¿Por qué las herramientas de consentimiento no funcionan de manera fiable?

Las herramientas de consentimiento no siempre pueden impedir que se carguen otros scripts como Google Maps o Google Fonts, debido a la forma en que los navegadores modernos cargan archivos simultáneamente. Los procesos de carga no siempre pueden interrumpirse a tiempo.

¿Cuál es la causa principal de la falta de fiabilidad de los escáneres de cookies?

Los escáneres de cookies suelen ser insuficientes, ya que no son capaces de detectar todos los cookies relevantes, especialmente cuando estos son establecidos por otros servicios como YouTube o Google Maps. La detección a menudo se basa únicamente en los cookies que se establecen directamente desde el sitio web.

¿Por qué la ejecución simultánea de scripts de navegador es un problema para las herramientas de consentimiento?

Los navegadores modernos cargan múltiples scripts simultáneamente, lo que significa que las herramientas de consentimiento a menudo llegan demasiado tarde para interrumpir los procesos de carga antes de que comiencen. Esto provoca un comportamiento impredecible y fallos en las herramientas.

¿Por qué los pop-ups de cookies no suelen ser útiles?

Los pop-ups de cookies suelen ser inútiles, ya que muchas de las explicaciones sobre los fines de las cookies, especialmente de grandes empresas como Google, son inexactas, erróneas o incluso inventadas. Falta información transparente sobre los procesos reales de procesamiento de datos.

¿Cuál es la base legal para obtener el consentimiento para cookies?

La obtención del consentimiento para cookies se basa en la Directiva ePrivacy, en particular el artículo 5, párrafo 3. Esto garantiza que los usuarios tengan control sobre sus datos y den su consentimiento explícito sobre cómo se utilizan sus información.

¿Por qué a menudo fallan las consultas de consentimiento?

Las consultas de consentimiento suelen fallar porque no explican claramente el propósito de las herramientas utilizadas, como Google Analytics o YouTube, y no informan al usuario sobre la recopilación de datos. Además, el revocamiento de las cookies de terceros a menudo no se admite.

¿Qué problema plantea el uso de cookies de terceros?

Los cookies de terceros técnicas no pueden ser controladas o eliminadas por el operador del sitio web, ya que residen en dominios de terceros. Esto significa que el usuario no tiene influencia directa sobre la recopilación de datos.

¿Por qué la simple eliminación de herramientas como Google Maps no siempre es una solución?

La simple eliminación de herramientas innecesarias no siempre es una solución legal, ya que herramientas como Google Maps pueden establecer cookies que no son controladas por el operador del sitio web y, por lo tanto, podrían violar los requisitos del RGPD.

Sichere KI, digitaler Datenschutz & Website-Compliance

En muchos sitios web, los visitantes se sienten molestos por las ventanas emergentes de cookies. No sólo son molestas, sino que además no son fiables y, por tanto, generan multitud de infracciones legales. Este artículo demuestra que las herramientas de consentimiento son poco fiables en sí mismas.

Introducción

Al conectar una página web a un servicio como Google Analytics, este servicio no puede ser cargado hasta que el visitante de la página web haya dado su consentimiento. La base legal es la Directiva ePrivacy, al menos cuando se trata de cookies. Otros motivos para exigir consentimiento son los artículos 5 RGPD (minimización de datos) y los artículos 44ff RGPD (transferencia de datos a países terceros inseguros).

La solicitud de consentimiento en los sitios web también suele denominarse "ventana emergente de cookies", "bloqueador de cookies", "herramienta de consentimiento" o "ventana emergente de consentimiento". También se suele hacer referencia a las plataformas de gestión del consentimiento.

Este artículo demuestra que las promesas de marketing de muchos proveedores de herramientas de consentimiento son insostenibles. En la práctica, las herramientas de consentimiento empeoran muy a menudo las páginas web. La consecuencia es numerosos defectos legales. Esto lo he demostrado en mi gran prueba práctica de bloqueadores de cookies.

