Muerte al faldón de cookies: la nueva frontera de la gestión del consentimiento

El 25 de mayo pasó como una tormenta muy anunciada, y en el ámbito de marketing digital pocos se atrevieron a mostrar sus paraguas hasta que tuvimos encima el chaparrón.

Pasado el primer aguacero, y levantada la vista, resulta que todo el mundo en España ha optado por un paupérrimo paraguas de los chinos. Al fin y al cabo nadie quiere ser el tonto que corre más despacio por desplegar antes que nadie la sombrilla de golf que exigía la normativa (y puede encontrarse por doquier en otros países de nuestro entorno).

Es un hecho: la inmensa mayoría de anunciantes y medios ha apostado por fórmulas mínimamente intrusivas de cumplimiento del artículo 22.2 de la LSSI bajo el nuevo significado que el RGPD/GDPR ha dado al consentimiento.

“Dark pattern design” en acción.

Y la Agencia Española de Protección de Datos, consciente de que el relevo de la LSSI (Reglamento ePrivacy) está a la vuelta de la esquina, parece haber preferido arrancar una interpretación laxa de las nuevas exigencias a abrir un nuevo frente difícil de gestionar con los recursos a su alcance. Pero como bien ha explicado Jorge García Herrero aquí, esto hace flaco favor a la seguridad jurídica de quien tiene que enfrentarse a un mercado comunitario expuesto a actuaciones más estrictas por parte de cualquier de los supervisores nacionales — todos.

Es de suponer con ello que terminará imponiéndose el texto literal de la normativa (artículo 4.11 y considerando 32 en el RGPD), así como la interpretación que el Comité Europeo de Protección de Datos (CEPD) ha avalado ya de la misma. Éste es al fin y al cabo el marco regulatorio de base, por mucho cambio que sufra la “lex specialis”.

Entre tanto, puede al menos afirmarse que hemos entrado oficialmente en la era de los “sistemas de gestión de consentimiento” (CMT en inglés), y esto sirve la ocasión en bandeja para aportar un nuevo ángulo a la forma en que los ponemos en valor.

Nivel de riesgo vs. tamaño de la muestra

Creo que siempre es útil contar con una referencia visual como la que sigue para ilustrar este particular esfuerzo de responsabilidad proactiva exigido por la combinación ePrivacy/RGPD. Se trata de un “slider” que podemos arrastrar hacia la izquierda para incrementar el tamaño de la muestra, o bien hacia la derecha para reducir el nivel de riesgo por incumplimiento.

¿Qué criterios determinan ese movimiento horizontal? Los propios condicionantes del consentimiento a tenor de la normativa y la forma en que el CEPD ha venido interpretándolos:

• Granular (o específico): debe obtenerse el consentimiento para cada finalidad.
• Inequívoco: no bastará con presentar casillas previamente seleccionadas. Solo la presentación de opciones alternativas (“aceptar” vs. “denegar”) puede resultar en verdadero consentimiento, no pudiendo aducirse un consentimiento de la inacción.
• Informado: algunas piezas de información deberán estar disponibles en la primera capa.

(Estoy dando por sentado que se cumple una cuarta condición: el consentimiento debe estar desvinculado de los términos y condiciones más genéricos.)

Un tour rápido del Internet español

El contar ya con un marco básico facilita bastante el análisis de las diversas interpretaciones y fórmulas de implantación disponibles ahí fuera.

He escogido aquí unas cuantas sin orden ni criterio alguno, a efectos meramente ilustrativos. Como podrá apreciarse, el nivel de cumplimiento de una determinada web tiene poco que ver con la solución técnica escogida para el recabado de consentimiento, pues casi todas ellas cuentan con bastante margen para su parametrización (siendo las enumeradas por Google en Cookie Choices algunas de las más populares: Cookie Consent, Cookie Control, OneTrust, o Cookiebot).

Bajo riesgo, muestra reducida

Aquí se enmarcan las soluciones que no sirven cookies no exentas (o de otro modo permitidas) a falta de una acción expresa del usuario, y que además facilitan una opción real.

Si bien lo más deseable sería contar con opciones para “aceptar todas”, “rechazar todas” y “configurar” (algo que sí se encuentra con frecuencia en otros mercados vecinos), la mayor parte de webs españolas opta por dos alternativas: “aceptar todas”, o “configurar”, estando oculto su nivel de riesgo o incumplimiento en el seno de esta segunda opción.

Ejemplos:

Segunda capa en Coca-cola España: las cookies publicitarias y de conformación de perfiles están desactivadas por defecto.

Primera capa en Pepephone: opción aparentemente real entre “aceptar” y “rechazar”.

A efectos ilustrativos, he aquí una configuración mucho más habitual en otros mercados y sin duda mucho más respetuosa con el consumidor:

Opción clara — que incluso ha recibido comentarios protestando por la discriminación visual que la no aceptación recibe frente al rojo fuerte de la opción positiva.

Alto riesgo, mayor muestra

Dada la dicotomía entre la interpretación actual de la AEPD y el CEPD (arriba comentada), podría perfectamente ocurrir que algunas de las casuísticas que siguen presenten más riesgos de cara a visitantes comunitarios ubicados fuera de España, sobre todo en los casos en que se ofrecen opciones de configuración con todas las cookies seleccionadas por defecto*.

Escenario muy común (segunda capa de Cola-Cao España): La opción de configuración desvela que las cookies publicitarias y de perfilado de usuario están pre-seleccionadas por defecto.

Patrón similar, muy frecuente: la segunda capa muestra cookies de perfilado seleccionadas por defecto.

Caso que no se daría nunca en el ejemplo que sigue, peor aún: se da por buena la navegación sin ofrecerse siquiera una forma clara de configurar los permisos en función de finalidades o tipos de datos.

Muy común, pero muy alejado de las exigencias post-GDPR.

Territorio comanche

En el extremo de mínimo respeto al usuario están las webs que prescinden por completo del aviso aún no contando con excepciones (o el “waiver” aplicable por duración y naturaleza de las cookies). Suelen además ser estas webs las que, paradójicamente, más cookies de terceros sirven y más datos recaban.

Dove España (analizada por la extensión de Ghostery para Chrome): 35 cookies, cada cual más intermediada.

Solo cabe entender estas prácticas desde el prisma de la evaluación fría del coste de oportunidad: el perfilado de usuarios tiene un valor que supera con creces al posible impacto económico de una multa si pudiera ésta producirse de forma inesperada (cosa poco habitual).

Cuando tu nivel de riesgo lo deciden otros

A pesar de lo dicho arriba sobre responsabilidad proactiva e interpretaciones dispares, nos encontramos con diversas instancias en las que la posición de una empresa en la escala de “nivel de riesgo — tamaño de la muestra” viene impuesta por un tercero.

Esto se debe a una sencilla razón: la intermediación en la relación con la persona física. A pesar de la cantidad de plataformas, tecnologías, o partes participantes en la cadena de custodia de datos personales, solo aquellos con acceso directo al consumidor se encuentran en una posición que permita recabar su consentimiento. Lo cual descarta prácticamente a todos, con la salvedad de anunciantes, medios, y agregadores (Google/Facebook).

Escenario de compra programática: solo algunos tienen acceso al consumidor y opción para recabar su consentimiento (C en verde).

En consecuencia, aquellos que se encuentran a ciegas (con respecto a “touchpoints” de consumidor) se ven obligados a escoger entre: a) actuar bajo las instrucciones de un responsable del tratamiento (erigiéndose en “encargado” del tratamiento); o b) solicitar que otros responsables independientes obtengan consentimiento en su nombre.

Ciertos servicios de Google (Ads) ilustran esto a la perfección. Allí donde dichos servicios se ofrecen en modo de “cadena de responsables independientes” (que no “corresponsable”, en el sentido del artículo 26 RGPD), los anunciantes y medios están obligados contractualmente a recabar consentimiento en nombre de Google. Esto ha sentado muy mal a los medios, muchos de los cuales se han rebelado contra Google, exigiendo su adopción de una posición de encargado del tratamiento.

Aunque estoy convencido de que Google tenía pocas alternativas en ese escenario (aparte de engañar a todos, estando claro que el buscador genera un valor añadido propio y particular sobre el conjunto de los datos que canaliza), entiendo bien la tentación de exigir a la plataforma actuar de modo similar a como lo hace para otros servicios (ej.: Google Analytics): como un vaso conductor “tonto” que se limita a funcionar en consonancia con las instrucciones específicas de quien lo opera.

Otras plataformas publicitarias han recurrido a la misma solución y, nuevamente, creo que han optado por la mejor fórmula posible.

Lo que en cualquier caso traigo a colación es la forma en que estos contratos impactan sobre los ingredientes específicos del consentimiento (nuevamente: granular, informado, inequívoco). Google afirma seguir a rajatabla las propias directrices sobre el consentimiento emitidas por el Comité Europeo de Protección de Datos al exigir que medios y anunciantes desplieguen un sistema en la línea abajo ilustrada si optan por hacer uso de su plataforma:

No solo pasa Google a recomendar una serie de tecnologías muy concretas para alcanzar este resultado, sino que además facilitan su propia herramienta de gestión de consentimiento, a través del programa de ayuda a la monetización de medios.

