Sociedad
INVESTIGACIÓN | ¿Qué sucede con tus datos cuando le das a aceptar cookies? (1)
¿Sabes qué pasa con tus datos después de pulsar 'aceptar cookies'? Analizamos las principales empresas -ubicadas por todo el mundo- que gestionan los datos recabados en algunas de las webs más leídas de España.
Este artículo forma parte de #LaMarea100. Puedes conseguir la revista completa aquí.
Algo ha cambiado en la forma en que navegamos por Internet. A principios de 2024, la ventana emergente que nos invitaba a clicar en «aceptar cookies», y que se había convertido en costumbre, pasó a incluir una segunda opción. Desde entonces, podemos rechazarlas. Antes también, otra historia era descubrir cómo.
El cambio se produce porque la Agencia Española de Protección de Datos (AEPD) dio de plazo hasta el 11 de enero de 2024 para que las páginas webs siguieran las directrices europeas. La UE dictaminó en 2022 que la opción de rechazar las cookies -los ficheros de datos que recoge una web cada vez que recibe una visita-, debe ser igual de visible que la de aceptarlas. Pero tenía truco: Bruselas también dio la posibilidad de que rechazarlas tuviera un coste económico.
Desde entonces, diarios digitales de toda Europa tapan sus páginas de modo que las personas no suscritas al medio ni siquiera pueden ver los titulares de la portada, puesto que quedan ocultos bajo una ventana emergente o pop-up. Es más, en algunos casos –cuando el medio trabaja con suscripciones–, es posible que, incluso dando el consentimiento para ceder las cookies (es decir, pagando con tus datos), no puedas leer todos los artículos.
Elegir ante esta disyuntiva es complejo, sobre todo porque en esas mismas ventanas emergentes se especifica que los datos se comparten con los «socios» del medio. Y estos se cuentan por centenares. Por ello, tras asomarse a una lista inmensa, cada vez son más quienes le dan al botón de «aceptar» con resignación. En La Marea hemos querido averiguar qué datos personales estamos cediendo cada vez que aceptamos cookies, quién los está recopilando y con qué fin. Para ello, hemos analizado la configuración de las cookies de los 10 periódicos digitales más leídos de España, que suman millones de lectores cada día, y también sus listados de socios. El viaje, advertimos, ha sido opaco y cambiante.
Nos subimos al tren
En realidad, en cuanto aceptamos las cookies, nos estamos subiendo a centenares de trenes con un solo billete. Cada medio tiene en torno a 800 socios que recopilan esas cookies. En febrero de 2024, cuando comenzamos el reportaje, encontramos un total de 1.062 empresas asociadas diferentes. Muchas de ellas se repetían constantemente. En concreto, había 328 que aparecían en las 10 listas analizadas. Durante la investigación, hemos comprobado que estos socios -también conocidos como vendors– pueden cambiar en lapsos muy cortos de tiempo, especialmente en las webs que se sustentan con publicidad, como explica Adrianus Warmenhoven, experto en ciberseguridad y portavoz de la empresa NordVPN: «Los sitios web que dependen en gran medida de los ingresos publicitarios pueden actualizar a menudo sus asociaciones con redes publicitarias y corredores de datos».
Los medios, argumenta un experto en protección de datos que prefiere mantenerse en el anonimato, tienen la opción de seleccionar las empresas a las que les llegarán las cookies que consientan sus lectores. Sin embargo, es habitual que opten por incorporar listados completos, aunque luego sólo trabajen de manera efectiva con algunas de ellas.
Una muestra de esto es lo que sucede en elDiario.es, el único digital de los diez más leídos que ha respondido al cuestionario enviado por La Marea. El pasado febrero tenía 797 empresas asociadas, las de «la lista de socios que incorpora por defecto nuestro proveedor de consentimiento de cookies (el más usado en los medios españoles, Didomi)». Este diario, uno de los pocos que practica la transparencia y, entre otros, publica sus fuentes de ingresos cada año, confirmó que solo trabaja de forma directa con 10 o 20 de esos socios, «pero cada uno de ellos lo hace a su vez con otros tecnológicos, con los que también debemos conectar de forma indirecta. Y, lógicamente, la ley obliga a que se reporten todos ellos».
