El 46% de las principales webs españolas utiliza cookies de Google Analytics antes del consentimiento exigido por la Agencia Española de Protección de Datos

Área de Innovación y Laboratorio de ElevenPaths    15 diciembre, 2020
El 46% de las principales webs españolas utiliza cookies de Google Analytics antes del consentimiento exigido por la Agencia Española de Protección de Datos

Durante los últimos meses, muchos departamentos de TI han estado ocupados realizando esta tarea de adecuación para dar cumplimiento a la nueva normativa sobre cookies. Cada vez que visitamos una página web nos encontramos ante un aviso que nos pregunta si queremos aceptar o (de manera casi siempre indirecta) si queremos rechazar las cookies. La mayoría de los usuarios que llegan a este mensaje buscando un servicio o una información concreta terminan aceptando todas las cookies sin conocer el impacto real en cuanto a seguridad y privacidad se refiere. ¿Cuántas cookies se aceptan habitualmente? ¿Durante cuánto tiempo? ¿Respetan las webs la nueva ley sobre cookies?

Desde TEGRA, el centro Gallego de innovación en protección de la información del área de innovación y laboratorio de ElevenPaths, hemos querido analizar el uso actual de las cookies en España y su impacto y cumplimiento en base a una muestra representativa de los sitios web más visitados en España. Para conseguirlo, hemos desarrollado y liberado una herramienta llamada Triki, que automatiza la navegación a una serie de páginas web definidas por configuración y realiza diferentes flujos de navegación. Hemos sacado interesantes conclusiones que incluimos en este informe que pasamos a resumir.

Resumen novedades normativas en la guía de cookies de la AEPD 2020

En colaboración con Govertis, vamos a resumir qué novedades han ocurrido en 2020 con respecto a las cookies y su gestión. La Agencia Española de Protección de Datos, tras la entrada en vigor del Reglamento General de Protección de Datos europeo y varias consultas al Comité Europeo de Protección de datos (CEPD), actualizó su guía de uso de cookies en julio de 2020 dando un plazo a los propietarios de sitios web para adecuarse hasta el 31 de octubre de 2020.

Podríamos resumir las principales novedades en que la simple navegación no es válida como expresión del consentimiento de un usuario para la aceptación de las cookies. También se prohíbe el uso de los muros de cookies, si no se ofrece una alternativa al consentimiento. Con respecto a las novedades en la gestión de la aceptación y revocación del consentimiento, de más relevante es la eliminación de la opción de recabar el consentimiento a través de la opción “seguir navegando”.  Antes se permitía la opción: “Si continúa navegando, consideramos que acepta su uso” y ahora el CEPD ha establecido que seguir navegando no es una forma válida de prestar el consentimiento.

Como norma general, se modifican y aclaran algunos aspectos relativos a los métodos para informar sobre la aceptación, denegación o revocación del consentimiento a los usuarios, a través de la configuración que deben ser facilitadas por el editor o plataformas comunes que pudieran existir para esta finalidad.

Por último, sobre las cookies de terceros, se facilitará información sobre las herramientas proporcionadas por el navegador y los terceros y se deberá advertir que, si el usuario acepta cookies de terceros y posteriormente desea eliminarlas, deberá hacerlo desde su propio navegador o el sistema habilitado por los terceros para ello.

Metodología

Para realizar esta investigación sobre cookies se han seleccionado los 100 dominios más visitados en España, obtenidos a través del portal web alexa.com. Para extraer la información se ha desarrollado una herramienta llamada Triki. Con ella, y una configuración personalizada por dominio, se han extraído diferentes tipos de información.  Por cada sitio web se ha realizado un seguimiento a partir de una serie de flujos, además, por cada flujo, se han realizado dos tipos de extracciones: extracción sin bloqueador y extracción mediante bloqueador de cookies de terceros.
Los diferentes flujos simulados con cada tipo de navegación son:

  • browse: la herramienta se conecta a la página web sin realizar ninguna acción y extrae las cookies utilizadas. Es la parte previa al consentimiento de las cookies.
  • accept: la herramienta se conecta a la página web, realiza el consentimiento del uso de todas las cookies y las extrae. Es la parte de aceptación de cookies.
  • reject: se realiza la conexión con la página web y se realizan las acciones necesarias para proceder con el rechazo de las cookies. Es la parte de rechazo de cookies.

¿Cuántos páginas permiten cada flujo?

Más del 50% de las páginas de nuestro estudio permiten el rechazo o configuración de cookies de manera directa, lo que es ideal. El 24% permite únicamente la aceptación y redirigen al usuario a la configuración del propio navegador para el rechazo, lo que aumenta el esfuerzo para realizar el rechazo. 19 de ellas (el 19%) no permite rechazar u aceptar, pero podría tratarse de páginas sin cookies que deban ser notificadas obligatoriamente. A su vez, 9 (el 37%) de ellas utiliza cookies analíticas (Google Analytics), por lo que se incumple la necesidad de consentimiento expreso manifestada por la regulación de cookies de la AEPD.

¿Cuántas cookies se usan por web?

El 14% utiliza más de 90 cookies. El uso medio de cookies es de 27 cookies por sitio web. Comparamos también las cookies propias con las cookies de terceros. El 44% de las páginas web utilizan el mismo o un mayor número de cookies de terceros que de cookies propias. En los casos más desfavorables, el 90% de las cookies de una página web son cookies de terceros.

