplimiento del RGPD.

Los investigadores extrajeron numerosos formularios de consentimiento de los CMP implementados en los 10 000 sitios web más populares del Reino Unido y verificaron si cumplen con la ley europea. Como se mencionó, no muchas plantillas de CMP lo hicieron, pero depende de los reguladores garantizar que estos formularios y sus proveedores se ajusten.

«Falta mucho la aplicación en esta área. Las autoridades de protección de datos deberían hacer uso de herramientas automatizadas como la que hemos diseñado para acelerar el descubrimiento y la aplicación», argumentan los investigadores.

«Los diseñadores podrían ayudar aquí a diseñar herramientas para los reguladores, en lugar de solo para los usuarios o para los sitios web. Los reguladores también deberían trabajar más adelante y considerar imponer requisitos a los proveedores de CMP para permitir que solo se comercialicen diseños compatibles».

El raspador de los investigadores se utilizó para determinar si un formulario de consentimiento cumplía con los requisitos de GDPR y eDirective. Las reglas dicen que el consentimiento debe ser explícito. Entonces, por ejemplo, los usuarios deben hacer clic en un botón en lugar de ir directamente al sitio web; todos los aspectos del consentimiento deben ser tan fáciles de rechazar como de aceptar; y las casillas premarcadas no están permitidas.

De los 10.000 sitios web rastreados que usaban un formulario CMP, los investigadores encontraron que el consentimiento implícito está presente en un tercio de los sitios web.

Los investigadores también descubrieron que los CMP hacen que rechazar todo el seguimiento, que incluye cookies y otras técnicas como la toma de huellas dactilares del navegador y del dispositivo que Mozilla, el fabricante de Firefox, está tratando de bloquear de forma predeterminada, sea «sustancialmente más difícil que aceptarlo».

Microsoft y Apple también están tratando de abordar el seguimiento de terceros en sus respectivos navegadores Edge y Safari.

Un poco más de la mitad de los sitios web de la encuesta ni siquiera ofrecen un botón «rechazar todo» y solo el 12,6 % de los sitios tienen un botón «rechazar todo» al que es tan fácil acceder como el botón «aceptar todo», por ejemplo, colocando ambas opciones en la misma página.

«Además, cuando los usuarios modificaron la configuración de consentimiento específica en lugar de aceptar todo, a menudo se enfrentan a casillas premarcadas del tipo específicamente prohibido por el RGPD», escribieron los investigadores.

VER: Privacidad de datos: los alemanes imponen una de las mayores multas del RGPD hasta la fecha por centros de llamadas laxos

Además de todo esto, los investigadores, y los usuarios también, no tienen idea de si activar o desactivar una categoría específica de seguimiento realmente produce el resultado deseado para el usuario. El número medio de rastreadores de terceros con los que se comparten datos en los sitios es de 315 proveedores.

El resultado final de ocultar la opción ‘rechazar todo’ es que la mayoría de las personas optan por ‘aceptar todo’.

«Los resultados de nuestra encuesta empírica de CMP de hoy ilustran hasta qué punto prevalecen las prácticas ilegales, con los proveedores de CMP haciendo la vista gorda, o peor aún, incentivando, configuraciones claramente ilegales de sus sistemas», concluyen los investigadores.

Más sobre privacidad y RGPD

Deja un comentario