Motivul ascuns pentru care ferestrele de cookies arată atât de dubios

Din primăvara lui 2018, experiența online a persoanelor care locuiesc în UE a început să fie presărată cu niște chestii foarte enervante: pop-up-urile care îți cer consimțământul pentru cookies.

Deodată, a trebuit să începi să analizezi informațiile pe care companiile le pot colecta despre tine de fiecare dată când intri pe un site, fie că e vorba de un serviciu de online banking, fie de un blog cu rețete de mâncare.

Pentru cine nu știe, cookie-urile sunt fișierele pe care calculatorul tău le descarcă atunci când intri pe un site. Conțin informații despre tine sau despre dispozitivul tău care pot fi citite de serverul de la celălalt capăt al conexiunii și sunt folosite pentru urmărirea activității tale pe internet.

Cookie-urile „first party” sunt plasate pe site de către proprietarul site-ului ca să-ți țină minte username-ul, de exemplu. Cookie-urile „third party” sunt plasate pe site de către alte companii care vor să-ți livreze reclame personalizate. Mai există multe tipuri de tehnologii de urmărire, dar o să le spun cookies, ca să păstrez lucrurile cât mai simple.

Bannerele de consimțământ pentru cookie-uri îți apar pe ecran datorită Regulamentului general privind protecția datelor (GDPR), un ghid care conține regulile după care sunt colectate, procesate și stocate de către companii informațiile personale ale oamenilor care trăiesc în UE. Acest regulament se aplică în prezent și în România. GDPR nu conține doar reguli despre cookies – e o legislație complexă care e lăudată de experții în securitate pentru definițiile legale inovatoare și pentru faptul că protejează drepturile și informațiile indivizilor.

GDPR susține că indivizii au dreptul să fie informați când le sunt colectate informațiile personale și să-și dea sau nu consimțământul pentru asta. Companiile trebuie să explice de ce colectează informațiile și să obțină consimțământul în prealabil, cu excepția cazurilor în care informațiile sunt strict necesare pentru funcționarea site-ului (de exemplu, cookie-uri care permit unui site de cumpărături să păstreze produsele puse în wishlist).

Acesta e scopul bannerelor de consimțământ – îți permit să îi transmiți proprietarului site-ului dacă ești sau nu de acord cu colectarea datelor tale personale neesențiale. Consimțământul GDPR trebuie să fie dat de bună voie, informat și non-ambiguu, ceea ce înseamnă că poți permite sau poți refuza să fii urmărit. Pare destul de direct, dar dacă ai încercat vreodată să refuzi niște cookie-uri, știi că nu se poate face printr-o simplă apăsare pe buton.

Am hotărât să testez sistemul. Timp de trei zile lucrătoare, mi-am înregistrat ecranul în timpul orelor de lucru la birou și am încercat să resping toate cookie-urile neesențiale pentru fiecare site cu care am interacționat. Apoi, m-am uitat în urmă să văd cât de ușor a fost sau nu.

Am măsurat asta în mai multe feluri. Mai întâi, cu ajutorul unui cronometru, am înregistrat cât mi-a luat să citesc un pop-up și să resping cookie-urile neesențiale. Am numărat și de câte ori am dat click, cât și dacă am fost sigură că am reușit să refuz cookie-urile sau doar am fost nevoită să renunț la un moment dat.

Pe parcursul a trei zile, am interacționat cu 76 de site-uri – 32 în prima zi, 30 în a doua zi și doar 14 în a treia zi. Cum lucrez ca editor pentru VICE, am accesat o grămadă de site-uri de știri, dar a trebuit și să caut informații despre fotbal, festivaluri, grădinărit – pe scurt, o combinație de subiecte diverse.

În prima zi, mi-a luat 14,38 minute ca să refuz cookie-uri. Cel mai rapid banner de consimțământ mi-a luat 2,6 secunde, iar cel mai lung mi-a luat peste cinci minute, după care a trebuit să renunț. În a doua zi, am petrecut 13 minute cu treaba asta, iar în a treia zi nouă minute.

Poate că nu pare mult, dar Nielsen Norman Group, o firmă de cercetare a experiențelor utilizatorului, estimează că oamenii petrec, în medie, mai puțin de un minut pe un site. De asta, majoritatea utilizatorilor nu-și mai bat capul să respingă cookie-uri și dau accept all, ca să scape repede de treaba asta.

Cel mai interesant rezultat al micului meu experiment a fost că am reușit să resping cookie-uri doar în jumătate dintre cazuri – 46 la sută, ca să fiu mai exactă. Treisprezece site-uri aveau banner de consimțământ, dar nu îmi ofereau opțiunea să refuz sau era atât de complicat încât eram nevoită să renunț.

