La mayoría de los sitios web no cumplen con el consentimiento de privacidad de GDPR

0
29

Foto: Alex Wong (imágenes falsas)

Ha pasado más de un año y medio desde la Unión Europea Reglamento General de Protección de Datos (GDPR) entró en vigor, pero Internet aún está muy lejos de lograr el cumplimiento correcto.

Esa es la conclusión de "Patrones oscuros después del GDPR" un nuevo informe de investigadores del MIT, UCL en el Reino Unido, y de Dinamarca Universidad de Aarhus. Después de monitorear la recolección de datos Ventanas emergentes "opt-in" de 10,000 sitios web, descubrieron que solo 1,180, o el 11.8 por ciento, cumplieron con los "requisitos mínimos" que los investigadores establecieron para que un sitio cumpla con GDPR, específicamente, que autoriza la recopilación de datos del usuario a través de cookies y otras tecnologías debe darse de forma libre y explícita, al mismo tiempo que es tan fácil de revocar como de dar.

Resulta que uno de los mayores culpables, cuando se trata de mala gestión del consentimiento, aparecerá tan pronto como alguien abra una página. Las ventanas emergentes que piden a los usuarios que den su consentimiento para el seguimiento web (que, de manera realista, todos probablemente clics de todos modos), a menudo se ejecutan por anunciostecnología intermediarios conocidos como plataformas de gestión de consentimiento o CMP. Resulta que estos CMP a menudo se tropiezan cuando se trata de obtener el consentimiento "explícito", a menudo deduciendo consentimiento de, por ejemplo, un usuario ignorando la ventana emergente o cerrándolo.

Después de eliminar los 10,000 sitios web principales clasificados en Alexa en el Reino Unido, los investigadores encontraron que los CMP más prevalentes en el mercado fueron hechos por solo cinco compañías: QuantCast, OneTrust, TrustArc, Cookiebot, y Crownpeak.

Entre los sitios que muestran ventanas emergentes generadas por estos actores, casi un tercio (32.5 por ciento) fueron culpables de asumir que diferentes acciones del usuario fueron tan buenos como hacer clic en el botón de "consentimiento", a pesar de que esto no es reconocido por la legislación de la UE, según los investigadores. Mientras tanto, el 9 por ciento de los sitios aceptaron más de una forma de estas variables de "consentimiento implícito", que incluyen: "simplemente visitando el sitio, navegando dentro del sitio, revisando / actualizando la página, desplazándose o haciendo clic en la página o cerrando la ventana emergente o el banner ".

Si eso no fuera lo suficientemente malo, los autores del artículo explican que los sitios web que trabajan con estos CMP aún son poder para elegir de tEstas opciones de consentimiento implícito incluso después indican que el CMP debe verificar si un La IP del visitante está dentro del alcance de la UE, lo que haría que ese visitante esté protegido por GDPR.

Además de asumir el consentimiento, estos CMP no facilitan la opción de seguimiento, según el estudio. Más de la mitad (50.1 por ciento) de los sitios encuestados no tenía la opción de "rechazar todas" las cookies o rastreadores en una página web. Incluso para los sitios que hizo tener uno, los investigadores encontraron, más de tres cuartos de los sitios hizo que fuera tan fácil "rechazar todo" que "aceptar todo" de esos rastreadores, que, a veces, se contaban por centenares para un sitio web determinado.

No es sorprendente que la web todavía deje mucho que desear en lo que respecta al cumplimiento basado en el consentimiento. Como para recolectando datos de usuarios, hay una tonelada de enlaces en la cadena de suministro digital, todos juegan un cierto papel en un momento dado. La inducción de GDPR a la ley deja una cosa muy clara: Tlos enlaces de manguera deben cumplir con estas nuevas reglas, o arriesgarse a una multa considerable.

Menos claras son las responsabilidades que cada enlace tiene cuando se trata de consentimiento. Fo ejemplo, si un sitio web cumple con GDPR, pero su CMP no lo es, ¿quién debería aceptar la caída? Si ese mismo sitio web está trabajando con un proveedor externo para dar información sobre los datos de un usuario, y ese el proveedor no cumple, ¿quién debería ser responsable?

Esta es la oscuridad que finalmente llevó a algunos de estostecnología intermediarios para retirarse de la UE por completo cuando GDPR se aprobó por primera vez, y ahora, más de un año después, no ha mejorado mucho. Si bien las potencias publicitarias como Facebook y Google pueden revisar infraestructura masiva para asegurar que cualquiera de esa responsabilidad sea absuelta por su parte En cuanto al cumplimiento, tiene sentido que los jugadores más pequeños, como los sitios encuestados en este estudio, todavía tengan algunos agujeros.

En mayo, Laura Jehl, socia en la práctica de privacidad y protección de datos en la firma de abogados BakerHostetler le dijo a CNBC, "Al principio, varios reguladores (de la UE) dijeron informalmente 'sabemos que ustedes no están listos para el GDPR, y para ser honesto, tampoco estamos realmente listos'", lo que implica que este período de gracia pronto será Llegando a su fin. Pero entre pequeñas multas siendo arrojado en los gigantes tecnológicos por sus propias fechorías de GDPR y las pautas que faltan para el resto de nosotros, parece que no estamos listos para nada.

. (tagsToTranslate) GDPR (t) Privacidad (t) CCPA (t) Gizmodo

LEAVE A REPLY

Please enter your comment!
Please enter your name here