domingo, mayo 05, 2019

GDPR y la captura de datos en la navegación Web un año después: "Seguir Navegando"

Estamos en Mayo de 2019, y el año pasado por estas fechas llegaba lo obligatoriedad de aplicar el Reglamento General de Protección de Datos Europeo (GDPR) para que los usuarios tuvieran un mayor control de sus datos dando consentimiento explícito para la cesión de datos a las empresas. Y ya ha pasado un año desde que se aplicó.

Figura 1: GDPR y la captura de datos en la navegación Web un año después: "Seguir Navegando"

En aquellos meses previos a la aplicación de las medidas técnicas para el cumplimiento del nuevo reglamento recuerdo haber dicho en una conferencia que tal y como veía las implementaciones que se estaban haciendo, GDPR tenía el mal presentimiento de que se podía convertir en la nueva Política de Cookies de la navegación web. Algo que no era lo que se esperaba ni mucho menos cuando se creaba la regulación. Hoy en día, un año después, podéis juzgar vosotros si es así o no.

Supongo que todos recordáis que había que avisar de que las webs utilizaban cookies, y como todas utilizaban cookies para algún propósito, los usuarios aprendieron a navegar haciendo "clic" sobre cualquier mensaje de Política de Cookies, dando lugar a que la gente utilizara su imaginación para estos mensajes.

Figura 2: Mensaje de aviso de "Esta web utiliza cookies"

Pero claro, con GDPR esto no vale, ya que hay que dar un Consentimiento Explícito de cada una de las cesiones de datos. Al final, hay que ceder datos para un uso concreto a una entidad concreta, por lo que hay que aceptar la cesión, una a una, de todos los datos y todos los usos que se van a dar, a todas las entidades a las que se va a ceder.  

También existe un caso en el que las empresas pueden utilizar los datos - y deben hacerlo - si hay un Interés Legítimo para el usuario. Es decir, si utilizar esos datos son en pro de un beneficio legítimo del usuario que los genera, y la empresa deberá dejar claro cuáles son y cómo se usan para que puedan ser revisados.

GDPR y la Captura de Datos en la navegación Web

En definitiva, entre los consentimientos que se solicitan y los datos que se utilizan en interés legítimo del usuario, son muchas las explicaciones que se deben dar del uso de los datos en todos los servicios que se consuman, incluidas, como no, las páginas web que se visitan.


Figura 3: Big Data y Privacidad [2014]

En las charlas de "You are where you are" que di hace ya tres años - en Mayo de 2016 - sobre el uso de los datos para identificar a las personas, o la charla de Big Data & Privacidad que di en el año 2014 en las que hablo de las técnicas de web browsing fingerprinting, el número de datos que se capturan de una navegación es enorme.


Figura 4: You are where you are [2016]

Si a esto le sumamos que el pago que se hace por anuncio es muy pequeño y que las webs y los intermediarios "venden o ceden" datos a muchos Data-Brokers, Ad-Exchangers, Data-Enrichment, etcétera, el número de datos que un usuario cede o debe ceder con un consentimiento, para el número de usos que se dan a esos datos, para el número de organizaciones que están involucrados es enorme.

Figura 5: Acepto todo o "Más información" en pequeñito

Sin embargo, ¿os imagináis que vais navegando por una web y tenéis que activar - por cada noticia que veis en un blog - una lista de entre cien o doscientos botones de consentimiento? Pues así es, por lo menos para cada sitio que se visita. Pero para que sea más fácil se han creado los famosos "Botones Gordos" de "Habilitar Todo", "Seguir Navegando", "OK a Todo" o, simplemente, "Aceptar".

Figura 6: Mostrar más información (ojo a la barra de desplazamiento vertical)

Es decir, se ha convertido casi en el mismo botón de la Política de Cookies que teníamos antes. Eso sí, ahora puedes hacer una navegación para ver a qué nos estamos comprometiendo con ese "Habilitar Todo", y si no has perdido el tiempo en verlo va a ser una experiencia divertida que veas con que facilidad regalas todos los datos que generas a todo el mundo para todo.  En el caso que vemos en la primera imagen, es un Gestor de Consentimientos para Google Analytics y Google Ads de una web - son más o menos todas iguales -.

En este caso, que estoy enseñando por aquí, es un componente común para webs que hace, como os he dicho en el párrafo anterior, lo que se llama "Gestor de Consentimientos", y en el que se capturan los consentimiento necesarios para tener todos los datos y compartirlos con quién sea necesario en cualquier momento. Si entramos a ver los detalles, la cosa es divertida y puede tomarte casi una hora revisar todo.