În două cazuri, respingerea cookie-urilor însemna că nu mai puteam accesa conținutul site-urilor. Site-urile Healthline și Medical News Today, care fac parte din același grup, m-au trimis pe versiunea gratuită, fără cookie-uri, a site-urilor lor, unde puteam citi doar zece articole, în loc să am acces la toată platforma. Deși are sens ca un site să le blocheze accesul la conținut utilizatorilor care nu vor să vadă reclame, informațiile pe care nu vrei să le oferi site-ului sunt ale tale și ai dreptul să nu fii urmărit.

Pentru 26 de site-uri (34 la sută din total), n-am fost sigură că am reușit să refuz. Asta mai ales când site-ul nu avea deloc banner pentru cookie-uri (13 site-uri) sau când nu l-am observat, deși am fost foarte atentă (zece site-uri). O persoană mai critică ar spune că e vina mea că am ratat bannerele, dar eu zic că am avut niște motive bune pentru asta. Opt din zece bannere erau afișate la baza interfeței. Șapte dintre ele erau un singur rând de text care se confunda cu restul site-ului.

Aceste tipuri de design se numesc tipare întunecate sau „tipare de design care te păcălesc să faci ceva ce n-ai fi făcut în mod normal”, conform specialistului Harry Brignull, care a inventat termenul în 2010. Brignull mi-a zis pe Zoom că există multe tipuri de tipare întunecate, dar majoritatea creează „fricțiune”, ceea ce înseamnă că fac unele opțiuni mai ușoare decât altele.

„Multe tipare întunecate se bazează pe niște principii de design bun pe care le inversează. Fac design prost intenționat. Efectiv fac toate lucrurile pe care un designer le-ar evita în mod normal”, a zis el.

În aceste cazuri, bannerele de consimțământ au fost atât de greu de observat încât am uitat să iau decizia despre cookie-uri. Datele sugerează că majoritatea utilizatorilor de internet ignoră, pur și simplu, aceste porțiuni de pe ecran și nu interacționează cu bannerele în niciun fel. Dar, conform unui studiu din 2020, 32,5 la sută dintre site-urile analizate înregistrau consimțământul utilizatorilor înainte ca aceștia să ia vreo decizie pe subiect – de exemplu, dacă scrolaseră sau dăduseră refresh la o pagină sau doar deschiseseră site-ul. Studiul a mai descoperit că doar 11,8 la sută dintre site-uri respectau complet regulile GDPR.

„Chestia e că nu GDPR e responsabil de aceste pop-up-uri”, a zis Midas Nouwens, profesor asistent la Universitatea Aarhus din Danemarca și cercetător implicat în studiul din 2020. „GDPR a stabilit niște reguli pentru primirea consimțământului. Dar industria de advertising a interpretat aceste reguli cum a vrut și a făcut designul pentru pop-up-uri.”

Rolul pe care îl joacă industria de advertising în urmărirea oamenilor în online e complex. Majoritatea companiilor investesc, în prezent, în advertising personalizat – un model care se bazează pe identitatea ta și gusturile tale – pentru că e mai profitabil. Dar mai există un mod de a face bani online: advertising-ul contextual, care îți arată reclame în funcție de lucrurile la care te uiți într-un anumit moment.

Ca reclamele personalizate să funcționeze, serviciile de advertising precum Google AdSense trebuie să colecteze informații despre tine și activitățile tale de pe diverse site-uri. De aceea, majoritatea cookie-urilor sunt cele de „terță parte”, plasate pe site-uri nu de către proprietarii site-urilor, ci de către companiile de advertising. „Din acest motiv, mulți proprietari de site-uri nu știu ce tip de informații colectează. Li se vinde un pachet cu informații despre clienți sau li se oferă un plugin gratis în schimbul informațiilor”, a zis Nouwens.

De exemplu, un raport din 2020 efectuat de The Markup a scanat 80 de mii de site-uri și a descoperit trackeri Google Analytics pe 69 la sută dintre ele. Google Analytics poate oferi informații gratuite despre performanța site-ului pe care micii proprietari nu și le-ar putea permite, dar politica Google pentru cookie-uri îi permite gigantului tech să acceseze informațiile colectate de trackeri pentru analiză. Același lucru e valabil și pentru alte caracteristici scumpe ale site-urilor cum ar fi secțiunile de comentarii sau butoanele de share pentru rețelele sociale, oferite „gratuit” de multe companii în schimbul plasării unor trackeri pe site-uri.