La respuesta es similar a la del director de un periódico local consultado no ser consciente de que su medio tenía más de 200 empresas asociadas. En su momento, el responsable de programación dio de alta el servicio de anuncios de Google, y a partir de ahí se fueron sumando el resto de compañías. En principio, todas ellas pueden recibir las cookies de sus lectoras y lectores, si estos las aceptan para leer los artículos.
Cierto es que los usuarios tienen la opción de seleccionar qué empresas del listado obtienen su información. También puede hacerlo descartando socios por bloques, a través de las finalidades o propósitos. Por ejemplo, rechazar todas las compañías que recolectan datos declarativos o sobre navegación e interacción. Los medios han ido incorporando esta opción de manera progresiva, pero aún cuesta encontrarla en las webs, aunque, en realidad es la única factible para rechazar cookies, puesto que el gran número de socios que suele tener cada medio dificulta enormemente que un usuario vaya uno a uno decidiendo con cuál quiere (o no) compartir su privacidad.
Destino principal: USA
Nuestro viaje es internacional. Las sedes principales de los socios presentes en los 10 medios analizados se reparten por todo el mundo. Estados Unidos es el destino favorito de nuestras cookies, pero también se desplazan, entre otros destinos, a China o Emiratos Árabes Unidos.
Samuel Parra, abogado en derecho tecnológico, advierte que el principal riesgo de este viaje por diferentes países «es que las medidas de protección y contención en materia de privacidad sean más tenues (o inexistentes) que las que tenemos en Europa y eso se traduzca en un mercadeo sin control de nuestra información, incluso para finalidades directamente ilícitas».
Llegadas a la primera parada, detengámonos un momento a analizar dónde estamos. El país cambia, pero las estaciones son similares. La mayoría de empresas asociadas, a veces con nombres y definiciones complicadas de descifrar, trabajan en el sector de la publicidad y el marketing online. Aunque hay desde las que se dedican a organizar eventos deportivos o a vender pisos, pasando por páginas de apuestas, realizar estudios de mercado o publicar información meteorológica.
Muchas se venden a potenciales clientes destacando las dimensiones de su banco de datos y la capacidad que tienen de hacer llegar la publicidad a millones de personas de forma individualizada. Así, Zeotap, por ejemplo, presume de tener una base de datos compuesta por más de 500 millones de IDs. Identificadores de usuarios que además tiene clasificados en cientos de categorías según sus gustos y su estilo de vida, como vemos en su página web.
Esto no implica que Zeotap ofrezca todas esas ID a sus clientes. «Lo que está diciendo es que tiene una gran capacidad de recopilación y análisis de datos y, por tanto, una fiabilidad muy alta en el perfilado de los usuarios, lo que se traduce, por ejemplo, en una publicidad mejor segmentada », aclara Parra.
Zeotap también asegura que el 100% de los datos que ofrece son datos consentidos. Aquí cabe preguntarse si, cuando la alternativa es pagar y, además, la información sobre lo que se acepta es poco clara o insuficiente, dar nuestros datos es un acto consentido.
Hablar en términos de millones no es atípico en la industria. Yoc, otro de los socios, presume de poseer un mercado único desde el cual se puede acceder a «cientos de millones de usuarios ». Zeta Global menciona una base de datos de 200 millones de usuarios en Europa. Y en Pixalate, ellos mismos afirman que monitorizan más de 5 millones de apps, 80 millones de dominios y más de 300 millones de dispositivos OTT. Estos últimos son todos los dispositivos diferentes de ordenadores y móviles que se usan para ver vídeos, como televisores inteligentes o consolas de videojuegos.