Cuando queremos acceder a una nueva página web, aparece el temido mensaje: ¿Aceptamos o no aceptamos las cookies? Seguramente muchos ni se lo piensan y aceptan sin más, pero seguirá habiendo quienes pasan unos instantes -más breves o más largos- de duda.
La primera duda puede ser (y solía ser las primeras veces que nos vimos ante este formulario) si vale la pena dedicar un rato a leer y dilucidar si nos conviene aceptar o denegar esas cookies o cada una de las posibles alternativas. Si nos lanzamos a ello, luego hay que ir considerando cada uno de los apartados, y sus posibles consecuencias, al tiempo que nos preguntamos qué nos dejaran hacer y qué no en la web (tal vez nada) si nos negamos a aceptar esas cookies.
Total, que al final el tiempo disponible se acaba imponiendo, y la mayoría de las veces uno no quiere invertirlo en toda esa especie de burocracia informática, así que se le acaba dando al botón de “aceptar” y punto. Y a partir de ahí, lo hacemos de manera cada vez más despreocupada e inconsciente. Ojos que no ven, corazón que no siente. Y toda aquella indignación por la pérdida de la privacidad, la desvergüenza que tanto criticamos de ciertos líderes tecnológicos, y que las leyes que llevaron a este sistema de aceptación – denegación de cookies buscaban resarcir, acaba quedando en nada.
Así hasta llegar a la última moda: Te dejamos entrar en nuestra página web sin cookies si nos pagas por ello. Y uno se pregunta qué hay de legal y de lícito en este y otros sistemas, puesto que también quedan portales web que te dejan entrar aunque no aceptes las cookies. Sobre lo que es normativo y lo que no, y los debates surgidos al respecto, os dejamos con el siguiente artículo, y que cada cual saque sus propias concusiones.
Aceptar las cookies o pagar, la nueva tendencia en los sitios web que busca monetizar la experiencia del usuario
La legislación europea exige el consentimiento por parte del usuario para la instalación de cookies analíticas y publicitarias u otros dispositivos de seguimiento en sus terminales (smartphone, ordenador, etc.).
Por su parte, la Agencia Española de Protección de Datos (AEPD) o la CNIL en Francia, admiten también la posibilidad de que, en el caso de que no se acepte el uso de cookies, se impida el acceso al sitio web o la utilización total o parcial del servicio. Para ello, se debe informar adecuadamente al usuario y, además, hay que ofrecer una alternativa, no necesariamente gratuita, de acceso sin aceptar el uso de cookies.
En este sentido, la Agencia Española de Protección de Datos actualizó, en julio de 2023, la Guía sobre el uso de cookies para alinearse con las directrices del Comité Europeo de Protección de Datos (CEPD o EPDB por sus siglas en inglés).
Ante este escenario, desde Secure&IT, como especistas en seguridad de la información, identifican un debate emergente entre los sitios web y los usuarios.
"Según esta normativa, los usuarios deben tener la libertad de rechazar el tratamiento de datos no esenciales sin perder acceso al servicio, teniendo alternativas de servicio equivalente, que podrían ser de pago, pero, el principal debate radica en definir qué es lo que se considera una remuneración adecuada", explica Andrea Fernández, Consultora de Derecho TIC y Protección de Datos en Secure&IT.
La información que proporcionan las cookies
Hasta el momento, numerosas empresas encontraban beneficios significativos al aprovechar el potencial de las cookies. Según un estudio de BCG y Google, las empresas que usan datos originales proporcionados por los clientes, mediante métodos como las cookies, experimentan un aumento de hasta un 29 % en sus ingresos y reducen sus costes en un 15 %.
Precisamente, el propósito fundamental de las cookies es rastrear y proporcionar información a las marcas y empresas sobre el comportamiento de los usuarios en internet. Así, el 70% de las cookies son de terceros y rastrean nuestra actividad para ofrecernos publicidad personalizada. No obstante, Google ha desactivado las cookies de terceros para el 1% de los usuarios de Chrome y espera eliminar por completo estos elementos de rastreo a finales de este año 2024.
El modelo "pay or ok" (paga o consiente)
Muchas páginas web han adoptado el modelo "Pay or ok" (consiente o paga). Así, un sitio web o aplicación dirigida al consumidor puede poner un precio a cualquier opción de rechazo de cookies. Esto provoca que la gran mayoría de los usuarios acepten el uso de sus datos personales o se vean obligados a pagar una tarifa que, en algunos casos, puede ser superior a los ingresos generados por las empresas por el uso de los datos.
Aunque el CEPD no se ha pronunciado todavía sobre este modelo, sí que deja claro que la utilización de patrones oscuros, la pre-marcación de checkbox o la ocultación de un botón de "rechazo" de cookies en una segunda capa informativa del banner, infringe el Reglamento General de Protección de Datos (RGPD).
Como asegura Fernández, "en el ámbito de la publicidad personalizada intervienen tantos elementos (calidad y contenidos de terceros, publicidad, personalización, seguimiento en línea y acceso a servicios, etc.) que reducir esto a dos opciones ("acepta el uso de tus datos" o "paga), parece no ser la mejor alternativa".
Y añade: "En ocasiones se interpreta que la monetización de datos conlleva implícita una pérdida de privacidad o una vulneración de derechos, pero, no necesariamente, tiene que ser así. Las organizaciones deben trabajar para alcanzar un equilibrio justo entre los derechos de los usuarios y los intereses comerciales de las empresas".
Se prevé que, tanto el Comité Europeo de Protección de Datos como las autoridades de control nacionales, se pronuncien al respecto en cuestión de meses o incluso semanas, por lo que será posible, a través de las resoluciones e informes emitidos por estas autoridades, obtener respuestas a preguntas como: ¿estamos ante un cambio de paradigma donde las webs tendrán un modelo de suscripción? ¿Qué precios adoptarán a lo largo del tiempo las páginas webs si rechazas las cookies? ¿Se creará un nuevo negocio gracias a esta legislación?
"Además, algunas organizaciones deberán tener en cuenta la Ley de Servicios Digital (Digital Services Act) y la Ley de Mercados Digitales (Digital Markets Act) que introducen cambios importantes en el sector publicitario, exigiendo a plataformas en línea y motores de búsqueda mayor responsabilidad y transparencia en el uso de datos personales", concluye la especialista de Fernández.