Controles de privacidad del sitio web

Una guía para los negocios

Contenido

Regulación del seguimiento en línea
Investigación de la Procuraduría General
Errores a evitar
Identificación y prevención de problemas
Cumplir con la ley de Nueva York
Lo que se debe y lo que no se debe hacer

Introducción 

La mayoría de los sitios web utilizan tecnologías que rastrean a los visitantes del sitio web. Por ejemplo, las cookies. Una cookie es un pequeño archivo de texto que crea un navegador web cuando alguien visita un sitio web. A menudo contiene un identificador único que ayuda a los sitios web y otros servicios en línea a reconocer a un visitante cuando hace clic de una página web a la siguiente. Las cookies alimentan los carritos de compras en los sitios de comercio electrónico, permiten a los visitantes permanecer conectados a sus cuentas durante días o semanas y almacenan las preferencias de los visitantes. Estas y otras tecnologías de seguimiento también se utilizan habitualmente para el análisis, el marketing y la detección de fraudes. 

Sin embargo, estas tecnologías también pueden infringir la privacidad del consumidor. Para abordar esta preocupación, muchos sitios web proporcionan a los visitantes información sobre el seguimiento que tiene lugar en el sitio y proporcionan controles que permiten a los visitantes administrar ese seguimiento. Las divulgaciones y los controles de privacidad son herramientas importantes para muchos consumidores. 

Cuadro de color con texto: Utilizamos cookies en nuestro sitio web para brindarle la experiencia más relevante al recordar sus preferencias y visitas repetidas. Al hacer clic en "Aceptar", consiente el uso de TODAS las cookies. Puede visitar Configuración de cookies para proporcionar un consentimiento controlado. Política de cookies

Ventana emergente de cookies

Desafortunadamente, no todas las empresas han tomado las medidas adecuadas para garantizar que sus divulgaciones sean precisas y que los controles de privacidad funcionen como se describe. Una investigación realizada por la Oficina de la Fiscal General del Estado de Nueva York (OAG, por sus siglas en inglés) identificó más de una docena de sitios web populares, que en conjunto atendían a decenas de millones de visitantes cada mes, con controles de privacidad que efectivamente no se cumplieron. No obstante, los visitantes de estos sitios web que intentaran desactivar las tecnologías de seguimiento seguirían siendo rastreados. La Procuraduría General también encontró sitios web con controles de privacidad y divulgaciones que eran confusas e incluso potencialmente engañosas.

Hemos creado esta guía para ayudar a las empresas a evitar estos escollos. Siga leyendo para conocer los errores que descubrimos que cometen las empresas al implementar tecnologías de seguimiento, los procesos que las empresas pueden usar para ayudar a identificar y prevenir problemas y la orientación para cumplir con la ley de Nueva York.

Regulación del seguimiento en línea

Diferentes estados de EE. UU., así como otros países, adoptan una variedad de enfoques para regular el seguimiento en línea. Dependiendo de la jurisdicción, es posible que se requiera que los sitios web y otros servicios en línea proporcionen a los consumidores divulgaciones sobre el seguimiento, permitan a los consumidores optar por no participar en ciertos tipos de seguimiento u obtengan el consentimiento de los consumidores antes del seguimiento para ciertos fines.

A partir de la publicación de esta guía, Nueva York aún no ha promulgado una ley de privacidad integral que regule específicamente cuándo y cómo se puede rastrear en línea a los consumidores de Nueva York. Sin embargo, las prácticas y declaraciones relacionadas con la privacidad de las empresas están sujetas a las leyes de protección al consumidor de Nueva York. Estas leyes, que prohíben a las empresas participar en actos y prácticas engañosas, exigen efectivamente que las representaciones de los sitios web sobre la privacidad del consumidor sean veraces y no engañosas. Esto significa que las declaraciones sobre cuándo y cómo se rastrea a los visitantes del sitio web deben ser precisas, y los controles de privacidad deben funcionar como se describe.

La investigación de la Procuraduría General

La mayoría de los sitios web rastrean a los visitantes a través de "etiquetas", fragmentos de código insertados en una página web que dirigen el navegador del visitante para que se conecte a un servicio de terceros. Por lo general, el tercero responde enviando un identificador único que el navegador guarda en una cookie. Cuando el navegador encuentra más tarde una etiqueta del mismo tercero en otra página web o sitio, el navegador recupera la cookie y envía el identificador de vuelta al tercero, lo que permite que el tercero reconozca al visitante.

