Para Paul Graham, no existe una ley de banners de cookies
(amazingcto.com)Sobre la inexistencia de una ley de banners de cookies
- Paul Graham pensaba que la UE había hecho obligatorios los banners de cookies, pero en realidad no existe ninguna ley sobre los banners de cookies.
- La UE sostiene que se necesita consentimiento para el rastreo, la elaboración de perfiles y la venta de datos personales.
- Las empresas pueden evitar los banners de cookies si no rastrean, o si respetan el encabezado
Do Not Trackde los usuarios que no quieren ser rastreados.
Métodos alternativos para el consentimiento de cookies
- Los navegadores podrían ofrecer un ícono de rastreo, como el ícono de SSL, y proporcionar información para que el usuario pueda hacer clic y dar su consentimiento.
- Se podría pedir el consentimiento de cookies con un pequeño banner en la parte superior del sitio, o poner un pequeño botón al pie de la página para solicitar el consentimiento de "apoyo mediante rastreo".
Uso de banners de cookies por parte de las empresas
- Las empresas saben que los usuarios no quieren ser rastreados, pero aun así quieren rastrearlos.
- Por eso fuerzan banners de cookies del tamaño de media página con la esperanza de que el usuario acepte, bloqueando contenido e interfiriendo con el uso del sitio.
- Usan "Dark UI Patterns" para cansar o confundir a los usuarios y lograr que den su consentimiento.
La realidad de los banners de cookies
- La UE no hizo obligatorios los banners de cookies, pero las empresas están complicando la vida de los usuarios.
- Como ya no pueden abusar secretamente de los usuarios, eligieron en su lugar una forma de resultar irritantes.
Opinión sobre la privacidad
- La regulación de la UE no siempre es buena, pero la privacidad de los datos es importante, y el autor luchó por PGP hace 30 años y seguirá luchando.
Opinión de GN⁺
- Los banners de cookies pueden perjudicar la experiencia del usuario y reducir la accesibilidad de los sitios web.
- Proteger la privacidad de los datos de los usuarios es importante, pero el enfoque para hacerlo debe ser amigable para el usuario.
- Los desarrolladores web deben buscar mejores formas de obtener el consentimiento de los usuarios, y eso puede contribuir al avance de los estándares web.
- En lugar de banners de cookies, debería considerarse un diseño de sitios web que respete la privacidad del usuario.
- Implementar técnicamente mecanismos como respetar el encabezado
Do Not Trackpuede ser un nuevo desafío para los desarrolladores, y eso ayudaría a ganarse la confianza de los usuarios.
1 comentarios
Opiniones de Hacker News
Basta con imaginar un mercado donde las empresas agregan un montón de cargos ocultos sin que el cliente se entere, y los usuarios se molestan cuando se dan cuenta después.
Cuando la ley cambia para decir “no puedes cobrar cargos si no los informas por adelantado”, es como si las empresas con muchos cargos los dejaran igual y obligaran a leerlos en cada página del menú de la forma más molesta posible.
Luego promocionan que el problema no son los cargos excesivos, ni que antes los ocultaban y ahora deben informarlos por la ley, sino la ley que las obliga a avisarte antes de que sea demasiado tarde.
Los banners de cookies son básicamente lo mismo, y entre quienes hoy critican la ley de cookies hay una mezcla de gente que se equivoca a propósito por intereses propios y gente que se equivoca porque de verdad no entiende la postura que defiende.
También deja ver en qué estado está la relación entre empresas y consumidores, si la primera reacción ante este mal comportamiento es “¡tú los hiciste actuar así!”.
Al final se trata como si fuera culpa de todos menos de los propios malos actores.
Una analogía más cercana sería entrar a un restaurante y que te entreguen una hoja con la información de alérgenos de todos los platos, y solo te sienten si dices “acepto que estos ingredientes estén en la comida”.
Estoy de acuerdo en que el restaurante no debería ocultar esa información y que una minoría puede quererla, pero otra cosa es si todos deberían ser obligados a pasar por ese paso incómodo. El método actual de la vida real, en el que te dan la información de alérgenos si la pides, también funcionaba bien.
Las empresas deben informar lo que a todos les importaría y les resultaría impactante, pero hay muchas cosas que solo le importan a una minoría. ¿Por qué detenerse en las cookies? Si la infraestructura de servidores del sitio web es de fabricación extranjera, popup; si las emisiones de carbono de la empresa operadora son superiores al promedio, popup; si la comida del patio de comidas de la sede no es kosher, también se podría obligar a mostrar un popup.
