Después de años de inacción contra la tecnología publicitaria, la ICO del Reino Unido pide controles a nivel del navegador para corregir la "fatiga de las cookies"

En el último casi retroceso hacia 'no rastrear', el jefe de protección de datos del Reino Unido se ha pronunciado a favor de una configuración a nivel de navegador y / o dispositivo para permitir que los usuarios de Internet establezcan preferencias de cookies 'duraderas', sugiriendo esto como una corregir el aluvión de ventanas emergentes de consentimiento que continúa infestando los sitios web en la región.
Los usuarios de la web europeos que digieren este desarrollo en una saga regulatoria que de otro modo sería monótona e invariable, deberían ser perdonados, no solo por cualquier sensación de déjà vu que puedan experimentar, sino también por preguntarse si no han sido objeto de burlas / gas de gas suficiente ya donde está el consentimiento de las cookies. preocupado.
El mes pasado, el ministro digital del Reino Unido, Oliver Dowden, apuntó a lo que denominó un desfile "interminable" de ventanas emergentes de cookies, lo que sugiere que el gobierno está considerando diluir los requisitos de consentimiento en torno al rastreo web mientras los ministros consideran cómo divergir de los estándares de protección de datos de la Unión Europea. post-Brexit. (Está programado para presentar la totalidad de los planes de "reforma" de datos del gobierno a finales de este mes, así que esté atento a este espacio).
Hoy, la comisionada de información saliente del Reino Unido, Elizabeth Denham, se unió a la refriega para instar a sus contrapartes en los países del G7 a chocar cabezas y unirse en torno a la idea de permitir que los usuarios de la web expresen preferencias de privacidad genéricas a nivel de navegador / aplicación / dispositivo, en lugar de tener para hacerlo a través de ventanas emergentes cada vez que visitan un sitio web.
En un comunicado que anuncia "una idea" que presentará esta semana durante una reunión virtual de las autoridades de privacidad y protección de datos del G7, que se describe menos concisamente en el comunicado de prensa como "cómo mejorar el mecanismo actual de consentimiento de cookies, haciendo que la navegación web sea más fluida". y más amigable para los negocios al tiempo que protege mejor los datos personales ”- Denham dijo:“ A menudo escucho a la gente decir que está cansada de tener que interactuar con tantas ventanas emergentes de cookies. Esa fatiga está provocando que las personas proporcionen más datos personales de los que les gustaría.
“El mecanismo de cookies también está lejos de ser ideal para empresas y otras organizaciones que ejecutan sitios web, ya que es costoso y puede conducir a una mala experiencia del usuario. Si bien espero que las empresas cumplan con las leyes vigentes, mi oficina alienta la colaboración internacional para brindar soluciones prácticas en esta área ”.
“Hay casi dos mil millones de sitios web que tienen en cuenta las preferencias de privacidad del mundo. Ningún país puede abordar este problema por sí solo. Por eso pido a mis colegas del G7 que utilicen nuestro poder de convocatoria. Juntos podemos colaborar con empresas de tecnología y organizaciones de estándares para desarrollar un enfoque coordinado para este desafío ”, agregó.
Contactada para obtener más información sobre esta "idea", una portavoz de la ICO reorganizó las palabras de la siguiente manera: "En lugar de intentar efectuar cambios a través de casi 2 mil millones de sitios web, la idea es que los legisladores y reguladores puedan dirigir su atención a los navegadores, aplicaciones y dispositivos a través de los cuales los usuarios acceden a la web.
“En lugar del consentimiento al hacer clic en el sitio web, los usuarios pueden expresar preferencias de privacidad genéricas y duraderas a través de los navegadores, las aplicaciones de software y la configuración del dispositivo, lo que les permite establecer y actualizar las preferencias con la frecuencia que elijan en lugar de hacerlo en cada sitio web que visitan. . "
Por supuesto, una señal de "No rastrear" (DNT) creada en el navegador no es una idea nueva. Tiene alrededor de una década en este momento. De hecho, podría llamarse la idea que no puede morir porque nunca se ha vivido realmente, ya que los intentos anteriores de integrar las preferencias de privacidad del usuario en la configuración del navegador fueron frustrados por la falta de apoyo de la industria.