Durante un período de varios meses, OAG analizó etiquetas de terceros y controles de privacidad en una variedad de sitios web. La Procuraduría General descubrió que 13 sitios web de alto tráfico, en su mayoría sitios de comercio electrónico conocidos que venden productos de consumo, como ropa, libros y boletos para eventos en vivo, tenían controles de privacidad que no funcionaban como se describía. En conjunto, estos sitios recibieron un estimado de 75 millones de visitantes en marzo de 2024.

En estos sitios web, ciertas etiquetas de marketing o publicidad permanecerían activas incluso después de que los visitantes intentaran deshabilitarlas utilizando los controles de privacidad de los sitios. Como resultado, los visitantes continuaron siendo rastreados después de optar por no participar en el seguimiento. La Procuraduría General alertó a las empresas que operaban estos sitios web y les pidió que investigaran y solucionaran los problemas. Todas las empresas resolvieron los problemas con sus controles de privacidad.

Errores que se deben evitar al implementar etiquetas y otras tecnologías de seguimiento

Nuestra investigación reveló que las empresas a menudo cometen errores similares al implementar etiquetas y otras tecnologías de seguimiento. Estos son algunos de los errores clave que encontramos.

Etiquetas y cookies sin categorizar o mal categorizadas

La mayoría de los sitios web implementan controles de privacidad utilizando un tipo de software conocido como herramienta de gestión de consentimiento. Por lo general, esta herramienta permite activar y desactivar categorías de etiquetas o cookies. Por ejemplo, las etiquetas utilizadas para marketing se pueden deshabilitar, mientras que las etiquetas utilizadas para la detección de fraudes o el análisis permanecen activas. 

Cuadro gris con texto: Preferencias de cookies, Este sitio web utiliza las cookies necesarias para que funcione. También nos gusta establecer cookies de "rendimiento" opcionales para recopilar datos anónimos de visitas al sitio web y cookies de "marketing" para ayudarnos a comprender qué contenido valoran más los visitantes. Al habilitar estas cookies, puede ayudarnos a proporcionar un mejor sitio web para todos los usuarios. Para obtener más información, consulte nuestro aviso de cookies.

Las categorías de cookies se pueden activar y desactivar

Esta funcionalidad solo funciona cuando las etiquetas se clasifican correctamente en la herramienta de administración de consentimiento. Si una etiqueta está mal categorizada, o no está categorizada en absoluto, no responderá a los controles de la herramienta. Esto a menudo significa que la etiqueta permanece activa, independientemente de las selecciones de privacidad del visitante del sitio web.

Descubrimos que las etiquetas sin categorizar eran la principal causa de que no se cumplieran los controles de privacidad: siete de los 13 sitios web que identificamos tenían al menos una etiqueta que no estaba categorizada correctamente.

Herramientas mal configuradas

Además de las herramientas de gestión del consentimiento, muchas empresas utilizan un tipo de software conocido como herramienta de gestión de etiquetas. Como su nombre indica, estas herramientas están diseñadas para simplificar la gestión de etiquetas. Sin embargo, el uso de herramientas de gestión de etiquetas y de gestión de consentimiento en un solo sitio web puede introducir complejidad técnica y operativa. En la mayoría de los casos, cada herramienta debe poder interactuar con la otra y estar configurada correctamente para hacerlo. 

Nuestra investigación encontró varios sitios web en los que la herramienta de gestión del consentimiento no pasaba correctamente las señales de exclusión voluntaria a la herramienta de gestión de etiquetas. Como resultado, cuando los visitantes del sitio web deshabilitaron las cookies de marketing utilizando los controles de privacidad de los sitios, las herramientas de administración de etiquetas aún permitían que se activaran las etiquetas de marketing. 

Etiquetas codificadas de forma rígida

En algunos sitios web, varias etiquetas nunca se habían configurado para funcionar con los controles de privacidad de los sitios. En su lugar, las etiquetas se codificaron en el sitio web.  Debido a que las etiquetas estaban codificadas, la herramienta de administración de consentimiento no podía controlarlas y se activaban cada vez que se cargaban ciertas páginas web. 

Configuración de privacidad de etiquetas 

Varias etiquetas ampliamente utilizadas ofrecen configuraciones que los operadores de sitios web pueden configurar para limitar cómo se usa la información recopilada por las etiquetas. Meta, por ejemplo, ofrece una opción llamada uso limitado de datos (LDU), que, según dice, proporciona a las empresas "más control sobre cómo se utilizan los datos en los sistemas de Meta y apoya mejor los esfuerzos de cumplimiento de varias regulaciones de privacidad estatales de EE. UU.". Google ofrece una función similar, el procesamiento restringido de datos (RDP), que dice que puede "limitar la forma en que usa los datos", "para ayudar a los clientes y socios a administrar su cumplimiento con las nuevas leyes de privacidad estatales de EE. UU.".

