1 puntos por GN⁺ 2024-03-19 | 1 comentarios | Compartir por WhatsApp

Sobre la inexistencia de una ley de banners de cookies

  • Paul Graham pensaba que la UE había hecho obligatorios los banners de cookies, pero en realidad no existe ninguna ley sobre los banners de cookies.
  • La UE sostiene que se necesita consentimiento para el rastreo, la elaboración de perfiles y la venta de datos personales.
  • Las empresas pueden evitar los banners de cookies si no rastrean, o si respetan el encabezado Do Not Track de los usuarios que no quieren ser rastreados.

Métodos alternativos para el consentimiento de cookies

  • Los navegadores podrían ofrecer un ícono de rastreo, como el ícono de SSL, y proporcionar información para que el usuario pueda hacer clic y dar su consentimiento.
  • Se podría pedir el consentimiento de cookies con un pequeño banner en la parte superior del sitio, o poner un pequeño botón al pie de la página para solicitar el consentimiento de "apoyo mediante rastreo".

Uso de banners de cookies por parte de las empresas

  • Las empresas saben que los usuarios no quieren ser rastreados, pero aun así quieren rastrearlos.
  • Por eso fuerzan banners de cookies del tamaño de media página con la esperanza de que el usuario acepte, bloqueando contenido e interfiriendo con el uso del sitio.
  • Usan "Dark UI Patterns" para cansar o confundir a los usuarios y lograr que den su consentimiento.

La realidad de los banners de cookies

  • La UE no hizo obligatorios los banners de cookies, pero las empresas están complicando la vida de los usuarios.
  • Como ya no pueden abusar secretamente de los usuarios, eligieron en su lugar una forma de resultar irritantes.

Opinión sobre la privacidad

  • La regulación de la UE no siempre es buena, pero la privacidad de los datos es importante, y el autor luchó por PGP hace 30 años y seguirá luchando.

Opinión de GN⁺

  • Los banners de cookies pueden perjudicar la experiencia del usuario y reducir la accesibilidad de los sitios web.
  • Proteger la privacidad de los datos de los usuarios es importante, pero el enfoque para hacerlo debe ser amigable para el usuario.
  • Los desarrolladores web deben buscar mejores formas de obtener el consentimiento de los usuarios, y eso puede contribuir al avance de los estándares web.
  • En lugar de banners de cookies, debería considerarse un diseño de sitios web que respete la privacidad del usuario.
  • Implementar técnicamente mecanismos como respetar el encabezado Do Not Track puede ser un nuevo desafío para los desarrolladores, y eso ayudaría a ganarse la confianza de los usuarios.

1 comentarios

 
GN⁺ 2024-03-19
Opiniones de Hacker News
  • Basta con imaginar un mercado donde las empresas agregan un montón de cargos ocultos sin que el cliente se entere, y los usuarios se molestan cuando se dan cuenta después.
    Cuando la ley cambia para decir “no puedes cobrar cargos si no los informas por adelantado”, es como si las empresas con muchos cargos los dejaran igual y obligaran a leerlos en cada página del menú de la forma más molesta posible.
    Luego promocionan que el problema no son los cargos excesivos, ni que antes los ocultaban y ahora deben informarlos por la ley, sino la ley que las obliga a avisarte antes de que sea demasiado tarde.
    Los banners de cookies son básicamente lo mismo, y entre quienes hoy critican la ley de cookies hay una mezcla de gente que se equivoca a propósito por intereses propios y gente que se equivoca porque de verdad no entiende la postura que defiende.

