¿Qué son las herramientas de consentimiento y por qué se evalúan críticamente?

Las herramientas de consentimiento son herramientas que los propietarios de sitios web deberían utilizar para obtener el consentimiento de los usuarios para las cookies y otros métodos de seguimiento. El artículo critica estas herramientas porque a menudo no cumplen con el RGPD y pueden conducir a falsos consentimientos, lo que puede generar problemas legales.

¿Qué información es relevante en el dispositivo del usuario en el contexto del Reglamento de Privacidad e Información?

La Directiva ePrivacy exige que para el acceso a la información almacenada en el dispositivo del usuario, se requiera un consentimiento. Esto se aplica especialmente cuando no existen intereses legítimos, como la gestión de cuentas de usuario. La dirección IP no es suficiente según la Directiva.

¿Qué es 'Cookiegeddon' y por qué se le llamó así?

“Cookiegeddon” es el nombre que el autor ha elegido para la crítica de las herramientas de consentimiento. Este nombre refleja las vulnerabilidades y la falta de conformidad de estas herramientas con el Reglamento de Privacidad e Información (ePrivacy), que pueden conducir a posibles violaciones de la protección de datos.

¿Por qué las herramientas de Google podrían ser potencialmente obligadas a obtener consentimiento?

Herramientas de Google, como Google Maps o reCAPTCHA, son de consentimiento obligatorio porque un solo sitio web en su dominio puede generar cookies, lo que potencialmente hace que la transferencia y el procesamiento de datos sean de consentimiento obligatorio.

¿Qué significa la afirmación de que las cookies no son archivos de texto?

La declaración significa que las cookies no se consideran como archivos de texto tradicionales en el sentido de las regulaciones de protección de datos, sino más bien como un mecanismo que permite la recopilación y el procesamiento de datos, independientemente de si se almacenan explícitamente como archivos de texto.

¿Qué papel juegan los archivos externos como fuentes o videos?

Los archivos externos, como fuentes, imágenes, vídeos y bibliotecas JavaScript, también pueden requerir consentimiento cuando se utilizan en combinación con una herramienta de Google y potencialmente hacer que la transferencia y el procesamiento de datos requieran consentimiento.

¿Por qué es relevante el rompecabezas para la privacidad, como se describe?

El rompecabezas sirve como metáfora para ilustrar la necesidad de paciencia, un compromiso intenso y un análisis detallado para comprender y resolver de manera integral las cuestiones de privacidad.

¿Qué estrategia se recomienda para resolver rompecabezas y evitar errores?

Se recomienda centrarse en uno o dos criterios a la vez para facilitar la resolución de rompecabezas y minimizar la probabilidad de errores. Un enfoque sistemático es fundamental.

Sichere KI, digitaler Datenschutz & Website-Compliance

Un clásico rompecabezas para resolver puede tener también consecuencias en la protección de datos. ¡Lea aquí por qué!!

Recientemente he llegado a algunas conclusiones importantes y trascendentales sobre la protección de datos en Internet. Para mí, estas ideas son las más notables a las que he podido llegar personalmente en los últimos tiempos. Por lo que sé, algunas de estas ideas no se conocen en absoluto o se conocen muy poco.

¿En qué consistieron estas tomas de conciencia y cómo se produjeron?

Hallazgos

Comencé mi larga investigación sobre herramientas de consentimiento . Sometí a prueba práctica todas las herramientas de este tipo que considero ampliamente utilizadas. El documento final tiene más de 90 páginas DIN A4 de largo. Además, revisé sitios web que utilizan los llamados "pop-ups de cookies". En este punto me resultó difícil realizar una evaluación legal. Sin embargo, se obtuvieron tantos hallazgos que podrían considerarse como defectos, que le di al resultado el nombre Cookiegeddon. ([1])

La investigación la envié a la organización benéfica Organización de protección de datos noyb. noyb es la abreviatura de None Of Your Business, lo que significa "No te importa". Poco después me preguntaron si era posible una videocónferencia. El equipo de noyb, incluidos abogados, necesitaban ayuda para evaluar las condiciones técnicas, que son la regla en sitios web.

El abogado me preguntó qué información se almacena en el dispositivo del usuario final. La respuesta a esta pregunta es fundamental, porque la directiva de privacidad de e- en el artículo 5 apartado 3 lo formula como criterio para una obligación de consentimiento. De esta discusión breve y otras investigaciones se derivaron momentos de sorpresa. Después de eso, me resultó fácil realizar una evaluación técnico-jurídica de hechos importantes en sitios web.

Las cookies no son archivos de texto

Los cookies no son archivos de texto: Esta afirmación parece lapidaria, pero dice mucho sobre el mercado del protección de datos en Alemania. Algunos pocos, que se consideran competentes, emiten una recomendación o hacen una declaración. Todos los demás, parece ser, confían casi ciegamente a estos Experten y escriben lo que se les ha dado a entender.