El grupo que se preocupa profundamente por las cookies es de un tamaño similar al grupo que se preocupa por el tamaño de los binarios o la ejecución de JavaScript. ¿También debería haber un popup obligatorio para la ejecución de JavaScript? ¿Si un sitio web supera los 10 MB, debería primero pedir consentimiento desde una página liviana? El problema es cómo decidir qué acciones ameritan una advertencia emergente.
La razón por la que el mercado no resuelve el problema de los banners de cookies y esta ley es mala es que a los usuarios, en la práctica, no les importa y solo les molesta.
En California hay una ley que obliga a advertir si un establecimiento tiene sustancias químicas que pueden causar cáncer. La intención es buena, pero el umbral es más bajo que lo que puede medirse de forma realista, así que casi todos los inmuebles ponen un cartel que dice “puede haber sustancias químicas aquí”.
La advertencia es inútil y solo molesta, y eso se debe a las fuerzas del mercado; dicho de otra forma, la ley incentivó ese comportamiento.
Tener que avisar que se usan cookies para una sesión es como tener que avisar que comes con tenedor.
El problema es que algunas personas apuñalan a otras con ese tenedor, así que ahora todos tienen que decir de antemano cómo van a usar el tenedor. Cuando bastaría con prohibir apuñalar.
Además, ni siquiera soy ciudadano de la UE ni estoy visitando sitios web basados en la UE, y aun así me encuentro constantemente con banners de cookies.
Que KingOfCoders/amazingcto diga que “no existe una ley de banners de cookies, simplemente no rastrees” es técnicamente correcto, pero Paul Graham no estaba hablando del texto de la ley en sí.
Su queja debe interpretarse desde una perspectiva de teoría de juegos, es decir, como la ley de las consecuencias no intencionadas al observar cómo responden realmente las empresas a la regulación.
La publicación del blog se enfocó en las buenas intenciones de la ley, y el tuit de PG se enfocó en los resultados reales.
No entiendo bien por qué se critica solo a la UE y no a las empresas.
El resultado real es que las empresas quieren seguir rastreando, y empujan a los usuarios con patrones hostiles y cumplimiento malicioso para forzar su “consentimiento”.
Paul Graham sigue estando equivocado.
El punto que el texto intentaba plantear es que las empresas hacen esto deliberadamente para obtener “consentimiento” en contra de la voluntad del usuario, caminando por una cuerda floja donde violan la ley sin llegar a violarla.
En realidad, el tuit de PG tiene poco que ver con la teoría de juegos y se parece más a una queja de país desarrollado por tener que hacer clic en banners de cookies. Evaluar las consecuencias reales de regulaciones y leyes complejas va más allá del alcance de un solo tuit.
Sería bueno que Graham primero decidiera qué argumento quiere plantear. ¿Está refutando a algún representante específico de la UE que presume de regular bien? ¿O está diciendo que la UE no debería haber tenido el descaro de intentar regular desde un principio?
“Regular bien” también incluye la capacidad de prever las posibles consecuencias de una regulación.
Si se crea una regulación que diga: “Las empresas ahora tienen que regalar sus productos, pero pueden apretarles la nariz a los clientes como si fuera una bocina”, habrá mucha gente con dolor de nariz.
Aquí pasa algo parecido. Casi todos los sitios web ganan dinero con publicidad o, como mínimo, registran la actividad de los usuarios para optimizar el sitio, y eso no va a cambiar; así que la regulación tonta de la UE solo les causa un poco más de dolor a los clientes.
“Registrar la actividad de los usuarios para optimizar el sitio” tampoco requiere seguimiento personal.
Pero no todos los sitios web necesitan banners de cookies. ¿GitHub no es un sitio bastante complejo y optimizado para el usuario? https://github.blog/2020-12-17-no-cookie-for-you/
Sin seguimiento > sin banner > todos más contentos > muestren todos los anuncios necesarios.
En el momento en que una empresa necesita rastrearme, está haciendo algo más que “optimizar el sitio web”. Está usando mis datos para venderme algo o vendiendo mis datos a terceros.
Me parece bien que para eso se necesite permiso.
Esta no es solo una ley de cookies; también es una importante ley antimalware de la UE.
El principio es que cualquier software controlado por un tercero que escriba o lea información en mi computadora o teléfono a través de Internet debe contar con consentimiento previo, informado y suficientemente explicado.
Las excepciones se limitan a funciones estrechas, como el almacenamiento/lectura necesarios para prestar el servicio solicitado por el usuario o el balanceo de carga. Esto aplica no solo a las cookies del navegador, sino también a la cámara web, el micrófono y el contenido de la carpeta Documents.
El principio en sí parece razonable, pero la UE está estancada en una reforma que cree excepciones adicionales, como revisiones de seguridad/actualizaciones obligatorias o métricas de uso que respeten la privacidad. Los reguladores también hacen la vista gorda, de facto, hasta cierto punto, así que cuesta decir que la UE regule bien.
En general, la sociedad no está logrando corregir lo que muchos consideran bugs o excesos en una ley original de hace varias décadas.
Lo interesante de legislar es que también se es responsable de las consecuencias no intencionadas de la ley.
Los datos necesarios para que el servicio funcione mínimamente no requieren banner. Como el sitio no funciona sin ellos, ni siquiera hay margen para que intervenga el consentimiento.
La legislación suele ser una disputa de intereses y, en el caso ideal, el legislador intenta proteger el interés general del público cuando entra en conflicto con intereses privados estrechos.
Si la parte con intereses estrechos es un grupo poderoso, habrá pelea; y si tienen una forma de hacer que la regulación parezca más intrusiva y molesta que el daño que originalmente se intentaba evitar, la usarán para poner a la opinión pública de su lado.
Por lo tanto, los legisladores también deben prever ese tipo de lucha y pueden ser parcialmente responsables de la forma que tome, pero no totalmente. Cuanto más fuertes sean los intereses privados, más probable es que encuentren formas de resistirse a la regulación.
En este caso, los sitios web que muestran banners también se perjudican a sí mismos. Sus competidores tienen un incentivo para ofrecer una mejor experiencia sin banners. Es decir, en un contexto competitivo, la regulación puede hacer que no mostrar banners sea valioso, así que habrá que ver qué pasa.
Usar cookies y molestar a la gente es una decisión intencional.
Es difícil decir qué previeron o pretendieron los legisladores, pero yo diría que los banners de cookies en realidad son a) buenos y b) culpa de empresas que no pueden imaginar tratar mejor a los usuarios.
Me parecen buenos porque generan molestia psicológica en los usuarios de software que no intenta evitar su necesidad ni implementarlos correctamente. Con el tiempo, espero que los usuarios lleguen a percibir los sitios con banners de cookies como algo sospechoso y poco ético, igual que los anuncios emergentes.
Al final, creo que es mejor tener esta ley y futuras iteraciones y enmiendas adicionales que no tenerlas, porque el nivel de uso indebido de los datos de las personas es demasiado absurdo.
pg parece referirse a los banners de publicidad, y si es así, tiene razón. La UE arruinó nuestra experiencia web mientras beneficiaba a las apps móviles, que hacen un seguimiento peor.
El problema más grande es que esta ley no solucionó nada, destruyó el poco negocio de publicidad online que quedaba en la UE y se enfocó en lo equivocado.
Para empezar, los ciudadanos europeos no pidieron esta ley y había problemas más importantes. Fue impulsada por un grupo de interés alemán específico que a la mayoría de los ciudadanos de la UE le resulta indiferente.
El seguimiento publicitario no era una preocupación para la gran mayoría de los ciudadanos de la UE, y ni siquiera se les preguntó al respecto. En cambio, la adicción a Internet y a las redes sociales sí es un problema real para la mayoría de los ciudadanos.
La UE gastó tanta energía y capital político en este problema sin sentido de los banners de cookies que le quedó menos margen para abordar el problema de la adicción.
La legislación apresurada siempre provoca ese tipo de cosas, y lo peor es que estas malas decisiones no traen responsabilidades. Las personas que inspiraron la legislación no se juegan nada en las elecciones, y las próximas elecciones al Parlamento Europeo tampoco tratan sobre política de la UE, sino que son una disputa indirecta de la política interna.
Por más que se señalen varias veces estas desconexiones políticas, no existe un mecanismo para cambiarlas hasta que ocurra algo realmente grave y ya sea demasiado tarde.
Como anécdota personal, una vez me tocó agregar un banner de cookies al sitio web de una empresa. Durante años había logrado frenar bastante bien la implementación del banner, pero el nuevo dueño quería que el departamento de marketing probara cosas nuevas, y puso como motivo que los abogados decían que hacía falta el consentimiento de los usuarios.
Me dijeron que no le dedicara mucho tiempo, que usara un producto ya hecho, OneTrust, y que tampoco lo personalizara.
Cuando dije que el texto predeterminado del banner sonaba muy intimidante y daba a entender que hacíamos muchas cosas que en realidad no hacíamos, me dijeron que los abogados de OneTrust seguramente lo habían revisado, así que cambiarlo implicaba un gran riesgo legal y que lo dejara tal cual.
Argumenté que el producto de OneTrust es una solución genérica que tiene que hacer cumplir la normativa incluso al sitio de medios más sucio y contaminado de tecnología publicitaria, y que nosotros no éramos ese tipo de sitio, pero no funcionó.