    • De acuerdo. No sé cuánta propaganda corporativa ha consumido la gente para terminar viendo todo el mal comportamiento empresarial y el cumplimiento malicioso como responsabilidad de los legisladores.
      También deja ver en qué estado está la relación entre empresas y consumidores, si la primera reacción ante este mal comportamiento es “¡tú los hiciste actuar así!”.
      Al final se trata como si fuera culpa de todos menos de los propios malos actores.
    • La debilidad de esa analogía es que el consumidor promedio sí se interesa por los cargos ocultos, quiere saberlos de antemano y podría tomar otra decisión si los conociera. En cambio, al consumidor promedio no le importan las cookies.
      Una analogía más cercana sería entrar a un restaurante y que te entreguen una hoja con la información de alérgenos de todos los platos, y solo te sienten si dices “acepto que estos ingredientes estén en la comida”.
      Estoy de acuerdo en que el restaurante no debería ocultar esa información y que una minoría puede quererla, pero otra cosa es si todos deberían ser obligados a pasar por ese paso incómodo. El método actual de la vida real, en el que te dan la información de alérgenos si la pides, también funcionaba bien.
      Las empresas deben informar lo que a todos les importaría y les resultaría impactante, pero hay muchas cosas que solo le importan a una minoría. ¿Por qué detenerse en las cookies? Si la infraestructura de servidores del sitio web es de fabricación extranjera, popup; si las emisiones de carbono de la empresa operadora son superiores al promedio, popup; si la comida del patio de comidas de la sede no es kosher, también se podría obligar a mostrar un popup.
      El grupo que se preocupa profundamente por las cookies es de un tamaño similar al grupo que se preocupa por el tamaño de los binarios o la ejecución de JavaScript. ¿También debería haber un popup obligatorio para la ejecución de JavaScript? ¿Si un sitio web supera los 10 MB, debería primero pedir consentimiento desde una página liviana? El problema es cómo decidir qué acciones ameritan una advertencia emergente.
    • Este ejemplo no es bueno. Ese tipo de problemas normalmente los resuelve el mercado.
      La razón por la que el mercado no resuelve el problema de los banners de cookies y esta ley es mala es que a los usuarios, en la práctica, no les importa y solo les molesta.
      En California hay una ley que obliga a advertir si un establecimiento tiene sustancias químicas que pueden causar cáncer. La intención es buena, pero el umbral es más bajo que lo que puede medirse de forma realista, así que casi todos los inmuebles ponen un cartel que dice “puede haber sustancias químicas aquí”.
      La advertencia es inútil y solo molesta, y eso se debe a las fuerzas del mercado; dicho de otra forma, la ley incentivó ese comportamiento.
    • No creo que eso sea estrictamente correcto. La cookie en sí no es el problema. El problema es cómo se usa la cookie.
      Tener que avisar que se usan cookies para una sesión es como tener que avisar que comes con tenedor.
      El problema es que algunas personas apuñalan a otras con ese tenedor, así que ahora todos tienen que decir de antemano cómo van a usar el tenedor. Cuando bastaría con prohibir apuñalar.
    • Siguiendo esa analogía, al final incluso las empresas que no cobran cargos ocultos terminan mostrando banners, por si acaso.
      Además, ni siquiera soy ciudadano de la UE ni estoy visitando sitios web basados en la UE, y aun así me encuentro constantemente con banners de cookies.
  • Que KingOfCoders/amazingcto diga que “no existe una ley de banners de cookies, simplemente no rastrees” es técnicamente correcto, pero Paul Graham no estaba hablando del texto de la ley en sí.
    Su queja debe interpretarse desde una perspectiva de teoría de juegos, es decir, como la ley de las consecuencias no intencionadas al observar cómo responden realmente las empresas a la regulación.
    La publicación del blog se enfocó en las buenas intenciones de la ley, y el tuit de PG se enfocó en los resultados reales.

