Lecția de GDPR. Azi, despre cookie banners și elefanți

Cine navighează pe net de ceva vreme știe că putem vorbi despre perioada înainte de GDPR (î.GDPR) și perioada de după GDPR (d.GDPR). În mai 2018, după 2 ani de pregătire și alți câțiva ani de negociere și rafinare a legislației, regulamentul general privind protecția persoanelor în privința datelor personale a intrat în vigoare și i-a isterizat pe toți. Discuția era ba că nu poate fi pus în practică, ba că nu este respectat, ba că va scinda Internetul așa cum îl știm. Fast forward 3 ani mai târziu, Internetul nu este scindat (asta dacă nu intri zilnic pe social media să vezi deranjul de acolo). Este pus în practică, amenzile au început să curgă, dar în continuare deranjează.

De ce și pe cine? În primul rând, deranjează companiile, în special cele care fac bani din datele noastre. Dar orice companie care prelucrează date personale trebuie să respecte principiile din regulament. De ce le deranjează? Păi, pentru că acestea trebuie să își depună toate diligențele pentru a colecta date personale atât cât este nevoie pentru realizarea scopului procesării datelor, să șteargă datele la cerere, în esență să aibă o procedură bine pusă la punct pentru protejarea datelor. Alt motiv este că acest regulament limitează sau ar trebui să limiteze (o să vedem imediat de ce vorbesc la condițional optativ) colectarea de date absurdă și dusă la extrem, despre care noi nici nu știm. Date mai puține, agregare mai slabă, vânzare mai puțină, bani mai puțini. Să nu uităm de birocrație în plus care creează costuri.

Pe cine mai deranjează și de ce? Ne deranjează și pe noi, cetățenii-utilizatori. Nu cred să existe cineva căruia să-i placă să tot semneze acorduri de procesare a datelor sau căruia îi place să vadă atenționările de pe site-uri. Suntem puși în fața unor documente pe care nu avem chef să le citim și semnăm sau dăm click automat pe butonul „ACCEPT” ca să scăpăm de corvoadă și să ajungem să facem ceea ce vrem de fapt – să accesăm un site, să ne deschidem un cont bancar, să ne angajăm și așa mai departe. Deci, ne deranjează toate formularele și bannerele și intrăm în modul automat și apăsăm pe primul buton care ne aduce către conținutul pe care-l vrem sau luăm primul pix la îndemână și semnăm unde trebuie că suntem de acord.

Despre asta vreau să vorbesc azi. Despre comportamentul nostru automat și cum bannerele cookies și formularele de consimțământ exploatează acest automatism al nostru – sistemul 1 sau elefantul, dacă vreți. O să vorbim despre cookies, dar din păcate nu despre acelea delicioase.

În acest articol:

  • scriu despre cookies și bannerele uriașe care acoperă site-urile pe care le accesăm
  • scriu despre economia comportamentală, arhitectura alegerii în acest context
  • îți arat cum să nu mai fii păcălit să apeși automat pe ACCEPT

Come to the dark side. We have cookie... banners!

Nu o să intru în teoriile și tehnica din spatele cookies, deși poate ar trebui. În esență, cookies sunt niște fișiere cu informații despre tine care sunt create de fiecare dată când intri pe un site și sunt stocate temporar la tine pe calculator. Ce informații? Adresa IP, sistemul de operare, browser-ul tău și desigur, nume și adrese dacă ai intrat pe un site unde trebuie să te autentifici. Și mai avem și cookies ne-esențiale, adică cele de urmărire, care îți pot urmări istoricul web. Din această cauză îți apar reclame pe un alt site la un produs la care te-ai uitat pe alt site.

Îți apar și pentru că tu le dai consimțământul acelor site-uri să te urmărească. Cum adică nu le dai?! Le dai, trust me. Înainte de GDPR nu știai că se poate întâmpla asta, dar acum știi că se întâmplă și putem împiedica acest lucru. Cum anume?

Prima ta interacțiune cu un site mai nou este un banner uriaș care te anunță că îți colectează date prin cookies și unde ești ghidat să apeși ACCEPT ca să poți merge mai departe. Rolul bannerului este să te informeze și să îți ceară consimțământul explicit, așa cum cere GDPR. Aici e un avans totuși, dacă ne gândim că înainte nu aveam asta și prima interacțiune era un banner uriaș cu reclame care te urmărea oriunde navigai pe pagină.

Exemplu de cookie banner. ACCEPT sau...? (captura proprie de ecran)

Dar stai, ai doar ACCEPT? N-ar fi legal dacă ar fi doar asta, deci mai ai un buton, de regulă ceva de genul „vreau să modific setările individual”. Mai jos sunt câteva mostre de bannere pentru că o imagine valorează 1000 de cuvinte, iar în cazul ăsta valorează consimțământul tău de a fi urmărit 🙂

Asta pare OK, ai voie să îți modifici setările așa cum vrei tu, doar că asta înseamnă un „turneu” în setările de colectare de date ale site-ului care nu fac decât să te bage în ceață și ajungi să apeși PERMITE TOATE ȘI ÎNCHIDE ca să ajungi odată la informațiile alea de care ai nevoie. Dar dacă apeși pe butonul „vreau să modific setările individual”, este totuși un caz fericit. De regulă, alegi scurtătura cu ACCEPT. Recunoaște, cu toții am făcut-o 🙂

Și care-i problema?

Problema este de fapt două 🙂 Conform celor mai deștepți ca mine, experți în GDPR, consimțământul nu este cu adevărat explicit dacă nu ai o adevărată alegere între ACCEPT și REFUZ.

A doua problemă este legată de automatismele comportamentului nostru, mai precis că arhitecții acestor bannere exploatează aceste automatisme pentru a ne face să ne dăm consimțământul pentru urmărirea pe alte pagini. Aceste automatisme fac parte din modelul economiei comportamentale.

Economia comportamentală sau behavior economics are la bază ideea că oamenii nu sunt cu adevărat ființe raționale, așa cum spune teoria clasică economică, și că nu întotdeauna acționează pentru a-și maximiza interesele. Thaler, Sunstein sau Daniel Kahneman sunt printre economiștii și psihologii care au studiat aceste fenomene și au și contribuit la politici publice bazate pe aceste principii care sunt menite să ne ghideze către decizia corectă pentru noi fără ca noi să ne dăm seama. Un exemplu clasic este înscrierea automată a cadrelor didactice dintr-o universitate într-un fond de pensii, iar dacă aceștia nu doresc, se pot dezabona, dar acest lucru cere o acțiune conștientă și gândită. Ideea este că noi avem 2 sisteme de gândire – sistemul 1 unul automat și rapid, dar care nu este rațional și sistemul 2 – altul rațional, dar leneș. Elefant și călăreț, în viziunea lui Jonathan Haidt.

Ce legătură are asta cu bannerele? Păi, companiile care gândesc aceste bannere creează arhitecturi de alegere care exploatează lenea și automatismele noastre (deci elefantul) și ne duc către rezultatele pe care le vor ele. Adică ACCEPT la cookies, ACCEPT la urmărire. Nu îți bifează ele automat consimțământul, dar conform economiei comportamentale, știu cu destul de multă siguranță că vei accepta fără să gândești. Călărețul nici nu intervine pentru că are nevoie de timp să gândească, iar timpul e prețios în online 🙂

Deci, cum să fac?

Dacă nu vrei să fii urmărit/ă, atunci trebuie să intri la „vreau să modific setările individual” și apoi „salvează modificările”, chiar dacă nu ai făcut modificări. Nivelul de bază este să colecteze doar ce este necesar pentru funcționarea site-ului și asta permiți dacă urmezi acești pași. Butonul „permite toate și închide” te induce în eroare pentru că te face să accepți tot. Vezi imaginile de mai jos. Vin din site-uri diferite, nici nu contează care sunt, dar principiile sunt aceleași. Elefantul lucrează primul în mod automat, deci mută mouse-ul sau degetul pe ACCEPT, iar călărețul nici nu realizează.

Primul contact cu un site - banner-ul de cookies - alege VREAU SĂ MODIFIC SETĂRILE INDIVIDUAL
SALVEAZĂ MODIFICĂRILE - pasul către colectarea corectă a datelor

Și cei de la NOYB.EU au observat asta și au creat un program care scanează automat site-urile care nu respectă principiile GDPR și le trimite o notificare de încălcare a GDPR împreună cu un ghid cum să schimbe aceste funcții. Au scanat până acum peste 45 000 de site-uri europene și au emis 500 de plângeri automate.

Pentru referință, NOYB vine de la „none of your business”, o organizație înființată de Max Schrems. Schrems este atât de celebru încât numele lui apare pe două decizii ale Curții Europene de Justiție cu privire la ilegalitatea transferului de date între SUA și UE. El a pornit un proces împotriva companiilor care fac transferul de date personale pe servere din SUA pe motiv că atunci când aceste date ajung în SUA nu mai sunt protejate conform normelor GDPR pentru că se supun legislației americane care permite supravegherea extinsă. CEJ a fost de acord cu el și în 2020 i-a dat câștig de cauză, ceea ce a dus la ruperea unui acord de recunoaștere a legalității procesării datelor între SUA și UE. Lucruri complicate, știu.

Exemplu de banner corect

Cunoaște-ți călărețul și elefantul

Închei acest mic training GDPR (o să mă urască unele site-uri și companii după asta) cu acest îndemn: să înveți să-ți cunoști cele două sisteme care îți administrează gândirea. Foarte mult din ceea ce înseamnă dependența noastră de tehnologie și social media este pusă pe seama exploatării elefantului (adică a automatismelor noastre) și a lentorii călărețului. De exemplu, aplicațiile social media îți sunt direct instalate când îți iei un telefon nou, notificările push apar mai ales în perioadele când butonezi de obicei telefonul pentru a te face să intri, scroll-ul infinit nu se oprește niciodată și nici automatismele tale și tot așa.

Deci, în loc de Gnothi Seauton (îndemnul grecesc pentru „cunoaște-te pe tine însuți”), cunoaște-ți călărețul și elefantul sau sistemul 1 și sistemul 2 și fii conștient de cine decide atunci când dai YES TO ALL.

Adaugă comentariu

 

Digital Policy este o platformă de analize de politici publice digitale, axată pe nivelurile european, național și local.

Pagini

Newsletter