Examinei os hábitos de coleta de dados de 50 websites populares – e os resultados não são bons

[ad_1]
Os donos do Google e do Fb foram ambos multados por usar cookies ilegalmente no ultimate de 2021 pela autoridade francesa de proteção de dados, Fee Nationale de l’Informatique et des Liberté (CNIL). Nas versões francesas do Google, sua plataforma irmã YouTube e Fb, os usuários estavam sendo solicitados a consentir com os cookies de tal forma que generation muito mais fácil para eles aceitar do que rejeitar o pedido. Eles podiam aceitar cookies com apenas um clique, mas havia um processo mais trabalhoso para recusar.
A Alphabet, proprietária do Google, foi multada em € 150 milhões (£ 125 milhões) e a proprietária do Fb, Meta, em € 60 milhões. A Alphabet foi multada mais porque suas violações afetaram mais pessoas e estava com problemas por violações no passado. Ambas as empresas também receberam três meses para alterar seus sistemas para facilitar aos usuários a rejeição de solicitações de cookies.
Meta e Alphabet ainda não cumpriram, embora tenham até abril para fazê-lo. A lei no Reino Unido e no resto da UE também é a mesma da França, então será interessante ver o que eles fazem nessas jurisdições também.
Enquanto isso, observei o que muitas outras empresas estavam fazendo e descobri que muitas ainda coletam dados usando cookies de maneiras semelhantes. Então o que está acontecendo?
Leis de cookies e soluções alternativas
Cookies são pequenos arquivos de texto armazenados por websites em nossos navegadores de web, que permitem que o web page colete informações sobre nós. Alguns biscoitos são necessários para que possamos navegar no web page em questão – por exemplo, para adicionar itens a um carrinho de compras.
Mais cookies contenciosos rastrear um usuário comportamento de navegação. Existem cookies em primeira pessoa, onde o web page em questão rastreia o comportamento dos usuários para oferecer a eles produtos relevantes; e cookies de terceiros, onde isso é feito por outra empresa para permitir que outros anunciem para o usuário – o exemplo clássico é o Google Advertisements.
Os cookies reúnem tanta informação que geralmente é mais do que suficiente para identificar a pessoa por trás do dispositivo. Além de visitas a determinadas páginas da internet, eles também pode gravar consultas de pesquisa de uma pessoa, bens ou serviços adquiridos, endereço IP e localização exata.
A partir disso, é possível inferir o nome de uma pessoa, nacionalidade, idioma, religião, orientação sexual e outros detalhes íntimos – a maioria dos quais são categorias especiais de dados pessoais que não podem ser processados sem o consentimento explícito do indivíduo sob EU Diretiva de privacidade eletrônica e o Regulamento Geral de Proteção de Dados da UE e do Reino Unido (GDPR).
O GDPR exige tal consentimento ser específico, informado, inequívoco e dado livremente – exigindo ação afirmativa por parte do usuário. Infelizmente, isso não está nos dando muita proteção.
Os websites usaram vários métodos para contornar os requisitos. A maioria das solicitações de consentimento de cookies costumava ser apresentada com caixas de seleção pré-selecionadas que, por padrão, faziam com que os indivíduos aceitassem cookies em seus dispositivos. Em 2019 o Tribunal de Justiça da União Europeia (TJUE) decidiu que os websites não podiam mais fazer isso, uma vez que evitou a exigência de ação afirmativa do GDPR. Mas esse é o valor dos dados que podem ser coletados usando cookies que os websites simplesmente mudaram para diferentes soluções alternativas.
A opção standard é aquela que viu o Fb e o Google sancionados pela CNIL na França. A CNIL disse essencialmente que, quando se trata de recusar o consentimento do cookie, dois cliques são demais: significa que as pessoas estão sendo pressionadas a consentir e, portanto, é contrária ao requisito de consentimento livre do GDPR. Isso provavelmente explica por que, de um estudo experimental 2020 dos usuários que moraram na UE, 93% aceitaram cookies, independentemente de ter uma segunda opção de janela para gerenciá-los.
