- Los procedimientos repetitivos de consentimiento en banners de cookies en cada sitio web provocan fatiga en los usuarios y, en la práctica, se consideran un sistema fallido que no protege la privacidad
- La estructura actual exige que cada sitio web implemente por separado el proceso de consentimiento, lo que supone una carga excesiva para los operadores de sitios pequeños
- Como solución, el autor propone gestionar el consentimiento de cookies de forma centralizada desde la configuración del navegador
- Con una sola configuración, el usuario puede controlar de manera unificada el alcance del uso de sus datos, y el navegador aplica esa decisión en todos los sitios
- Este enfoque se presenta como una solución más razonable en tres frentes: mejor experiencia de usuario, mayor eficiencia regulatoria y menor carga para los desarrolladores
La realidad fallida de los banners de cookies
- Las leyes de protección de datos personales como el GDPR y la CCPA fueron creadas con buenas intenciones, pero su forma de aplicación es ineficiente
- La estructura obliga a innumerables sitios web a mostrar por separado ventanas emergentes como “Accept All” o “Manage Preferences”
- La mayoría de los usuarios, por cansancio, hace clic en “aceptar todo” sin pensarlo
- Este método vuelve irrelevante la capacidad real de elección del usuario y hace más incómoda la experiencia en internet
- El autor señala que el núcleo del problema no está en ‘qué se debe proteger’ sino en ‘dónde se debe gestionar’
Problemas de la estructura actual
- 1) Fatiga de consentimiento (Consent Fatigue): las solicitudes repetidas de consentimiento insensibilizan al usuario y evitan que exista un verdadero ‘consentimiento voluntario’
- 2) Desventaja para operadores pequeños: las grandes empresas pueden responder con equipos legales y CMP (Consent Management Platform), pero los blogueros independientes y los negocios pequeños o medianos terminan asumiendo la carga legal y técnica
- 3) Falta de control real: aunque se ofrezcan alternativas a “Accept All”, el lenguaje jurídico complejo y las estructuras de menú extensas limitan en la práctica la capacidad de decisión del usuario
Nueva propuesta: gestión del consentimiento centrada en el navegador
- El usuario elige sus preferencias sobre el uso de datos solo una vez, durante la configuración inicial del navegador
- Essential Only: permitir solo cookies esenciales
- Performance & Analytics: permitir análisis de rendimiento basados en datos anónimos
- Personalized Experience: permitir contenido y publicidad personalizados
- Custom: ajustar manualmente cada categoría
- El navegador permite o bloquea automáticamente las cookies de cada sitio según la elección del usuario
- Las cookies con fines poco claros serían bloqueadas automáticamente por el navegador
- El foco de la regulación legal se desplazaría de millones de sitios web → unas pocas grandes empresas desarrolladoras de navegadores, lo que haría posible una supervisión más realista
Cambios esperados
- Para los usuarios: una experiencia de internet más limpia y rápida con una sola configuración, además de un control real sobre sus datos
- Para los operadores de sitios web: al eliminar la carga de gestionar banners de cookies y CMP, se lograrían mejoras en el rendimiento web y mayor eficiencia de desarrollo
- Para los reguladores: una estructura simplificada en la que, en lugar de vigilar innumerables sitios, solo habría que supervisar a los desarrolladores de navegadores, mejorando la eficiencia en la aplicación de la ley
De un sistema complejo a un estándar simple
- Actualmente, internet está atrapado en un ecosistema complejo donde cada sitio integra su propio CMP
- Innumerables herramientas, redes publicitarias y servicios de analítica interactúan entre sí, provocando esfuerzo duplicado y confusión
- Un enfoque basado en el navegador lo unifica todo en un único criterio común
- Elección del usuario → navegador → aplicación uniforme en todos los sitios
- El autor enfatiza que esta idea no consiste en crear un sistema nuevo, sino más bien en desmantelar la estructura actual, innecesariamente compleja
2 comentarios
Sería muy cómodo si todo se procesara previamente en el navegador.
