Cómo Google se burla de la CNIL

Google infringe la directiva "ePrivacy" para vigilarte sin consentimiento. Sancionado, no cambia

Publicado por Pixel de Tracking el 21 de febrero de 2021

Google sancionado por incumplimiento de la ley Informatique et Libertés

El pasado 7 de diciembre, la CNIL sanciona a Google con 100 millones de euros por infringir la legislación francesa sobre cookies:

CNIL

En el buscador de Google, la CNIL constató 3 infracciones del artículo 82 de la ley Informatique et Libertés (transposición de la directiva "ePrivacy"):

  • Depósito de cookies sin recoger previamente el consentimiento del usuario: varias cookies con finalidad publicitaria se colocaban automáticamente cuando el usuario accedía a google.fr (cookies no esenciales para el servicio).
  • Falta de información a los usuarios del buscador google.fr: el banner informativo no proporcionaba ninguna información relativa a las cookies.
  • El fallo parcial del mecanismo de "oposición": desactivar la personalización de anuncios no afectaba a una de las cookies publicitarias.

El buscador, la gallina de los huevos de oro de Google

Aunque Google ofrece una multitud de servicios, su buscador sigue generando la mayor parte de sus ingresos:

ingresos

Durante el cuarto trimestre de 2020, el buscador de Google generaba el 56% de sus ingresos. Los sitios asociados, YouTube, Google Play o Google Cloud representan una parte nada desdeñable de los ingresos, pero son mucho menos rentables.

La búsqueda es estratégica para Google, le ha permitido imponer su capitalismo de vigilancia en múltiples áreas:

Google frente a la CNIL

Tenemos, pues:

  • Por un lado, la ley, destinada a proteger la privacidad de los internautas, materializada aquí en una sanción de la CNIL.
  • Por otro lado, la explotación de tus datos personales en el servicio más estratégico de Google, su buscador.

¿Quién será el ganador?

En su sanción, la CNIL señala 2 puntos:

  • Desde una actualización de septiembre de 2020, Google deja de colocar automáticamente las cookies publicitarias en cuanto el usuario llega a la página google.fr.
  • El nuevo banner informativo sigue sin permitir a los usuarios residentes en Francia comprender las finalidades para las que se utilizan las cookies, y no les informa de que pueden rechazarlas.

La CNIL indica que Google tiene 3 meses para informar correctamente a los usuarios, so pena de pagar una multa coercitiva de 100.000 euros por día de retraso. Estudiemos ahora qué sucede en la primera visita a google.fr.

Google continúa con el depósito automático de cookies publicitarias

Comencemos nuestra investigación en google.fr:

  • Desactiva tu adblocker.
  • Elimina las cookies en Chrome (Configuración > Configuración avanzada > Borrar datos de navegación), con lo que cerrarás la sesión de tu cuenta de Google.
  • Abre la consola de Chrome (⌘+Opción+J en Mac, Ctrl, Shift y J en PC), pestaña "Network", o inicia Charles Proxy.
  • Luego ve a google.fr.

continuar

Como puedes ver, el banner informativo ahora proporciona información relativa a las cookies, pero no te permite rechazar fácilmente el depósito de cookies no esenciales.

¿Qué dice la ley? Si citamos a la CNIL, el consentimiento solo es válido si la persona ejerce una elección real. En particular, "el usuario debe poder aceptar o rechazar el depósito o la lectura de las cookies con el mismo grado de sencillez". Claramente, no es el caso aquí.

¿Deja Google de colocar automáticamente cookies publicitarias en cuanto el usuario accede a la página google.fr, tal y como declara la CNIL? Veamos las peticiones a través de Charles Proxy:

nid

Como vemos, Google coloca la cookie NID nada más llegar a google.fr. ¿Para qué sirve esta cookie? Según las propias palabras de Google:

Utilizamos cookies, como "NID" y "SID", para personalizar anuncios en sitios de Google, como el buscador de Google. Por ejemplo, los utilizamos para recordar sus búsquedas más recientes, sus interacciones anteriores con los resultados de búsqueda o los anuncios de un anunciante y sus visitas al sitio web de un anunciante. Esto nos permite mostrarle anuncios personalizados en Google.

Google también indicó a la CNIL que la cookie NID perseguía una finalidad publicitaria (cf. la deliberación, apartado 99):

La sala restringida señala que la sociedad GIL indicó en su escrito del 30 de abril de 2020 que cuatro de las siete cookies colocadas, a saber, las cookies NID, IDE, ANID y 1P_JAR, persiguen una finalidad publicitaria.

Y sin embargo, la CNIL subraya que Google ha puesto fin a esta práctica (punto 102):

No obstante, destaca que durante el procedimiento sancionador las sociedades realizaron modificaciones en la página google.fr, que llevaron en particular, desde el 10 de septiembre de 2020, al cese del depósito automático de estas cuatro cookies en cuanto el usuario llega a la página.

¿Se realizó correctamente el control de la CNIL? En cualquier caso, Google sigue violando la ley, cf. el sitio web de la CNIL:

El consentimiento debe ser previo a la colocación y/o lectura de cookies. Mientras la persona no haya dado su consentimiento, no se podrán colocar ni leer cookies en su terminal.

Trampas en el recorrido de consentimiento de Google

El banner informativo de Google nos dice:

Si está de acuerdo, personalizaremos el contenido y los anuncios que ve en función de su actividad en los servicios de Google como Búsqueda, Maps y YouTube. [...] Haga clic en "Más información" para descubrir las opciones disponibles para usted

Si hago clic en "Más información", se me muestra una nueva ventana de información:

info1

Google detalla aquí los datos personales tratados, las finalidades y la configuración de privacidad. Fíjate de nuevo en los botones "Acepto" y "Otras opciones": Google sigue sin permitir rechazar el depósito de cookies no esenciales.

Llegados a este punto, podrías perderte en el laberinto de Google y hacer clic en "Otras opciones", con la esperanza de encontrar "rápidamente" la opción para rechazar el seguimiento publicitario. Verás esta pantalla:

otros

Aquí Google presenta varias opciones:

  • Ajustar la configuración de privacidad: ¡esta es la opción correcta! Tienes que hacer clic en "Ajusta tu configuración ahora".
  • Configurar las cookies en el navegador: opción que Google no recomienda: "Puedes bloquear algunas o todas las cookies, pero esto puede impedir que ciertas funciones funcionen en la web. Por ejemplo, muchos sitios web requieren que las cookies estén habilitadas cuando quieres iniciar sesión en ellos.".
  • Instalar un complemento para desactivar el seguimiento de Google Analytics: por desgracia, Google Analytics está lejos de ser la única herramienta que utiliza Google para vigilarte en la web (Google te vigila ante todo a través de la publicidad). Huelga decir que una persona preocupada por su privacidad preferirá utilizar un adblocker.
  • Iniciar sesión en tu cuenta de Google: ¡para dejar de ver este recordatorio! En efecto, Google indica: "Si borras periódicamente las cookies de tu navegador, seguirás recibiendo este recordatorio de privacidad, porque no tenemos forma de saber que ya lo has visto". El inconveniente de vigilarte por defecto: ¡sin cookies, Google da por hecho que tiene derecho a vigilarte!

¿Qué sucede si haces clic en "Ajusta tu configuración ahora"? ¡Vuelves al paso anterior! Pero no prestabas suficiente atención: ese paso contiene enlaces para modificar la configuración:

modificar

La carrera de obstáculos no ha terminado.

16 clics adicionales para rechazar la vigilancia

Hagamos clic, pues, en "Cambiar la configuración de búsqueda":

búsqueda

Desmarquemos "Guardar el historial de búsquedas", luego hagamos clic en "Atrás" y, por último, en "Cambiar la configuración de anuncios":

anuncio

Aquí tienes que desmarcar "Personalización de anuncios en la Búsqueda de Google" y "Personalización de anuncios en la Web". Con estas opciones marcadas por defecto, Google se permite vigilarte en "más de dos millones de sitios web asociados con Google para publicar anuncios".

Cuando desmarcas "Personalización de anuncios en la Búsqueda de Google", te llevas una pequeña sorpresa adicional:

desactivar

¿Estás realmente seguro? Google te lo pone aún un poco más difícil: tus búsquedas dicen mucho de ti...

Y cuando haces clic en "Desactivar", Google muestra un mensaje de gran belleza:

negativa

"Nuestros sistemas pueden tardar cierto tiempo en aplicar este cambio."

¡Google no debe de esperar que superes la carrera de obstáculos! Mismo castigo si haces clic en el botón "Desactivar" de "Personalización de anuncios en la Web":

web

Aquí también vemos que a Google le resulta complicado:

web2

Si quieres instalar otras cookies "opt-out", que solo desactivan la personalización de anuncios pero dejan que las empresas de la adtech te vigilen, Google te redirige a el sitio web de la industria publicitaria:

También puedes desactivar la personalización de anuncios en más de otras 100 redes publicitarias en línea.

Vuelve de nuevo al banner informativo y haz clic ahora en "Cambiar la configuración de YouTube":

youtube

Esta vez se te dirige al sitio de YouTube; aún tienes que desmarcar "Videos que ves en YouTube" y hacer clic en "Borrar historial de reproducciones":

histórico

Luego tienes que desmarcar "Videos que buscas en YouTube" y hacer clic en "Borrar historial de búsqueda":

yt

Y para coronar este magnífico recorrido, cuando vuelvas al banner informativo tienes que hacer clic en "Acepto" (sigue siendo la única manera de quitar este banner, aunque acabes de rechazarlo todo):

aceptar

En total, si tomas el camino más rápido, ¡necesitas 17 clics!

Durante el recorrido de "no consentimiento", la vigilancia continúa

¿Qué sucede durante este recorrido de "no consentimiento"? Si observamos las peticiones a través de Charles:

recorrido

Google continúa alimentando sus servicios publicitarios, entre ellos Google Analytics y Doubleclick.

A pesar de tu negativa, Google sigue vigilándote en la web

Tras esta carrera de obstáculos, consultemos el sitio Lemonde.fr (dopado a base de rastreadores, cf. "Consentimiento: lo peor de la experiencia de usuario y de la vigilancia con Lemonde.fr") y filtremos las peticiones a Google:

lemonde

Como puedes ver, a Lemonde.fr le gusta Google.

Mala suerte: Google no eliminó la cookie NID. Como resultado, se envían numerosas peticiones desde el sitio Lemonde.fr hacia Google con tu identificador almacenado en la cookie NID (recuerda que es una cookie publicitaria). Así, la siguiente infracción sigue vigente:

Cuando un usuario desactivaba la personalización de anuncios en la Búsqueda de Google mediante el mecanismo puesto a su disposición a partir del botón "Consultar ahora", una de las cookies publicitarias permanecía almacenada en su ordenador y seguía leyendo información con destino al servidor al que está vinculada.

La sala restringida estimó, por tanto, que el mecanismo de "oposición" implementado por las sociedades era parcialmente defectuoso, en violación del artículo 82 de la ley Informatique et Libertés.

¿Google ofrecerá un mecanismo de consentimiento real?

La CNIL sancionó a Google por obligaciones que preexistían al RGPD (artículo 82 de la ley Informatique et Libertés, transposición de la directiva "ePrivacy").

Ahora bien, el 1 de octubre de 2020 la CNIL publicó sus directrices modificativas y una recomendación relativa al uso de cookies y otros rastreadores. La CNIL pidió a los actores que se ajustaran a las normas así aclaradas, considerando que este período de adaptación no debería superar los seis meses.

Algunos puntos clave:

Rechazar rastreadores debería ser tan fácil como aceptarlos. La CNIL recomienda que la interfaz de recopilación de consentimiento no solo incluya un botón de “aceptar todo”, sino también un botón de “rechazar todo”.

Los usuarios deben poder retirar su consentimiento fácilmente y en cualquier momento.

Esperamos, pues, con impaciencia el 1 de abril y la puesta en conformidad de Google para poder rechazar su vigilancia con 1 clic (y no con 17)... En realidad, incluso las obligaciones anteriores al RGPD se incumplen:

  • Google impugnó su multa de 100 millones de euros ante el Consejo de Estado.
  • Como hemos visto, Google te vigila a través de la cookie NID, tanto antes de tu consentimiento como después de tu negativa a consentir.
  • Intentar rechazar la vigilancia de Google es una carrera de obstáculos.
  • Cabe dudar del carácter disuasorio de las sanciones de la CNIL, suponiendo que consiga llegar a cobrarlas. 100 millones de euros y 100.000 euros al día (es decir, 36 millones de euros al año) no es tan caro para Google.

Google es el ejemplo más flagrante de esta mentira sobre el consentimiento, pero la web francesa está infestada de sitios que pisotean tu privacidad; algunos ejemplos:

Queda por ver si la CNIL adoptará sanciones disuasorias a partir del 1 de abril.

Tus alternativas para evitar la vigilancia de Google

Si nos limitamos al buscador de Google (el objeto de este artículo), tienes otras opciones, como:

  • DuckDuckGo: un buscador estadounidense que no te vigila. La interfaz es minimalista, el buscador es una de las opciones predeterminadas en Safari y la mayor parte de los resultados se basan en Bing.
  • Qwant: la versión francesa, con una interfaz menos depurada; la mayor parte de los resultados se basan también en Bing.
  • Ecosia: la versión alemana; Ecosia destina el 80% de sus beneficios a asociaciones sin ánimo de lucro que trabajan en programas de reforestación presentes esencialmente en los países del sur. Ecosia también se basa principalmente en Bing.
  • Startpage: la versión holandesa; la interfaz es minimalista y los resultados son los de Google. Por eso es mi elección (los resultados de Google suelen ser mucho más pertinentes que los de Bing). Startpage se ha vuelto controvertido desde que fue adquirida en 2019 por una empresa con intereses en la adtech (puedes formarte tu propia opinión leyendo este artículo).

Es interesante leer por qué Google proporciona sus resultados de búsqueda a Startpage:

¿Por qué deja Google que Startpage acceda a sus resultados de búsqueda? Startpage.com tiene un contrato con Google que nos permite utilizar su feed oficial «Syndicated Web Search», así que tenemos que pagarles para obtener esos resultados.

A diferencia de Bing, que proporciona sus resultados a numerosos metabuscadores (DuckDuckGo, Qwant, Ecosia...), Google es avaro con sus resultados de búsqueda. Startpage parece ser el único que tiene acceso a ellos; ¿por cuánto tiempo?