politica de cookies

Parte de mi trabajo como consultor digital es, precisamente, verificar que la web del cliente (si es que tiene) cumple con todo lo necesario para vender u ofrecer sus servicios en la red.

Aspectos tan críticos como la usabilidad, el copy y el diseño, por supuesto, y otros un tanto más técnicos como las tecnologías que utiliza, el que esté o no bien segurizada, el uso del HTTPs, y en última instancia, también el cumplimiento de la GDPR y la política de cookies.

Implementar un sistema que cumpla la política de cookies supone, de facto, contratar también a un abogado que debe hacernos los textos legales (por favor, no copies y pegues textos legales de otras páginas ya que probablemente no se apliquen a tu proyecto), y luego implementar las exigencias que nos pasa el abogado digital a nivel de código.

Y aquí entra la polémica: cumplir estrictamente la política de cookies europea en un entorno real (típico WordPress con varios plugins, el uso de alguna que otra API que permite comunicarse por ejemplo con una TPV bancaria y una plantilla instalada que tendrá más o menos funcionalidad) se vuelve un verdadero dolor de muelas. Hasta el punto de que requeriría desarrollo a medida para que así fuese. Lo que entra en conflicto con el funcionamiento de la amplia mayoría de plugins y plantillas que utilizamos. Y sobre todo, encarece sobremanera el desarrollo. Tanto como que lo mismo cumplir la política de cookies nos sale de media más caro que la propia implementación de toda la web corporativa con un CMS como WordPress.

La razón principal de tamaño despropósito es que según la regulación europea se exige que EXPLÍCITAMENTE el usuario haya mostrado su consentimiento ANTES de que cualquier cookie entre en funcionamiento. Lo que quiere decir que hasta que el usuario no le de a aceptar una a una (o todas de golpe), la página no debe cargar.

Hay que poner por tanto un popup in-page que bloquee el contenido de la página. Un popup que, recordemos, los hemos ido paulatinamente erradicando de Internet porque han demostrado durante años, y en el ámbito publicitario, ser terriblemente molestos. Que desincentivan al usuario a acceder al resto de contenido, y que según cómo esté diseñado, pueden incluso bloquearlo (popups más grandes que la propia pantalla del dispositivo del usuario, que al bloquear el scroll, le impiden decidir si aceptar o no las dichosas cookies).

Y por cierto, vamos a obviar el hecho de que la propia cookie que utilice el sistema de mostrado del anuncio de cookies (por eso de no pedirle cada vez que entra el usuario nuevamente que lo acepte todo) tampoco debería cargarse. Lo cual, a poco que le des un poco de vuelta al asunto, es un contradicción técnica:

¿Cómo evito mostrarle el popup al usuario que previamente ya ha aceptado la política de cookies si no puedo cargar la cookie hasta que el usuario acepta el popup?

Que sí, que podemos hacerlo por sesiones de usuario. De nuevo otra contradicción, ya que si esta ley está ahí para proteger la privacidad del usuario, estamos haciendo lo propio con sus derechos mediante el uso de otra tecnología… Nos detendremos más tarde en este punto.

Todo esto, de nuevo, se traduce en menores beneficios.

Si lo primero que ve ese potencial cliente de tu marca es un popup pidiéndole que revise todas las cookies (algo que el usuario básico ni sabe lo que es) para seguir empezar a navegar por ella, mal vamos.

Pero sigamos.

La política de cookies en el mundo real

Para entornos WordPress hay, por supuesto, apaños.

Por estos lares tuvimos durante bastante tiempo el plugin de Quantcast (EN), que hay que reconocer que es bastante completo. Tanto como que, puesto que es casi imposible automatizar la elección de qué cookies o no utiliza cada desarrollo, muestra por defecto un listado de varios cientos de cookies que el usuario debe seleccionar para seguir navegando… estén o no en la página. Y para colmo, puesto que la premisa es que bloquea por defecto la carga de cookies hasta que se visualiza el popup, en según qué navegadores (por ejemplo, Safari de iOS/iPadOS) tenía que forzar al usuario a que cada vez que entrase en una de mis páginas volviese a revisar el listado y aceptarlo. Todo muy usable, sí señor.