Sin embargo, muchas de estas funciones solo se han habilitado en estados con leyes de privacidad integrales que regulan el seguimiento en línea, como California, Connecticut y Colorado. In other states, including New York, tag providers may not stop collecting and using visitors’ data when website operators have enabled these features. Varias de las empresas con las que nos pusimos en contacto habían confiado erróneamente en estas funciones para limitar la recopilación de datos cuando los neoyorquinos optaron por no participar en la actividad de marketing.

Comprensión incompleta de la recopilación y el uso de datos de etiquetas

Antes de implementar una nueva etiqueta, una empresa debe comprender qué datos recopila la etiqueta y cómo se pueden usar o compartir los datos. Desafortunadamente, esta información no siempre está disponible, porque los materiales de marketing de etiquetas y las guías técnicas pueden estar incompletos o ser poco claros. 

Seguimiento sin cookies

Aunque las cookies de terceros son la tecnología de seguimiento más utilizada, no son la única tecnología de seguimiento que utilizan los sitios web. Por ejemplo, una empresa con la que nos pusimos en contacto pasó la información que recopiló sobre los visitantes de su sitio web directamente a las empresas de publicidad, sin etiquetas ni cookies de terceros y fuera del control de su herramienta de gestión del consentimiento.

Independientemente de las tecnologías de seguimiento que utilicen, las empresas deben asegurarse de no engañar a los consumidores sobre la privacidad y la elección. Muchos controles de privacidad transmiten, expresa e implícitamente, que se respetarán las elecciones de privacidad que haga un visitante, independientemente de la tecnología de seguimiento que utilice el sitio web. En estos casos, las empresas deben asegurarse de que las elecciones de los visitantes se apliquen a través de las tecnologías de seguimiento. 

Identifique y evite problemas 

Hay varios procesos sencillos que las empresas pueden utilizar para ayudar a identificar y prevenir problemas al implementar tecnologías de seguimiento. Los procesos que son apropiados para su negocio pueden depender de las tecnologías de seguimiento que utilice y de cómo se implementen. Estos procesos pueden incluir lo siguiente:

  • Designar: Designar a una persona (o personas) calificadas para que sean responsables de implementar y administrar tecnologías de seguimiento de sitios web. Estas personas deben tener la capacitación adecuada, incluso sobre las tecnologías y políticas de seguimiento de su empresa. 
  • Investigar: Antes de implementar una nueva etiqueta o herramienta, o de cambiar la forma en que se utiliza una etiqueta o herramienta existente, tome las medidas adecuadas para identificar los tipos de datos que se recopilarán y cómo se utilizarán y compartirán los datos. En algunos casos, esto puede requerir que se le pida al desarrollador de la etiqueta o herramienta que proporcione información que no está disponible públicamente. 
  • Configurar: Al implementar una nueva etiqueta o herramienta, o al cambiar la forma en que su empresa utiliza una etiqueta o herramienta, asegúrese de que esté categorizada y configurada correctamente.
  • Prueba: Realice las pruebas adecuadas para asegurarse de que las etiquetas y las herramientas funcionen según lo previsto. Pruebe ambos de forma regular y cuando su empresa haya realizado cambios que afecten a la forma en que se realiza el seguimiento de los visitantes del sitio web. Las herramientas de escaneo automatizado pueden ayudar, pero asegúrese de comprender los tipos de problemas que estas herramientas pueden y no pueden identificar. 
  • Revisión: Realice revisiones periódicas para asegurarse de que las etiquetas y las herramientas estén configuradas correctamente. El alcance de cualquier revisión dependerá de las etiquetas y herramientas que utilice su sitio web. En la mayoría de los casos, las revisiones deben garantizar que las etiquetas se clasifiquen correctamente en una herramienta de gestión del consentimiento y que cualquier herramienta de gestión de etiquetas esté sincronizada correctamente.

Garantizar que los controles y divulgaciones de privacidad cumplan con la ley de Nueva York  

Los controles de privacidad y las divulgaciones que se ponen a disposición de los consumidores de Nueva York deben cumplir con las leyes de protección al consumidor de Nueva York. Esto significa que las declaraciones que una empresa hace sobre el seguimiento, ya sean expresas o implícitas, deben ser veraces y no engañosas. Estas son algunas cuestiones clave a las que hay que prestar atención.  

Asegúrese de que las declaraciones sobre los controles de privacidad sean precisas

Los sitios web con controles de privacidad suelen transmitir una variedad de información a los visitantes sobre cómo el sitio maneja el seguimiento y la elección. Estas representaciones pueden ser tanto expresas (que se encuentran en declaraciones en una ventana emergente de cookies o aviso de privacidad) como implícitas (transmitidas por la presencia y configuración de los propios controles de privacidad). En la mayoría de los casos, si no en todos, el sitio web transmite que los controles de privacidad respetarán la selección de un visitante.

