Ley de Cookies: ¿la galleta que se le indigesta a Europa?

Mónica Tilves,

Ha empezado la cuenta atrás. La fórmula utilizada por las páginas web para rastrear las conductas de navegación de sus usuarios tiene fecha de caducidad: el 25 de mayo. Ese día, los países de la UE deberán liberar al monstruo de las Galletas y ser más estrictos a la hora de regular la privacidad electrónica, tal y como establece la Directiva comunitaria sobre ePrivacy.

Si en el sistema opt out actual bastaba con informar de la existencia de dispositivos de almacenamiento y recuperación de datos y del modo de rechazarlos, el nuevo reglamento introduce una diferencia notable. Los sitios web estarán obligados a obtener el consentimiento previo del usuario si quieren instalar estos dispositivos, indicando qué datos concretos se almacenarán, con qué fines y por cuánto tiempo, habilitando un sistema de baja voluntaria.

Ya no vale con presentar largos contratos sobre condiciones de uso donde el internauta medio no alcanza a leer más que el botón de confirmación y “acepta” sin actuar en conciencia, o desconociendo incluso la existencia de cookies. Disimular su presencia o instalarlas en contra de la voluntad de la persona afectada no es legal, asevera Bruselas. La cuestión es que a día de hoy no se han producido suficientes denuncias para la incoación de procesos sancionadores firmes acerca de la mala utilización de programas chivatos. Ni en España ni en la UE.

Conflicto de intereses

El objetivo de este cambio en la legislación es equilibrar la balanza entre el derecho a la privacidad de unos y la libertad de negocio de otros. Por una parte se protegen los datos de los internautas y se les devuelve el control sobre qué desean compartir y qué no, instaurando un sistema opt in. Por otro, se controla el rastreo basado en la instalación ilegal de cookies y se reduce su valor estratégico para la técnica de publicidad comportamental.

Y es que las “galletas”, además de esos inofensivos archivos de texto que ayudan a recordar contraseñas y a navegar más rápido sin volver a llamar todo el contenido de la página, también son fundamento del behavioural advertising. Sirven para analizar el tráfico de visitas, gestionar patrones de comportamiento y confeccionar campañas que sientan al destinatario como el mejor de los trajes. Tienen, por tanto, un gran valor económico para los anunciantes. Un informe de la consultora McKinsey cifra en 20.000 millones de euros los beneficios anuales por producción de publicidad online, que podrían ascender a 100.000 si se explotasen comercialmente servicios que en la actualidad son gratuitos.

Menos velocidad y más pop-ups

La norma del consentimiento previo pone en jaque el crecimiento de los negocios virtuales y frena las ventajas que las TIC ofrecen a la industria de los medios de comunicación, las redes sociales y demás compañías que distribuyen contenidos y servicios electrónicos.

En primer lugar, se prevé que la medida reduzca la velocidad de navegación. Al desaparecer de los ordenadores la memoria de claves y preferencias de los sitios visitados, estos recabarán la información necesaria para la navegación cada vez que se acceda a una página como si fuese la primera.

También se espera que las webs recurran a un número elevado de pop-ups explicando la nueva normativa. Una ratio de una ventana emergente por cada cookie que se vaya a instalar puede llegar a ser molesto para el usuario. Éste no solo ha de ver y leer la advertencia, sino que también tiene que aceptarla. El riesgo es que con el tiempo la gente se canse de toparse con estos mensajes, migrando de sitios web europeos a otros que estén alojados fuera del continente y le permitan una navegación más directa.

¿El fin de la publicidad en internet?

Está por ver cómo el sector se las ingenia para obtener el permiso del consumidor sin afectar a su experiencia. Lo que no han faltado de momento son voces reclamando la autorregulación o subrayando que la red no puede ser gratuita sin apoyarse en el sistema publicitario.

Un sistema que a su vez, dicen, vive de las cookies. Al poner límites a las ad networks se le estarían cortando las alas a la propia internet en un momento en el que, según datos de IAB Spain y PwC, es tercera opción de inversión en medios, con un 13,6% de cuota de mercado, tras televisión y diarios.

Los anunciantes apuestan por un sistema similar al que ya existe en Estados Unidos, donde la cooperativa de empresas Network Advertising Initiative (NAI) ha creado una web para que aquellos que lo deseen puedan gritar “¡no!” a los dispositivos de rastreo, apuntándose a listas de exclusión.

Mientras tanto, los principales navegadores han empezado a idear funciones do not track que en teoría permiten mantener las omnipresentes cookies a raya. El primero en anunciar cambios fue Mozilla, que en la beta de su Firefox4 ofrece la posibilidad de enviar un encabezado HTTP a los responsables de cada página visitada solicitando el fin de su rastreo. En Chrome se puede desactivar permanentemente la segmentación por comportamiento de Doubleclick y cada vez más redes publicitarias mediante la herramienta Keep My Opt-Outs. Por su parte, el IE9 ya permite crear directorios de bloqueo que funcionan como los do not call telefónicos.

“No hacer seguimiento”: no tan sencillo

A pesar de las expectativas, ninguna de estas herramientas convencen a los expertos en seguridad, porque, entre otras cosas, pasan por alto dispositivos portátiles como los móviles o las tablets que no emplean los mismos navegadores. La de Microsoft, además, implica que sean los interesados quienes creen el listado de empresas a evitar. La de Google es una extensión que requiere descargar el software necesario para su instalación. La de Firefox está integrada, pero afecta solo a las empresas que se hayan sumado a la iniciativa.

En los tres casos, la opción de no seguimiento se presenta desactivada de inicio, aunque “no cambiar la configuración que viene por defecto no puede ser considerado, en la mayoría de los casos, como consentimiento válido del usuario”, advierte el Grupo de Trabajo del Artículo 29 de la Directiva (el GT29).

El intento de la NAI no sale mejor parado. Tal y como denuncian los grupos de defensa de los derechos digitales, los miembros de la iniciativa no comparten una definición de lo que opt out significa. En algunos casos, esa eliminación no implica que la gente deje de ser rastreada, simplemente cesa la visualización de anuncios personalizados.

Así las cosas, y a pesar de que el asunto se ha debatido durante tres años, ningún gobierno ha publicado todavía las directrices según las cuales la ePrivacy será implementada en los Ordenamientos Jurídicos nacionales. Aunque la Comisión Europea tiene intención de dirigir el proceso hacia un término medio para evitar contradicciones entre lo que se considera legal en uno y otro país, cada uno de los 27 estados miembros podría acabar interpretando la transposición a su manera. Podría ocurrir que al final no se efectuasen cambios radicales en el modo que se explotan actualmente las cookies. En caso de que la copia sea literal, el sistema publicitario online tendrá que replantear sus esquemas de negocio.