    • ¿Ese razonamiento no aplica a ambos lados? Si vemos la regulación de la UE desde una perspectiva de teoría de juegos, también es una consecuencia no intencionada de la recopilación agresiva de datos por parte de las empresas.
      No entiendo bien por qué se critica solo a la UE y no a las empresas.
    • El blog claramente lo aborda desde la perspectiva de los resultados reales. Lo repite varias veces. Las empresas simplemente pueden no rastrear.
      El resultado real es que las empresas quieren seguir rastreando, y empujan a los usuarios con patrones hostiles y cumplimiento malicioso para forzar su “consentimiento”.
      Paul Graham sigue estando equivocado.
    • Como me gusta el pensamiento de segundo orden y las consecuencias no intencionadas, estoy de acuerdo con esa parte. Entonces, ¿cómo debería estructurarse “no rastrear a las personas sin consentimiento” sin consecuencias no intencionadas?
      El punto que el texto intentaba plantear es que las empresas hacen esto deliberadamente para obtener “consentimiento” en contra de la voluntad del usuario, caminando por una cuerda floja donde violan la ley sin llegar a violarla.
    • Todos sabemos que los malos actores seguirán comportándose mal incluso frente a la ley. No es una gran revelación.
      En realidad, el tuit de PG tiene poco que ver con la teoría de juegos y se parece más a una queja de país desarrollado por tener que hacer clic en banners de cookies. Evaluar las consecuencias reales de regulaciones y leyes complejas va más allá del alcance de un solo tuit.
      Sería bueno que Graham primero decidiera qué argumento quiere plantear. ¿Está refutando a algún representante específico de la UE que presume de regular bien? ¿O está diciendo que la UE no debería haber tenido el descaro de intentar regular desde un principio?
    • Considero que es un buen resultado si puedes reconocer claramente un sitio web pésimo y presionar atrás
  • “Regular bien” también incluye la capacidad de prever las posibles consecuencias de una regulación.
    Si se crea una regulación que diga: “Las empresas ahora tienen que regalar sus productos, pero pueden apretarles la nariz a los clientes como si fuera una bocina”, habrá mucha gente con dolor de nariz.
    Aquí pasa algo parecido. Casi todos los sitios web ganan dinero con publicidad o, como mínimo, registran la actividad de los usuarios para optimizar el sitio, y eso no va a cambiar; así que la regulación tonta de la UE solo les causa un poco más de dolor a los clientes.

    • Que “casi todos los sitios web ganan dinero con publicidad” no requiere seguimiento personal.
      “Registrar la actividad de los usuarios para optimizar el sitio” tampoco requiere seguimiento personal.
    • La idea se entiende bien, y coincido en que es una consecuencia lamentable de la regulación. La analogía también estuvo divertida.
      Pero no todos los sitios web necesitan banners de cookies. ¿GitHub no es un sitio bastante complejo y optimizado para el usuario? https://github.blog/2020-12-17-no-cookie-for-you/
    • La regulación de la UE no impide mostrar anuncios. Más exactamente, apunta al seguimiento.
      Sin seguimiento > sin banner > todos más contentos > muestren todos los anuncios necesarios.
    • La confusión parece estar entre publicidad y seguimiento. El banner no se trata de publicidad, sino de seguimiento.
    • Registrar la actividad de los usuarios para optimizar el sitio es posible sin rastrear mi información personal.
      En el momento en que una empresa necesita rastrearme, está haciendo algo más que “optimizar el sitio web”. Está usando mis datos para venderme algo o vendiendo mis datos a terceros.
      Me parece bien que para eso se necesite permiso.
  • Esta no es solo una ley de cookies; también es una importante ley antimalware de la UE.
    El principio es que cualquier software controlado por un tercero que escriba o lea información en mi computadora o teléfono a través de Internet debe contar con consentimiento previo, informado y suficientemente explicado.
    Las excepciones se limitan a funciones estrechas, como el almacenamiento/lectura necesarios para prestar el servicio solicitado por el usuario o el balanceo de carga. Esto aplica no solo a las cookies del navegador, sino también a la cámara web, el micrófono y el contenido de la carpeta Documents.
    El principio en sí parece razonable, pero la UE está estancada en una reforma que cree excepciones adicionales, como revisiones de seguridad/actualizaciones obligatorias o métricas de uso que respeten la privacidad. Los reguladores también hacen la vista gorda, de facto, hasta cierto punto, así que cuesta decir que la UE regule bien.
    En general, la sociedad no está logrando corregir lo que muchos consideran bugs o excesos en una ley original de hace varias décadas.