Sin embargo, el enfoque que defiende Denham, en relación con las preferencias "duraderas", puede de hecho ser bastante diferente al DNT, dado su llamado a otros reguladores para que se involucren con la industria de la tecnología y sus "organizaciones de estándares", y propongan Soluciones “prácticas” y “favorables a los negocios” para el problema de las ventanas emergentes de cookies de Internet en la región.
No está claro qué consenso (práctico o, simplemente, favorable a la industria) podría resultar de esta llamada. Si algo.
De hecho, el comunicado de prensa de hoy puede ser nada más que Denham tratando de elevar su propio perfil, ya que está a punto de salir de la silla del comisionado de información. (Nunca desperdicie una buena oportunidad de networking internacional y todo eso: sus contrapartes en los EE. UU., Canadá, Japón, Francia, Alemania e Italia tienen programada una charla virtual hoy y mañana en la que ella da a entender que intentará involucrarlos con su gran idea. ).
Su reemplazo en el Reino Unido, mientras tanto, ya está alineado. Por lo tanto, cualquier cosa que Denham defienda personalmente en este momento, al final de su capítulo de ICO, puede tener una vida útil muy breve, a menos que esté lista para desempeñar un papel comparable en otra autoridad de protección de datos del calibre G7.

Denham tampoco es la primera persona en hacer un nuevo discurso para repensar los mecanismos de consentimiento de las cookies, incluso en los últimos años.
En octubre pasado, por ejemplo, una coalición de editores de tecnología centrada en los EE. UU. Presentó lo que llamaron un Estándar de privacidad global (GPC), con el objetivo de generar impulso para una señal a favor de la privacidad a nivel del navegador para detener la venta de datos personales, orientada a hacia la Ley de Privacidad del Consumidor de California (CCPA), aunque se presentó como algo que podría tener una utilidad más amplia para los usuarios de Internet.
En enero de este año, anunciaron que más de 40 millones de usuarios estaban haciendo uso de un navegador o extensión compatible con GPC, junto con un puñado de editores de renombre que se registraron para honrarlo. Pero es justo decir que su impacto global hasta ahora sigue siendo limitado.
Más recientemente, el grupo europeo de privacidad noyb publicó una propuesta técnica para una señal automatizada a nivel de navegador centrada en Europa que permitiría a los usuarios regionales configurar opciones de consentimiento avanzadas, lo que permitiría los controles más granulares que, según dijo, serían necesarios para encajar completamente con los más completos de la UE ( vs CCPA) marco legal en torno a la protección de datos.
La propuesta, para la que noyb trabajó con el Laboratorio de Computación Sostenible de la Universidad de Economía y Negocios de Viena, se llama Control Avanzado de Protección de Datos (ADPC). Y noyb ha pedido a la UE que legisle para tal mecanismo, lo que sugiere que hay una ventana de oportunidad ya que los legisladores también están interesados ​​en encontrar formas de reducir la fatiga de las cookies (un objetivo declarado para la reforma aún en curso de las reglas de privacidad electrónica, por ejemplo).
Por lo tanto, hay algunos ejemplos concretos de lo que podrían parecer los mecanismos de consentimiento prácticos, menos fatigosos pero aún a favor de la privacidad, para darle un poco más de color a la "idea" de Denham, aunque sus comentarios de hoy no hacen referencia a ningún mecanismo o propuesta existente.
(Cuando le pedimos a la ICO más detalles sobre lo que está defendiendo, su portavoz no citó ninguna propuesta técnica o implementación específica, histórica o contemporánea, tampoco, y solo dijo: “Al trabajar juntas, las autoridades de protección de datos del G7 podrían tener un impacto enorme en la estimulación del desarrollo de soluciones tecnológicas al problema del consentimiento de las cookies ”).
Así que la llamada de Denham al G7 parece bastante baja en sustancia frente a ruido que eleva el perfil.
En cualquier caso, el elefante realmente grande en la sala aquí es la falta de aplicación en torno a las violaciones del consentimiento de las cookies, incluso por parte de la ICO.

A esto se suma la cuestión ahora muy apremiante de cómo exactamente el Reino Unido "reformará" la legislación nacional en esta área (después del Brexit), lo que hace que el momento de la llamada de Denham parezca, bueno, interesante o oportuno. (Y difícil de interpretar como algo que no sea oportunistamente opaco en este momento).
La industria de la tecnología publicitaria, por supuesto, estará observando los desarrollos en el Reino Unido con interés, y seguramente aplaudirá desde los tejados si la “ reforma '' de la protección de datos nacional da como resultado enmiendas a las reglas del Reino Unido que permiten a la gran mayoría de los sitios web evitar tener que pedir a los británicos permiso para procesar sus datos personales, por ejemplo, al optar por el seguimiento de forma predeterminada (con el pretexto de 'arreglar' la fricción de las cookies y la fatiga de las cookies para ellos).
Sin duda, esa sería la misión cumplida después de todos estos años de incumplimiento por parte del complejo de datos industriales del capitalismo de vigilancia, de generar fatiga de cookies, generar cookies, consentir y no cumplir.
Todavía no está claro en qué dirección saltará el gobierno del Reino Unido, pero las cejas deberían levantarse al leer el escrito de ICO hoy que espera el cumplimiento de la ley (actual) del Reino Unido cuando ha fallado tan rotundamente en abordar el papel de la industria de la tecnología publicitaria en enfermar cínicamente dicha cookie. fatiga al no tomar ninguna medida contra tales infracciones sistémicas.
El hecho es que el ICO ha evitado, durante años, abordar el abuso de la protección de datos por parte de la tecnología de publicidad, a pesar de reconocer públicamente que el sector está totalmente fuera de control.
En cambio, ha optado por un 'proceso de compromiso' (léase: apaciguamiento) que ha condenado a los usuarios de Internet del Reino Unido al infierno de las cookies emergentes.
Esta es la razón por la que se está demandando al regulador por inacción, después de que cerró una queja de larga data contra el abuso de seguridad de los datos de las personas en subastas de anuncios de licitación en tiempo real sin nada que mostrar … Entonces, sí, se le puede perdonar por sentir iluminado por el llamado a la acción de Denham sobre la fatiga de las cookies luego de la inacción repetida de la ICO sobre las causas de la fatiga de las cookies …

Sin embargo, no es que la ICO esté sola en ese frente.
Ha habido un fracaso bastante generalizado por parte de los reguladores de la UE para abordar el abuso sistemático de las reglas de protección de datos del bloque por parte del sector adtech, con una serie de quejas (como esta contra el autodenominado “ marco de transparencia y consentimiento '' de IAB Europe) aún. trabajando, con esmero, a través de los diversos procesos reguladores laberínticos.
La CNIL de Francia probablemente ha sido la más activa en esta área: el año pasado, abofeteó a Amazon y Google con multas de $ 42 millones y $ 120 millones por eliminar cookies de seguimiento sin consentimiento, por ejemplo. (Y antes de acusar a la CNIL de ser "antiestadounidense", también ha ido tras la tecnología publicitaria nacional).
Pero en otros lugares, especialmente en Irlanda, donde muchos gigantes de la tecnología publicitaria tienen su sede regional, la falta de aplicación contra el sector ha permitido que las ventanas emergentes de consentimiento cínicas, manipuladoras y / o sin sentido proliferen como la “ norma '' disfuncional, mientras que las investigaciones no han progresado. y los ciudadanos de la UE se han visto obligados a acostumbrarse, no al cierre regulatorio (o incluso al éxtasis), sino a una experiencia de consentimiento existencialmente interminable que ahora se (re) califica como 'fatiga de las cookies'.
Sí, incluso con la entrada en vigor del Reglamento General de Protección de Datos (RGPD) de la UE en 2018 y reforzando (en teoría) los estándares de consentimiento.
Esta es la razón por la que el grupo de campañas de privacidad noyb presenta ahora decenas de quejas contra las violaciones del consentimiento de las cookies, para tratar de obligar a los reguladores de la UE a hacer cumplir la ley en esta área, incluso cuando también encuentra tiempo para presentar una propuesta técnica práctica que podría ayudar Reducir la fatiga de las cookies sin socavar los estándares de protección de datos.
Es un ejemplo brillante de acción que aún tiene que inspirar a la mayor parte de los reguladores reales de la UE a actuar sobre las cookies. El tl; dr es que los ciudadanos de la UE todavía están esperando el reconocimiento del consentimiento de las cookies, incluso si ahora se habla un poco de alto nivel sobre la necesidad de "hacer algo" con respecto a todas estas tediosas ventanas emergentes.
El problema es que, si bien el GDPR ciertamente aumentó el riesgo legal en el papel, sin una aplicación adecuada es solo un tigre de papel. Y es evidente que empujar un montón de papel es muy tedioso.
La mayoría de las ventanas emergentes de cookies que verá en la UE son, por lo tanto, esencialmente un teatro de privacidad; como mínimo, son innecesariamente irritantes porque crean fricciones continuas para los usuarios de la web, que deben responder constantemente a las quejas por sus datos (por lo general, para intentar denegar el acceso repetidamente si pueden encontrar una configuración de "rechazar todo").
Pero, peor aún, muchas de estas ventanas emergentes omnipresentes están socavando activamente la ley (como han demostrado varios estudios) porque la gran mayoría no cumple con el estándar legal para el consentimiento.
Por lo tanto, la narrativa del consentimiento / fatiga de las cookies es en realidad una historia de cumplimiento falso habilitado por un vacío de cumplimiento que ahora también está fomentando la dilución de los estándares de privacidad como resultado de tanta infracción impune de la ley.
Sin duda, hay una lección aquí.
Las ventanas emergentes de "consentimiento falso" con las que puede tropezar fácilmente cuando navega por Internet "con publicidad" en Europa incluyen aquellas que no brindan a los usuarios información clara sobre cómo se utilizarán sus datos; o no ofrecer a las personas la libre elección de rechazar el seguimiento sin ser penalizados (por ejemplo, sin acceso / limitado al contenido al que intentan acceder), o al menos dar la impresión de que aceptar es un requisito para acceder a dicho contenido (patrón oscuro !); y / o manipular la elección de una persona haciendo que sea muy simple aceptar el seguimiento y mucho, mucho, mucho más tedioso de negar.
A veces, también puede encontrar avisos de cookies que no ofrecen a los usuarios ninguna opción, y simplemente aparecen para informar que “ al continuar navegando, acepta que se procesen sus datos '', lo cual, a menos que las cookies en cuestión sean literalmente esenciales. para la provisión de la página web, es básicamente ilegal. (El tribunal superior de Europa dejó muy claro en 2019 que el consentimiento activo es un requisito para las cookies no esenciales).

No obstante, para el ojo inexperto, y lamentablemente hay muchos de ellos en lo que respecta a los avisos de consentimiento de cookies, puede parecer que la ley de protección de datos de Europa es la mierda porque aparentemente exige todas estas ventanas emergentes de “ consentimiento '' sin sentido, que simplemente pasar por alto una captura de datos de fondo en curso de todos modos.
La verdad es que los reguladores deberían haber abofeteado estos patrones oscuros manipuladores hace años.
El problema ahora es que la falla regulatoria está fomentando la postura política, ¡y, en un giro de doble espalda por parte de la ICO! – Impulso regulatorio en torno a la idea de que lo que realmente se necesita es algún mecanismo novedoso para eliminar toda esta "fricción" universalmente inconveniente.
Una idea como la ADPC de noyb parece de hecho muy útil para resolver los problemas operativos generalizados que envuelven las reglas de consentimiento de cookies de la UE. Pero cuando sea la ICO sugiriendo una solución rápida después de que la autoridad reguladora haya fallado tan espectacularmente durante la larga duración de las quejas sobre este tema, tendrá que perdonarnos por ser escépticos.
En tal contexto, la noción de "fatiga de las cookies" parece que se está inventando sospechosamente; fijado como un chivo expiatorio conveniente para redirigir la frustración del consumidor con el odiado seguimiento en línea hacia altos estándares de privacidad, y lejos de los conductos de datos comerciales que exigen todas estas intrusivas y tediosas ventanas emergentes de cookies en primer lugar, mientras se alinea perfectamente con el gobierno del Reino Unido. prioridades políticas posteriores al Brexit sobre los "datos".
Peor aún: toda la farsa de la pantomima del consentimiento, en la que la industria de la tecnología publicitaria se ha comprometido agresivamente para tratar de mantener un modelo de negocio hostil a la privacidad a pesar de las leyes de privacidad europeas reforzadas, podría terminar en una verdadera tragedia para los derechos de los usuarios si se terminan los estándares. ser cortado para apaciguar a los burladores de la ley.
