Faldones de consentimiento: la batalla continúa
En 2018 lanzamos Consent Manager, una extensión de navegador que eliminaba automáticamente los faldones de cookies más comunes en los primeros meses de adecuación a la nueva definición de “consentimiento válido” recogida en el RGPD. Esta nueva definición era de aplicación directa al uso de cookies no exentas*, del mismo modo que ahora lo es al uso de los identificadores de usuario que en ocasiones las sustituyen.
La eliminación de dichos faldones suponía un ejercicio de “denegación por omisión”, puesto que ninguna cookie de tercera parte podría servirse en ausencia de un acto específico de aceptación.
Consent Manager incorporaba además un mecanismo que alertaba a los usuarios en el caso de que la web visitada interpretara la inacción como una manifestación positiva de voluntad, descargando sus cookies no exentas.
¿Por qué nos dio por hacer esto? En su día pusimos bastante esfuerzo en explicarlo.
Dada la avalancha de molestias y la tomadura de pelo que muchas de las opciones presentadas suponían, este “add-on” tuvo una buena acogida inicial y terminó apareciendo en un artículo de WIRED unos meses más tarde.
Con la evolución de los gestores de consentimiento (CMPs), Consent Manager ha tardado poco en requerir una puesta al día significativa, hasta el punto en el que ha dejado de tener sentido duplicar esfuerzos: el lanzamiento de múltiples alternativas de similar enfoque, así como de listas colaborativas de los patrones más comunes, nos han conminado a apoyar sin más a esta nueva generación de extensiones, empezando con una mención rápida a dos iniciativas concretas: Consent-O-Matic y Brave.
Nacida en el seno de la Universidad de Aarhus, Consent-O-Matic ha optado por el planteamiento más tedioso: en vez de eliminar los faldones sin más (y con ellos la posibilidad de un “Aceptar todo” accidental, forzado o trucado), selecciona automáticamente las preferencias de privacidad determinadas por el usuario durante su configuración previa. Esto es similar a lo que en su día se intentó con P3P (Platform for Privacy Preferences, en el seno de la W3C), o incluso con Do Not Track, y funciona bastante bien en el cuerpo a cuerpo con los CMPs más populares — si bien muestra a la herramienta en acción en una ventana contigua minimizada.
Por separado, el navegador Brave acaba de anunciar una solución similar a la de PrivacyCloud. En vez de confiar en que los CMPs respeten la selección manual del usuario (el escenario contrario es más que habitual), la versión 1.45 del navegador va a eliminar los faldones completos de forma automática.
Para terminar, de todos es conocido que “Spain is different”, y la máxima es también aplicable en este contexto. En España han proliferado otros CMPs (no entraremos hoy al detalle), y Ghostery, viejo conocido de cualquiera que haya auditado cookies en años pasados, ha devenido la solución más eficaz para navegar sin interrupción por los medios y principales webs nacionales. Esta extensión los elimina sin esfuerzo tras categorizarlos como “trackers no identificados”, si bien puede tener algún efecto secundario negativo en la renderización de algunas webs.
****
* A tenor de la Directiva ePrivacy y su plasmación en el artículo 22.2 de la LSSI española. Como señaló en su día el Comité Europeo de Protección de Datos (en sus directrices relativas al recabado de consentimiento), el RGPD establece claramente que el consentimiento requiere una declaración del interesado o una clara acción afirmativa, lo que significa que siempre debe darse el consentimiento mediante una acción o declaración.
