3 años para preparar
En aplicación de la directiva ePrivacy, los internautas deben ser informados y dar su consentimiento antes de depositar y leer rastreadores "no esenciales". Desde la entrada en vigor del RGPD, hace ya 3 años, se reforzaron los requisitos relativos a la validez del consentimiento.
El 1 de octubre de 2020, la CNIL publicó directrices modificativas y su recomendación sobre cookies y otros rastreadores. También concedió 6 meses a los editores para que cumplieran las normas.
Como pudimos comprobar en este blog, las antiguas directrices, aunque laxas, ya no eran respetadas. Aquí hay algunos artículos para ilustrar la impunidad:
- "Recoger el consentimiento en Internet: una mentira muy extendida".
- "Le Figaro, emblema del seguimiento de la publicidad invasiva en los medios de comunicación franceses".
- "La gran venta de sus datos personales en Le Bon Coin".
¿Qué pasa con las nuevas directrices?
La CNIL recomienda un “patrón oscuro” para “optimizar” la tasa de consentimiento
Al leer la recomendación de la CNIL, descubrimos una primera propuesta de diseño para la interfaz de consentimiento:
Página 9, Figura 4: una interfaz clara, fácil elección para el usuario.
Además de consideraciones generales sobre la interfaz (pongo los pasajes clave en negrita):
- "El responsable del tratamiento deberá ofrecer a los usuarios tanto la posibilidad de aceptar como de rechazar operaciones de lectura y/o escritura con el mismo grado de simplicidad."
- "Por lo tanto, la Comisión recomienda encarecidamente que el mecanismo que permite expresar la negativa a dar el consentimiento a las operaciones de lectura y/o escritura sea accesible en la misma pantalla y con la misma facilidad que el mecanismo para expresar el consentimiento."
- "Por ejemplo, en el primer nivel de información, los usuarios pueden elegir entre dos botones presentados al mismo nivel y en el mismo formato, en los que se escribe respectivamente “aceptar todo” y “rechazar todo”, “autorizar” y “prohibir”, o “consentir” y “no consentir”, o cualquier otra redacción equivalente y suficientemente clara."
Cuando continuamos leyendo el documento, vemos una segunda propuesta de diseño:
Página 10, Figura 5: ¡Recomendación CNIL! El “Continuar sin aceptar” puede pasar desapercibido fácilmente.
Justo debajo de este diseño engañoso, la CNIL se contradice:
- "Para no engañar a los usuarios, la Comisión recomienda que los responsables del tratamiento de datos garanticen que las interfaces para recopilar opciones no incluyan prácticas de diseño potencialmente engañosas que lleven a los usuarios a creer que su consentimiento es obligatorio o que resaltan visualmente una opción más que otra."
- "Se recomienda utilizar botones y fuente del mismo tamaño, ofreciendo la misma facilidad de lectura y resaltados de la misma manera."
Este "patrón oscuro" fue rápidamente “evangelizado” entre los editores:
Consejos de Converteo (agencia de consultoría en datos y tecnología) a los editores: ¡sigan el “margen de maniobra” propuesto por la CNIL!
El 1 de abril de 2021 es el gran día, los sitios y las apps finalmente deben cumplir como nos recuerda la CNIL:
No escatimó esfuerzos en la educación, como se recuerda en su sitio:
- Dieciocho seminarios web para profesionales del sector público y privado.
- Numerosos consejos y herramientas prácticos disponibles en el sitio web de la CNIL.
- Una campaña de sensibilización para organizaciones públicas y privadas.
¿Con qué resultados? Eso es lo que veremos a través de algunos hilos de Twitter (haz clic en los enlaces para ver los numerosos ejemplos).
La interfaz del consentimiento, una calamidad
El “patrón oscuro” de CNIL, interfaz estándar en los sitios de medios.
¿Estás pidiendo más? Aquí está el “Patrón oscuro” de la CNIL en versión App:
¡Cuidado con los dedos grandes!
Otra opción, bastante adoptada, es burlarse de las normas.:
A Facebook no le importa la ley, pero no está solo.
