Una investigación de varios años sobre la entidad matriz de TechCrunch, Yahoo, que analiza el cumplimiento de los requisitos clave de transparencia del Reglamento General de Protección de Datos (GDPR) de la Unión Europea, incluso en relación con los anuncios de cookies que se muestran en sus propiedades de medios, ha dado un paso adelante hoy después de que Irlanda La Comisión de Protección de Datos (DPC) anunció que ha presentado un proyecto de decisión a otras agencias de protección de datos de la UE para su revisión.
En una declaración sobre el desarrollo, el comisionado adjunto Graham Doyle dijo:
El 27 de octubre de 2022, el DPC presentó un proyecto de decisión en una investigación sobre Yahoo! EMEA Limitado a otras Autoridades de Supervisión Interesadas en toda la UE. La investigación examinó el cumplimiento de la empresa con los requisitos para proporcionar información transparente a los interesados en virtud de las disposiciones del RGPD. En virtud del proceso del artículo 60 del RGPD, las autoridades de control competentes tienen hasta el 24 de noviembre de 2022 para enviar cualquier «objeción pertinente y razonada» al proyecto de decisión del DPC.
Siguiendo su procedimiento habitual, el DPC no ha publicado ningún detalle sobre el contenido de su proyecto de decisión. En cualquier caso, el resultado no es definitivo hasta que otras DPA interesadas hayan intervenido, por lo que aún no se ha concluido nada.
La consulta se refiere al procesamiento de datos de usuarios europeos por parte de Yahoo y se centra en su cumplimiento de los artículos 5(1)(a), 12, 13 y 14 del RGPD, por lo que las DPA considerarán si el negocio de Yahoo ha estado cumpliendo con los requisitos del RGPD para el procesamiento de datos personales sea lícito, justo y transparente; y también si se ha comunicado correctamente a los usuarios cómo se procesan sus datos.
Si otras DPA están de acuerdo con el borrador de Irlanda, se podría emitir una decisión final bastante pronto, tal vez incluso en un par de meses.
Sin embargo, si se presentan objeciones, es posible que el proceso deba pasar por un mecanismo de resolución de disputas en el RGPD, lo que podría prolongar las cosas durante muchos meses más. (Un borrador de decisión sobre el procesamiento de datos de niños por parte de Instagram pasó al Artículo 60 en diciembre de 2021, pero una decisión final (y una multa considerable en ese caso) tardó hasta septiembre de 2022 en aterrizar después de que otras APD objetaran el borrador de Irlanda, por ejemplo).
La investigación del DPC sobre Yahoo comenzó en agosto de 2019, cuando la entidad era conocida como Verizon Media (de soltera Oath) y estaba en manos del operador estadounidense Verizon. Este último vendió la división, en mayo de 2021, al gigante de capital privado Apollo Global Management, que optó por un cambio de marca retro (a Yahoo). Así que es el gigante de PE el que se ha quedado con la exposición regulatoria aquí.
Hablando con el Irish Independent en 2019, la comisionada del DPC, Helen Dixon, dijo que la investigación se centró en problemas de transparencia relacionados con las publicaciones operadas por la empresa y se abrió en respuesta a múltiples quejas de personas sobre los sitios de medios de Yahoo, incluidos los anuncios de cookies que ella dijo a veces «efectivamente» no ofrece otra opción a los usuarios, más allá de una ‘opción’ para hacer clic en «aceptar».
Yahoo posee una serie de propiedades de medios de la marca Yahoo, incluidos Yahoo News, Yahoo Finance, Yahoo Sports, etc., sitios de medios tecnológicos como Engadget (y este sitio web de Internet), así como, en el momento en que el DPC abrió su investigación, HuffPo y tumblr, que la compañía vinculó a su negocio de publicidad en línea a través del uso de cookies de seguimiento colocadas en los dispositivos de los visitantes. Por lo tanto, estos banners de consentimiento de cookies aparecen con información sobre «socios» de anuncios y propósitos para el procesamiento.
La cuestión es que, según el RGPD, para que el consentimiento sea una base legal válida para procesar los datos de las personas, debe ser informado, específico y otorgado libremente, por lo que un banner de cookies que carece de una opción para que los usuarios nieguen el seguimiento de anuncios generará quejas. que no está ofreciendo la necesaria libre elección.
