Las grandes empresas tecnológicas instalan habitualmente cookies publicitarias en los navegadores de los usuarios, incluso después de que estos hayan solicitado formalmente no ser rastreados, según un nuevo informe de la organización de privacidad webXray.
La auditoría, que analizó el tráfico web en California durante el mes de marzo, determinó que 194 servicios de publicidad en línea están ignorando las señales de Control Global de Privacidad (GPC). Estas señales están diseñadas para actuar como un indicador estandarizado y legalmente reconocido del deseo de un consumidor de optar por no compartir sus datos, conforme a la Ley de Privacidad del Consumidor de California.
Los investigadores descubrieron que Google no respetó las solicitudes de exclusión el 86% de las veces. El informe sostiene que este incumplimiento es fácilmente observable en el tráfico de red.
“Cuando el servidor de Google responde a la solicitud de red con la exclusión, responde explícitamente con un comando para crear una cookie publicitaria llamada IDE mediante el comando 'set-cookie'”, señala el informe. El documento incluye imágenes que supuestamente capturan a estos servidores emitiendo comandos para crear cookies de rastreo inmediatamente después de recibir una señal de exclusión.
Respuestas de la industria a los hallazgos de la auditoría
Google negó los resultados; un portavoz afirmó que el informe se basa en un "malentendido fundamental sobre cómo funcionan nuestros productos". La empresa sostuvo que respeta las exclusiones proporcionadas por editores y anunciantes, tal como exige la ley.
El desempeño de Meta en la auditoría también fue objeto de escrutinio, con los investigadores reportando una tasa de incumplimiento del 69%. El estudio alegó que el código de Meta "no contiene ninguna verificación para las señales de exclusión estándar globales" y, en su lugar, carga rastreadores de forma incondicional. Un portavoz de Meta desestimó el informe calificándolo de "descarada estrategia de marketing" que tergiversa las prácticas de recopilación de datos de la empresa, argumentando que sus herramientas restringen cómo se comparten los datos, no cómo se recopilan.
Microsoft, que según el informe falló en respetar las exclusiones el 50% de las veces, citó requisitos operativos para el uso de sus cookies. Un portavoz de la compañía declaró: "Ciertas cookies de Microsoft son necesarias para fines operativos y, por lo tanto, pueden ser instaladas y leídas incluso cuando se detecta una señal GPC".
Los hallazgos son especialmente relevantes dado el historial de cumplimiento de California. El estado ha impuesto anteriormente multas significativas por ignorar las señales GPC, incluyendo un acuerdo de 1,2 millones de dólares con Sephora en 2022 y una sanción de 2,75 millones de dólares contra Disney a principios de este año.
La investigación, reportada inicialmente por 404 Media, fue supervisada por Timothy Libert, director ejecutivo de webXray y ex empleado de Google, quien anteriormente gestionó la política de privacidad de cookies en el gigante tecnológico.