Así era también con los cookies. En casi todas las declaraciones de protección de datos había y hay una afirmación falsa sobre los cookies: Los cookies se equiparan a archivos de texto. Dado que esto nunca fue cierto y hoy en día es aún más falso, lo demuestra mi contribución sobre cookies. Los cookies no son archivos de texto. Los cookies son conjuntos de datos.

Aunque allí demostré que las cookies no son archivos de texto, tuve que entrar en discusión con alguien que todavía se aferra a esta creencia. La persona, a la que conozco a medias por una larga llamada telefónica y varios correos electrónicos, sólo cree esto, supongo, porque es conveniente. Habría que corregir demasiadas declaraciones incorrectas de protección de datos si se admitiera este error. Creo que está bien admitir el error. Al fin y al cabo, yo también lo había copiado incorrectamente. Para asegurarme de que no me vuelva a ocurrir, llevo tiempo investigando intensamente y denunciando la información falsa con pruebas. El planteamiento de las pruebas también viene del hecho de que ya no quiero tener que lidiar con tediosas discusiones y actuar como demandante cuando alguien comete infracciones contra la protección de datos.

Insight: Información almacenada en el dispositivo final del usuario

La directiva de privacidad estricta se basa en el artículo 5, apartado 3, en que es necesario la autorización para acceder a información almacenada en el dispositivo del usuario. Esto es aplicable siempre y cuando no haya un interés legítimo, lo cual debería ser citado únicamente si se trata de la gestión de usuarios registrados o funciones básicas similares.

Mi objetivo era descubrir qué información se almacena en el dispositivo del usuario. Al investigar, me di cuenta de que no es la dirección IP, al menos no según la Directiva ePrivacy. En este proceso también me di cuenta de que los cookies no son archivos de texto y por eso la Directiva ePrivacy se llama también Directiva de Cookies.

Realización: La catástrofe de las Cookies

La catástrofe de las cookies provocará el colapso de las herramientas de consentimiento populares, al menos eso espero. Los conocidos proveedores de herramientas de consentimiento suelen pretender que los sitios web pueden ajustarse al RGPD con sus herramientas milagrosas. Puede que así sea en muy contadas ocasiones. Estos casos se caracterizan principalmente por el hecho de que se utilizan muy pocas herramientas fáciles de gestionar. Un ejemplo de herramienta fácilmente manejable es Matomo, preferiblemente en una instalación local.

Tan pronto como una página web utiliza herramientas de Google, Facebook, Vimeo, Adobe u otras empresas de esta categoría, estas herramientas no pueden funcionar con precisión. Las razones por las que esto sucede son en parte incluso demostrables y se pueden leer en mi artículo sobre Cookie Popups.

Además de esta demostración teórica, he llevado a cabo la prueba práctica del fracaso de todas las herramientas de consentimiento que conozco y Cookiegeddon es el nombre que le he puesto. En mi prueba práctica de bloqueo de cookies, entre otras cosas, se examinaron sitios web de grandes empresas y los proveedores de dichas herramientas de consentimiento. Todos fracasaron lamentablemente, según mi conclusión, lo cual es demostrable (solo por eso, porque no todos estarían contentos si yo dijera algo así).

Quien quiera saber cuán difícil o imposible es crear una solicitud de consentimiento conforme a derecho, debería ver mi lista de comprobación para solicitudes de consentimiento en sitios web.

Si alguien quiere un ejemplo práctico del fracaso de los servicios y abogados más conocidos y considerados creíbles, debería leer mi artículo sobre el Google Tag Manager. Allí demuestro, con la ayuda de un video, que el Google Tag Manager no es una dominio cookieless. Por el contrario, es un herramienta – algo en lo que se podría haber llegado sin mí. Además, no es cookieless – eso es más difícil de entender, pero debería ser conocido por los expertos en privacidad para sitios web. ¿Por qué a los abogados se les considera expertos aquí, es y sigue siendo un gran misterio para mí.

Insight: Requisito de consentimiento para las numerosas herramientas de Google & Co.

Objetivamente se puede demostrar que muchos herramientas de Google incluyendo Google Maps y Google reCAPTCHA, pero también los videos Vimeo integrados, requieren necesariamente una autorización. Esto no es mi opinión personal, sino algo que se puede demostrar o deducir técnicamente y legalmente. Me he hecho confirmar mi razonamiento con un abogado de IT. También Google Analytics en su configuración estándar cae necesariamente bajo la obligación de autorización. Ya no tienen que justificarse a través de referencias a las opiniones de las autoridades de protección de datos. Simplemente demuestrenlo después de estudiar mis contribuciones.

Insight: Requisito de consentimiento para Google Fonts y otros archivos auxiliares

La obligación de consentimiento para Google Fonts se puede derivar claramente de Artículo 5 RGPD, la minimización de datos, la minimización de datos. Quien traiga el argumento de velocidad debería utilizar un servidor de archivos propio o alquilar un CDN conforme a la RGPD. Lo mismo se aplica a cualquier otra clase de archivos auxiliares que no estén en un servidor de terceros con el cual se haya cerrado un contrato de procesamiento de datos válido, etc. Por archivos auxiliares entiendo aquí las siguientes archivos externos:

Fuentes
Fotos
Archivos de estilo (CSS)
Vídeos
JavaScript-Bibliotheken

También los videos de YouTube sin cookies requieren una autorización debido al principio de minimización de datos. Nadie puede explicar de manera creíble que se producen numerosos intercambios de datos a varias direcciones (dominios) sin reproducir un video incorporado. Exactamente lo mismo se puede demostrar si se insertan videos de YouTube mediante un script.

Los puzzles agudizan los sentidos (la imagen se ha traducido automáticamente).

Resumido

Mis conclusiones de las últimas semanas son:

Las cookies no son archivos de texto. Desmiento así una idea errónea muy extendida
Las herramientas de consentimiento no funcionan en la práctica. Esto refuta lo que cientos de miles de operadores de sitios web creen que es cierto
Las herramientas de consentimiento no funcionan en teoría
En el sentido de la Directiva sobre la privacidad y las comunicaciones electrónicas, las cookies se almacenan principalmente en el dispositivo final del usuario, pero no la dirección IP
Todas las herramientas están potencialmente afectadas por las cookies. Basta un solo sitio web en todo el mundo para que una cookie de este tipo entre en juego
Las herramientas más populares para sitios web requieren consentimiento obligatorio
La transferencia de datos a terceros países no seguros no suele ser un argumento a la hora de decidir si una herramienta requiere consentimiento
Las solicitudes de consentimiento difícilmente pueden hacerse con seguridad jurídica

Me parece extraordinario. Si usted no lo ve así, escríbame. Estoy abierto a argumentos.

El camino hacia la realización

¿Qué relación tiene todo esto con los rompecabezas? Al principio, nada en absoluto. La pregunta que me vino a la mente fue: ¿Cómo llegué a estas conclusiones y a las pruebas correspondientes, o por qué justo ahora y no antes? Finalmente, me he dedicado intensivamente al protección de datos digitales durante varios años.

Tarda mucho tiempo en entender todas las disposiciones legales. Entre otras cosas, tuve que estudiar algunas condiciones de uso de herramientas como Google reCAPTCHA para poder seguir adelante.

Al parecer, hay que tratar un tema complejo durante más tiempo antes de que surjan nuevos pensamientos y percepciones.

Desafío con un tercero que quiere saber exactamente

Lo que sin duda fue útil fue la conversación con un abogado de noyb, que me interrogó para entender mejor los tecnicismos de los sitios web. Para él era importante para preparar una denuncia contra un infractor en materia de protección de datos. Teníamos la misma opinión: creer algo y poder demostrarlo son dos cosas distintas. Por eso retomé su pregunta sobre el enlace de vídeo y la respondí lo mejor que pude. Eso bastó para poner fin a la pregunta.

Como responsable de la protección de datos o persona interesada en la protección de datos, probablemente esté familiarizado con esta situación: usted personalmente está bastante seguro de que algo no es correcto e infringe las normas de protección de datos, pero no puede hacerlo plausible a su contraparte (cliente, interlocutor, objetor de protección de datos, …).

Me gustaba mucho la situación anterior. Ahora se ha alcanzado un estado en el que ya no es necesario discutir. La situación de hecho es abrumadora. Queda por ver qué traerá la nueva versión de la directiva e-privacidad, que muestra tanto una evolución positiva como algunos retrocesos. Por lo menos, tendrá que pasar un tiempo hasta que se alcance un acuerdo sobre la nueva versión de la directiva y entre en vigor.

Pero incluso después de eso, algunos hechos siguen siendo válidos:

Debe proporcionarse información transparente, fácilmente comprensible y completa sobre todas las operaciones de tratamiento.
El acceso a la información del dispositivo final del usuario (normalmente a través de cookies) sólo se permite dentro de unos estrechos límites.
Las cookies no son archivos de texto y nunca lo serán.
Para que las herramientas de los proveedores más conocidos estén sujetas a cookies y, por tanto, potencialmente sujetas a consentimiento sólo por este motivo, basta con que haya un único sitio web en el dominio de la herramienta en todo el mundo que genere cookies. Esto nunca se repetirá lo suficiente, porque las implicaciones de esta afirmación están sacudiendo todo el mercado de las cookies.