    • Si el principio es que “un software controlado por terceros no debe escribir ni leer información en una computadora/teléfono sin consentimiento previo”, entonces la responsabilidad de implementarlo recae en los proveedores de navegadores.
    • ¿Hubo intentos de convertir esto en un estándar de navegador? Busqué, pero no encontré nada.
    • ¿A qué se refiere con “la ley original de hace varias décadas”? El GDPR tiene 8 años.
  • Lo interesante de legislar es que también se es responsable de las consecuencias no intencionadas de la ley.

    • En este caso, solo muestra que la mayoría de las empresas están recolectando más datos de los que necesitan.
      Los datos necesarios para que el servicio funcione mínimamente no requieren banner. Como el sitio no funciona sin ellos, ni siquiera hay margen para que intervenga el consentimiento.
    • Dicho de otro modo, una legislación que prohíbe cierta conducta casi siempre surge porque alguien quiere hacer precisamente esa conducta.
      La legislación suele ser una disputa de intereses y, en el caso ideal, el legislador intenta proteger el interés general del público cuando entra en conflicto con intereses privados estrechos.
      Si la parte con intereses estrechos es un grupo poderoso, habrá pelea; y si tienen una forma de hacer que la regulación parezca más intrusiva y molesta que el daño que originalmente se intentaba evitar, la usarán para poner a la opinión pública de su lado.
      Por lo tanto, los legisladores también deben prever ese tipo de lucha y pueden ser parcialmente responsables de la forma que tome, pero no totalmente. Cuanto más fuertes sean los intereses privados, más probable es que encuentren formas de resistirse a la regulación.
      En este caso, los sitios web que muestran banners también se perjudican a sí mismos. Sus competidores tienen un incentivo para ofrecer una mejor experiencia sin banners. Es decir, en un contexto competitivo, la regulación puede hacer que no mostrar banners sea valioso, así que habrá que ver qué pasa.
    • La gente no puede evadir responsabilidad diciendo que “la ley nos obligó a ser agresivos con los usuarios”.
      Usar cookies y molestar a la gente es una decisión intencional.
    • El tuit original de PG parece asumir que los banners de cookies son a) malos, b) culpa de la UE y c) una consecuencia no intencionada que la UE no previó, lo que demostraría incompetencia.
      Es difícil decir qué previeron o pretendieron los legisladores, pero yo diría que los banners de cookies en realidad son a) buenos y b) culpa de empresas que no pueden imaginar tratar mejor a los usuarios.
      Me parecen buenos porque generan molestia psicológica en los usuarios de software que no intenta evitar su necesidad ni implementarlos correctamente. Con el tiempo, espero que los usuarios lleguen a percibir los sitios con banners de cookies como algo sospechoso y poco ético, igual que los anuncios emergentes.
    • Es imposible preverlo todo, y lo mismo pasa con la escala del cumplimiento malicioso.
      Al final, creo que es mejor tener esta ley y futuras iteraciones y enmiendas adicionales que no tenerlas, porque el nivel de uso indebido de los datos de las personas es demasiado absurdo.
  • pg parece referirse a los banners de publicidad, y si es así, tiene razón. La UE arruinó nuestra experiencia web mientras beneficiaba a las apps móviles, que hacen un seguimiento peor.
    El problema más grande es que esta ley no solucionó nada, destruyó el poco negocio de publicidad online que quedaba en la UE y se enfocó en lo equivocado.
    Para empezar, los ciudadanos europeos no pidieron esta ley y había problemas más importantes. Fue impulsada por un grupo de interés alemán específico que a la mayoría de los ciudadanos de la UE le resulta indiferente.
    El seguimiento publicitario no era una preocupación para la gran mayoría de los ciudadanos de la UE, y ni siquiera se les preguntó al respecto. En cambio, la adicción a Internet y a las redes sociales sí es un problema real para la mayoría de los ciudadanos.
    La UE gastó tanta energía y capital político en este problema sin sentido de los banners de cookies que le quedó menos margen para abordar el problema de la adicción.
    La legislación apresurada siempre provoca ese tipo de cosas, y lo peor es que estas malas decisiones no traen responsabilidades. Las personas que inspiraron la legislación no se juegan nada en las elecciones, y las próximas elecciones al Parlamento Europeo tampoco tratan sobre política de la UE, sino que son una disputa indirecta de la política interna.
    Por más que se señalen varias veces estas desconexiones políticas, no existe un mecanismo para cambiarlas hasta que ocurra algo realmente grave y ya sea demasiado tarde.

