OneTrust es una supuesta solución de consentimiento para sitios web. El proveedor procede de EE.UU. o del Reino Unido, no lo sabemos muy bien. La herramienta tiene otros escollos además del problema de la ubicación. CookieLaw y Optanon son derivaciones de OneTrust.
Introducción
Un herramienta de consentimiento, a menudo también denominada como Consentimiento de Cookies, se incorpora en una página web para cumplir con las normas de protección de datos. Hasta donde llega la teoría. En la práctica es diferente. Esto es especialmente cierto para OneTrust, porque el proveedor parece tener un sitio web flexible.
OneTrust tiene sin embargo muchas más debilidades. Antes de empezar: utilizar este herramienta promete casi una página web ilegal. A continuación, explicaré qué se entiende con eso.
OneTrust parece haber adquirido hace tiempo a los proveedores Optanon y Cookie Law. Los tres proveedores de entonces están hoy en día, según mi impresión, unidos bajo OneTrust. Esto se puede ver, entre otras cosas, en las archivos que utiliza el herramienta de consentimiento.
Una investigación de todos los herramientas de consentimiento que conozco he realizado hace unas semanas y Cookiegeddon se la he puesto así porque el resultado ha sido un desastre.
Solicitud de consentimiento flexible
De manera similar que con el conglomerado Google, no se sabe muy bien qué empresas procesan los datos que se les confían. Como se mencionó anteriormente, OneTrust nombra dos ubicaciones, pero no menciona directamente a la persona principal responsable. La ubicación en EE. UU. es altamente problemática (país tercermundista, véase artículo 44 RGPD). La ubicación en el Reino Unido tampoco es la mejor desde que se produjo el Brexit, especialmente cuando se trata de derechos de privacidad. En este momento hay una moratoria establecida. Como sigue después de esto, nadie lo sabe. Actualización: El Reino Unido recibió un acuerdo de adecuación de la UE. Sin embargo
No es tan flexible como la ubicación del proveedor, pero sí lo es la solicitud de consentimiento en sí misma. OneTrust utiliza una llamada denominada Geolocación para determinar de qué país probablemente proviene el visitante actual de la página web. Para ello se llama a la dirección https://geolocation.onetrust.com/cookieconsentpub/v1/geo/location en algunas versiones de OneTrust. Los datos que se determinan mediante geolocalización y se transmiten a la página web recién visitada son, sobre todo:
Esto por sí solo parece cualquier cosa menos respetuoso con la privacidad y no inspira precisamente confianza en una herramienta de consentimiento. La localización fue bastante exacta en mi prueba, aunque no muy precisa. La ubicación determinada estaba a unos 12 kilómetros de mi ubicación real en línea recta.
El 20 de enero de 2021 al menos, la Comisión Europea ha impuesto una multa de 7,8 millones de euros debido a prácticas ilegales de Geoblocking.
Si el usuario proviene de Alemania, recibe una solicitud de consentimiento completa. Con "completa", se refiere a que OneTrust hace todo lo que es posible con la herramienta. Y eso lamentablemente no es mucho.
Si el usuario supuestamente proviene de ciertos países distintos, es posible que no se le solicite su consentimiento en absoluto. Esto sería ilegal en sí mismo y crearía graves problemas de privacidad, como fácilmente se puede demostrar. No pude reproducir la emisión país-dependiente con precisión, pero puedo suponerlo. En cualquier caso, la geolocalización detallada de un usuario mediante una herramienta de consentimiento es altamente cuestionable en sí misma.
Si se accede a una página web manipulada por OneTrust en el navegador Tor Browser, que es amigable con la privacidad, no aparece la solicitud de consentimiento. Es posible que esto no se deba al país que el Tor Browser simula ante el herramienta de consentimiento, sino a una configuración de seguridad del navegador:
Una solución de consentimiento debe diseñarse de manera que, incluso si la "solución" no funciona, se encuentre una página web conforme a la RGPD. En el peor de los casos, en realidad no debería cargarse ningún herramienta. Con OneTrust, sin embargo en el peor de los casos no se carga la herramienta de consentimiento, lo que lleva a que se carguen todas las herramientas obligatorias de consentimiento directamente. El llamado bloqueador de cookies está destinado a cargar herramientas problemáticas y no a reducir problemas existentes.
La razón es que OneTrust se coloca "encima". En lugar de adaptar las instrucciones de carga en la página web para herramientas integradas, se intenta suprimir artificialmente el cargado de herramientas. Si luego falta el supresor (la herramienta de consentimiento), tampoco se suprime nada.
No hay excusas para ello. Todo sitio web debe diseñarse de tal manera que se excluyan desde el principio las transferencias de datos no autorizadas hasta nuevo aviso.
¿Recuperación de datos de un tercer país inseguro?
Además, se consulta la dominio onetrust.com para montar el cuadro de diálogo de consentimiento. Esto parece variar según la versión o instalación de OneTrust y probablemente esté relacionado con la ambigüedad del herramienta (ver arriba: Optanon, Cookie Law).
