pexels colour creation 112811

Despre cookie walls și claustrofobie

13 minute • Alexandra Cruceru • 28 ianuarie 2021


Cu siguranță fiecare dintre noi s-a simțit la un moment dat, în minunata călătorie prin www, un pic strâns cu… unul sau mai multe cookie walls. Uneori am rezistat eroic, căutând cu înverșunare un mod de a scăpa pe ușa din dos. Ne-am încăpățânat să navigăm prin furtuna de politici scrise cu litere mărunte, sau chiar am continuat să privim pur și simplu lumea de dincolo, claustrați și clandestini, printr-o crăpătură a zidului. Dar alteori… obosiți de atâta luptă, am renunțat și am apăsat înfrânți pe Accept. Și apoi am oftat prelung.

Un cookie wall este o fortăreață în jurul unui site prevăzută cu o sigură ușiță prin care utilizatorul poate intra, ușor aplecat, și doar dacă se lasă căutat prin toate buzunarele.

E practic acel chenar sau banner care îți pâlpâie în fața ochilor atunci când vrei să ajungi la conținutul sau serviciile unui site, dar ce să vezi?! nu se poate decât dacă îți dai consimțământul ca acel site să folosească cookie-uri, după pofta inimii.

Fie click Accept, fie ieși a-fa-ră dum-nea-ta!

În plus, nu poți să alegi între unele categorii de cookie-uri, sau altele, cum ar fi normal. Nu poți diferenția, ci trebuie să accepți toate cookie-urile exact în forma și cantitatea prestabilită. Mai exact trebuie să accepți ca date personale despre tine să fie colectate și transmise în funcție de interesele site-ului, adesea unor companii terțe de marketing sau analytics. Deci consimțământul este departe de a fi liber exprimat sau granular. Despre categoriile de cookie-uri și consimțământ am scris pe larg într-un articol aici.

Din fericire, nu orice cookie banner este și un cookie wall, după cum vom vedea.

Nu prea. Și o spune chiar Comitetul European pentru Protecția Datelor (EDPB), organismul care asigură aplicarea coerentă a GDPR, în Ghidul său privind consimțământul, adoptat în Mai 2020:

„Pentru ca un consimțământ să fie liber exprimat, accesul la servicii sau funcționalități nu trebuie să fie condiționat de acordarea consimțământului utilizatorului pentru a stoca informație sau a obține accesul la informație deja stocată pe echipamentul terminal al utilizatorului (așa numitele cookie walls).”

Pentru a fi legal, un astfel de banner trebuie să ofere utilizatorului posibilitatea reală de a alege dacă permite sau nu folosirea cookie-urilor pe site, adică dacă permite folosirea datelor sale personale stocate de acestea.

Și în plus, categoriile de cookie-uri ar trebui diferențiate în funcție de scopul lor, pentru ca un utilizator să aibă posibilitatea de a permite cookie-uri ce au un anumit scop (asigură funcționarea optimă a site-ului sau personalizează funcțiile acestuia) și de a respinge altele cu scopuri publicitare, spre exemplu, care sunt cele mai intruzive cu privire la datele personale.

Trebuie, deci, să existe pe lângă un buton de Accept, un altul de Nu, mulțumesc sau Respinge sau alte butoane de modificare a opțiunilor – Schimbă setări sau Modifică preferințe – sau pur și simplu un X pentru a închide chenarul cookie. Cu alte cuvinte trebuie să nu sufoce alegerea!

Dar dincolo de legalitate, condiționarea accesului la conținut presupune că utilizatorului i se forțează mâna printr-un mecanism take it or leave it, ușor mafiot, pe care acesta la rândul său îl va penaliza, cel puțin printr-o lipsă totală de respect pentru site-ul cu pricina. Cu toții știm că unele cookie-uri pot avea un gust dulce acrișor. Dar cookie wall-ul sigur lasă în urmă un gust amar.

Dar EDPB nu face legea.

Opiniile și ghidurile EDPB oferă doar direcții sau recomandări de interpretare a GDPR și nu au putere obligatorie. Adică Autoritățile de supraveghere naționale pot adopta propria interpretare asupra regulilor GDPR. Și uneori, chiar dacă sunt pe aceeași lungime de undă, nu se pot baza pe considerațiile EDPB până la capăt.

Acesta este cazul Autorității de supraveghere franceze (CNIL) care și-a însușit opinia EDPB despre consimțământul liber exprimat, declarând într-un ghid propriu privind cookie-urile (din Iulie 2019) că aceste bariere din cookie-uri care blochează opțiunea reală a utilizatorului trebuie interzise.

În urma publicării ghidului, mai multe organisme din industria e-commerce și tech au sesizat Consiliul de Stat francez, cea mai înaltă instanță de contencios din Franța, cu privire la prohibiția generală asupra cookie walls. Iar Consiliul de Stat a hotărât că această măsură ar excede puterilor Autorității de supraveghere franceze, chiar dacă e aliniată cu opiniile EDPB, pentru că niciuna dintre aceste două entități nu pot adăuga la lege.