Los puzles agudizan la percepción y la capacidad de combinación

Pasemos ahora a los enigmas y a la conexión con la protección de datos.

Cuanto más tiempo trabaje en un puzzle concreto, más probable será que sea capaz de reconocer directamente las diferencias de color más sutiles. Lo que parecía impensable al principio se convierte en algo natural al cabo de unas horas. Así me ocurrió también cuando intenté derivar la obligación de obtener el consentimiento para Google Analytics y otras herramientas de forma estanca, lo que finalmente conseguí. Me llevó algunas semanas y más de 100 páginas A4 de texto presentar los resultados de mi investigación.

No estoy seguro de si los rompecabezas agudizaron mis sentidos, si fue por casualidad o por trabajo duro. En cualquier caso, estoy seguro de que los rompecabezas ayudan mucho a agudizar la mente y las habilidades perceptivas. En cualquier caso, recomiendo encarecidamente esta actividad complementaria.

Si también se interesan por otras cosas aparte del protección de datos y quieren empezar a resolver acertijos, aquí hay algunas Consejos para resolver acertijos:

En realidad, el puzzle consiste en descomponer un problema complejo en subproblemas manejables. Armar un rompecabezas significa descomponerlo deliberadamente y luego volver a armarlo.
En condiciones de iluminación muy buenas, la intuición suele triunfar sobre el ensayo y error mecánico (análogo a jugar al golf).
Primero encuentra las piezas de borde.
Las piezas de los bordes se encuentran más rápidamente si se les da la vuelta.
Ordena las piezas del puzzle por colores o zonas.
Después de mirar unas cuantas piezas, puedes ver qué colores y dibujos son lo bastante comunes, pero no demasiado, como para ponerlos en una pila (o uno al lado del otro; las pilas son una mala idea para las piezas de puzzle).
Probablemente sólo los profesionales absolutos son capaces de llevar a cabo un proceso de clasificación complejo casi sin errores. Por eso recomiendo centrarse sólo en uno o dos criterios a la vez para evitar confundirse. Por ejemplo, primero hay que encontrar las piezas de los bordes, luego ordenar los colores y no ambas cosas a la vez. Esta es sin duda la estrategia equivocada para un campeonato mundial de puzles. Para el común de los mortales, es más divertido y produce menos errores que destruirían la productividad obtenida inicialmente.
Los recipientes de plástico son adecuados para clasificar, al igual que las tapas de los puzles (no utilices la tapa con la imagen de portada del puzle actual, a menos que te gusten los retos).
Las piezas del puzzle se reconocen mejor en hojas de papel blanco. Formato A3 o superior.
Si una pieza de puzzle encaja muy bien, aunque al final no encaje, hay una alta probabilidad de que encuentre su lugar definitivo cerca de la ubicación supuesta.
Dependiendo de la calidad del puzzle, puede ocurrir incluso que las piezas de los bordes sólo encajen en una posición.
Los puzzles inacabados se pueden transportar en hojas de papel de material para artistas. Para ello, coloque el puzzle sobre una hoja de este tipo, o utilice cartón o un lienzo de artista. Las esteras para puzzles suelen ser demasiado caras.
La mejor opción es una lámpara de pie. Si sólo dispone de una lámpara de pie, colóquela sobre la mesa de modo que la distancia entre la lámpara y la superficie del puzzle sea la mayor posible.
Empieza resolviendo rompecabezas de 500 piezas, luego rompecabezas de 1000 piezas. O empieza directamente por parejas con un puzzle de 1000 piezas
Además del color de una pieza, el diseño de las protuberancias y salientes suele ser un buen criterio de distinción. A veces sólo se puede encontrar una pieza porque tiene una forma especialmente distintiva.
Al final del juego, cuando sólo quedan unas pocas piezas, es útil ordenarlas según su forma básica. Hay seis formas básicas para las piezas del puzzle.

¿También se dedica a los rompecabezas? Me encantaría que me lo contaras, así como tus experiencias con la protección de datos o sugerencias de artículos. En breve publicaremos un artículo sobre cuándo puede tener sentido utilizar herramientas de consentimiento. Sin embargo, debería abstenerse de utilizar las conocidas herramientas de cookies. Pronto pondré a su disposición una gratuita que es más eficaz y honesta que las promesas publicitarias que probablemente todos conozcan.

Por cierto, recomendaría a las tiendas de puzzles más conocidas que echaran un vistazo muy crítico a sus sitios web en lo que respecta a la normativa sobre protección de datos. Puede que pronto alguien se ponga en contacto con ellas y, en el mejor de los casos, les pida información sobre los procedimientos de tratamiento de datos. Pronto estará disponible una herramienta para este fin, con la que se podrán crear este tipo de solicitudes de forma casi automática para muchos sitios web.