Aprobada en mayo de 2018, se suponía que el Reglamento General de Protección de Datos (GDPR) de Europa marcaría el comienzo de una nueva era de transparencia y protección de la privacidad del consumidor en toda Europa. En cambio, los investigadores dicen que las compañías han estado haciendo tapping alrededor de la ley con poca o ninguna aplicación significativa por parte de los países miembros de la Unión Europea y los reguladores.
Un nuevo estudio conjunto realizado por investigadores del MIT, UCL y la Universidad de Aarhus descubrió que los sitios web en la UE no solo no cumplen con la ley, sino que muchos utilizan las alertas de privacidad necesarias para engañar usuarios.
Según el RGPD, los sitios web que operan en Europa deben permitir a los usuarios optar por el seguimiento de cookies y otra vigilancia a través de notificaciones en pantalla muy claras. Esas notificaciones se manejan y recuerdan a través de CMP (plataformas de administración de consentimiento), sistemas dominados por cinco compañías: QuantCast, OneTrust, Cookiebot, TrustArc y Crownpeak.
Pero el nuevo estudio, denominado “ Patrones oscuros después del RGPD “, encontró que muy pocas empresas se están adhiriendo a la ley. Peor aún, están diseñando sus sistemas de notificación de manera que engañen intencionalmente a los usuarios para que realicen más vigilancia de datos.
Los investigadores descubrieron que el 32.5 por ciento de los sitios web de la UE estudiados en la encuesta usan algo llamado “ consentimiento implícito “, lo que supone que acepta ser rastreado si no realiza una acción específica ( haga clic en un banner de exclusión dentro de un período de tiempo determinado). Dichas prácticas están generalmente prohibidas según la ley, que requiere un consentimiento claro y opcional para el seguimiento de datos.
Los investigadores también descubrieron que numerosas compañías usan diseños de GUI de patrón oscuro [ ”en sus sistemas de notificación de privacidad, que tienen el propósito específico de engañar a los usuarios para que se registren para obtener más seguimiento de datos de lo que podrían querer (hay algunos ejemplos de esto aquí ).
“Eliminamos los diseños de los cinco CMP más populares en los principales 10,000 sitios web en el Reino Unido”, dijeron los investigadores. “Descubrimos que los patrones oscuros y el consentimiento implícito son ubicuos; solo el 11.8 por ciento cumple con los requisitos mínimos que establecemos en base a la ley europea. ”
La falta de cumplimiento significativo de GDPR por parte de los reguladores ya había sido bastante bien establecida. Dieciocho meses después de la aprobación del GDPR, numerosos reguladores han dicho que están frustrados por la falta de un castigo significativo para los infractores. Fuera de una reciente multa de € 50 millones contra Google, ninguna compañía estadounidense ha sido castigada por violaciones de la privacidad bajo la ley.
Ni las empresas, los socios publicitarios ni los CMP parecen interesados en apuntalar esa patética tasa de cumplimiento del 12 por ciento.
“Los resultados de nuestra encuesta empírica de CMP hoy ilustran hasta qué punto prevalecen las prácticas ilegales, con los vendedores de CMP haciendo la vista gorda, o peor aún, incentivando, claramente configuraciones ilegales de sus sistemas”, los investigadores dijo, y agregó que “la aplicación en esta área es muy deficiente”.
El verano pasado, otro estudio internacional mostró el mismo problema. Los investigadores examinaron 5,000 notificaciones de privacidad de una variedad de compañías que hacen negocios en Europa, así como también cómo más de 80,000 consumidores interactuaron con ellas. Descubrieron que una y otra vez, tales notificaciones
no funcionan para detener la recopilación de datos o engañan al usuario final.
“Dados los requisitos legales para el consentimiento informado explícito, es obvio que la gran mayoría de los avisos de consentimiento de cookies no cumplen con la ley de privacidad europea”, dijeron los investigadores.
Este último estudio subió la apuesta, al encontrar que las compañías CMP a menudo ayudan a los esfuerzos para engañar a los consumidores mediante el diseño de asistentes de notificación de privacidad que hacen que rechazar todo seguimiento de datos sea “mucho más difícil que aceptarlo”.
El estudio encontró que solo el 12.6 por ciento de los sitios web estudiados tenían un CMP que permitía fácilmente optar por todo el seguimiento de datos , y la mayoría de los CMP todavía permiten el consentimiento “implícito” a pesar de que ahora es ilegal según la ley de la UE.
“Los asistentes populares de implementación de CMP aún permiten a sus clientes elegir el consentimiento implícito, incluso cuando ya han indicado que el CMP debe verificar si la IP del visitante está dentro del alcance geográfico de la UE, lo que debería ser mutuamente excluyente” el estudio dijo.
Tanto el estudio del verano pasado como esta última investigación destacan cómo una nueva y brillante ley de privacidad solo vale algo si se aplica de manera consistente, algo a tener en cuenta mientras Estados Unidos reflexiona sobre lo que es significativo por primera vez debería ser la ley de privacidad para la era de internet.
—
Por Karl Bode