Ulterior, prin noul Ghid privind cookie-urile din Octombrie 2020, CNIL a nuanțat interdicția asupra cookie walls, declarând că este necesară o analiză de la caz la caz a acestora, iar în funcție de gradul de condiționare a consimțământului vor fi considerate compliant cu GDPR sau în afara legii.

Și totuși, chiar dacă oficial a fost șifonată în partida despre cookie walls, CNIL se impune în continuare în războiul împotriva cookie-urilor neconforme.

Autoritatea a amendat recent doi dintre giganții universului online, Google și Amazon, pentru că au plasat cookie-uri pe dispozitivele utilizatorilor, înainte de a fi cerut consimțământul. Și pentru că (atenție!) nu au informat corect utilizatorii cu privire la plasarea acestor cookie-uri. Adică bannerul noncompliant privind cookie-urile a costat 135 de milioane de euro. Și nu era un zid!

Despre amenda Google și Amazon poți citi mai multe aici.

E interesant cum fiecare autoritate are apucăturile ei când vine vorba de cookie walls și de a interpreta noțiunea de consimțământ liber exprimat.

Autoritatea de supraveghere olandeză consideră că tracking-ul online este unul dintre cele mai invazive moduri de a procesa date personale, astfel încât obținerea unui consimțământ valid privind această îndeletnicire este un factor cheie. Consimțământul trebuie să fie liber, iar în cazul în care utilizatorul refuză folosirea cookie-urilor, trebuie asigurat în continuare accesul la site. Autoritatea olandeză veghează!

Pe de altă parte, Autoritatea de supraveghere din Austria a adoptat o abordare mai permisivă în ceea ce privește consimțământul liber. Sesizată cu o plângere, a remarcat că un site de presă a implementat un zid din cookie-uri cu trei opțiuni pentru utilizator: fie acceptă tracking cookies prestabilite și are acces nelimitat la site, fie refuză tracking cookies prestabilite și are acces limitat la conținutul site-ului, fie plătește un fee de 6 euro și are acces nelimitat la site fără a fi urmărit prin cookie-uri.

Ca răspuns, AS Austria a afirmat că pentru unele companii de media online, publicitatea este poate singura sursă de venit (pe care sunt obișnuite să se bazeze de ani de zile). În același timp noțiunea de consimțământ liber exprimat nu presupune automat servicii oferite gratuit.

Concluzia a fost astfel că abordarea site-ului media este compliant cu GDPR pentru că nu implică niște consecințe negative semnificative pentru utilizator în caz de refuz al cookie-urilor, prețul serviciilor fiind rezonabil.

Autoritatea de supraveghere britanică (ICO) afirmă că un consimțământ nu poate fi considerat valid dacă este o condiție de acces la un serviciu. De asemenea consideră că uneori zidurile cookie au o abordare nepotrivită. Mai exact atunci când utilizatorul nu are de ales, decât să accepte toate cookie-urile dacă vrea să navigheze în voie pe un site.

În asentimentul ICO și AS Olanda este și Autoritatea de supraveghere din Spania (AEDP), care consideră zidurile cookie noncompliant dacă nu oferă o alternativă similară de acces fără a forța consimțământul utilizatorului. Această poziție a fost stabilită prin Ghidul său privind cookie-urile adoptat în Iulie 2020 și care a intrat în vigoare din 31 Octombrie 2020.

Aceste ziduri cookie pot căpăta mai multe înfățișări. Uneori sunt solide și flagrante. Nu ai cum să nu-ți dai seama că te afli în fața unei instalații impenetrabile care te forțează la un compromis. Alteori, sunt ca o vrajă, care te învăluie și te distrage și te lasă cu senzația că nimic nu s-a întâmplat, totul e bine and all things merry and bright.

În continuare vom analiza o serie de variații ale conceptului de cookie wall.

Varianta consimțământului presupus

Acest site folosește cookie-uri. Prin continuarea utilizării site-ului vă exprimați acordul cu privire la politica cookie.”

Această abordare a unor site-uri nu este doar un cookie wall care condiționează conținutul site-ului de consimțământul utilizatorului ci până la urmă nici nu solicită acest consimțământ. Acordul utilizatorului este prezumat prin simpla continuare a folosirii acelui site (doar prin continuarea deplasării pe pagină, de exemplu), după afișarea ferestrei care informează despre asta. Sau poate chiar înainte, pentru că cel mai probabil cookie-urile se atașează la dispozitivul utilizatorului imediat ce acesta accesează respectiva pagină web.

Sau cum are Auchan, mai jos:

Iar cea mai ”tare” aici este chiar Direcția Locală de Evidență a Persoanelor Sector 6. Ce are o pagină distinctă unde spune că ”continuarea navigării implică acceptare lor [n.a. a cookies]”.

Varianta consimțământului implicit

Acest site folosește cookie-uri pentru a vă îmbunătăți experiența. Prin accesarea site-ului vă exprimați acordul cu privire la utilizarea de cookie-uri.

cookie walls

Această altă abordare este ușor diferită de prima, prin faptul că presupune o altă acțiune a utilizatorului în site, în afară de deplasarea în jos pe pagină. Un exemplu de astfel de acțiune ar putea fi click-ul pe un link din site sau deplasarea pe o altă pagină a site-ului. Condițiile unui consimțământ valid nu sunt întrunite aici pentru că acesta nu este nici specific, ci reprezintă o acțiune a utilizatorului făcută cu alt scop, și de altfel nu este nici lipsit de ambiguitate.

Împotriva acestor prezumții de consimțământ EDPB s-a pronunțat în noul Ghid privind consimțământul:

„Acțiunile ca scrolling-ul sau swiping-ul pe o pagină web sau orice altă activitate similară a utilizatorului nu va satisface sub nicio formă condiția unei acțiuni clare și afirmative: aceste acțiuni pot fi dificil de diferențiat de alte activități sau interacțiuni ale unui utilizator și astfel faptul de a determina că un consimțământ lipsit de ambiguitate a fost obținut, nu este posibil. Mai mult, într-un asemenea caz ar fi dificil de asigurat o modalitate prin care utilizatorul să-și retragă consimțământul într-un mod la fel de simplu cum l-a acordat.”

Amestec de consimțământ implicit cu acțiune afirmativă a utilizatorului

Folosim cookie-uri pentru a vă îmbunătăți experiența pe site. Prin continuarea utilizării site-ului vă exprimați acordulAccept

Această combinație de consimțământ implicit și acțiune a utilizatorului este în continuare neconformă cu GDPR pentru că acțiunea utilizatorului nu este liberă, ci impusă de context. Acesta nu are de ales. Singura variantă de acțiune este click Accept.

Doar buton de ACCEPT

Acest site folosește cookie-uri pentru a se asigura că ai cea mai bună experiență. Accept

În final, acesta este un exemplu de cookie wall clasic, unde utilizatorul poate să aleagă între a consimți la folosirea cookie-urilor sau să poftească la plimbare, offline.

Cam așa: „Folosim cookie-uri strict necesare pentru a oferi utilizatorilor o experiență optimă pe site. De asemenea folosim cookie-uri ce rețin informații despre comportamentul utilizatorilor pentru a ne putea îmbunătăți comunicările și produsele. Acceptă toate cookie-urile. Acceptă doar cookie-uri strict necesare

cookie walls

Dar rareori lucrurile sunt așa de clare.

Cel mai adesea, chiar dacă sunt conforme cu GDPR, bannerele despre cookie-uri vor presupune efort în plus din partea utilizatorului. Pe lângă butonul de Accept care e foarte clar pe poziție, utilizatorul va trebui să identifice singur ce alte opțiuni are, prin click pe Mai multe opțiuni sau Afișați detalii sau Setări. Și aici, dacă există o clasificare a cookie-urilor după scop, unde poți bifa ce vrei și ce nu vrei, te poți considera norocos.

Ca în cazul ialoc.ro. Da, cookie bannerul lor e o barieră de nedepășit. Dar click pe Modifică setările și vei avea parte de ghirlande de cookie-uri în jurul gâtului și posibilitatea reală de a le alege doar pe cele mai glazurate. Așa mai merge.

Dar alteori butonul Afla mai multe duce pe pagina politicii despre cookie-uri unde trebuie să derulezi prin toate informațiile pentru a ajunge la Cum poți dezactiva cookie-urile din browser.

Înmulțește asta cu zeci și zeci de site-uri pe care le accesezi zilnic și o să afli cât timp petreci frământând aluat de cookie-uri. Nu e de mirare că se manifestă din ce în ce mai des sindromul numit consent fatigue.

Utilizatorul nu mai are nici răbdare sau timp, nici interes sau chef să descopere ce cookie-uri folosește site-ul, la ce trebuie să fie atent și de ce trebuie să se ferească. E plictisit și sătul să aleagă și să bifeze. Iar în fața unui cookie wall poate deveni chiar isteric sau anxios. Mai ales că 10% din populația globală suferă de claustrofobie!

Recomandarea specialiștilor ar fi deci administrarea unui tratament preventiv.

Un cookie banner (și nu cookies walls) care:

  • să informeze simplu și concis utilizatorul despre cookie-urile folosite;
  • să clasifice cookie-urile folosite în funcție de scopul lor;
  • să permită utilizatorului să aleagă în mod real care dintre cookie-uri vor fi folosite.

And that’s the way the cookie wall crumbles!

Poză de Colour Creation pe Pexels

2 răspunsuri

Lasă un răspuns

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *