Los activistas que doblegaron a Facebook preparan una demanda contra 560 webs, 57 de ellas españolas

La organización austríaca en defensa de los derechos digitales NOYB inicia este lunes una cruzada contra el mal uso de las cookies de terceros, archivos digitales que se quedan en los dispositivos cada vez que accedemos a una página y que recogen información de la navegación que, tras procesarla, sirve para personalizar la publicidad digital. Los abogados de NOYB han enviado esta mañana una notificación a 560 compañías europeas, entre ellas 57 españolas, para que modifiquen la forma en que solicitan permiso a los usuarios para rastrearlos, según ha informado la organización a EL PAÍS. Si sus respectivas páginas web no empiezan a mostrar claramente la opción de rechazar las cookies en el plazo de un mes serán demandadas por incumplir, según NOYB, el Reglamento General de Protección de Datos (RGPD), la piedra de toque europea de la privacidad digital, lo que podría comportar multas de hasta 20 millones de euros.

NOYB, acrónimo de None of your business (No es asunto tuyo), tiene decidido presentar este año unas 10.000 demandas relacionadas con el presunto mal uso de las cookies. Estas 560 formarían parte de la primera oleada, lo que a su vez sería la mayor ronda de demandas interpuestas de forma conjunta desde que entró en vigor el RGPD. Entre las webs españolas señaladas se cuentan las de grandes empresas como Telefónica, Mapfre o Mastercard, las de marcas de consumo como Coca-Cola, Gallina Blanca o Granini y las de revistas como Fotogramas, Diez Minutos, National Geographic o Vogue. Recibirán también una copia del borrador de la demanda compañías globales como Google, Facebook o Twitter, entre otras.

Fundada en 2017, NOYB está capitaneada por el activista Max Schrems, el joven abogado que consiguió que Facebook tenga que mantener en territorio comunitario los datos de sus usuarios europeos para asegurar que su gestión cumple los estándares comunitarios de privacidad. El efecto que causaron las 22 denuncias que interpuso el austríaco cuando todavía era un estudiante contra la compañía dirigida por Mark Zuckerberg, todas ellas por violaciones a su privacidad, causó un profundo impacto en Europa. Según reconoció más tarde la excomisaria de Justicia Viviane Reading, el propio RGPD estaría en parte motivado por el empuje demostrado por Schrems.

La quimera de evitar las ‘cookies’

Desde hace tres años, cuando entró en vigor el RGPD, cada vez que accedemos a una web por primera vez salta un banner o aviso en el que se pregunta si se acepta o no que se usen cookies de terceros. O eso es al menos lo que debería pasar: en la práctica, muchas páginas se buscan las vueltas para que no se encuentre la forma de rechazar las cookies, o para que hacerlo sea un proceso tan tedioso que haga desistir al más perseverante. “Hacen tan complicado clicar en el no que todo el mundo se rinde. Nosotros queremos que se ofrezca de forma clara un botón para sí y otro para no”, comentan desde NOYB.

El diseño de estos avisos consigue que más del 90% de los usuarios opte por pinchar directamente en aceptar que sus datos se compartan con centenares de empresas, mientras que según reconoce la propia industria solo el 3% está realmente de acuerdo con ello. “Una legión de consultores y diseñadores desarrollan farragosos laberintos para asegurarse mejores ratios de consentimiento de las cookies. Frustrar a la gente para que clique ok es una clara violación de los principios del RGPD”, señala Schrems. “Muchos creen que estos estúpidos banners son culpa de la directiva europea, pero en realidad son una artimaña de la industria diseñada para que no rechacemos que nos puedan rastrear”, dijo en una reciente entrevista en EL PAÍS.

Rectificación o demanda

La organización austríaca ha desarrollado un software para detectar los avisos de cookies que no ofrecen de forma clara la opción de rechazar el rastreo, ver en qué tipo de violaciones legales incurren y generar automáticamente la demanda. Distinguen entre ocho tipos de infracciones, que van desde la clasificación fraudulenta de cookies (por ejemplo, poner cookies de rastreo en el apartado de las cookies técnicas o necesarias para el funcionamiento de la web) hasta la ausencia de un botón como tal para desactivar o rechazar las cookies, pasando por el hecho de tener todas las opciones activadas por defecto.

A continuación, el equipo de NOYB analiza cada caso y decide si ir o no a por él. Antes de dar ese paso, se le comunica a la empresa en cuestión que está actuando ilegalmente y se le da un plazo de un mes para que rectifique. En caso de no hacerlo, se interpone la demanda con las autoridades pertinentes.

“Queremos asegurarnos de que se cumple la ley, idealmente sin acudir a los tribunales. Sin embargo, en caso de que las empresas no cooperen estamos listos para emprender acciones judiciales”, explica Schrems.

Las 560 webs que forman parte de su primera tanda de demandas han sido elegidas basándose en la extensión de la página o dominio de nivel superior (TLD, del inglés top-level domain) y en el número de visitas que reciben. El 81% de ellas, siempre según NOYB, no ofrece una opción clara para rechazar las cookies en su página inicial, sino que la omiten o la esconden en submenús. El 73% usa colores y contrastes para tratar de que el usuario pinche aceptar sin llegar a ver la opción de rechazar.

La que arranca este lunes es la segunda fase del plan de acoso y derribo a las cookies ideado en Viena por el equipo de Schrems. La primera consistió en sendas demandas a Apple y Google por rastrear sin permiso los teléfonos móviles que funcionan con sus respectivos sistemas operativos, iOS y Android. En ambos casos, el procedimiento seguido es generar una especie de identificador o matrícula del dispositivo que luego es intercambiado con otras compañías y compartido con los anunciantes. Todo ello sin solicitar el consentimiento de los usuarios.

“En nuestra demanda contra los identificadores únicos de los teléfonos Android estamos demostrando que no son más que cookies, que encajan en esa definición [aunque en este caso no se pide permiso a los usuarios]”, dijo Schrems a EL PAÍS cuando iniciaron ese proceso.

Puedes seguir a EL PAÍS TECNOLOGÍA en Facebook y Twitter o apuntarte aquí para recibir nuestra newsletter semanal.