En este artículo aprenderán por qué Herramientas de Consentimiento de Cookies pueden funcionar objetivamente y en general nunca con fiabilidad, si confían en su automatización o si se utilizan herramientas comunes de Google, Facebook, Vimeo, etc. Pero también hay una falta de fiabilidad siempre presente, porque los cookies pueden llegar a un dispositivo por muchos caminos (por eso se trata de la Directiva ePrivacy).

Razones de la falta de fiabilidad de los bloqueadores de cookies

Me nombraré cinco razones que son objetivamente ciertas y completamente demostrables. Me importa que entiendas esto. Los cinco motivos se basan en hechos duros, incontestables.

1. El bloqueador de cookies

El primer motivo, por el cual Cookie Blocker no pueden funcionar de manera fiable, es de naturaleza puramente técnica. El funcionamiento de un Script de Consentimiento, como sugiere la publicidad de varios fabricantes, es el siguiente:

El Consent Script se integra en cada página de un sitio web para que se cargue antes que todos los demás scripts y archivos.
El script de consentimiento supuestamente reconoce todos los procesos que requieren consentimiento y los bloquea hasta que el usuario haya dado su consentimiento

La práctica es diferente. Los navegadores modernos cargan varias archivos casi al mismo tiempo. Esto sucede sobre todo cuando los archivos se cargan de servidores diferentes. Si, por ejemplo, una página web incorpora Google Maps, Google Fuentes y un script de herramienta de consentimiento, ocurre algo como lo siguiente:

Comienza el proceso de carga del Guión de Consentimiento
El proceso de carga para el Script de Google Maps comienza
Comienza el proceso de carga de Google Fonts
En algún momento antes o después del punto 2 o 3, el Script de Consentimiento ha terminado de cargarse. Sólo entonces puede el Script de Consentimiento intentar cancelar los procesos de carga posteriores. Esto sólo funciona para los procesos de carga que aún no se han iniciado

No es posible predecir si el Consent Script se cargará lo suficientemente rápido como para estar completamente cargado y listo para funcionar antes de que Google Maps o Google Fonts comiencen a cargarse. En la práctica, se puede comprobar miles de veces que la interrupción deseada de los procesos de carga no funciona.

Las herramientas de consentimiento no pueden impedir de forma fiable los procesos de carga de las herramientas del sitio web
Para evitar de forma fiable los procesos de carga, el sitio web tendría que personalizarse considerablemente

He incluido deliberadamente las fuentes de Google en el ejemplo porque probablemente ellas mismas no establecen ninguna cookie. Obviamente, las herramientas de consentimiento no impiden la carga de las fuentes de Google en los sitios web. La razón de ello se explica a continuación.

2. El escáner de cookies

Como dice el nombre Cookie Blocker o Cookie Consent, muchos herramientas de consentimiento se enfocan en bloquear cookies. El funcionamiento de tales bloqueadores es como sigue:

Un escáner de cookies recorre un sitio web
Se comprueba cada página del sitio web para ver si hay cookies instaladas
Los procesos de carga a los que se pueden asignar cookies son los siguientes
Si se accede al sitio web más tarde, el script de consentimiento integrado intenta ahora impedir todos los procesos de carga previamente reconocidos como que implican cookies hasta que se dé el consentimiento

Obviamente esto no funciona para Google Fuentes y tampoco para el video de YouTube incorporado con ajustes de privacidad ampliados. Lo último significa que ni siquiera se crean cookies de YouTube. Como he demostrado en un artículo propio, los procesos de tratamiento de datos de YouTube son tan extensos que incluso de ellos surge una obligación de consentimiento según el Artículo 5 RGPD. Además, podría argumentarse aún más el traslado de datos a países terceros no seguros. ([1])

No es posible reconocer de forma exhaustiva las cookies relevantes. El enfoque de las cookies es incompleto.
Críticas a los escáneres basados en cookies

Otra razón de la falta de fiabilidad objetivamente reconocible de las herramientas de consentimiento es de carácter técnico.

