Un 95% de los usuarios rechazan cookies adicionales con diseños que fomentan la privacidad

El SERNAC dio a conocer los resultados del primer experimento en Chile sobre preferencias de configuración de cookies, concluyendo que, si los mensajes utilizados para solicitar el consentimiento para su uso son explícitos y tienen un diseño que facilite la opción para objetar cookies adicionales, un 95% de los participantes las rechaza, protegiendo sus datos personales.

Los resultados de este experimento fueron dados a conocer en el webinar "Privacidad por defecto y Dark Patterns en el consentimiento de Cookies", instancia que contó con la participación de la presidenta del Consejo de la Transparencia, Gloria de la Fuente; de la asesora internacional de Políticas Públicas de la ONG Derechos Digitales, María Paz Canales; y del Director Nacional del SERNAC, Lucas Del Villar.

¿Qué son las cookies?

Las cookies son archivos de texto que los sitios web colocan en un dispositivo mientras la persona navega. El tema está en que algunas cookies pueden recopilar y rastrear información como la dirección IP, ubicación y otros datos personales que podrían ser compartidos a terceros. Por eso, no es inocuo si se aceptan o no.

De hecho, una de las principales técnicas para recopilar dichos datos de los usuarios que navegan por internet por parte de las empresas es justamente la utilización de cookies.

Análisis

El experimento, realizado por el SERNAC y basado en las ciencias del comportamiento, tuvo como objetivo identificar los formatos y mensajes que facilitan que las personas disminuyan la entrega de sus datos personales al navegar por internet que no están alineadas con sus preferencias, contando con la participación de 70.208 usuarios únicos.

La experiencia incluyó una serie de mensajes que el SERNAC dispuso en su sitio web a través de "modal", donde informaba sobre el uso de cookies y se les pedía a los usuarios su consentimiento, y de esta forma, se pudo evaluar las preferencias de configuración.

De hecho, el experimento incluyó cinco prototipos basados en los mejores estándares de la regulación europea en materia de protección de datos personales y los mensajes que se enfrentan los usuarios con mayor frecuencia. En contraste, incluyó un mensaje representativo que algunos sitios web de empresas nacionales utilizan frecuentemente.

Cada uno de los prototipos incluyó alteraciones en la forma en que se solicita el consentimiento para el uso de cookies adicionales, incorporando información sobre el uso y finalidad de las cookies, modificando opciones por defecto (opt-in/opt-out); además de agregar manipulaciones estéticas que resaltan opciones que motivan o desincentivan decisiones que restringen la aceptación de cookies adicionales (patrones oscuros o brillantes).

Tras el análisis, el estudio permite concluir que dos de los prototipos diseñados por el SERNAC logran aumentar en 94 y 86 puntos porcentuales la probabilidad de que los consumidores rechacen cookies adicionales.

Tratamiento "Patrón brillante con más información"

El tratamiento que obtuvo los mejores resultados, denominado "Patrón brillante con más información", combina el destacar la opción de "rechazar las cookies adicionales" y una configuración por defecto de adhesión voluntaria (opt-in) para los usuarios que ingresan a configurar. En ese modelo, los consumidores rechazan, en un 95,11% de los casos, las cookies adicionales cuando se utilizan "mensajes con manipulación estética", es decir, se resalta la opción que protege en mayor medida los datos personales que entregan los consumidores en internet.

El segundo mensaje que obtiene buenos resultados es el denominado "Tratamiento opt-in", donde los usuarios pueden configurar las cookies de manera inmediata en un sólo "pop-up", que rechaza por defecto el uso de cookies adicionales. En este caso el 86,72% de los casos rechazó las cookies adicionales.

Tratamiento "opt-in"

Por otro lado, también se observa que todos los diseños que incentivan la aceptación de cookies -a través de combinaciones de patrones oscuros y configuración opt-out- provocan que más del 90% de los usuarios acepte las cookies adicionales y, por lo tanto, sus datos personales estén más expuestos en línea. Esto ratifica la relevancia central de las reglas de privacidad por defecto en la configuración de mecanismos para recabar el consentimiento en el uso de cookies.

