FLoC: El Cookiepocalypse y sus Cohortes

La Era de las Cookies llega a su fin…

O, para ser más exactos, de las cookies de tercera parte; es decir, de las cookies que se descargan desde un dominio diferente de aquel por el que estamos navegando y que permiten al dueño de ese dominio echar un ojo a lo que hacemos cuando navegamos por un sitio determinado.

Entre 2018 y 2020, la mayor parte de los navegadores de internet (Firefox, Safari, Edge, Noséqué Explorer, etc.), cambiaron su configuración por defecto para que no aceptase las cookies de tercera por defecto, sino únicamente previa configuración específica del usuario. De esta forma, los navegadores cumplen con uno de los principios del GDPR: Privacy by default.

También Google Chrome, con un 70% de la cuota de mercado, anunció a principios de 2020 que cambiará su configuración por defecto con respecto a las 3rd party cookies, pero no lo hará hasta 2022.

• ¿Qué implicaciones tiene el Cookiepocalypse?

Las cookies de tercera parte se utilizan mayoritariamente para hacer análisis de navegación y elaboración de perfiles de usuarios que luego son explotados con fines publicitarios.

La publicidad se vende mejor cuanto más dirigida está a un público que realmente pueda estar interesado en el producto. Para ello, es necesario conocer al usuario. Las cookies se utilizan (entre otras cosas) para marcar al usuario con un identificador único, registrar sus acciones en internet (en páginas propias y también en páginas de terceros con los que haya acuerdos o que usen funcionalidades enlazadas a las páginas propias). De esta forma, se consigue hacer un seguimiento del usuario.

La expresión más básica, molesta y evidente de estas cookies se materializa en este ejemplo de retargeting: Buscas un par de zapatos para el cumpleaños de tu pareja y, los compres o no, esos zapatos te perseguirán allá donde vayas como si fuesen objeto del hechizo de locomoción sustitutiva.

Pero hay otras prácticas más sibilinas. Por ejemplo:

• Si lees habitualmente noticias deportivas relacionadas con el Real Madrid en páginas web que tengan un botón de Facebook, es probable que recibas anuncios de Adidas en Facebook.
• Y si pinchas en uno de esos anuncios de Adidas y compras algo, otras personas que se parecen a ti (por edad, sexo, población, actividad, etc.) recibirán anuncios del producto que compraste en Adidas.

Cuando Google Chrome cambie la configuración por defecto de su navegador, cambiará también el mercado de la publicidad online que ya no podrá basarse en perfiles generados a través de cookies de tercera parte.

• ¿Significa esto que dejarán de aparecerme los molestos avisos de cookies?

No, no tiene por qué.

Este cambio sólo implicará que habrá menos cookies de tercera parte (muchas caerán en desuso), pero los titulares de páginas web seguirán obligados a informarnos y pedir nuestro consentimiento para utilizar sus propias cookies (salvo que tengan una finalidad estrictamente técnica) y también de las cookies de tercera parte que sigan utilizando, si es que hemos configurado expresamente nuestro navegador para que las acepte.

• Bueno, pero al menos dejarán de seguirme por internet

No, eso tampoco.

Google está envolviendo todo su ecosistema publicitario con un bonito papel de regalo con una pegatina de privacidad premium ultra plus llamada FLoC (Federated Learning of Cohorts).

Este sistema de Cohortes ofrecerá una alternativa a los operadores del mercado publicitario para que dejen de necesitar el uso de cookies.

A grandes rasgos, Google registrará la actividad de los usuarios de Chrome, la analizará y creará grupos de usuarios que lanzará al mercado publicitario de forma agregada (sin posibilidad de que los demás operadores publicitarios singularicen a un usuario en concreto).

Dicho de otra forma, pasaremos de un mercado persa, muy fragmentado y con miles de operadores trapicheando con datos propios y ajenos, a un gran centro comercial, ordenado y cerrado, en el que todos los operadores publicitarios sólo podrán comprar el producto de Google.

Es lo que se llama un “jardín vallado” (walled garden), donde el dueño es quien manda. De esta forma, Google conseguirá ampliar su jardín y, de paso, evitar que otros operadores más pequeños sigan comerciando con datos sin pasar por caja.

• ¿Mejor, peor, igual?

Al margen de lo que esta estrategia pueda suponer para la competencia en el mercado publicitario online y para los ingresos de Google (ya lo pagará cuando los hombres de negro llamen a su puerta), es difícil pronunciarse sobre si es mejor o peor para nuestra privacidad.