Interfaz de recabado de consentimiento propuesta por Google: El mensaje de la derecha se despliega al declinar el consentimiento.

¿Puede una empresa evitar el faldón?

He discutido esto muchas veces en mayor detalle. ¿Por qué no muestra apple.com faldón o ventana emergente alguno? Basta con echar un vistazo a las cookies que sirve. Se limitan a cookies analíticas que aparentemente satisfacen las condiciones del “waiver” publicado en su momento para esta categoría, pronto derivadas (bajo todas las estimaciones) en lo que será una excepción en el nuevo Reglamento ePrivacy.

Apple España (analizada por la extensión de Ghostery para Chrome): cero cookies, cero problema.

Ahora bien, intenta persuadir a tu departamento de marketing de estas limitaciones, en un momento en que una gran mayoría de profesionales han apostado su credibilidad sobre la coronación de una cima llamada “atribución multicanal”.

¿No sería maravilloso poder evitar toda fricción a efectos de experiencia de usuario y aún así poder tener acceso al mismo tipo de marketing basado en personas? Teniendo en cuenta que los días del recabado subrepticio de datos están contados, este escenario exigirá implicación directa de nuestra audiencia.

El camino a la auto-medición: una extensión de navegador para recuperar el control

Considero obvio que llegará el momento en que nos cansemos de pedir permiso a cada potencial cliente por todos y cada uno de sus datos (alienando nuestra relación con ellos en el proceso) con el único propósito de construir un repositorio incompleto que no ha resultado de mucho valor hasta la fecha.

Si queremos alcanzar el susodicho nirvana de un “people-based marketing” tenemos que dejar que las propias personas se midan a sí mismas, facilitándoles una razón suficientemente buena para compartir con nosotros aquello que realmente marca la diferencia, allí donde tenga sentido hacerlo.

Ahora bien, las tendencias sociales no esperan. Mediante navegadores alternativos, nuevos dispositivos, o redes sociales, la dictadura de la conveniencia se abre paso sin mitigar el recelo por compartir información o conversaciones.

En PrivacyCloud hemos querido acompañar ese progreso desde su incepción, facilitando al propio individuo una herramienta más accesible aún con la que navegar los gestores de consentimiento que ahora despliegan medios, anunciantes, y plataformas. Se trata de PrivacyCloud Consent Manager: una forma sencilla de facilitar la articulación de un simple NO sin necesidad de interrupciones. Y también de evaluar si, a pesar de esta “no aceptación” expresa de cookies, llegan estas a servirse en contravención de la voluntad del usuario y el texto de la normativa.

Una extensión poco intrusiva que acaba con nuestra desesperación.

Consent Manager está disponible desde hoy en Google Chrome y Firefox. Nos encantará recibir tu feedback y seguir avanzando juntos hacia un nuevo marketing centrado realmente en el usuario.

___________

*NOTA: Así quedarían los tres criterios enumerados a la vista de dichas pautas de la Agencia Española de Protección de Datos?:

1. Granular. La finalidad sigue siendo la unidad mínima de agrupación, hasta el punto de que un nivel desmesurado de detalle (ej: cookie a cookie) llega a considerarse confuso y en consecuencia en contravención del deber de información.
2. Inequívoco. Debiendo referirse al propio uso de las cookies, y no a usos secundarios como la “recepción de publicidad”, pero permitiéndose el “seguir navegando” como aceptación en la mayor parte de situaciones (aquellas que no exigen consentimiento cualificado o “explícito”) en caso de que “se refuercen los mecanismos para la toma de decisiones” mediante la presentación de botones para denegar todas las cookies o configurarlas a través de un enlace directo — de ahí el distanciamiento con las directrices comunes, pues esto entra en conflicto directo con la interpretación mayoritaria del texto por mucho que otorgue una innecesaria línea de vida a la preexistente Guía de Cookies de la propia AEPD.
3. Informado. Exigiéndose únicamente la inclusión de finalidades y tipos de datos en una primera capa (dejando enumeraciones y transferencias internacionales para capas posteriores), con ciertos imperativos: la finalidad de “elaboración de perfiles” exige mención específica e independiente de la “publicitaria” o la “analítica” (siendo habitual que coexistan las tres); deberá evitarse el lenguaje engañoso en la línea de “lo hacemos para personalizar tus contenidos y crear una mejor experiencia”; los tipos de datos deberán ser cubiertos a un nivel genérico, como es el caso de “hábitos de navegación”.