Finalmente, ​el diseño representativo a lo que utiliza la industria nacional para la solicitud de cookies, el cual permite la configuración de éstas una vez que la persona ingresa a la política de privacidad, mostró que de los usuarios que vieron ese mensaje, sólo un 1,43% ingresó al enlace a la política de privacidad para informarse más sobre las cookies y poder configurarlas. Esto es relevante, pues en un escenario en que la industria utiliza mensajes que obstruyen el rechazo de cookies, los consumidores son más propensos a entregar información personal sin ser conscientes de aquello.

Mensaje representativo a lo que algunos sitios web nacionales y estadounidenses utilizan (Control)

Esta situación es perjudicial para los consumidores que no dimensionan que con esta omisión están entregando información relevante a las empresas.

Recordemos que recientemente el SERNAC realizó un estudio de Dark Patterns en el país, donde detectó que, del total de los sitios analizados, un 64% de las empresas aplican patrones oscuros en sus estrategias de venta online.

En suma, el estudio refuerza la necesidad de que se realice una solicitud expresa del consentimiento de los consumidores sobre la utilización de cookies en un sitio web, que considere una opción por defecto de adhesión voluntaria (opt-in) y que las opciones de respuestas utilicen patrones brillantes al destacar la opción más ventajosa para los consumidores.

Ante estos hallazgos, el Director Nacional del SERNAC anunció que el organismo formulará propuestas de perfeccionamientos normativos, sugiriendo la incorporación de una regla de privacidad por defecto de adhesión voluntaria cuando se requiera el consentimiento de cookies adicionales que arriesguen la entrega de datos personales de los consumidores.

Asimismo, se sugiere el uso de patrones brillantes que destaquen el rechazo de cookies adicionales, empujando ("nudging") a los consumidores a proteger sus datos personales. En contraposición al uso extendido de patrones oscuros en sitios electrónicos nacionales.

Discusión de datos personales

Este experimento se realiza en el contexto de la discusión actual respecto de la protección de los datos personales.

Recordemos que, en materia de datos personales, la reciente Ley Pro Consumidor ratificó que el SERNAC tiene atribuciones para aplicar sus facultades, por ejemplo, demandar colectivamente tanto indemnizaciones por filtraciones de datos de consumidores, como solicitar la nulidad judicial de cláusulas que autorizan tratamiento de datos personales de consumidores.

En este sentido, el Director del SERNAC explicó que el acelerado crecimiento de la digitalización hace indispensable que la protección de los consumidores se incremente, quienes si bien revelan que es un tema que les preocupa no siempre todas las medidas de autocuidado.

¿Qué ha hecho el SERNAC?

En efecto, una reciente encuesta del SERNAC indica que el 72% de las personas declara estar muy o extremadamente preocupadas de que sus datos personales puedan ser recopilados en internet. No obstante, el 48,9% de los encuestados respondió que nunca leen la política de privacidad de los sitios web que visitan. El 40% de las personas declara leerlas algunas veces y sólo el 4,1% señala siempre leer la política de privacidad del sitio en que navega.

En este sentido, el SERNAC apunta a definir un nuevo escenario de vigilancia utilizando las facultades que le otorga la ley para proteger los derechos de los consumidores en lo que refiere específicamente al tratamiento de sus datos personales.

La Ley Pro Consumidor que entró en vigencia el 24 de diciembre de 2021, ratifica que, en materia de datos personales, el SERNAC tiene competencias para proteger a los consumidores. Eso significa que puede fiscalizar, dictar circulares o perseguir compensaciones en procesos colectivos en casos que afecten los datos personales de los consumidores.

El SERNAC dictó recientemente la Circular de Inteligencia Artificial que establece lineamientos para las empresas sobre la aplicación de estos sistemas. Entre otras materias, instruye el adecuado resguardo de los datos personales de los consumidores indicando que todo tratamiento de información de carácter personal debe sustentarse en una base legal y contar con el consentimiento del titular, que este consentimiento sea válido, informado y expreso (otorgado por escrito), pudiendo el titular los datos revocar esa autorización.

El Servicio, enfatizó además que los datos personales deben ser exactos y estar actualizados, así como ser eliminados y cancelados cuando su almacenamiento carezca de fundamento legal o cuando hayan caducado. Asimismo, los datos erróneos, inexactos, equívocos o incompletos deben ser modificados.