  • Como anécdota personal, una vez me tocó agregar un banner de cookies al sitio web de una empresa. Durante años había logrado frenar bastante bien la implementación del banner, pero el nuevo dueño quería que el departamento de marketing probara cosas nuevas, y puso como motivo que los abogados decían que hacía falta el consentimiento de los usuarios.
    Me dijeron que no le dedicara mucho tiempo, que usara un producto ya hecho, OneTrust, y que tampoco lo personalizara.
    Cuando dije que el texto predeterminado del banner sonaba muy intimidante y daba a entender que hacíamos muchas cosas que en realidad no hacíamos, me dijeron que los abogados de OneTrust seguramente lo habían revisado, así que cambiarlo implicaba un gran riesgo legal y que lo dejara tal cual.
    Argumenté que el producto de OneTrust es una solución genérica que tiene que hacer cumplir la normativa incluso al sitio de medios más sucio y contaminado de tecnología publicitaria, y que nosotros no éramos ese tipo de sitio, pero no funcionó.
    Empresas como OneTrust y los consultores de este sector tienen un gran incentivo para exagerar el riesgo de incumplimiento. Desde mi perspectiva de no especialista, el riesgo legal que asume un actor de buena fe en realidad es bastante bajo. Si las autoridades detectan un incumplimiento, por lo general dan la oportunidad de corregirlo, y quizá como mucho uno reciba una advertencia leve. Esas multas aterradoras calculadas como porcentaje de los ingresos globales no se van a aplicar por un error honesto.
    Además, los negocios que dependen del rastreo invasivo y que de verdad necesitan estos banners se benefician cuanto más crean todos los demás que ellos también tienen que arruinar la experiencia de usuario con banners. Así lo que hacen parece normal y aceptable.

  • Es un buen ejemplo. Hacker News tampoco necesitaba un banner de cookies, ni el artículo enlazado.

    • Ese artículo incluso tiene un anuncio de un libro al costado.
  • Detesto la mentalidad de que el gobierno crea una regulación con aparentes buenas intenciones, deja vacíos que vuelven la vida de todos más engorrosa, y luego la gente la defiende diciendo “las empresas simplemente podrían no hacerlo”.
    Para empezar, la ley fue necesaria porque no dejaban de hacerlo; ¿no es un poco raro que después de la ley se les pida que se detengan por voluntad propia?
    Si la ley de cookies se hubiera usado bien, todo habría terminado con una sola configuración del navegador que habría que respetar. Eso habría sido totalmente transparente para el usuario y, en principio, beneficioso.
    En cambio, gracias a funcionarios incompetentes, terminamos viendo banners de cookies para siempre en casi todos los sitios, y como ni siquiera están estandarizados, los peores sitios, como los de medios que publican artículos, pueden hacer banners aún más confusos.