După introducerea GDPR, proprietarii de site-uri au fost nedumeriți – noile regulamente le cereau să obțină consimțământul utilizatorilor, dar mulți dintre ei nu știau nici măcar ce trackeri au pe site-uri, darmite să știe cum să le ceară user-ilor consimțământul. Atunci a intrat în joc ramura europeană a Interactive Advertising Bureau (IAB Europe), o organizație de advertising online. În aprilie 2018, cu o lună înainte să fie implementat GDPR, IAB Europe a publicat Ghidul de Transparență și Consimțământ (TCF), un set de specificații tehnice „care să ajute industria de advertising digital să interpreteze și să respecte regulile UE cu privire la securitate și protecția datelor”.

Acest ghid a creat un mod standard de a obține consimțământul prin niște linii de cod specifice. A introdus și Platformele de Management al Consimțământului (CMP), printre care se numără, de exemplu, Quantcast, OneTrust și Cookiebot. CMP-urile sunt servicii care scanează site-urile ca să găsească cookies și compilează bannere de cookie-uri personalizate care îi permit proprietarului site-ului să respecte legea mai mult sau mai puțin. De aceea arată la fel pop-up-urile de cookie-uri pe site-uri diferite.

„Dar CMP-urile sunt folosite de două piețe, în mod diferit”, a explicat Nouwens. În teorie, scopul lor principal e să obțină consimțământul informat al utilizatorilor, dar clienții lor sunt proprietari de site-uri care au interesul să strângă cât mai multe date posibil și să le vândă industriei de advertising online. „Interesul CMP e să spună: Dacă folosești tehnologia noastră, 90 la sută dintre utilizatori vor spune da și nu vei simți impactul acestei legi”, a zis Nouwens. „De aceea folosesc tipare întunecate.”

IAB Europe nu e un jucător neutru – reprezintă alți jucători importanți din industria de advertising online, printre care Google și Facebook Atlas (serviciul de reclame personalizate al companiei). Conform Corporate Europe, un ONG care monitorizează activitățile de lobby din UE, IAB Europe a făcut ani de zile campanie, în mod activ, împotriva restricționării tehnologiei de tracking. Lobby Facts, o altă platformă care compilează informații despre lobby în Bruxelles, a documentat 17 întâlniri între reprezentanții IAB Europe și funcționarii UE, între 2014 și 2020. Se pare că IAB Europe a cheltuit între trei sute de mii și patru sute de mii de euro pentru activități de lobby doar în 2019.

O altă parte importantă a ghidului IAB are legătură cu doi termeni tehnici: „consimțământ” și „interes „legitim”. „GDPR a stabilit șase moduri de a procesa legal datele personale”, a zis Nataliia Bielova, cercetătoare la National Institute for Research in Digital Science and Technology (Inria) din Franța. „De exemplu, unul dintre ele e cu consimțământul utilizatorului, altul e pentru cazuri de urgență – în care viața unui pacient trebuie salvată la un spital –, iar al șaselea mod se numește interes legitim.”

Interesul legitim e un principiu care le permite companiilor să îți proceseze informațiile fără să-ți ceară consimțământul dacă pot dovedi că au avut nevoie să facă asta, că lucrul ăsta va avea un impact minim asupra intimității tale și că te așteptai oricum ca datele tale să fie procesate. Acesta poate include marketing-ul direct și personalizarea unui site în funcție de interesele tale (limbă, valută, rezultatele căutărilor), dar trebuie folosit în mod cumpătat.

Problema e că ghidul IAB le permite advertiserilor să aleagă dacă vor să îți proceseze informația prin principiul de consimțământ sau prin principiul de interes legitim, după cum a explicat Cristiana Santos, profesoară la Universitatea de Drept din Utrecht, specializată în protecția datelor online. „În timp ce pentru unul ți se cere consimțământul explicit, pentru interesul legitim nu e nevoie de asta. Și e derutant pentru utilizatori, pentru că ei nu înțeleg diferența”, a zis ea.

Practic, acest mod se manifestă în viața ta online după cum urmează: îți apare un pop-up de consimțământ cu o serie de opțiuni setate pe „off”. Dar dacă doar accepți aceste setări așa cum sunt, s-ar putea să nu mai primești un alt tab cu mai multe opțiuni preselectate despre care companiile spun că se conformează principiului de interes legitim.