Según la búsqueda de WHOIS, el dominio onetrust.com está registrado en una empresa con sede en Panamá:
Para la dominio se utilizó un llamado WhoisGuard que oculta la identidad real del propietario de la dominio. Por lo tanto, en caso de duda, es responsable el titular de la página web, quien utiliza OneTrust. Ver Artículo 12 RGPD (información transparente). Mucho disfrute al intentar descubrir quién es el propietario del dominio onetrust.com, si alguien alguna vez pregunta y solicita una respuesta.
En cualquier caso, según https://www.onetrust.com/, el dominio está asociado a la empresa OneTrust, LLC (ver nota de pie de la página web). La forma jurídica indica que se trata de una empresa estadounidense.
Traslados de datos a los EE.UU son ilegales sin consentimiento. Ver Artículo 44 RGPD así como el sentencia del TJUE sobre Privacy Shield.
Cuando se accede al sitio web onetrust.de, se carga Google Tag Manager sin consentimiento (a partir de: marzo de 2022). Esto me parece inapropiado en vista del excesivo procesamiento de datos de Google.
Ley de Cookies
Un derivado de Onetrust es Cookie Law. La herramienta parece haber sido asumida por OneTrust y técnicamente es en gran parte idéntica a OneTrust. Al acceder a una página web que utiliza Cookie Law, se solicita la dirección IP 104.16.148.64 para cargar los scripts de Cookie Law. Un servicio de localización de direcciones IP sitúa esta dirección de red como:
Obviamente se está realizando un acceso a datos que, en conexión con los EE.UU., un tercer país inseguro, es problemático sin consentimiento según el artículo 44 de la RGPD.
Si se requiere consentimiento para una solicitud de consentimiento, entonces el beneficio del servicio para la solicitud de consentimiento que requiere consentimiento es cercano a cero.
La ventana de consentimiento de OneTrust
La apariencia y el contenido de OneTrust pueden personalizarse. He elegido un ejemplo al azar que tiene este aspecto:
En mi prueba práctica de herramientas de consentimiento populares, hay dos ejemplos más a OneTrust
Aviso de cancelación
Como puede ver, el tamaño de la fuente es bastante pequeño y la cantidad de texto en la primera imagen es bastante grande. Esto podría ser criticable (si alguna vez se ve ante un tribunal o tiene que tratar con una autoridad de control). En cualquier caso, está escrito:
Puedes establecer tus preferencias de cookies, que puedes cambiar en cualquier momento, mediante las teclas adjuntas a continuación.
No se trata de un aviso de cancelación jurídicamente seguro:
- Los "botones adyacentes" ya no están ahí después de haber dado su consentimiento, porque la ventana se cierra después de todo
- Para mí, cambiar y cancelar son dos cosas diferentes
- Donde el rechazo puede ser llamado no se menciona, pero según Artículo 7 de la RGPD es obligatorio.
Rechazar en lugar de consentir
Como se puede ver en el popup de consentimiento, no es posible rechazar directamente. Esto solo lo considero como ilegal. Ver Artículo 4 Número 11 RGPD y el Fundamento de Consideración 42: "Se debe suponer que ha dado su consentimiento de manera voluntaria si tiene una verdadera o libre elección y, por lo tanto, puede negar o retirar su consentimiento sin sufrir perjuicios".
Información insuficiente
Hay tantas afirmaciones falsas y tergiversaciones que aquí sólo puede seguir una selección. Ejemplo uno:
¿Quién podría ser el Proveedor de __cfduid? A lo que yo sé, onetrust.com no es una indicación de empresa.
¿Es realmente un cookie, un servicio o un Cosa el __cfduid? Por justicia debe decirse que la información solo aparece después de hacer clic en Mostrar cookies. Se refieren entonces a los cookies. ¿Pero qué es entonces el servicio (la herramienta) al que pertenece el cookie?
¿Qué significa "4 años"? Lo entiendo, pero un ciudadano que habla alemán no necesita saber inglés.
La Descripción tampoco está disponible en inglés.
¿Qué significa "Tercera parte", solo lo sabe alguien que se dedica a la protección de datos. ([1])
Ejemplo número dos:
No estoy seguro de si el nombre S es correcto. Un cookie de Google con este nombre no lo he visto antes. Con la solicitud de contacto, en caso de que exista oficialmente este cookie.
Faltan nuevamente las descripciones del proveedor y el propósito. En lugar de escribir Sitzung, se utiliza el término inglés Session.
También falta información sobre si los datos se transfieren a terceros países no seguros, así como información sobre el servicio asociado.
En este sentido casi cualquier explicación de OneTrust puede ser criticada. Estoy siendo tan estricto en este punto como creo que lo sería también en un juicio.
