Cómo los editores se burlan de la CNIL

El RGPD y ePrivacy son legislaciones muy buenas. Pero también hay que dotarse de medios para hacerlas respetar

Publicado por Pixel de Tracking el 9 de junio de 2021

3 años para prepararse

En aplicación de la directiva ePrivacy, los internautas deben ser informados y dar su consentimiento antes de depositar y leer rastreadores "no esenciales". Desde la entrada en vigor del RGPD, hace ya 3 años, se reforzaron los requisitos relativos a la validez del consentimiento.

El 1 de octubre de 2020, la CNIL publicó directrices modificativas y su recomendación sobre cookies y otros rastreadores. También concedió 6 meses a los editores para que cumplieran las normas.

Como ya pudimos ver en este blog, las antiguas directrices, pese a ser laxas, tampoco se respetaban. Aquí tienes algunos artículos para ilustrar la impunidad:

¿Qué pasa con las nuevas directrices?

La CNIL recomienda un “patrón oscuro” para “optimizar” la tasa de consentimiento

Al leer la recomendación de la CNIL, uno descubre una primera propuesta de diseño para la interfaz de consentimiento:

standard

Página 9, Figura 4: una interfaz clara, fácil elección para el usuario.

Además de consideraciones generales sobre la interfaz (pongo los pasajes clave en negrita):

  • "El responsable del tratamiento deberá ofrecer a los usuarios tanto la posibilidad de aceptar como de rechazar operaciones de lectura y/o escritura con el mismo grado de simplicidad."
  • "Por lo tanto, la Comisión recomienda encarecidamente que el mecanismo que permite expresar la negativa a dar el consentimiento a las operaciones de lectura y/o escritura sea accesible en la misma pantalla y con la misma facilidad que el mecanismo para expresar el consentimiento."
  • "Por ejemplo, en el primer nivel de información, los usuarios pueden elegir entre dos botones presentados al mismo nivel y en el mismo formato, en los que se escribe respectivamente “aceptar todo” y “rechazar todo”, “autorizar” y “prohibir”, o “consentir” y “no consentir”, o cualquier otra redacción equivalente y suficientemente clara."

Cuando continuamos leyendo el documento, vemos una segunda propuesta de diseño:

dark

Página 10, Figura 5: ¡Recomendación CNIL! El “Continuar sin aceptar” puede pasar desapercibido fácilmente.

Justo debajo de este diseño engañoso, la CNIL se contradice:

  • "Para no inducir a error a los usuarios, la Comisión recomienda que los responsables del tratamiento se aseguren de que las interfaces de recogida de las decisiones no incorporen prácticas de diseño potencialmente engañosas que lleven a los usuarios a creer que su consentimiento es obligatorio o que resalten visualmente una opción más que otra."
  • "Se recomienda utilizar botones y fuente del mismo tamaño, ofreciendo la misma facilidad de lectura y resaltados de la misma manera."

Este “patrón oscuro” fue rápidamente “evangelizado” entre los editores:

optimiser

Consejos de Converteo (agencia de consultoría en datos y tecnología) a los editores: ¡sigan el “margen de maniobra” propuesto por la CNIL!

El 1 de abril de 2021 es el gran día, los sitios y las apps finalmente deben cumplir como nos recuerda la CNIL:

lancement

La CNIL no escatimó esfuerzos pedagógicos, como recuerda en su sitio:

  • Dieciocho seminarios web para profesionales del sector público y privado.
  • Numerosos consejos prácticos y herramientas disponibles en el sitio web de la CNIL.
  • Una campaña de sensibilización para organizaciones públicas y privadas.

¿Con qué resultados? Eso es lo que veremos a través de algunos hilos de Twitter (haz clic en los enlaces para ver los numerosos ejemplos).

La interfaz de consentimiento, una calamidad

La mayoría de los editores han sabido cómo “optimizar las tasas de consentimiento” con la ayuda de la CNIL:

pattern

El “patrón oscuro” de la CNIL, interfaz estándar en los sitios de medios.

¿Quieres más? Aquí tienes el “patrón oscuro” de la CNIL en versión app:

dark

¡Cuidado con los dedos grandes!