Por otro lado, el 53% de las páginas web utilizan más de 10 cookies antes del consentimiento.  Al utilizar un bloqueador de cookies de terceros en el navegador, se muestra que el 96% de los sitios utiliza cookies
de terceros nada más realizar la conexión. Aun pudiendo ser legal, es cuando menos extraño que requieran de cookies de terceros para asegurar el funcionamiento técnico o la personalización de una página. En estos casos, se recomienda utilizar un bloqueador de cookies de terceros.

Durante nuestra investigación, hemos analizado cuántas páginas utilizan las cookies de Google Analytics antes de aceptar o rechazar el consentimiento en la etapa que hemos definido como “browse”. Los resultados muestran que el 46% de las páginas utiliza las cookies de Google Analytics antes del consentimiento. También hemos querido comprobar cuántas páginas siguen conservando las cookies de Google Analytics después de efectuar un rechazo explícito por parte del usuario: 25% de los sitios web siguen conservando este tipo de cookies analíticas aun habiendo ejercido el rechazo.

Cookies y caducidad

El CEPD, en sus directrices sobre el consentimiento, recomienda como mejor práctica la renovación del consentimiento a intervalos apropiados. Esta agencia considera buena práctica que la validez del consentimiento prestado por un usuario para el uso de una determinada cookie no tenga una duración superior a 24 meses. A partir de estas indicaciones, hemos analizado nuestro dataset para verificar si las cookies extraídas cumplen con este requisito de tiempo de vida máximo de 24 meses para las cookies persistentes. Aproximadamente un 15% de las cookies incumplen esta normativa usando periodos de expiración superior a 24 meses.  Cuando aceptamos las cookies del sitio visitado, hemos encontrado más de 100 cookies con una duración mayor de 3 años. La expiración de 50 de esas cookies es mayor de 20 años.

Por último, hemos concluido que el 96% de los sitios analizados utilizan más cookies persistentes que cookies de sesión. De media, el 86% de las cookies totales utilizadas en un sitio web son cookies persistentes.

Cookies seguras

Hemos querido analizar también qué sistemas de seguridad se implantan en las propias cookies establecidas. Veamos algunos métodos analizados.

  • Cookies Secure: si se habilita este flag en la cookie, solo se enviaría al servidor en una petición HTTP cifrada a través del protocolo HTTPS (HTTP + TLS/SSL).
  • Cookies httpOnly: si se habilita este flag en una cookie, ayuda a prevenir ataques cross-site scripting (XSS), puesto que las cookies HttpOnly son inaccesibles desde la API de Javascript document.cookie.

Pero existen más formas de asegurar una cookie. El prefijo __Secure- hace que una cookie sea accesible solo desde sitios seguros con el protocolo HTTPS. Esto imposibilita que un sitio inseguro que utilice el protocolo HTTP pueda leer o actualizar las cookies que contenga dicho prefijo en su nombre. Este mecanismo de seguridad protege contra ataques de manipulación de cookies seguras. El prefijo __Host- hace lo mismo que el prefijo secure-, pero a mayores restringe el acceso tan solo al mismo dominio en el que está configurada. Tan solo el 2% de los sitios web utiliza el prefijo __Host-. Ninguno de los sitios web utiliza el prefijo __Secure-.

¿Se pueden rechazar las cookies?

De las páginas web analizadas, tan solo el 8% de ellas permiten rechazar directamente las cookies desde el banner principal (ejemplo en la imagen).

Del porcentaje restante, el 22% no cumple la premisa de que sea “tan fácil rechazar como aceptar”, puesto que es necesario realizar más acciones para poder deshabilitar el uso de las cookies. El 70% restante que cumple la normativa utiliza estrategias de marketing para inducir sutilmente al usuario a que acepte las cookies. Por ejemplo, con botones ambiguos que hacen creer que se han desactivado las cookies.

En el siguiente gráfico se muestra el número total de cookies registradas en todos los dominios clasificadas por etapas, según se hayan bloqueado o no las cookies de terceros. Antes del consentimiento, aceptación y rechazo.

Como se observa en los resultados, el simple uso de un bloqueador de cookies de terceros genera un descenso importante del número de cookies utilizadas. Incluso en el caso en que se haya rechazado todas las cookies.
Podemos concluir que el 69% de los dominios que permiten rechazar cookies no eliminan completamente las cookies de terceros al realizar el rechazo con el navegador.

Conclusiones

  • Ninguna de las páginas web que solo utilizan cookies técnicas y/o cookies de personalización realiza ningún tipo de aviso al usuario de que se está utilizando este tipo de cookies.
  • Los datos indican que el 44% de las páginas web utilizan el mismo o un mayor número de cookies de terceros que cookies propias. En los casos más desfavorables, el 90% de las cookies de una página web son cookies de terceros. Es recomendable en este caso habilitar el bloqueo de uso de cookies de terceros en el navegador para limitar el número de cookies.
  • Aunque se rechacen totalmente todas las cookies, muchas de estas cookies de terceros se siguen utilizando de igual forma.
  • La normativa indica que se deben priorizar las cookies de sesión frente a las cookies persistentes. Sin embargo, los datos indican que el 96% de los sitios analizados utilizan más cookies persistentes que cookies de sesión. Además, de media, el 86% de las cookies totales utilizadas en un sitio web son cookies persistentes.
  • La normativa indica que el tiempo de vida de estas cookies no debe sobrepasar los dos años, sin embargo, un 15% de las cookies usan periodos de expiración superior a 24 meses.
  • El 46% de los sitios utilizan cookies analíticas previas al consentimiento y el 25% las usan al rechazar todas las cookies, por lo que se está incumpliendo la directiva de la AEPD.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *