3 años para prepararse
En aplicación de la directiva ePrivacy, los internautas deben ser informados y dar su consentimiento antes de depositar y leer rastreadores "no esenciales". Desde la entrada en vigor del RGPD, hace ya 3 años, se reforzaron los requisitos relativos a la validez del consentimiento.
El 1 de octubre de 2020, la CNIL publicó directrices modificativas y su recomendación sobre cookies y otros rastreadores. También concedió 6 meses a los editores para que cumplieran las normas.
Como ya pudimos ver en este blog, las antiguas directrices, pese a ser laxas, tampoco se respetaban. Aquí tienes algunos artículos para ilustrar la impunidad:
- "Recoger el consentimiento en Internet: una mentira muy extendida".
- "Le Figaro, emblema del seguimiento publicitario invasivo en los sitios de medios franceses".
- "La gran venta de sus datos personales en Le Bon Coin".
¿Qué pasa con las nuevas directrices?
La CNIL recomienda un “patrón oscuro” para “optimizar” la tasa de consentimiento
Al leer la recomendación de la CNIL, uno descubre una primera propuesta de diseño para la interfaz de consentimiento:

Página 9, Figura 4: una interfaz clara, fácil elección para el usuario.
Además de consideraciones generales sobre la interfaz (pongo los pasajes clave en negrita):
- "El responsable del tratamiento deberá ofrecer a los usuarios tanto la posibilidad de aceptar como de rechazar operaciones de lectura y/o escritura con el mismo grado de simplicidad."
- "Por lo tanto, la Comisión recomienda encarecidamente que el mecanismo que permite expresar la negativa a dar el consentimiento a las operaciones de lectura y/o escritura sea accesible en la misma pantalla y con la misma facilidad que el mecanismo para expresar el consentimiento."
- "Por ejemplo, en el primer nivel de información, los usuarios pueden elegir entre dos botones presentados al mismo nivel y en el mismo formato, en los que se escribe respectivamente “aceptar todo” y “rechazar todo”, “autorizar” y “prohibir”, o “consentir” y “no consentir”, o cualquier otra redacción equivalente y suficientemente clara."
Cuando continuamos leyendo el documento, vemos una segunda propuesta de diseño:
![]()
Página 10, Figura 5: ¡Recomendación CNIL! El “Continuar sin aceptar” puede pasar desapercibido fácilmente.
Justo debajo de este diseño engañoso, la CNIL se contradice:
- "Para no inducir a error a los usuarios, la Comisión recomienda que los responsables del tratamiento se aseguren de que las interfaces de recogida de las decisiones no incorporen prácticas de diseño potencialmente engañosas que lleven a los usuarios a creer que su consentimiento es obligatorio o que resalten visualmente una opción más que otra."
- "Se recomienda utilizar botones y fuente del mismo tamaño, ofreciendo la misma facilidad de lectura y resaltados de la misma manera."
Este “patrón oscuro” fue rápidamente “evangelizado” entre los editores:
![]()
Consejos de Converteo (agencia de consultoría en datos y tecnología) a los editores: ¡sigan el “margen de maniobra” propuesto por la CNIL!
El 1 de abril de 2021 es el gran día, los sitios y las apps finalmente deben cumplir como nos recuerda la CNIL:
![]()
La CNIL no escatimó esfuerzos pedagógicos, como recuerda en su sitio:
- Dieciocho seminarios web para profesionales del sector público y privado.
- Numerosos consejos prácticos y herramientas disponibles en el sitio web de la CNIL.
- Una campaña de sensibilización para organizaciones públicas y privadas.
¿Con qué resultados? Eso es lo que veremos a través de algunos hilos de Twitter (haz clic en los enlaces para ver los numerosos ejemplos).
La interfaz de consentimiento, una calamidad
![]()
El “patrón oscuro” de la CNIL, interfaz estándar en los sitios de medios.
¿Quieres más? Aquí tienes el “patrón oscuro” de la CNIL en versión app:
![]()
¡Cuidado con los dedos grandes!
Otra opción, bastante extendida: pasarse la normativa por el forro:
![]()
A Facebook no le importa la ley, pero no está solo.