5 pasos para rechazar la vigilancia, pero obviamente no funciona.
¿Una apuesta por el hecho de que la CNIL no audita las apps?
Si se niega a dar su consentimiento, algunos sitios deciden arruinar su experiencia de lectura.:
Nuestros editores tienen talento.
Otra opción para monitorearte, alegar "interés legítimo":
Por supuesto, la práctica es ilegal.
Hay que destacar que algunos editores ofrecen una interfaz respetuosa:
Una interfaz limpia, tus elecciones aún deben ser respetadas.
Algunas raras excepciones también en Apps:
Mensaje largo, pero elección clara (vaya a Twitter para ver la captura de pantalla completa).
Muros de cookies, chantaje de datos personales
Chantaje de datos personales, hola.
También encontramos el cookie wall en Apps:
Chantaje de datos personales, continuó.
¿Es legal el cookie wall? La CNIL quiso prohibirlo, sin éxito.:
El “cookie wall” consiste en bloquear el acceso a un sitio web o a una app móvil a los usuarios que no den su consentimiento. En determinados casos, esta práctica, también llamada “muro de pago”, condiciona este acceso a una compensación económica, como una suscripción.
El Consejo de Estado consideró, el 19 de junio de 2020, que la CNIL no podía prohibir, en principio, esta práctica.
A la espera de una aclaración duradera sobre esta cuestión por parte del legislador europeo, la CNIL aplicará los textos vigentes, tal como lo aclara la jurisprudencia, para determinar caso por caso si el consentimiento de las personas es libre y si un cookie wall es legal o no. En este contexto, estará muy atento a la existencia de alternativas reales y satisfactorias, en particular proporcionadas por el mismo editor, cuando el rechazo de rastreadores innecesarios bloquee el acceso al servicio ofrecido.
Por lo tanto, esperamos con impaciencia las primeras decisiones de la CNIL... Hasta entonces, puedes leer estos excelentes artículos:
- "Cookie wall: ¿cuándo dejarán de tomarnos por idiotas?" de Numendil.
- "Muro de consentimiento y cookie wall" por Romain Bessuges-Meusy, director general de CMP Axeptio.
- "Muros de cookies y otros muros de seguimiento: ¿legales, no legales?" por Marc Rees.
Un consentimiento ficticio
Podrías decirte a ti mismo: Está bien, no es tan fácil rechazar la vigilancia, pero ahora tengo una opción. Los editores aún deben respetar esta elección... En la vida real, esto rara vez ocurre:
- Muchos editores filtran sus datos personales incluso antes de que usted haya dado (o rechazado) su consentimiento.
- Muchos editores filtran sus datos personales aunque usted se haya negado a dar su consentimiento.
La hipocresía de los editores que pretenden respetar la ley.
En las apps, a menudo el lejano oeste.
Veamos los datos personales filtrados:
A través del software Charles Proxy, es posible observar todas las solicitudes.
Conviene señalar que Apple ATT no evita la filtración de datos personales, sólo el seguimiento (rastreo multi-app).
Apple te protege mucho mejor que Google contra la vigilancia publicitaria, pero si quieres evitar todas las filtraciones de datos personales, necesitarás usar un bloqueador de seguimiento como NextDNS.
¿Cómo hacer cumplir la ley?
La CNIL anunció recientemente una veintena de requerimientos:
Dada la historia de la organización, soy cauteloso. Lea, por ejemplo, los comentarios de Quadrature du Net: "GAFAM escapa al RGPD, la CNIL es cómplice".
Noyb, no obstante, intentará la aventura con las distintas CNIL europeas.:
Mientras la CNIL envía penosamente una veintena de requerimientos, Noyb prevé enviar 10.000 quejas. Se trata de una pequeña asociación con algunos voluntarios: prueba de que a la CNIL no le faltan recursos, sino sobre todo voluntad política.
Entonces, ¿no hay esperanza? No estoy tan seguro: los avances más importantes podrían venir de las autoridades de competencia, como bien se describe en este artículo. Crucemos los dedos y, hasta entonces, protégete.