Tras un tiempo intentando pelearme con la parte técnica, desistí y volví al tipo de disclaimer de política de cookies (EN) que utilizan prácticamente todas las webs wordpress actuales. Un disclaimer que no bloquea la página, solo informa.

De hecho la regulación española, en un alarde de sentido común en su última Guía sobre el uso de las Cookies (ES/PDF), considera un consentimiento EXPLÍCITO la acción de seguir navegando por la web, aunque siguen obligando a que si el usuario no lo acepta se le bloquee. Digo yo que si en efecto no quieres que se «vulnere tu privacidad» por el uso de cookies, lo suyo es que directamente abandones la web después de haber visto que esta web, como cualquier otra del mundo, las utiliza. Precisamente para que tu experiencia de uso sea mejor, por cierto.

Recientemente algunos investigadores del CSAL del MIT, de la Universidad de Aarhus (Dinamarca) y del University College de Londres han publicado un estudio (EN/PDF) en el que reflejan que, 10 años más tarde de la entrada en vigor de la directiva digital europea, y a 3 años de la GDPR, el Internet mundial sigue «pasando» de cumplir estrictamente este sinsentido. Con algunas perlas tales como que:

  • Solo 1 de cada 10 webs recurren a técnicas que se ajusten completamente a las exigencias de la normativa europea.
  • 3 de cada 10 páginas recurren al consentimiento implícito.
  • Sólo el 12,6% de los sitios web que incluyen un botón de «Aceptar todas las cookies» ofrecen también otro para rechazarlas todas. Y quienes lo hacen lo hacen mediante patrones oscuros que incitan a aceptarlas, ocultando por ejemplo el botón de rechazarlas bajo otros submenús o páginas.

No se cumple porque además de abusiva es innecesaria

Llego al quid de la cuestión.

Si todo lo anterior te parece poco, da la maldita casualidad de que el anuncio de este estudio ha coincidido temporalmente con la noticia (EN) de que a partir de 2022 Chrome (es decir, Google) dejará de soportar las cookies para seguimiento de usuarios.

La nueva puede verse como una victoria de la GDPR o la ley Californiana, que entraba apenas hace unas semanas en vigor. Pero nada más lejos de la realidad.

Lo cierto es que Google ha tomado esta decisión porque… no necesita para nada las cookies en su negocio.

Los sistemas de fingerprinting actuales son muchísimo más sofisticados que una cookie, producen más información, y lo mejor de todo es que resultan mucho más complejos de analizar/explotar por terceros, ya sea con fines positivos (estudiarlo para entenderlo y desarrollar un nuevo marco regulatorio) como negativos (tergiversar esos datos para identificar usuarios).

Como otras tantas veces esa regulación que nacía con el profundo interés de proteger nuestra privacidad llega tarde. La tecnología de profiling basada en sesiones de inicio que utilizan las grandes plataformas como Google o Facebook, que son a fin de cuentas algunos de los negocios de datos más importantes de la actualidad, hace tiempo que han migrado sus procesos a otros derroteros alejados de esas dichosas cookies. Que se quiera ahora tomar la regulación más en serio o no les va al pairo, como dirían en mi pueblo.

Y si a ellos no les importa, ya me dirás qué impacto tiene si no es, otra vez, para joder a los negocios que están a la cola. Esas webs de pequeñas y medianas empresas que siguen dependiendo de las cookies ya que no tienen, como es normal, presupuesto para desarrollar y mantener tecnología propia.

Soy el primero que por esta santa casa he hecho lo habido y por haber para implementar sistemas informacionales más justos para mi audiencia. Desde bloquear por defecto la carga de inicios de sesión de las redes sociales hasta que el usuario le daba clic a compartir un artículo, pasando por todo ese desarrollo que hice para que la publicidad de Google Ads solo se mostrase a los usuarios que venían de buscadores, y que además solo apareciese la primera vez que entrabas en la página.

Pero es que los tiempos cambian, y lo que en su día era considerado una aberración hoy en día es la norma.

Entiendo que la regulación no pueda seguir el ritmo. Pero eso no quita que haya que intentarlo. Y la política de cookies es un ejemplo de guión de regulación restrictiva totalmente fuera de época.

Edit un mes más tarde: Los chicos de HackerCar han publicado esta pieza (ES) en su medio.