Asegúrese de que las declaraciones en su sitio web sobre sus controles de privacidad, ya sean expresas o implícitas, sean precisas. Esto significa que los controles de privacidad deben funcionar correctamente y como se describe. 

Evite el lenguaje que cree una impresión engañosa  

El lenguaje utilizado en las ventanas emergentes de cookies a menudo implica ciertas cosas. La redacción de un botón, por ejemplo, puede crear la impresión de que un visitante puede activar o desactivar el seguimiento. Su empresa debe evitar el lenguaje que cree una impresión engañosa de cómo su sitio web maneja el seguimiento y la elección. 

Uno de los problemas más comunes que encontramos se refería a las ventanas emergentes de cookies que implicaban que los visitantes podían optar por el seguimiento. Por ejemplo, una ventana emergente con un botón etiquetado como "Aceptar cookies" o "Aceptar todo", acompañado de un texto que indica que hacer clic en el botón significa que "acepta" el uso de cookies, puede transmitir a los visitantes que las cookies se utilizarán solo si se hace clic en el botón. Esto es engañoso si las cookies se utilizan sin obtener primero el consentimiento de los visitantes, por ejemplo, en el momento en que los visitantes llegan al sitio web. 

Cuadro de color con el texto: Al hacer clic en "Aceptar todo", acepta el almacenamiento de cookies y otras tecnologías en su dispositivo para mejorar la navegación del sitio, analizar el uso del sitio y personalizar el marketing. Por favor, lea nuestra Política de Cookies para obtener más información.
Cuadro de color con el texto: Al hacer clic en "Aceptar cookies", acepta nuestros Términos de servicio como se describe en nuestra Política de privacidad. Utilizamos cookies para mejorar su experiencia en el sitio, analizar el uso del sitio y ayudar en nuestros esfuerzos de marketing.

Ventanas emergentes con el confuso botón "aceptar"

Asegúrese de que la interfaz de usuario no sea engañosa 

Los controles de privacidad pueden adoptar muchas formas: por ejemplo, un solo botón, varios botones o un conjunto de controles deslizantes o casillas de verificación. La forma en que se diseñan los controles de privacidad transmite información sobre lo que hacen los controles y cómo se usan. Una interfaz que parece respetar las elecciones del visitante, pero no lo hace, puede ser engañosa. 

Los controles de privacidad en un sitio web que revisamos ilustran cómo una interfaz confusa puede socavar las opciones de los visitantes. En este sitio web, los visitantes que deseaban desactivar ciertas cookies (por ejemplo, "Cookies de orientación") debían hacer clic primero en un control deslizante virtual y luego hacer clic en las palabras "Guardar configuración". Este segundo paso era fácil de pasar por alto. Las palabras "Guardar configuración" aparecieron en un área diferente de la pantalla, en un color gris desvaído y sin ninguna indicación visual de que se pudiera hacer clic en las palabras. De hecho, cuando revisamos el sitio por primera vez, nos perdimos el paso por completo.

Asegúrese de que la interfaz de sus controles de privacidad no cree una impresión engañosa. Es menos probable que un sitio web con controles intuitivos implique las leyes de protección al consumidor de Nueva York. 

Ejemplo gráfico de opción de cookie que muestra todos los tipos de cookies que puede activar y desactivar para los sitios web que recopilan sus datos

Botón "guardar" fácil de pasar por alto 

Recomendaciones para divulgaciones y controles relacionados con la privacidad

La información y las opciones de seguimiento en línea se pueden presentar en una variedad de lugares y maneras: en banners y ventanas emergentes, detrás de enlaces en pies de página de páginas web y enterrados en políticas de privacidad. Su empresa puede ayudar a los consumidores a entender cómo navegar por todo esto proporcionando divulgaciones efectivas y controles fáciles de usar. Aquí hay algunas cosas que se deben y no se deben tener en cuenta. 

Hacer:
    • Usar un lenguaje sencillo y claro 
    • Botones de etiqueta para transmitir claramente lo que hacen
    • hacer que la interfaz sea accesible. Por ejemplo, un visitante debe poder usar su teclado para desplazarse a los controles de privacidad
    • Dar el mismo peso a las opciones equivalentes. Por ejemplo, si los consumidores pueden aceptar el seguimiento con un solo clic, permítales rechazar con un solo clic. Un modelo de suscripción podría tener una ventana emergente de seguimiento que proporcione los botones "Aceptar" y "Rechazar" que sean iguales en tamaño, color y énfasis

Última actualización: 15 de julio de 2024.