A questão mais ampla
A interpretação francesa do GDPR não vincula os tribunais britânicos, o TJUE ou outros reguladores na Europa. Assim, uma vez que o prazo de três meses da CNIL se esgote, websites com consentimento de cookies desequilibrado semelhante em outros países do GDPR podem alegar que há uma ambiguidade na lei sobre o que conta como consentimento. Mas realmente a lei é bastante clara e a interpretação francesa deve ser um strong point sinal de que outros privacidade autoridades chegarão a uma conclusão semelhante.
E, no entanto, quando olhei para 50 websites conhecidos escolhidos aleatoriamente, apenas 15 (30%) parecem estar em conformidade com as leis de privacidade de dados da UE/Reino Unido. Alguns desses websites que são compatíveis, como ebay.co.united kingdom, forneça os botões “Aceitar” e “Recusar” no mesmo banner. Outros como bbc.co.united kingdom dificultar a rejeição de cookies, mas permitir que os usuários naveguem sem consentir com eles.
Até 32 (64%) dos websites não pareciam estar em conformidade com as leis de cookies da UE e do Reino Unido. Estes incluem Google, Fb e Twitter, bem como outras grandes empresas, como Ryanair e o web page de o espelho diário.
O Twitter, por exemplo, apenas notifica o usuário do consentimento em um banner que diz: “Ao usar os serviços do Twitter, você concorda com o uso de nossos cookies”. Outras empresas, incluindo Google e Fb, ocultam o botão recusar/recusar em uma segunda janela. Outros ainda, como a Ryanair, criam um mural de cookies onde os visitantes podem usar o web page apenas se escolherem “Sim, concordo” ou irem para “Ver configuração de cookies” para selecionar suas preferências.
Havia mais três websites onde não generation claro ou limítrofe se eles estavam dentro das regras. Spotify, como a BBC, tem um banner de cookies típico, mas permite que os usuários naveguem sem aceitar os cookies. Mas seu banner de cookies cobre metade da tela do dispositivo. Isso reduz a qualidade da experiência de navegação do usuário e pode ser considerado uma prática coercitiva.
O fato de as grandes empresas de tecnologia não cumprirem as leis de cookies sugere que milhões de cidadãos provavelmente estão tendo seus dados pessoais coletados ilegalmente. É difícil não se perguntar se algumas empresas estão violando conscientemente as regras porque geram tanta receita com seus cookies que vale a pena arriscar uma sanção por violação de privacidade.
Eles também podem estar apostando que as autoridades relevantes são muito subfinanciadas ou com falta de pessoal para fazer cumprir as regras. Por exemplo, um relatório recente pelo ombudsman holandês destacou que a autoridade competente naquele país tinha 9.800 reclamações de privacidade não resolvidas no ultimate de 2020. E de acordo com o Conselho Irlandês para as Liberdades Civis, “quase todos (98%) dos principais casos de GDPR encaminhados à Irlanda permanecem sem solução” – em parte devido à falta de orçamento e equipe especializada suficiente. É improvável que a situação seja radicalmente diferente em outros países da UE.
Se o Reino Unido e a UE levam a sério a proteção da privacidade dos cidadãos, eles precisam alterar as regras para serem mais específicos sobre como deve ser uma janela de consentimento e realizar campanhas de informação para deixar claro aos cidadãos que a retenção de consentimento não pode limitar de forma alguma sua experiência de navegação. Eles também devem alocar os recursos necessários para fazer cumprir as regras. Só então as leis em torno dessas ferramentas pouco compreendidas para coletar nossos dados serão adequadas ao propósito.
Perguntamos ao editor Meta, Alphabet, Ryanair, Twitter e Day-to-day Reflect, Achieve, se eles gostariam de comentar. Achieve recusou e Alphabet, Twitter e Ryanair não responderam. Meta disse:
Estamos revisando o [CNIL’s] decisão, e continuamos empenhados em trabalhar com as autoridades relevantes. Nossos controles de consentimento de cookies fornecem às pessoas maior controle sobre seus dados, incluindo um novo menu de configurações no Fb e Instagram, onde as pessoas podem revisar e gerenciar suas decisões a qualquer momento, e continuamos a desenvolver e melhorar esses controles.
Este artigo de Asress Adimi GikayPalestrante em IA, Inovação Disruptiva e Direito, Brunel College Londres, é republicado de A conversa sob uma licença Ingenious Commons. Leia o artigo authentic.
[ad_2]
Fonte da Notícia