![]()
5 pasos para rechazar la vigilancia, pero obviamente no funciona.
![]()
¿Una apuesta a que la CNIL no audita las apps?
Si te niegas a dar tu consentimiento, algunos sitios deciden arruinarte la experiencia de lectura:
![]()
Nuestros editores tienen talento.
Otra opción para vigilarte: alegar el "interés legítimo":
![]()
Por supuesto, la práctica es ilegal.
Hay que destacar que algunos editores ofrecen una interfaz respetuosa:
![]()
Una interfaz limpia, pero aún falta que se respeten tus decisiones.
Algunas raras excepciones también en Apps:
![]()
Mensaje larguísimo, pero decisión clara (ve a Twitter para ver la captura de pantalla completa).
Los cookie walls, un chantaje con tus datos personales
![]()
Chantaje con tus datos personales, hola.
También encontramos el cookie wall en Apps:
![]()
Chantaje con tus datos personales, continúa.
¿Es legal el cookie wall? La CNIL quiso prohibirlo, sin éxito:
El “cookie wall” consiste en bloquear el acceso a un sitio web o a una app móvil a los usuarios que no den su consentimiento. En determinados casos, esta práctica, también llamada “muro de pago”, condiciona este acceso a una compensación económica, como una suscripción.
El Consejo de Estado consideró, el 19 de junio de 2020, que la CNIL no podía prohibir, en principio, esta práctica.
A la espera de una aclaración duradera sobre esta cuestión por parte del legislador europeo, la CNIL aplicará los textos vigentes, tal como lo aclara la jurisprudencia, para determinar caso por caso si el consentimiento de las personas es libre y si un cookie wall es legal o no. En este marco, estará muy atenta a la existencia de alternativas reales y satisfactorias, en particular las proporcionadas por el mismo editor, cuando el rechazo de los rastreadores no necesarios bloquee el acceso al servicio ofrecido.
Por lo tanto, esperamos con impaciencia las primeras decisiones de la CNIL... Hasta entonces, puedes leer estos excelentes artículos:
- "Cookie wall: ¿cuándo dejarán de tomarnos por idiotas?" de Numendil.
- "Muro de consentimiento y cookie wall" por Romain Bessuges-Meusy, director general de CMP Axeptio.
- "Muros de cookies y otros muros de seguimiento: ¿legales, no legales?" por Marc Rees.
Un consentimiento ficticio
Podrías pensar: vale, no es tan fácil rechazar la vigilancia, pero ahora al menos puedo elegir. Lo que falta es que los editores respeten esa decisión... y en la vida real, rara vez lo hacen:
- Muchos editores filtran tus datos personales incluso antes de que hayas dado (o rechazado) tu consentimiento.
- Muchos editores filtran tus datos personales aunque te hayas negado a dar tu consentimiento.
![]()
La hipocresía de los editores que pretenden respetar la ley.
![]()
En las apps, a menudo el salvaje oeste.
Veamos los datos personales filtrados:
![]()
Con el software Charles Proxy, es posible observar todas las peticiones.
Conviene señalar que Apple ATT no evita la filtración de datos personales, sólo el seguimiento (rastreo multi-app).
![]()
Apple te protege mucho mejor que Google contra la vigilancia publicitaria, pero si quieres evitar todas las filtraciones de datos personales, necesitarás usar un bloqueador de seguimiento como NextDNS.
¿Cómo hacer cumplir la ley?
La CNIL anunció recientemente una veintena de requerimientos:
![]()
Visto el historial del organismo, soy escéptico. Lee, por ejemplo, el testimonio de La Quadrature du Net: "Los GAFAM escapan al RGPD con la complicidad de la CNIL".
Noyb, no obstante, va a probar suerte ante las distintas CNIL europeas:
![]()
Mientras la CNIL envía penosamente una veintena de requerimientos, Noyb prevé enviar 10.000 quejas. Se trata de una pequeña asociación con algunos voluntarios: prueba de que a la CNIL no le faltan recursos, sino sobre todo voluntad política.
Entonces, ¿no hay esperanza? No estoy tan seguro: los avances más importantes podrían venir de las autoridades de competencia, como bien se describe en este artículo. Crucemos los dedos y, hasta entonces, protégete.