Figura 7: Lista de empresas asociadas a uno de los consentimientos.
(¡Ojo a la barra de desplazamiento vertical de la derecha)

Es importante que os fijéis que si dais a la primera opción de "Más información" veáis que si entramos a ver los usos y los datos para los que se solicita consentimiento, tenemos una lista grande - barra de desplazamiento vertical, pero que para cada uno de ellos tenemos un botón que pone "ver empresas", donde podemos ver la lista de entidades a las que estamos accediendo a dar acceso a nuestros datos. Son empresas Data-Brokers, Data-Enrich, Ad-Exchangers, Data-Analytics, Ad-Personalization, y un largo etcétera de empresas a las que nuestros datos, o los de cualquier navegante están o pueden estar llegando en cualquier momento.

Figura 8: El consentimiento para Google

En el caso de Google, que es una importante aparece en el Consentimiento de Other, y en él tenemos también la opción de ver empresas. Como se puede ver la información dice que va a recoger los datos para "personalización de anuncios y mediciones", lo que puede significar "solo eso", o todos los datos del universo si tenemos en cuenta que la personalización es "Todo lo que pueda saber de ti" y las mediciones son "Todo lo que se pueda medir" en el universo.  Ver las charlas en vídeo que he puesto antes en el artículo.

Figura 9: Empresas socias del Consentimiento "Other" de Google

Y para ello, por supuesto, tenemos una lista de empresas a las que Google puede enviarle los datos con tu consentimiento, que son esa lista de unas ... ¿cien? ¿doscientas? Es difícil contarlas, son muchas.

Para Terminar

Al final, los usuarios hacen clic en "Habilitar Todo". Si eres de los que hacen clic en "Rechazar todo" y "Guardar y Salir",  puedes seguir navegando igual - normalmente - pero es un proceso para solo los datos de esa visita, porque cuando vuelvas a visitar anónimamente el mismo sitio - supuestamente de forma anónima, que ya sabéis que se  hace Web Browsing Fingerprinting y se sabe quién eres sí o sí - te va a volver a pedir lo mismo, con lo que lo habitual es que la gente haga clic en "Seguir Navegando".

No toméis este artículo como una queja contra nadie. Solo es la realidad de lo que tenemos. Nuestros datos fluyen con - ¿demasiada? - libertad por todo el mundo y es una especie de círculo vicioso. Como los datos los cedemos con facilidad, valen poco dinero, así que hay que hacer que los datos se sigan cediendo mucho y por poco dinero - el valor que cobra una web o un blog por los ads es muy poco hoy en día y el negocio está controlado por muy pocas empresas -.


Figura 10: Vídeo de exploración de Gestor de Consentimientos

Os he hecho un pequeño vídeo con la navegación por este componente, para que veáis de primera mano todos los consentimientos que se van con solo hacer clic en "Habilitar Todo".  Y esto, por cada web, blog, o sitio que visitéis que tenga anuncios basados en datos (Data-Driven Ads) o haga algo de negocio con vuestros datos.

Saludos Malignos!

4 comentarios:

  1. Y como evitamos eso? SI rechazas todo, seguramente no podras utilizar la aplicacion o servicio. Y si aceptas todo el mundo tiene tus datos.

    Esta es la protección de datos de los gobiernos? Yo creo que con esa ley las empresas se limpian el Ojete.

    ResponderEliminar
  2. Hola Chema se sé que no tienes nada que
    Ver con chile por te pido tu ayuda en mi pc me salió una página que según me regalan un galaxy s10 la ulr dice post.com.newupdate1.com/CL/15/# según es de correos Chile me gustaría enviar una imagen pero está página no lo permite como me pide mi número de teléfono lo te pido ayuda no lo e puesto aún gracias

    ResponderEliminar
  3. Te pregunte a correos Chile por face pero no responden

    ResponderEliminar
  4. Hola,

    comento porque creo que, o no te he entendido bien, o tenemos interpretaciones diferentes del GDPR.

    Me da la impresión que en el 5to parrafo hablas del interes legítimo como si fuera en el interes del usuario. GDPR habla del interes legítimo del controlador (responsable del tratamiento), es decir, de la empresa que tiene la website. El articulo 6.1.f) dice lo siguiente:

    "el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño"

    Tambien hablas de consentimiento explicito. Esto es un tipo de consentimiento que solo es necesario cuando se procesan datos personales de categorias especiales (vease articulo 9).

    Aun asi GDPR define el consentimiento como:
    «consentimiento del interesado»: toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen"(articulo 4.11)

    ResponderEliminar