Din experiența mea, acestea sunt unele dintre cele mai frustrante bannere. De exemplu, pe site-ul de sănătate WebMD, bannerul inițial de consimțământ pentru cookie-uri te duce la o serie de tab-uri în care ți se detaliază ce informații despre tine sunt colectate și trebuie să apeși un buton dacă ești de acord. Primele șase dintre cele 14 tab-uri se referă la cookie-uri strict necesare sau îți prezintă opțiuni bifate automat. Dar la al șaptelea tab, cel despre reclamele personalizate, trebuie să apeși de nouă ori pe butonul „Obiectez împotriva interesului legitim”, dacă vrei ca datele tale să nu fie urmărite și transmise companiilor. În bannerele cu alt format, poți apăsa „Reject all”, dar asta nu se aplică principiului de interes legitim.

Santos și Bielova, care au colaborat pentru mai multe studii multidisciplinare, au descoperit de curând că, din punct de vedere legal, bannerele ar trebui să ceară consimțământul pentru majoritatea scopurilor listate în ghidul IAB, dar se bazează adesea pe principiul interesului legitim. Per total, Bielova a confirmat că se întâmplă extrem de rar ca aceste bannere să respecte legea. Și totuși, multe site-uri folosesc bannere bazate pe ghidul IAB – IAB Europe conține 76 de Platforme de Management al Consimțământului, care creează fiecare bannere pentru sute sau chiar sute de mii de site-uri.

„Una dintre principalele critici aduse ghidului GDPR e că nu e aplicat cum trebuie, mai ales în ceea ce privește bannerele de cookie-uri”, a zis Nouwens. În prezent, utilizatorii pot raporta încălcările ghidului la Autoritatea de Protecție a Datelor din țara lor, organizațiile care supervizează aplicarea legilor referitoare la intimitate și securitate. Uneori, poți recurge la organizații locale pentru protecția consumatorului, precum European Center for Digital Rights.

Problema e că majoritatea oamenilor nu înțeleg când le sunt încălcate drepturile și habar nu au să raporteze asta. În plus, autoritățile de protecție a datelor pot analiza doar câte un caz odată și rezolvarea lor e să dea amenzi. E un proces foarte lent, având în vedere magnitudinea problemei. În plus, un raport din 2019 efectuat de European Data Protection Board a descoperit că majoritatea organizațiilor de protecție a datelor consumatorilor sunt subfinanțate cu treizeci până la cincizeci la sută.

„Cred că ar trebui ca ghidul să conțină puncte despre monitorizarea acestor tehnologii”, a zis Nouwens. „Dacă IAB a găsit un mod de a codifica consimțământul utilizatorilor, ar trebui să poată codifica și un mecanism care să analizeze sistematic dacă site-urile respectă legea.”

Un alt lucru important de notat e că s-ar putea să nici nu avem nevoie deloc de pop-up-urile de consimțământ. Deocamdată, privim consimțământul astfel pentru că așa au hotărât companiile de advertising, a zis Nouwens. Parlamentul European, Consiliul Uniunii Europene și Comisia Europeană discută, în prezent, despre un set de măsuri complementare la GDPR intitulat ePrivacy Regulation. În cadrul acestor discuții, s-a stabilit că e mai bine ca utilizatorul să seteze în browser opțiunile pe care le preferă și acestea să fie păstrate și afișate pentru fiecare site. Adică poți alege o singură dată cum preferi să ți se utilizeze datele, fără să mai fii întrebat de fiecare dată.

Bineînțeles, industria de advertising nu e mulțumită de ideea asta, pentru că are de beneficiat din faptul că utilizatorii le dau acordul rapid ca să scape de banner.

„Eu nu cred că faptul că utilizatorii trebuie să ia decizii în fiecare zi le dă acestora mai mult control. Am vorbit 45 de minute despre chestia asta și nici măcar eu nu știu perfect cum funcționează. Deci e clar că utilizatorii nu prea au cum să ia decizii informate, pentru că e o treabă complexă”, a zis Nouwens.

Dacă te temi cu privire la modul în care circulă informațiile tale în online, poți face câteva lucruri. Mai întâi, instrumentul Blacklight dezvoltat de The Markup îți permite să verifici ce informații urmărește un anumit site despre tine. Poți opta pentru browsere mai sigure, precum Tor sau Brave. Dar dacă vrei să păstrezi browserele de până acum, Nouwens îți sugerează să încerci o extensie de browser dezvoltată de el, numită Consent-O-Matic (pentru Firefox și Chrome), care răspunde automat la pop-up-urile de consimțământ în funcție de preferințele pe care le setezi tu.

Negocierile despre ePrivacy Regulation sunt încă în curs de desfășurare. Aici poți contacta reprezentantul local al Parlamentului European și aici poți trimite o petiție la UE ca să le transmiți părerea ta despre toate astea. Poate vom reuși să ne facem din nou viața mai ușoară online.