Verizon Media parece haber realizado un cambio notable en el diseño de su banner de cookies (alrededor de la primavera de 2021), luego de que el DPC abriera su investigación, que modificó la implementación del flujo de consentimiento para incluir un botón de rechazo.
Se puede ver una versión actual de un banner de cookies de Yahoo (que se muestra a continuación en un sitio web de Yahoo) que incluye dos opciones de «rechazar todo»:
Captura de pantalla: Natasha Lomas/TechCrunch
En el lado menos positivo, este banner de cookies intenta reclamar un motivo de «interés legítimo» (es decir, no basado en el consentimiento) para procesar los datos de las personas para la orientación de anuncios (y los cambios predeterminados son ‘activados’), pero al menos puede negarlo. seleccionando «rechazar todo» en el campo LI.
La implementación actual del banner de cookies de Yahoo, al menos en la versión que vimos, también relega el botón de rechazo al segundo nivel del menú, en lugar de mostrarlo en el nivel superior, junto con la opción «aceptar todo» que se muestra allí.
Esto significa que los usuarios tienen que hacer clic en «administrar configuraciones» antes de que puedan ver una opción de rechazar todo (mientras que este menú de segundo nivel es largo y requiere desplazamiento), por lo que el diseño modificado puede generar nuevas objeciones de los reguladores, ya que no ofrece un igualmente manera fácil de rechazar el seguimiento como lo permiten.
Aún así, queda por ver qué decidirán las DPA de la UE sobre la queja de Yahoo en su conjunto. Dado que la queja es anterior a esta implementación del banner de cookies, es posible que la consulta no considere el diseño actual tan de cerca como el anterior que le generó a Yahoo todas estas quejas. (Aunque las DPA también podrían tenerlo en cuenta en cualquier orden para que la empresa modifique el diseño del banner en una decisión final).
Una cosa está clara: los reguladores de la UE están prestando cada vez más atención a los consentimientos de cookies para el seguimiento de anuncios.
A principios de este año, la CNIL de Francia impuso multas sustanciales a Google y Facebook relacionadas con patrones oscuros en los banners de cookies (en virtud de la Directiva de privacidad electrónica, que, a diferencia del RGPD, no requiere que las quejas transfronterizas se canalicen a un DPA principal, como ha sucedido aquí con la queja de Yahoo).
Unos meses más tarde, Google actualizó su banner de cookies en Europa para incluir un botón de nivel superior para rechazar todo.
El año pasado, el organismo de control de protección de datos del Reino Unido también publicó una opinión en la que instaba a la industria de seguimiento de anuncios a prepararse para reformar y reestructurar su tecnología publicitaria para brindar a los usuarios opciones sin perfiles y otras opciones a favor de la privacidad, lo que indica que espera un cambio importante de dirección lejos de Vigilancia masiva de usuarios web por diseño y por defecto.
Desde el año pasado, el grupo europeo de campañas de privacidad, noyb, también ha estado realizando una importante campaña de cumplimiento de GDPR destinada a alentar a decenas de sitios web a reformar los banners de cookies que no cumplen mediante el envío de quejas directamente a ellos, pero también proporcionando un análisis gratuito de los ajustes necesarios para adaptar sus ventanas emergentes de cookies al RGPD. Solo aquellos sitios que se resistan a los cambios necesarios se enfrentarán a una queja sobre ellos presentada por noyb ante un DPA relevante.
A principios de este año, lanzó un lote de ejemplos de «antes y después» de cómo varios sitios minoristas conocidos han adaptado sus banners de cookies en respuesta a su campaña proactiva, con la adición de un botón de «rechazar todo» de nivel superior. siendo una acción de cumplimiento clave tomada por muchos de los objetivos reformados de noyb.
La organización sin fines de lucro también ha presentado una serie de quejas sobre los rechazos de la reforma de los banners de cookies ante los reguladores (hasta agosto, 226 se habían presentado ante 18 autoridades de protección de datos), aunque las ejecuciones siguen pendientes a medida que avanzan los procedimientos.