El objetivo de la ira regulatoria y la ira política debería ser realmente la infracción sistemática de la ley que ha frenado la innovación que respeta la privacidad y los modelos comerciales sin seguimiento, al hacer que sea más difícil para las empresas que no abusan de los datos de las personas competir.
Los gobiernos y los reguladores no deberían intentar desmantelar el principio del consentimiento en sí. Sin embargo, al menos en el Reino Unido, eso ahora parece horriblemente posible.
Leyes como GDPR establecen altos estándares para el consentimiento que, si se hicieran cumplir con rigor, podrían conducir a la reforma de prácticas altamente problemáticas como la publicidad conductual combinada con la escala fuera de control de la publicidad programática.
De hecho, ya deberíamos ver que las formas de publicidad que respetan la privacidad son la norma, no la alternativa, que se pueden escalar libremente.
En cambio, gracias a la inacción generalizada contra las infracciones sistemáticas de la tecnología publicitaria, los editores han tenido pocos incentivos para reformar las malas prácticas y poner fin a la irritante 'farsa de consentimiento', que hace que las ventanas emergentes de cookies aumenten rápidamente, a menudo con listas ridículamente largas de intercambio de datos ''. socios '(es decir, si realmente hace clic en los patrones oscuros para tratar de comprender cuál es esta' opción 'declarada que se le ofrece).
Además de ser una pérdida criminal del tiempo de los usuarios de la web, ahora tenemos la perspectiva de que los reguladores políticamente cargados y que buscan atención decidan que toda esta 'fricción' justifica dar carta blanca a los gigantes de la minería de datos para quemar los derechos de los usuarios, si la intención es encender el G7 para enviar una invitación colectiva a la industria de la tecnología para proponer alternativas "prácticas" para pedir a las personas su consentimiento para rastrearlas, y todo porque las autoridades como la ICO han sido demasiado reacias al riesgo para defender realmente los derechos de los usuarios en primer lugar.
Los comentarios de Dowden el mes pasado sugieren que el gobierno del Reino Unido puede estar preparándose para usar la fatiga del consentimiento de las cookies como una cubierta conveniente para diluir los estándares de protección de datos nacionales, al menos si puede salirse con la suya.
Nada en la declaración de hoy de la ICO sugiere que se interponga en el camino de tal movimiento.
Ahora que el Reino Unido está fuera de la UE, el gobierno del Reino Unido ha dicho que cree que tiene la oportunidad de desregular la protección de datos nacionales, aunque puede encontrar consecuencias legales para las empresas nacionales si se aleja demasiado de los estándares de la UE.
El llamado de Denham al G7 incluye naturalmente a algunos países de la UE (las economías más grandes del bloque), pero al apuntar a este grupo, también busca involucrar a los reguladores más allá, en jurisdicciones que actualmente carecen de un marco integral de protección de datos. Entonces, si el Reino Unido se mueve, envuelto en la retórica de la 'Gran Bretaña global', para diluir sus altos estándares internos de protección de datos (basados ​​en la UE), ejercerá una presión a la baja sobre las aspiraciones internacionales en esta área, como contrapeso a las ambiciones geopolíticas de la UE. para impulsar los estándares globales a su nivel.
El riesgo, entonces, es una carrera a la baja en los estándares de privacidad entre las democracias occidentales, en un momento en que la conciencia sobre la importancia de la privacidad en línea, la protección de datos y la seguridad de la información en realidad nunca ha sido tan alta.
Además, cualquier medida del Reino Unido para debilitar la protección de datos también corre el riesgo de ejercer presión sobre los altos estándares de la UE en esta área, ya que la trayectoria regional sería hacia abajo, no hacia arriba. Y eso podría, en última instancia, ayudar a las fuerzas dentro de la UE que presionan contra su compromiso con una carta de derechos fundamentales, argumentando que tales estándares socavan la competitividad global de las empresas europeas.
Entonces, aunque las cookies en sí mismas, o de hecho la "fatiga de las cookies", pueden parecer una preocupación irritantemente pequeña, lo que está en juego en este tira y afloja en torno a los derechos de las personas sobre lo que puede suceder con sus datos personales es realmente muy alto.