Carga de herramientas sin consentimiento
La coronación para un herramienta de consentimiento: La página web supuestamente protegida carga una herramienta sin consentimiento, que requiere consentimiento. Lo peor es cuando la herramienta de consentimiento incluso solicita consentimiento para una herramienta y se carga sin consentimiento. Un ejemplo de esto es un script de video de YouTube cargado, incluso con cookies. El problema con las cookies podría haberse evitado fácilmente…
Conclusión
OneTrust sucks y hace más daño que beneficio, es mi opinión. Esto lo escribo también porque el proveedor mismo no logra hacerlo con su propio herramienta. Aquí está la prueba para la página web onetrust.de, que después de seleccionar el idioma alemán se llama onetrust.com:
La captura de pantalla muestra al menos las siguientes deficiencias:
- El cookie _ga se clasifica como cookie de primer nivel. Eso es solo desde un punto de vista técnico correcto y a nadie más que a mí y a unos pocos otros les interesa. En lo que respecta al derecho de protección de datos, el cookie se utiliza por Google Analytics.
- Estamos en la página web en alemán. A pesar de ello, las descripciones están sobre todo en inglés.
- La designación de los proveedores falta nuevamente
- La descripción falta, porque está en inglés y por lo tanto es incomprensible para un lector alemán
- Las informaciones son confusas: 1 año, Primera Parte
Difícilmente se puede hacer mucho más mal en una investigación de consentimiento.
Sucursal de OneTrust
La ley de Optanon y Cookies parece haber sido asumida por OneTrust y es técnicamente casi igual a OneTrust.
Según mis observaciones, la única diferencia estriba en los detalles técnicos de la llamada inicial de la herramienta de consentimiento. Cada una de las tres ramas utiliza su propio número de identificación y su propio tipo de implementación técnica para definir esta identificación.
Aquí dos ejemplos. Primero la definición de la ID del cookie de Cookie Law, como se le llama a menudo:
consent2.setAttribute('data-domain-script', 'xxxxxxxxx-xxxx-xxxx-xb97-xxxxxxxxxxxx');
En lugar de los x-caracteres, en la identificación real se codifican números hexadecimales.
Para Optanon por otro lado, la implementación técnica de la ID es así:
<script type="text/javascript" src="[https://cdn.cookielaw.org/consent/xxxxxxxx-xxxx-xxxx-x752-](view-source:https://cdn.cookielaw.org/consent/d5bb5995-9e5d-4971-a752-c49709ede890-test/OtAutoBlock.js)xxxxxxxxxxxx\-test/OtAutoBlock.js"></script>
Para Cookie First hay, por cierto, una cierta semejanza, aunque los datos principales parezcan estar estructurados de manera diferente a como lo están en OneTrust. La ID tiene al menos la misma estructura.
<script src="[https://consent.cookiefirst.com/banner.js](view-source:https://consent.cookiefirst.com/banner.js)" data-cookiefirst-key="xxxxxxxx-xxxx-xxxx-x225-xxxxxxxxxxxx"></script>
Después de que se haya establecido la ID, sea como sea, se recuperan los datos para mostrar el popup de consentimiento. Parece ocurrir siempre de la misma manera. Los contenidos de retorno y la estructura del resultado fueron siempre iguales en mis pruebas con las ramas de OneTrust.
Todo lo que aplica a OneTrust, según mi experiencia, también es aplicable a Optanon y Cookie Law. La lógica de mi herramienta, que puede leer automáticamente las preguntas de consentimiento en una página web, es igual para estas dos variantes, siempre y cuando se haya determinado la ID del cookie.
Conclusión
Si utiliza OneTrust en su sitio web, se le ha aconsejado mal o tuvo mala suerte buscando. Por suerte, casi cualquier error puede corregirse. Lo mejor es ajustar la página web y eliminar OneTrust.
Después de eso vale la pena pensar en qué herramientas realmente se necesitan todavía..
¿Quieren ustedes investigar si su herramienta de consentimiento cumple con la ley? Entonces, por favor, consulten mi lista de comprobación para preguntas de consentimiento en sitios web.
Si deseas ahorrar tiempo, lee primero el artículo cinco razones por las que los pop-ups de cookies no pueden ser confiables. Allí encontrarás hechos y pruebas para esta afirmación.
Pronto habrá una herramienta que podrá utilizarse para generar una consulta de personas afectadas para sitios web con herramientas de consentimiento. Esta consulta contendrá todos los defectos detectados, así como los textos cuestionables. En el caso de las soluciones de consentimiento más conocidas, la herramienta ofrece una consulta del afectado bien fundamentada, incluida la base jurídica necesaria, prácticamente con solo pulsar un botón.
Me llamo Klaus Meffert. Soy doctor en informática y llevo más de 30 años dedicándome profesional y prácticamente a las tecnologías de la información. También trabajo como experto en informática y protección de datos. Obtengo mis resultados analizando la tecnología y el Derecho. Esto me parece absolutamente esencial cuando se trata de protección de datos digitales.