    • La ley en sí en realidad no es tan mala; simplemente los tribunales fueron muy lentos.
      Los patrones oscuros de UI sí son ilegales, y ahora los tribunales ya lo han determinado así. Solo falta que esa comprensión se difunda entre las empresas que hacen banners de cookies.
    • La ley no exige que los sitios web muestren banners de cookies.
      Los navegadores ya tienen una opción de “no rastrear”. Si un sitio web elige respetar esa configuración, puede no rastrear sin mostrar ningún banner de cookies. Pero la mayoría no lo hace.
    • La ley no exige una implementación específica. Las leyes no se redactan para exigir una implementación concreta, ni deberían redactarse así.
      En cambio, la ley está escrita de forma tecnológicamente neutral. Es tan neutral que ni siquiera se llama “ley de cookies”. Su nombre es Directiva ePrivacy, y “cookie” aparece solo 5 veces como ejemplo.
      Referencia: https://eur-lex.europa.eu/legal-content/EN/ALL/?uri=celex%3A...
    • La configuración del navegador para cookies de rastreo existe desde 2002: https://www.w3.org/P3P/
      De hecho se implementó cuando Internet Explorer tenía más del 90% de cuota de mercado.
      Entonces Google envió deliberadamente encabezados P3P incorrectos para eludir las preferencias de usuario de IE.
      Cuando Safari agregó una heurística para rechazar las cookies de terceros de Google, Google también encontró un truco técnico para evadirla y fue multado por eso.
      Después de que IE y P3P murieron por completo, los navegadores intentaron ofrecer el encabezado DNT, la configuración mínima más fácil de implementar para la industria de la tecnología publicitaria. La industria de la tecnología publicitaria lo ignoró por completo.
      Hay empresas de billones de dólares que dependen del rastreo, y harán todo lo posible para sabotear tecnologías que dañen su negocio y para bloquear leyes.
    • Una configuración del navegador habría estado 100% bien. Pero la razón por la que eso no ocurrió es que demasiada gente elegiría rechazar. Ese es el punto central de este artículo.
  • Si “las empresas pueden evitar fácilmente los banners de cookies; simplemente tienen que no rastrear”, entonces la UE debería haber convertido exactamente eso en ley.
    Y la habríamos llamado ley de simplemente no rastrear.
    Me sorprende la gente que defiende a la UE diciendo cosas como “no existe una ley de banners de cookies”. No, sí hay una ley. Justamente por esa ley la gente piensa “¿para qué correr riesgos innecesarios?” y mete basura como los banners de cookies.
    La ley no es un conjunto de palabras en papel, sino una institución que cambia la conducta de las personas asignando recompensas o castigos a sus acciones.

    • Si entiendes bien la ley, también entiendes que no necesitas un banner de cookies cuando no rastreas a los usuarios.
      Pero es más fácil no intentar entender y jugar a lo seguro. Aun así, no corresponde culpar a la ley por la responsabilidad de elegir la opción segura sin investigar.
      La mayoría son imitadores: si los sitios grandes ponen banners de cookies, piensan que ellos también deben hacerlo. Luego culpan a la ley.
      Si no eres imitador y entiendes tu propio negocio, no hay razón para culpar a la ley por hacerte hacer algo innecesario.
      Por supuesto, a veces las leyes son complejas de entender. La mayoría lo son, y por eso existen los abogados. Pero en tecnología, los abogados a menudo también parecen imitadores. Así que siempre conviene pensar por cuenta propia y no creer todo lo que dicen los demás. Si investigas y estudias por tu cuenta, tampoco es tan difícil.
    • Para nada. Como no están dispuestos a renunciar al rastreo de usuarios y recién ahora se dieron cuenta de que hacerlo mal es ilegal, la gente piensa “¿para qué correr riesgos?” y se aferra a patrones oscuros pésimos para cubrir su propia responsabilidad.
      Mi negocio no rastreaba clientes en línea y no tenía banner. Fin.
    • La ley castiga a las empresas, no a los ciudadanos individuales.
      Si los abogados sobrerreaccionan o una empresa no puede distinguir entre rastreo esencial y no esencial, puede que los incompetentes sean ellos.