Otra opción, bastante extendida: pasarse la normativa por el forro:

moque

A Facebook no le importa la ley, pero no está solo.

Mención especial a Google:

Google

5 pasos para rechazar la vigilancia, pero obviamente no funciona.

En las apps, no es mejor:

app

¿Una apuesta a que la CNIL no audita las apps?

Si te niegas a dar tu consentimiento, algunos sitios deciden arruinarte la experiencia de lectura:

pourrir

Nuestros editores tienen talento.

Otra opción para vigilarte: alegar el "interés legítimo":

legitime

Por supuesto, la práctica es ilegal.

Hay que destacar que algunos editores ofrecen una interfaz respetuosa:

conforme

Una interfaz limpia, pero aún falta que se respeten tus decisiones.

Algunas raras excepciones también en Apps:

exceptions

Mensaje larguísimo, pero decisión clara (ve a Twitter para ver la captura de pantalla completa).

Los cookie walls, un chantaje con tus datos personales

Adoptado por determinados editores como Webedia o Prisma Media, el cookie wall ha molestado a más de uno:

wall

Chantaje con tus datos personales, hola.

También encontramos el cookie wall en Apps:

wallapp

Chantaje con tus datos personales, continúa.

¿Es legal el cookie wall? La CNIL quiso prohibirlo, sin éxito:

El “cookie wall” consiste en bloquear el acceso a un sitio web o a una app móvil a los usuarios que no den su consentimiento. En determinados casos, esta práctica, también llamada “muro de pago”, condiciona este acceso a una compensación económica, como una suscripción.

El Consejo de Estado consideró, el 19 de junio de 2020, que la CNIL no podía prohibir, en principio, esta práctica.

A la espera de una aclaración duradera sobre esta cuestión por parte del legislador europeo, la CNIL aplicará los textos vigentes, tal como lo aclara la jurisprudencia, para determinar caso por caso si el consentimiento de las personas es libre y si un cookie wall es legal o no. En este marco, estará muy atenta a la existencia de alternativas reales y satisfactorias, en particular las proporcionadas por el mismo editor, cuando el rechazo de los rastreadores no necesarios bloquee el acceso al servicio ofrecido.

Por lo tanto, esperamos con impaciencia las primeras decisiones de la CNIL... Hasta entonces, puedes leer estos excelentes artículos:

Un consentimiento ficticio

Podrías pensar: vale, no es tan fácil rechazar la vigilancia, pero ahora al menos puedo elegir. Lo que falta es que los editores respeten esa decisión... y en la vida real, rara vez lo hacen:

  • Muchos editores filtran tus datos personales incluso antes de que hayas dado (o rechazado) tu consentimiento.
  • Muchos editores filtran tus datos personales aunque te hayas negado a dar tu consentimiento.

Ilustración larga:

fuite

La hipocresía de los editores que pretenden respetar la ley.

En las apps, no es mejor:

avant

En las apps, a menudo el salvaje oeste.

Veamos los datos personales filtrados:

apps

Con el software Charles Proxy, es posible observar todas las peticiones.

Conviene señalar que Apple ATT no evita la filtración de datos personales, sólo el seguimiento (rastreo multi-app).

Cook

Apple te protege mucho mejor que Google contra la vigilancia publicitaria, pero si quieres evitar todas las filtraciones de datos personales, necesitarás usar un bloqueador de seguimiento como NextDNS.

¿Cómo hacer cumplir la ley?

La CNIL anunció recientemente una veintena de requerimientos:

demeure

Visto el historial del organismo, soy escéptico. Lee, por ejemplo, el testimonio de La Quadrature du Net: "Los GAFAM escapan al RGPD con la complicidad de la CNIL".

Noyb, no obstante, va a probar suerte ante las distintas CNIL europeas:

noyb

Mientras la CNIL envía penosamente una veintena de requerimientos, Noyb prevé enviar 10.000 quejas. Se trata de una pequeña asociación con algunos voluntarios: prueba de que a la CNIL no le faltan recursos, sino sobre todo voluntad política.

Entonces, ¿no hay esperanza? No estoy tan seguro: los avances más importantes podrían venir de las autoridades de competencia, como bien se describe en este artículo. Crucemos los dedos y, hasta entonces, protégete.