Las cookies han sido durante mucho tiempo la tecnología de rastreo dominante y preferida por las áreas de marketing para medir sus campañas y definir sus estrategias publicitarias. Sin embargo, estas tecnologías se están viendo cada vez más desplazadas por varios motivos.
En este artículo analizaremos los principales motivos del declive de las cookies y algunas opciones que se perfilan como sustitutas.
Aumento de las sanciones y mayor control regulatorio
En los últimos años hemos podido observar como las principales Autoridades de Control de Protección de Datos han aumentado su actividad sancionadora ante los diferentes incumplimientos incurridos por las empresas. Entre otras, destaca la reciente sanción de 10 millones de euros impuesta por la Comisión Nacional de Informática y Libertades (CNIL)[1], Autoridad de Control francesa, a Yahoo! Inc, por la instalación de cookies en los dispositivos de los usuarios con anterioridad a que estos realizaran cualquier acción, es decir, sin respetar sus preferencias para “aceptar, rechazar o configurar” las cookies. Además, la empresa también fue multada por no obtener un consentimiento libre de los usuarios de Yahoo Mail, ya que, si estos deseaban retirar dicho consentimiento, se indicaba por parte de Yahoo que podrían perder el acceso a su cuenta de correo electrónico y a sus servicios.
Al aumento de la actividad sancionadora, hay que sumar, la tendencia del regulador europeo por dotar de mayor grado de control al usuario sobre todas aquellas cuestiones relativas a sus datos personales en el ámbito de las comunicaciones electrónicas. En este sentido, el proyecto de Reglamento e-Privacy (desde 2017, en trámites de aprobación), impone requisitos de información y transparencia más estrictos a las empresas, lo que disminuye, precisamente, la posibilidad de utilizar tecnologías como las cookies.
Así las cosas y ante la demora en la aprobación del Reglamento e-Privacy, en febrero de 2023, el Comité Europeo de Protección de Datos (CEPD) publicó la versión final de sus Directrices 03/2022, donde establece unas pautas sobre cómo debe garantizarse la transparencia, qué información debe facilitarse, cómo debe mostrarse, el modo de recoger el consentimiento, etc.
Las Autoridades de Control no tardaron en reaccionar, como es el caso de la Agencia Española de Protección de Datos (AEPD), que ha actualizado recientemente su Guía sobre el uso de cookies para alinear su criterio al establecido por el CEPD.
En este sentido, la Guía prohíbe expresamente utilizar patrones oscuros para recabar el consentimiento de los usuarios. Una práctica que, sin embargo, vemos muy presente en la mayoría de las webs y que supone un riesgo elevado de sanción para las empresas que utilizan estos medios. Más aun teniendo en cuenta, que no es necesaria una reclamación previa de un interesado, sino que la propia AEPD dispone de potestad para inspeccionar de oficio.
Por patrones oscuros, se entienden aquellas técnicas dirigidas a manipular el comportamiento de los usuarios en su interacción con páginas webs y que, mediante el empleo de colores, contrastes con el texto o botones ocultos consigue obtener un consentimiento viciado del usuario. Por ejemplo, un banner que aparece con ciertas categorías de cookies premarcadas, o cuyo botón de “aceptar” resulta con un color más atractivo son ejemplos típicamente utilizados para influir en los usuarios, ya que estos reciben la impresión de que tiene que aceptar las cookies obligatoriamente para navegar por el sitio web o la configuración le empuja claramente a aceptarlas en lugar de rechazarlas, sin que este pueda ser consciente de la trascendencia que ello tiene para la privacidad de sus datos personales.
En este entorno regulatorio, hay que añadir, además, la utilización por parte de los usuarios de softwares ad-blocker, que permiten eliminar diferentes tipos de publicidad online, haciendo, por tanto, que la tecnología cookie se vea mermada y por tanto las métricas de conversión analizadas por las áreas de marketing no sean tan fidedignas.
Aparición de tecnologías más novedosas y eficaces
Las grandes tecnológicas también están jugando un rol fundamental en este nuevo entorno, por ejemplo, Google está promoviendo una incitativa llamada Privacy Sandbox, que quiere servir para crear estándares mediante los cuales, los sitios web acceden a la información del usuario sin comprometer la privacidad, siendo su objetivo principal facilitar la publicidad online sin el uso de cookies de terceros.
Ante esta situación, las empresas deben redefinir sus estrategias si quieren seguir contando con KPIs que permitan medir sus campañas de marketing de manera eficiente y poder adaptar, en consecuencia, sus estrategias publicitarias. Por ello, está proliferando la utilización de tecnologías de rastreo que no se instalan en los dispositivos del usuario, como si lo hacen las cookies.
Entre estas novedosas tecnologías, destaca el server to server (S2S). El S2S permite intercambiar directamente entre dos servidores información sobre el comportamiento del usuario en la página web, de manera que se consigue un resultado que no se ve afectado por las configuraciones del navegador del usuario.
Esta tecnología funciona de tal forma que, cuando un usuario visita un sitio web e interactúa con él, como hacer clic en los enlaces, el servidor de ese sitio web registra estas acciones. En lugar de depender de cookies o scripts en el navegador, el S2S permite que el servidor del sitio web envíe directamente esta información al servidor del proveedor de métricas. Así, se obtienen resultados precisos sin verse afectados por las configuraciones del navegador del usuario.
Esta tecnología, además, cuenta con la ventaja de ser menos intrusiva desde el punto de vista del usuario, ya que únicamente rastrea la actividad sobre una única web, a diferencia de las cookies, que, al estar instaladas en el dispositivo del usuario, permiten rastrear toda la actividad que este ha generado mientras que navegaba por Internet.
A pesar de sus ventajas, el sistema de seguimiento S2S presenta desafíos significativos en términos de cumplimiento de las regulaciones de protección de datos. A diferencia de las cookies, que permiten a los usuarios decidir si se instalan o no en sus dispositivos, el S2S no proporciona tal opción. Este sistema se basa en la comunicación directa entre servidores, eliminando la posibilidad de intervención del usuario. Esto representa un desafío para las empresas, ya que deben encontrar un camino adecuado para legitimar el tratamiento de datos. Además, es imprescindible seguir cumpliendo con los requisitos de información y transparencia.
¿Cómo pueden las empresas redefinir sus estrategias para aprovechar estas tecnologías? ¿Qué fórmulas de deber de información y transparencia se pueden aplicar para cumplir con la normativa y alinear los objetivos de negocio? ¿Cuáles son los riesgos asociados en la utilización de estas nuevas tecnologías?
Si quieres conocer las respuestas a estas y otras preguntas, no dudes en contactar con nosotros.
Artículo elaborado por Pedro Marques Gaspar, manager de Regulación Digital de PwC Tax & Legal, y Javier Barbero Castejón, associate de Regulación Digital de PwC Tax & Legal.
Contacta con nosotros