Imaginemos que un sitio web carga Google Maps. Supongamos que el script de mapas no establece sus propias cookies, sino que carga archivos de la dirección google.com.

Un escáner de cookies ahora recorre la web en la que está incorporada la carta. Para ello simula un navegador. Este navegador es igual a uno que se ha llamado por primera vez en su vida. En el navegador no hay ninguna cookie guardada. El navegador es virgen. El escáner no reconoce ninguna cookie.

En la realidad, las cosas son diferentes. Supongamos que accede a la página web google.com. Al hacerlo, se establecen cookies. Esto es un hecho (hasta el 03.02.2021). Pruebe usted mismo! Ahora acceda a una página web que incorpore Google Maps. Esta carga ahora archivos de google.com. Al hacer esto, se transfieren las cookies almacenadas en su dispositivo al servidor de la página (google.com) cuando se cargan los archivos de google.com. La cámara de cookies no pudo reconocer estas cookies!

Para ello es necesario saber que cada usuario en todo el mundo ha almacenado potencialmente otros cookies en su dispositivo (ordenador, smartphone, portátil, tableta). Es imposible conocerlos a todos. Respecto al Google Tag Manager, se explica con frecuencia que es una dominio sin cookies. Eso es mierda. Encontrarás más abajo un enlace a un artículo de "Bullshit Basics" mío sobre eso, con pruebas del contrario. En mi dispositivo hay probablemente cookies para la dominio googletagmanager.com y se transmiten en cada página web que integra el Tag Manager. Esto es un procedimiento obligatorio por consentimiento.

Información adicional sobre cookies se puede encontrar en mi artículo de fundamentos .

3. Falta de conocimiento del mundo

Supongamos que se hubiera resuelto el punto anterior, es decir, que un analizador de cookies conociera todas las cookies del mundo por su nombre y contenido. Por supuesto, esto no es así, como me reconocerá sin tener que pensarlo mucho.

Ahora el escáner de cookies debe conocer el propósito de cada cookie individual. ¿De dónde proviene esta información? Supongamos que ofrecen un boletín informativo. A nadie más se le conoce quién escribió la última carta del boletín. Ahora bien, al destinatario de la carta del boletín debe explicar quién escribió esa carta. Obviamente, no es posible hacerlo sin sus declaraciones de apoyo.

Ocurre exactamente lo mismo con las cookies: si el proveedor de una herramienta que utiliza determinadas cookies no revela nada sobre los fines de las mismas, no es posible que un tercero se pronuncie sobre los fines de estas cookies.

El artículo 13 de la RGPD obliga a explicar los fines de los cookies. Esto es imposible para nadie, excepto el proveedor de los cookies mismo. Para las herramientas de Google, suele ser posible determinar que el proveedor, es decir, el conglomerado Google, no hace ninguna o ninguna declaración precisa sobre la finalidad de los cookies de Google. ([1])

Casi todas las explicaciones que se encuentran sobre las cookies de terceros en las políticas de privacidad o en los formularios de consentimiento son inventadas o conjeturales. Google explica la cookie NID, por ejemplo:

La cookie NID contiene un identificador único que utilizamos para almacenar su configuración preferida y otra información, como su idioma preferido, cuántos resultados de búsqueda deben mostrarse por página (por ejemplo, 10 o 20) y si debe activarse el filtro SafeSearch de Google.
Fuente: https://policies.google.com/technologies/cookies?hl=es

El cookie NID se utiliza principalmente para identificar de manera única a los usuarios. Por ejemplo, después de haber accedido a google.de, se asigna una identificación única para no tener que confirmar las políticas de privacidad cada vez. En dicha explicación también se habla de otras informaciones. Esta afirmación es muy vaga y no cumple con los requisitos del Artículo 12 RGPD en cuanto a la información transparente y completa.

Para muchos otros cookies, Google no proporciona ninguna información, sin embargo, se pueden encontrar declaraciones de terceros sobre el tema. La afirmación mencionada en la portada de este artículo se puede leer con frecuencia. No pude encontrarla en las páginas del grupo Google. Independientemente de eso, la afirmación es incomprensible y por lo tanto no tiene validez.