Opinión de Hacker News
Quiero decir que el núcleo de este problema no es la ley en sí, sino que los sitios web cooperan de forma intencionalmente molesta con la ley porque no quieren renunciar al rastreo
Se enfatiza que pasarse 5 minutos perdido en el menú de “aceptar lo legal” no es la alternativa deseable, sino que la intención original era la opción de “rechazar todo”
Últimamente los tribunales están haciendo cumplir esto activamente, así que el botón de “rechazar todo” está desapareciendo cada vez más
En última instancia, el mejor resultado sería un entorno web donde los sitios respeten el encabezado Do-Not-Track y no haya ni rastreo ni banners
Enlace relacionado
Creo que el problema es 100% que la ley está mal redactada, y por eso este tipo de cumplimiento malicioso es posible
Si quieres un buen resultado, la ley misma debe estar escrita de forma que no pueda abusarse
Los sitios web, de manera predecible, buscan maximizar sus beneficios, así que la idea es redactar una ley mejor
Creo que la ley, las directrices y la intención son claras
En realidad, el mayor problema que queda es la estructura en la que unas pocas “grandes empresas” controlan los navegadores
Ni Apple ni Google tienen voluntad de cambiar el rastreo a un esquema opt-in
Creo que la situación solo mejorará si se reduce la influencia de los grandes actores del ecosistema de navegadores y se amplían más políticas como la DMA para frenar la reacción contra el poder monopólico
También creo que la cultura de litigios al estilo estadounidense y las diferencias culturales de Europa influyen en este problema
Si con solo cargar una fuente de Google no se expusieran datos a cientos de “socios”, la mayoría de estos popups de consentimiento no serían necesarios
Objeción: que cada sitio web siga preguntando si aceptas cookies también es un suplicio
El propio cumplimiento legal arruina la experiencia del usuario y hace más cansado usar internet
Al final, parece que quienes hacen estas leyes están más cerca de la postura de las empresas que de la experiencia real del usuario o la privacidad
La estructura misma de rastrear por defecto es inaceptable
Creo que las solicitudes Do-Not-Track deberían imponerse legalmente de forma obligatoria, y las multas deberían ser un porcentaje de los ingresos globales
Creo que la responsabilidad es mayor de los proveedores de publicidad que de los operadores individuales de sitios web
Las empresas de anuncios obligan a usar gestores de consentimiento de rastreo publicitario si quieres servir sus anuncios
Intenté crear un formulario de consentimiento por mi cuenta, pero el TCF es demasiado complicado y casi no hay soporte para soluciones que no sean los banners de consentimiento provistos por las adtech
Al final, dado que los ingresos por publicidad pagan el servidor, es difícil para quien mantiene un sitio por hobby lidiar con un sistema tan complejo
Sería bueno tener una opción simple que respete más la privacidad del usuario, y creo que lo ideal sería una estructura fácil de controlar desde el navegador
Creo que este tipo de recolección de datos debería prohibirse por completo
Dudo que exista alguien que realmente presione aceptar a un consentimiento como “¿Está bien compartir tus datos con 500 sitios web socios?”
Creo que debería prohibirse que las empresas describan como “compartir con socios” el hecho de entregar datos a spammers
La palabra “socios” tiene una connotación de confianza e igualdad, pero en realidad no es así en absoluto
Si es venta de datos, la ley debería obligar a indicarlo claramente con esas palabras, y también haría falta informar de manera concreta sobre el riesgo de filtración hacia el spam
Creo que deberían preguntar algo como “¿Aceptas que tus datos puedan venderse a cualquier empresa? ¿Aceptas el riesgo de que en el futuro se usen para spam o delitos? Sí/No”
He oído que la publicidad dirigida genera tres veces más ingresos que la publicidad general
Personalmente, incluso si mis datos fueran rastreados, si eso redujera la cantidad de anuncios a un tercio, hasta me parecería mejor
Ver solo anuncios interesantes como teclados o ropa de hombre, y evitar que me muestren puras cosas inútiles, me parece aceptable
La cuestión de la publicidad y la vigilancia siempre sigue una lógica parecida
Nadie quiere recibir publicidad, pero hay un lobby fuerte que se opone a eliminarla alegando daño económico y caída del PIB
Con la vigilancia pasa lo mismo: el argumento de “más seguridad” convence a los políticos