Por un lado, se reducirá la dispersión de nuestra información. Por otro, Google tendrá más y mejor información sobre nosotros. Por lo tanto, cada uno tendrá su opinión sobre si es mejor o peor para su privacidad. Aquí va la mía: @Google, no seas malo, tú antes molabas.

• ¿Qué están haciendo los demás operadores publicitarios?

El segundo operador publicitario a nivel mundial, por detrás de Google, es Facebook, que también está ampliando su jardín con su segunda intentona de integrar Whatsapp a la fuerza.

Pero también hay otros operadores más pequeños que buscan escapar del yugo de los 4 jinetes de la GAFA (Google, Amazon, Facebook y Apple). En concreto, unos pocos espartanos están intentando plantar cara, pero con un gran inconveniente: carecen de jardín (producto propio para usuarios).

Por eso, necesitan llegar a acuerdos de colaboración con empresas que sí tengan un producto propio para seguir “parasitándoles”. Sin embargo, la fórmula tecnológica es compleja y tiene una barrera de entrada muy alta (el GDPR).

Como decíamos antes, para poder vender publicidad basada en intereses del usuario, necesitas conocer al usuario y para eso, necesitas poder identificarle y trackearle por internet. ¿Cómo hacerlo sin cookies de tercera parte?

Aunque hay varias soluciones, la idea más extendida es utilizar el correo electrónico del usuario como identificador único. De esta forma, previo cifrado no reversible (hash) del email del usuario, cada página web podría almacenar el conocimiento vinculado a ese hash y compartirlo con otros que utilicen el mismo algoritmo de cifrado, por ejemplo, para pedir que se lance un anuncio a un hash determinado.

Esta solución tiene muchos problemas técnicos y operativos, pero el fundamental es que el email hasheado también es un dato personal (seudonimizado) y por lo tanto se requiere de una base legitimadora que permita su cesión a terceros con fines publicitarios (normalmente, el consentimiento, salvo para los que tengan un gran apetito de riesgo y quieran jugársela con el interés legítimo al ser datos seudonimizados).

Conseguir que un usuario dé su consentimiento de forma libre y consciente para que su email (aunque sea hasheado) se utilice con estos fines, resulta prácticamente imposible. La única alternativa real pasaría por incentivar o forzar ese consentimiento de alguna forma.

• Marco de trabajo de transparencia, consentimiento y privacidad (TCPF)

Desde IAB Spain y otras entidades españolas del sector publicitario se está trabajando en otra alternativa muy interesante (en la que, desde Áudea, hemos tenido la oportunidad de participar activamente).

Esta alternativa consiste en ofrecer al usuario la creación de un identificador único que pueda ser utilizado por todos los operadores adheridos al proyecto. Este identificador se autorizaría dentro del actual aviso de cookies, donde además, tendría toda la información y opciones disponibles.

Es una solución que mantiene un buen equilibrio entre el respeto a la privacidad del usuario (que tendría total libertad para aceptar este identificador, rechazarlo, eliminarlo o resetearlo en cualquier momento), y los intereses del negocio (ya que el porcentaje de usuarios que suele aceptar el uso de cookies es muy alto).

Además, es una solución neutra que no beneficia económicamente a ninguna entidad concreta.

Sin embargo, la presión que algunas autoridades europeas de protección de datos están ejerciendo sobre IAB Europe por el marco actual de transparencia y consentimiento (TCF) podría condenar esta solución y que no llegase a ver la luz del sol.

• ¿Y ahora qué pasará?

Google, desde su cómoda posición de dominio, dio el pistoletazo de salida del Cookiepocalypse cuando ya tenía su plan bajo el brazo. Sin embargo, el resto del mercado publicitario no se ha quedado parado y está plantando cara con uñas y dientes.

Veremos cómo acaba, pero gane quien gane, tendrá que hacerlo cumpliendo estrictamente con la normativa o se verá obligado a pagar su propio peaje del walled garden de la UE.

Actualización a 25/06/2021

El mundo de la publicidad online dejó escapar ayer un suspiro cuando Google informó en su blog, que ha tomado la decisión de retrasar el rechazo por defecto de las cookies de tercera parte hasta mediados – finales de 2023.

Ahora este proceso constará de 2 etapas:

• Etapa 1 (a partir de finales de 2022): Google ofrecerá 9 meses a los operadores publicitarios para empezar a migrar sus servicios.
• Etapa 2 (a partir de mediados de 2023): Chrome eliminará gradualmente el soporte para cookies de terceros durante un período de tres meses que terminará a finales de 2023.

Toca esperar para romper los 7 sellos y escuchar las 7 trompetas del cookiepocalypse.

 

José Carlos Moratilla

Departamento Legal