Todo lo que se ha dicho sobre Cookies también es aplicable a los Servicios (Herramientas). Los cookies son creados y gestionados por servicios y no surgen de la nada. También deben explicarse los fines de los servicios. Sólo el proveedor de un servicio conoce las procesamientos de datos precisos, los lugares donde se recopila la información y a quién se envía.

La denominación legalmente prescrita de los fines de las cookies no es seriamente posible para las cookies de la mayoría de las herramientas conocidas
Determinación objetiva a efectos de las Cookies basada en una derivación lógica

Además de los fines, se deben hacer otras declaraciones sobre las cookies. A esto pertenece la declaración del proveedor. ¿Sabe usted si "Google" se refiere a "Google" cuando habla de "Google" en numerosos aviso de privacidad y términos de uso de "Google"? Por favor, dígame. Debajo de este artículo hay un campo de comentarios. Por supuesto que el responsable de la página web debe poder proporcionar esta información para todos los servicios utilizados.

4. Las Cookies como motivo central

No es casualidad que muchos herramientas de consentimiento se denominen bloqueador de cookies o algo similar. Los cookies son solo una de las razones por las cuales es necesario obtener el consentimiento del usuario. La base legal para esto es la ePrivacy Directiva, específicamente, el artículo 5 apartado 3 de esta directiva.

Otro motivo para una autorización es el principio de Datanminimización. En la práctica, significa que si una página web vincula Google Fuentes de tal manera que las fuentes se cargan desde un servidor de Google, es necesario una autorización. De hecho, entonces no podría usarse la fuente. La solución sería simple: guardar la fuente localmente y cargarla desde su propio servidor. Con el consorcio de Google, según mi conocimiento, no se puede cerrar un DPA válido que justifique vincular fuentes externas de Google sin autorización.

No se vuelve más plástico al cargar videos de YouTube:

Se cargan numerosas archivos de las dominios youtube-nocookie.com, ytimg.com y ggpht.com.
Las fuentes de Google se cargan desde el dominio gstatic.com.
El rastreador de publicidad DoubleClick se carga desde el dominio doubleclick.net.
Youtube envía datos a un servidor de Google después de cargar la página.
DoubleClick envía en intervalos indeterminados datos a un servidor de Google.

Todo el mundo tendrá que admitir que se trata de una transferencia de datos evitable. Por tanto, el interés legítimo queda descartado en este caso.

Después del sentencia del TJUE sobre el Privacy Shield, debe haberse extendido la noticia de que el traslado de datos a Estados Unidos y otros países terceros inseguros no puede ser protegido, incluso con la ayuda de cláusulas contractuales estándar o Reglas vinculantes para empresas.

Soluciones de consentimiento centradas en cookies parecen preguntar con frecuencia solo por una consentimiento para cookies. El usuario debería, sin embargo, incluirse a sí mismo en el servicio. Google Analytics, por ejemplo, establece tres cookies en muchas configuraciones. No tiene sentido preguntar por un consentimiento para estas tres cookies. Lo correcto sería preguntar por un consentimiento para el uso de Google Analytics. A este servicio se le explicaría que utiliza tres cookies. Este detalle puede realizarse en una etapa posterior.

Consulta de consentimiento para Google Analytics en cookiebot.com/es (a partir del 03/02/2021)

La imagen muestra tres cookies que se les asigna al Google Tag Manager. Esta asignación es incorrecta. El administrador de etiquetas se menciona aquí como proveedor, no como servicio. La denominación real del proveedor falta obviamente. La asignación es incorrecta porque el administrador de etiquetas tunela otros servicios y por lo tanto también sus cookies gestionados.