Creo que con solo el contexto del sitio web o del tema ya se pueden mostrar anuncios suficientemente relevantes
Por ejemplo, en un sitio de hackerspaces podrían poner anuncios de Raspberry Pi, y en un sitio de rock anuncios de vinilos o tablaturas de guitarra
Hay una razón muy simple por la que muchos usuarios aceptan: quieren acceso a contenido basado en publicidad-vigilancia
Lo mismo pasa con el tema de la verificación de edad
El encabezado DNT se propuso en su momento, pero era demasiado simple y ni siquiera logró implementarse realmente Documento relacionado
La industria mantiene esta estructura compleja porque quiere maximizar la tasa de consentimiento del usuario
Un enfoque centrado en el navegador sería el más técnico y amigable para el usuario, pero la industria publicitaria y la industria de recolección de datos tienen incentivos para bloquear desde la raíz cualquier control basado en el navegador
Al final, como ellos dominan gran parte de la web, es difícil que una solución basada en el navegador se vuelva realidad
La función DNT sí existía en los navegadores, pero los sitios la ignoraban
Según la ayuda de Chrome, puedes enviar una solicitud DNT, pero la mayoría de los sitios web siguen recolectando datos con el pretexto de “mejorar la seguridad”, “ofrecer contenido, servicios y anuncios” o “reportes estadísticos”
Casi todos los servicios web, incluido Google, no responden a las solicitudes DNT, y en la práctica lo único utilizable desde el navegador es borrar todas las cookies al cerrarlo
Documento relacionado
La verificación de edad y el consentimiento de privacidad funcionan mejor cuando se manejan del lado del navegador
Como en el caso de P3P, creo que los controles basados en navegador/SO podrían golpear de lleno la estructura real de rastreo de la industria, así que las grandes empresas más bien ignoran u obstaculizan esas soluciones por miedo a que crezcan
Como resultado, se repite la situación en la que operadores individuales de sitios tienen que cargar con regulaciones excesivamente complejas
Una observación ingeniosa: si simplemente se procesara bien el encabezado DNT, ni siquiera harían falta las pantallas de consentimiento
Basta con no usar las funciones que requieren consentimiento
Creo que los navegadores ya deberían convertirse en un bien público
Dado que ya no hay ventajas reales en que sean de propiedad privada, creo que corresponde aceptarlos como bien público
Ante la afirmación de que “el navegador debería actuar como ejecutor de la privacidad, y el usuario elegir una vez en el navegador para que luego todos los sitios respeten automáticamente esa opción”,
se recuerda que el navegador al final es software que instala el usuario, y surge la duda de si realmente es apropiado que intervenga el gobierno
Con esa lógica haría falta una regulación adicional que obligue a los sitios a declarar con metadatos cada propósito de las cookies, y al final eso también sería otra norma más para los administradores de sitios
Se menciona que ya existen funciones del navegador como el modo incógnito y multi-account containers
Enlace relacionado
Pregunta cuál es la base para decir que la intervención del gobierno no debería darse
Pregunta si realmente hay una diferencia sustancial entre regular el código de los sitios web y regular el código del navegador
Creo que hay un conflicto de interés evidente cuando el proveedor del navegador más usado también es una empresa de publicidad
No creo que el navegador deba resolver este problema
Los banners de cookies son conocidos básicamente como un problema de consentimiento para cookies de rastreo, pero en realidad se requiere consentimiento en cualquier situación donde haya intervención de terceros (como publicidad) que no sea técnicamente indispensable
El navegador no puede distinguir qué tercero es realmente necesario desde el punto de vista técnico, así que al final es algo que cada sitio debe indicar
El problema se vuelve más complejo porque se mezclan las responsabilidades del proveedor del sitio y del tercero
Creo que si simplemente se obligara legalmente a los sitios a respetar el encabezado DNT, el problema se resolvería de inmediato
Hace falta un problema simple y una solución simple
El navegador web no tiene forma de saber con qué intención está incluido cada elemento del sitio (si es técnicamente necesario o si es rastreo)
Esa verificación es información que solo puede conocer el operador del sitio web