Empresas como OneTrust y los consultores de este sector tienen un gran incentivo para exagerar el riesgo de incumplimiento. Desde mi perspectiva de no especialista, el riesgo legal que asume un actor de buena fe en realidad es bastante bajo. Si las autoridades detectan un incumplimiento, por lo general dan la oportunidad de corregirlo, y quizá como mucho uno reciba una advertencia leve. Esas multas aterradoras calculadas como porcentaje de los ingresos globales no se van a aplicar por un error honesto.
Además, los negocios que dependen del rastreo invasivo y que de verdad necesitan estos banners se benefician cuanto más crean todos los demás que ellos también tienen que arruinar la experiencia de usuario con banners. Así lo que hacen parece normal y aceptable.
Es un buen ejemplo. Hacker News tampoco necesitaba un banner de cookies, ni el artículo enlazado.
Detesto la mentalidad de que el gobierno crea una regulación con aparentes buenas intenciones, deja vacíos que vuelven la vida de todos más engorrosa, y luego la gente la defiende diciendo “las empresas simplemente podrían no hacerlo”.
Para empezar, la ley fue necesaria porque no dejaban de hacerlo; ¿no es un poco raro que después de la ley se les pida que se detengan por voluntad propia?
Si la ley de cookies se hubiera usado bien, todo habría terminado con una sola configuración del navegador que habría que respetar. Eso habría sido totalmente transparente para el usuario y, en principio, beneficioso.
En cambio, gracias a funcionarios incompetentes, terminamos viendo banners de cookies para siempre en casi todos los sitios, y como ni siquiera están estandarizados, los peores sitios, como los de medios que publican artículos, pueden hacer banners aún más confusos.
Los patrones oscuros de UI sí son ilegales, y ahora los tribunales ya lo han determinado así. Solo falta que esa comprensión se difunda entre las empresas que hacen banners de cookies.
Los navegadores ya tienen una opción de “no rastrear”. Si un sitio web elige respetar esa configuración, puede no rastrear sin mostrar ningún banner de cookies. Pero la mayoría no lo hace.
En cambio, la ley está escrita de forma tecnológicamente neutral. Es tan neutral que ni siquiera se llama “ley de cookies”. Su nombre es Directiva ePrivacy, y “cookie” aparece solo 5 veces como ejemplo.
Referencia: https://eur-lex.europa.eu/legal-content/EN/ALL/?uri=celex%3A...
De hecho se implementó cuando Internet Explorer tenía más del 90% de cuota de mercado.
Entonces Google envió deliberadamente encabezados P3P incorrectos para eludir las preferencias de usuario de IE.
Cuando Safari agregó una heurística para rechazar las cookies de terceros de Google, Google también encontró un truco técnico para evadirla y fue multado por eso.
Después de que IE y P3P murieron por completo, los navegadores intentaron ofrecer el encabezado DNT, la configuración mínima más fácil de implementar para la industria de la tecnología publicitaria. La industria de la tecnología publicitaria lo ignoró por completo.
Hay empresas de billones de dólares que dependen del rastreo, y harán todo lo posible para sabotear tecnologías que dañen su negocio y para bloquear leyes.
Si “las empresas pueden evitar fácilmente los banners de cookies; simplemente tienen que no rastrear”, entonces la UE debería haber convertido exactamente eso en ley.
Y la habríamos llamado ley de simplemente no rastrear.
Me sorprende la gente que defiende a la UE diciendo cosas como “no existe una ley de banners de cookies”. No, sí hay una ley. Justamente por esa ley la gente piensa “¿para qué correr riesgos innecesarios?” y mete basura como los banners de cookies.
La ley no es un conjunto de palabras en papel, sino una institución que cambia la conducta de las personas asignando recompensas o castigos a sus acciones.
Pero es más fácil no intentar entender y jugar a lo seguro. Aun así, no corresponde culpar a la ley por la responsabilidad de elegir la opción segura sin investigar.
La mayoría son imitadores: si los sitios grandes ponen banners de cookies, piensan que ellos también deben hacerlo. Luego culpan a la ley.
Si no eres imitador y entiendes tu propio negocio, no hay razón para culpar a la ley por hacerte hacer algo innecesario.
Por supuesto, a veces las leyes son complejas de entender. La mayoría lo son, y por eso existen los abogados. Pero en tecnología, los abogados a menudo también parecen imitadores. Así que siempre conviene pensar por cuenta propia y no creer todo lo que dicen los demás. Si investigas y estudias por tu cuenta, tampoco es tan difícil.
Mi negocio no rastreaba clientes en línea y no tenía banner. Fin.
Si los abogados sobrerreaccionan o una empresa no puede distinguir entre rastreo esencial y no esencial, puede que los incompetentes sean ellos.