En ningún caso se consulta si el usuario acepta o no Google Analytics. En el caso de esta herramienta, la finalidad no se indica en la consulta de consentimiento. Por tanto, el consentimiento informado no es posible. El error en el centrado de las cookies es especialmente evidente en los vídeos incrustados de YouTube. Cualquiera que explique las cookies que se establecen cuando se integra el script de YouTube asociado no ha explicado la finalidad del script de YouTube. Esto puede demostrarse muy bien por el hecho de que el script de YouTube también puede cargarse sin cookies.

5. La falta de un enfoque de protección de datos

Muchas personas conocen que, además de la solicitud de consentimiento, también es importante la política de privacidad. A muchos les viene a la mente el certificado SSL, ya que a menudo se incluye en el plan de alojamiento web. Algunos olvidan redirigir al visitante a la versión SSL cuando accede a una página sin https.

El enlace a la política de privacidad no está disponible en todas las páginas de inicio de un número considerable de sitios web, estimo que es el 75%.

Muchos siguen incrustando vídeos de YouTube de tal forma que las cookies entran en juego. Esto no tiene por qué ser así, porque el remedio es sencillo.

Todos estos puntos y otros más no son tenidos en cuenta por las Herramientas de Consentimiento, pero son importantes por motivos legales.

Extra: 5+1: cancelación a menudo no posible

Las cookies técnicas de terceros son cookies que existen en un dominio de un proveedor de herramientas que no es el mismo que el del sitio web visitado. El operador del sitio web no tiene control técnico sobre el dominio de terceros. Esto significa que las cookies de este dominio sólo pueden eliminarse (¡cancelación por parte del visitante de un sitio web!) si el proveedor de la herramienta ofrece una interfaz para ello. Esta interfaz a menudo no existe. Por lo tanto, la revocación no es objetivamente posible. Si, excepcionalmente, el proveedor de la herramienta ofrece la interfaz de cancelación, el responsable del tratamiento (operador del sitio web) tendría que llamarla explícitamente. Desgraciadamente, esto ocurre tan raramente en los pocos casos posibles que apenas es necesario hablar de ello.

Ejemplo: Plugin de video de YouTube (supuestamente sin cookies con el dominio youtube-nocookie.com). El plugin establece un cookie llamado CONSENT en contra del nombre de dominio. Este cookie solo puede ser eliminado por el proveedor de YouTube mismo. Hasta mi conocimiento, YouTube no ofrece ninguna interfaz para ello. Por lo tanto, el plugin de video de YouTube no puede utilizarse de manera legalmente correcta, porque la revocación según Artículo 7, apartado 3 RGPD es imposible. Que el Player de YouTube sea obligatorio por consentimiento, tiene otros motivos además del cookie.

Conclusión

Como anuncié al principio, pude demostrar y probar lo siguiente:

No se puede impedir de forma fiable el proceso de carga de las herramientas que requieren consentimiento
Las herramientas que no utilizan cookies no pueden ser reconocidas de forma fiable por un sistema automático. Ninguna de las herramientas de consentimiento que conozco hace un intento significativo en este sentido, probablemente por miedo a bloquear un archivo que es funcionalmente importante para el sitio web
Cada uno de ustedes tiene diferentes cookies almacenadas en su dispositivo final. Ninguno de los escáneres de cookies más utilizados puede averiguar de qué cookies se trataLas cookies no pueden reconocerse de forma fiable y, por lo tanto, no pueden tratarse de forma legalmente segura
Los fines de los servicios y las cookies no se conocen legalmente para la mayoría de las herramientas populares
Centrarse en las cookies en la consulta de consentimiento es un error
Además de la cuestión del consentimiento, existen otras muchas normas aplicables a los sitios web

Mi recomendación: evite preguntas de consentimiento en la medida de lo posible. Aquí una breve ayuda (es más detallado en mis otros artículos):

Omitir herramientas que no son realmente necesarias
Sustituir herramientas como Google Maps y otras por alternativas
- Google Maps: Botón "Planificar ruta"
- Google Analytics: Matomo
- Vídeo de YouTube o Vimeo: vídeo local o imagen de previsualización con salto a la plataforma de vídeo
- Google reCAPTCHA: Otra solución, como el plugin de WordPress para Contact Form 7