La ley de cookies se aplica no solo a las cookies, sino a toda clase de mecanismos de rastreo identificable, como pixel gifs o fingerprinting con JS
Si legalmente fuera obligatorio etiquetar las cookies como “third-party” y “strictly necessary”, entonces, si esas etiquetas fueran inexactas, podría castigarse igual que ahora una infracción del GDPR
El navegador podría leer esas etiquetas y permitir o rechazar el rastreo por sitio según la preferencia del usuario
También podría mostrarse un indicador de estado en la barra de URL, como el candado HTTP/HTTPS, para permitir políticas personalizadas de consentimiento por sitio
Incluso para un operador de un sitio pequeño, es importante conocer bien cómo funcionan las cookies usadas por su red publicitaria o sus herramientas de analítica y etiquetarlas correctamente
Cuando un popup de consentimiento de cookies funciona de forma molesta, yo simplemente cierro la pestaña y sigo adelante
Descubrí que las alertas de consentimiento de cookies y el contenido de baja calidad son casi proporcionales, así que incluso me ahorra tiempo
Incluso los sitios de doctores muestran banners de cookies
Pregunta si de verdad simplemente va a renunciar también a esos casos
Creo que Global Privacy Control (GPC) ya está empezando a resolver este problema, y en Firefox ya se aplica como sustituto de Do Not Track
Ahora solo falta hacer que legalmente los sitios web estén obligados a respetarlo
Enlace sobre GPC
Guía oficial de Firefox
DNT ya tenía efecto legal en la UE, y no parece haber una diferencia de fondo que se resuelva solo cambiándole el nombre a GPC
En algunas leyes estatales de EE. UU. está escrito que, si el navegador envía la señal por configuración predeterminada, no se reconoce como una “señal válida”, así que si se refuerza la obligación legal, creo que también podrían neutralizar GPC de esta misma forma
Señala al final que las leyes están redactadas de forma favorable para los trackers
Está de acuerdo en que Firefox está introduciendo GPC técnicamente antes de que exista una obligación legal
Creo que si las empresas simplemente renunciaran al rastreo, no haría falta ninguna de estas ventanas de consentimiento
Creo que primero la UE debería liderar con el ejemplo
Incluso el sitio oficial de la Comisión Europea tiene banner de cookies, así que la UE debería eliminar los rastreadores de sus propios sitios o admitir que la ley misma es demasiado difícil de aplicar en la práctica
Hay mucho por hacer
Referencia al sitio de la Comisión Europea
Pero las empresas siempre se mueven según sus beneficios
A diferencia de lo que esperan los usuarios, en el rastreo también priorizan las ganancias sin excepción
Siendo realistas, las empresas no van a detenerse por voluntad propia, y si se prohíben las “cookies”, simplemente cambiarán a otros métodos como el fingerprinting del navegador para seguir rastreando
Creo que volver ilegal todo este rastreo podría ser una medida más de fondo
Casi no habría usuarios que dieran consentimiento voluntario, después de todo
El problema de legislar es que la definición de “rastreo” es ambigua, así que desde la perspectiva del operador del sitio muchas veces no queda otra que poner una pantalla de consentimiento para evitar infringir la ley
California introdujo una ley que obligará a los navegadores a incluir una configuración de opt-out a partir de 2027, y actualmente California, Connecticut y Colorado exigen respetar solicitudes de opt-out hechas por navegador o extensiones
Lo mismo pasa en Nueva Jersey
Ley de California
Anuncio oficial de Connecticut y Colorado
FAQ de privacidad de datos de Nueva Jersey
Dudo que estas leyes realmente estén produciendo el efecto que buscaban
Si no es así, me gustaría preguntar por qué siguen existiendo, y por qué todas las leyes no se derogan automáticamente si no siguen demostrando su legitimidad
Yo también tenía una duda parecida; personalmente siento que estas leyes solo hicieron mi vida e internet un poco más incómodos, sin un gran efecto positivo tangible
Pregunta cuál sería el criterio de “cumplir el objetivo”
“Si rechazas las cookies, ¿el sitio realmente deja de rastrear?” → algunos sí y otros no
Aun así, cree que el propósito en sí sigue siendo válido
Si preguntas si el GDPR tiene efectividad real, respondería que sí
Los únicos que lo ignoran por completo son empresas poco confiables, y hasta las empresas que lo cumplen de forma maliciosa están cambiando poco a poco porque su reputación empeora
Creo que la era de no proteger los datos de los usuarios ya terminó