-
Cookieyes.com, un sitio dedicado a proporcionar soluciones de consentimiento GDPR / CCPA, obviamente tiene un banner de cookies excelente y mínimamente invasivo.
-
El banner de cookies de Guardian es un poco más desagradable: usa colores más atrevidos, es mucho más prolijo y consume un espacio de pantalla significativo hasta que se resuelve.
-
El UK Times tiene un banner de cookies particularmente desagradable: bloquea la mayor parte del contenido del sitio hasta que se resuelve. Tampoco hay una opción de «simple denegación» de simplemente hacer clic en una X.
El Reglamento general de protección de datos de la Unión Europea (GDPR), aprobada en 2018, requiere que los sitios web soliciten el consentimiento de los visitantes antes de colocar cookies. Como cualquier usuario de Internet ya sabe, esto significa que se necesita un paso adicional cuando se visita casi cualquier sitio web por primera vez, o potencialmente cada si elige no aceptar cookies. Un nuevo estándar HTTP propuesto de No es asunto tuyo y el Laboratorio de Computación Sostenible permitiría al usuario establecer sus preferencias de privacidad una vez, dentro del propio navegador, y hacer que el navegador comunique estas preferencias de forma invisible con cualquier sitio web que visite el usuario.
Control avanzado de protección de datos
El estándar propuesto permite dos métodos automatizados de entrega de preferencias: uno que se comunica directamente con el servidor web que aloja un sitio web visitado y otro que se comunica con el sitio web en sí.
Cuándo ADPC se comunica directamente con el servidor web, lo hace a través de encabezados HTTP: un encabezado de enlace que apunta a un archivo JSON en el servidor y el encabezado ADPC emitido por el navegador del usuario. Al comunicarse con el sitio en sí, el mecanismo es a través de JavaScript: la configuración se pasa como un objeto a la interfaz DOM, por ejemplo, navigator.dataProtectionControl.request(...).
En ambos casos, las preferencias de privacidad del usuario se comunican al sitio web o servidor como una lista de identificadores de solicitud a los que da su consentimiento. Esta lista se envía en encabezados ADPC para el enfoque basado en HTTP y como el valor de retorno final de la interfaz DOM en el enfoque de JavaScript.
Si bien ambos mecanismos logran el mismo objetivo en modelos similares, existen muchas razones para respaldar ambos. El enfoque basado en HTTP es probablemente más eficiente, pero obviamente requeriría nuevas versiones de aplicaciones de servidor web que lo admitan explícitamente (o al menos nuevos módulos conectables en el caso de servidores como Apache que los admitan). Mientras tanto, el motor basado en JavaScript funciona sin la necesidad de ninguna configuración especial del servidor web, pero no funcionará para los usuarios que se nieguen a habilitar JavaScript.
Funciones de solicitud de consentimiento
Un archivo JSON se encuentra en el centro del extremo ADPC del sitio, ya sea mediante mecanismos HTTP o Javascript para acceder a él. Este archivo de consentimiento se verá así:
{
"consentRequests": {
"cookies": "Store and/or access cookies on your device.",
"ads_profiling": "Create a personalised ads profile."
}
}En ADPC basado en HTTP, el servidor web se vincula al archivo de consentimiento directamente en su respuesta a un HTTP GET:
HTTP/1.1 200 OK
Link: </consent-request-resource.json>; rel="consent-requests"Cuando el navegador web detecta este enlace, puede responder con la configuración previamente configurada por el usuario o solicitar una respuesta del usuario a través de un cuadro de diálogo emergente (probablemente uno generado desde el botón de bloqueo del navegador). Una vez que el usuario ha establecido sus preferencias en consecuencia, el navegador incluirá un encabezado ADPC en futuras solicitudes HTTP GET:
GET /page.htm HTTP/1.1
Host: website.tld
ADPC: withdraw=*, consent=cookiesEn el ejemplo anterior, vemos una configuración similar a la que podría ver en un firewall de red: un DENY predeterminado en forma de withdraw=*, reemplazado por una aceptación específica de cookies. Por lo tanto, para nuestro sitio web, que quería establecer cookies y crear un perfil publicitario, se concede la solicitud de cookies (permitiendo el almacenamiento de, por ejemplo, la autenticación del usuario y la configuración personal), pero se deniega el perfil publicitario.
Otro beneficio del esquema ADPC es que el usuario está interactuando con su propio navegador, con una interfaz de usuario consistente, independientemente del sitio web. Otro beneficio es que es posible que un usuario establezca preferencias persistentes para un sitio web sin tener que permitir cookies, algo que no es posible para un sitio web que debe solicitar su consentimiento a través de un banner incrustado en la propia página.
Por último, es posible que los banners de cookies a menudo no se muestren; en nuestras pruebas, los complementos populares de bloqueo de anuncios bloquearon la visualización de muchos banners de cookies, incluidos, entre otros, El guardián‘s. Este bloqueo puede deberse a daños colaterales causados por reglas de bloqueo demasiado agresivas o intentos deliberados de minimizar la «fatiga por clic». En ambos casos, impiden que el usuario exprese directamente su consentimiento o negativa en materias relativas a la privacidad.
orden, no orden
Es importante darse cuenta de que ADPC no es un mecanismo para hacer cumplir el perfil de privacidad de un usuario, es simplemente una forma estandarizada de solicitarlo de conformidad con el RGPD de la UE y leyes de privacidad similares en otros lugares.
Técnicamente, nada impide que un sitio web hipotético compatible con ADPC solicite permiso para crear un perfil publicitario para un usuario, se le niegue y luego cree ese perfil de todos modos. Pero los sitios legítimos pueden solicitar el consentimiento de una forma más legible por máquina, coherente y menos fatigosa para el usuario.
ADPC incluso ayuda a los usuarios a lidiar con sitios cuestionables que ignoran las preferencias de sus usuarios; en el caso de un GDPR u otra demanda, es más probable que las preferencias de los usuarios se registren y se puedan leer en sus propios sistemas. Si un usuario se niega a aceptar cualquier cookie a través de un banner de cookies, su preferencia expresa no se puede guardar ni registrar, pero las preferencias de ADPC sí lo harán.
Incluso si un usuario que interactúa con un banner de cookies acepta cookies (pero deshabilita el perfil del anuncio), es mucho más probable que el usuario «borre» la cookie por error. Esta «limpieza» puede tener como objetivo mantener la privacidad o incluso solucionar problemas con sitios web visitados con frecuencia. Dado que las preferencias de ADPC solo sirven para una cosa, expresar o negar el consentimiento en cuestiones de privacidad, hay muchas menos razones para destruirlas.
Listado de imagen por Rdsmith4 / Wikimedia
