El panel de un concurso televisivo me dio que pensar. Decía así: “no sé qué son, pero me paso todo el día aceptándolas”. La respuesta correcta era “las cookies”. Todos los concursantes asintieron con una sonrisa a esta afirmación.

No sé, lector, si tú también te sientes identificado con esta frase. Lo cierto es que aceptemos o rechacemos, si navegamos por internet estamos continuamente respondiendo a esta cuestión.

Las cookies como tantas cosas nacieron para una buena finalidad:  facilitar la experiencia de navegación de los usuarios, ya que permiten almacenar información relativa al usuario en su propio navegador. Proporcionan así a la página web, durante la sesión o en sesiones posteriores, información útil que permite al usuario volver a ingresar sin tener que autenticarse de nuevo o recordar opciones de navegación elegidas en ese sitio.

Pero su perversión llega cuando se empiezan a utilizar por terceros asociados a las páginas web, para almacenar un perfil del usuario, con la finalidad de optimizar campañas publicitarias. Lo cual está muy bien, si es lo que desea el usuario; pero no, si se hace a escondidas. Y esto se ha estado haciendo durante años, y se sigue haciendo, a pesar de las prohibiciones de la GDPR, mediante mecanismos que tratan de confundir a los usuarios.

Precisamente el informe publicado el pasado 17 de Enero por el Grupo de Trabajo de Cookie  Banners de la European Data Protection Board de la Comunidad Europea, advierte de que la mayoría de las páginas web están utilizando prácticas en el diseño de los banners de consentimiento que invalidan el mismo, y por lo tanto cualquier tratamiento posterior de los datos así obtenidos estaría incumpliendo la GDPR.

Y recordando la sonrisa de los concursantes del programa televisivo felicito a la EDPB por su celo, ya que muchos usuarios sienten que su consentimiento se ha tomado de manera no transparente y por lo tanto ilegítima.

El informe recoge una serie de prácticas muy extendidas, que tú lector vas a reconocer fácilmente por haberlas experimentado a menudo si sueles navegar por páginas web. Todas ellas generan un consentimiento inválido. Estas son:

  1. No incluir un botón de “rechazar todas las cookies” en el primer nivel de menús
  2. Preselección de los botones a favor de los intereses del editor
  3. Utilización de un enlace engañoso en el botón “otras opciones”, que te lleva a un texto explicativo o a la política de cookies, pero sin una opción clara de rechazar.
  4. Coloreado engañoso de los botones, poniendo por ejemplo en verde el de aceptar y en rojo el de rechazar.
  5. Contraste engañoso de los botones, poniendo por ejemplo una opción con un contraste fuerte con el fondo, mientras que la otra fácilmente se confunde con el fondo.
  6. Incluir dentro del interés legítimo del editor a la lectura/escritura de los datos para gestionar correctamente la petición del usuario, el derecho al almacenamiento y tratamiento posterior de esos datos, como si fueran la misma cosa.
  7. Clasificar cookies no esenciales dentro del grupo de las esenciales.
  8. No incluir un icono en la página web que permita al usuario revocar o modificar su consentimiento de manera sencilla e inmediata.

Ante el altísimo nivel de incumplimiento, yo me tomo esta advertencia de la EDPB muy en serio. Hasta ahora no ha habido multas notables en España por una incorrecta gestión del consentimiento, aunque sí que las empieza a haber en algunos países europeos. En cualquier caso, el que avisa no es traidor, y así me tomo yo este documento de la EDPB, como un aviso a navegantes, antes de empezar a poner multas.

Comparto los intereses de la industria publicitaria, sin embargo, no creo que las prácticas oscuras para obtener el consentimiento la beneficien. Creo que hay dos alternativas: una es tener un comportamiento escrupuloso en la obtención del consentimiento, y posteriormente en la gestión de las campañas, para que los usuarios vean valor en la publicidad que reciben y no revoquen el consentimiento. La otra es volver al criterio de la prensa escrita de toda la vida, asociando la publicidad al contenido y consiguiente perfil esperado del usuario interesado en el mismo.

Una reflexión adicional relacionada con esto es el uso ilegítimo de trackers. La inmensa mayoría de las páginas webs que he analizado contienen trackers automáticos de Google, y otras empresas de publicidad, que recogen información previa al banner de consentimiento. No sé si los propietarios de esas páginas web se han parado a pensar, que esos usuarios que vienen a su web y que son trackeados por empresas externas, van a ser taggeados  para recibir publicidad de su competencia en los próximos días. Es como si tú tienes un comercio físico y autorizas que alguien se ponga en tu puerta a darle publicidad de tu competencia a todo el que entra.

Si eres ejecutivo con responsabilidad y compruebas el banner de cookies de tu empresa, después de leer este artículo, quizás te lleves una desagradable sorpresa. Y si hay trackers instalados en tu web transmitiendo información de tus usuarios a empresas de publicidad quizás te lleves un disgusto.

La buena noticia es que aunque nada de esto es fácil de arreglar, todo ello tiene solución.

Juanjo Martinez Pagán, CISO Advisor y Fundador de ThousandGuards, Presidente del Grupo de Trabajo IT Digital de AUTELSI