1 pontos por GN⁺ 2024-03-19 | 1 comentários | Compartilhar no WhatsApp

Sobre o fato de não existir uma lei de banner de cookies

  • Paul Graham achava que a UE tinha tornado os banners de cookies obrigatórios, mas na realidade não existe nenhuma lei sobre banners de cookies.
  • A UE afirma que é necessário consentimento para rastreamento, criação de perfis e venda de dados pessoais.
  • As empresas podem evitar banners de cookies não realizando rastreamento ou respeitando o cabeçalho 'Do Not Track' dos usuários que não querem ser rastreados.

Métodos alternativos de consentimento de cookies

  • Os navegadores podem oferecer um ícone de rastreamento, como o ícone de SSL, e fornecer informações nas quais o usuário pode clicar para dar consentimento.
  • É possível solicitar consentimento para cookies com um pequeno banner no topo do site, ou colocar um pequeno botão no rodapé da página para pedir consentimento para "apoio por meio de rastreamento".

Uso de banners de cookies pelas empresas

  • As empresas sabem que os usuários não querem ser rastreados, mas ainda assim querem rastrear.
  • Por isso, forçam a exibição de banners de cookies do tamanho de metade da página, esperando que o usuário consinta, cobrindo o conteúdo e atrapalhando o uso do site.
  • Usam 'Dark UI Patterns' para cansar ou confundir os usuários até que acabem consentindo.

A realidade dos banners de cookies

  • A UE não tornou os banners de cookies obrigatórios, mas as empresas estão tornando a vida dos usuários mais difícil.
  • Quando as empresas deixaram de poder abusar secretamente dos usuários, escolheram em vez disso um método irritante.

Opinião sobre privacidade

  • A regulação da UE nem sempre é boa, mas a privacidade de dados é importante, e o autor lutou pelo PGP há 30 anos e continuará lutando.

Opinião do GN⁺

  • Os banners de cookies podem prejudicar a experiência do usuário e reduzir a acessibilidade dos sites.
  • Proteger a privacidade de dados dos usuários é importante, mas a abordagem para isso deve ser amigável ao usuário.
  • Desenvolvedores web precisam buscar formas melhores de obter o consentimento dos usuários, e isso pode contribuir para a evolução dos padrões da web.
  • Em vez de banners de cookies, deve-se considerar um design de site que respeite a privacidade do usuário.
  • Tecnicamente, implementar mecanismos como o respeito ao cabeçalho 'Do Not Track' pode ser um novo desafio para desenvolvedores e ajudar a conquistar a confiança dos usuários.

1 comentários

 
GN⁺ 2024-03-19
Opiniões no Hacker News
  • É só imaginar um mercado em que empresas acrescentam um monte de taxas ocultas sem que os clientes saibam, e os usuários só descobrem depois e ficam irritados
    Quando a lei muda para dizer que “não é possível cobrar uma taxa sem informá-la previamente”, as empresas cheias de taxas mantêm as taxas como estão e passam a fazer o usuário ler as taxas em cada página do menu, da forma mais irritante possível
    Ao mesmo tempo, divulgam que o problema não são as taxas excessivas, nem o fato de antes elas ficarem escondidas e agora precisarem ser informadas por causa da lei, mas sim a lei que obriga avisar antes que seja tarde demais
    Os banners de cookies são essencialmente iguais a isso, e entre os que hoje xingam a lei dos cookies há uma mistura de pessoas que erram de propósito por interesse próprio e pessoas que erram porque realmente não entendem a posição que estão defendendo

    • Concordo. Não sei quanta propaganda corporativa as pessoas consumiram para passarem a atribuir aos legisladores tanto o mau comportamento das empresas quanto a conformidade maliciosa
      Isso também revela em que estado está a relação entre empresas e consumidores, quando a primeira reação a esse mau comportamento é “foi você que fez eles agirem assim!”
      No fim, tratam como se fosse culpa de todo mundo, menos do próprio agente mal-intencionado
    • O ponto fraco dessa analogia é que o consumidor comum geralmente se importa com taxas ocultas, quer saber delas com antecedência e talvez tomasse outra decisão se soubesse. Já o consumidor comum não se importa com cookies
      Uma analogia mais próxima seria entrar em um restaurante, receber uma folha com as informações de alergênicos de todos os pratos e ter que dizer “concordo que estes ingredientes entrem na comida” para poder sentar
      Concordo que o restaurante não deve esconder essa informação, e que uma minoria pode querê-la, mas obrigar todo mundo a passar por essa etapa inconveniente é outra questão. O modelo real que já existia, de fornecer informações sobre alergênicos quando solicitadas, também funcionava bem
      As empresas devem informar dados com os quais todo mundo se importaria e ficaria chocado, mas há muitas coisas que só importam a uma minoria. Por que parar nos cookies? Se a infraestrutura de servidores do site usa produtos fabricados no exterior, popup; se as emissões de carbono da empresa operadora ficam acima da média, popup; se a comida da praça de alimentação da sede não for kosher, também poderia virar popup obrigatório
      O grupo que se importa profundamente com cookies tem tamanho parecido com o grupo que se importa com tamanho de binário ou execução de JavaScript. A execução de JavaScript também deveria exibir um popup obrigatório? Se um site passa de 10 MB, deveria primeiro pedir consentimento em uma página leve? O problema é como decidir quais ações merecem um alerta em popup
    • Esse exemplo não é bom. Normalmente, esse tipo de problema é resolvido pelo mercado
      O motivo pelo qual o mercado não resolve o problema dos banners de cookies, e pelo qual essa lei é ruim, é que os usuários na prática não se importam e só ficam irritados
      A Califórnia tem uma lei que exige aviso quando há em um estabelecimento substâncias químicas que podem causar câncer. A intenção é boa, mas o limite é mais baixo do que um nível realisticamente testável, então quase todos os imóveis colocam uma placa dizendo “pode haver substâncias químicas aqui”
      O aviso é inútil e só irrita; isso acontece por causa das forças de mercado e, em outras palavras, porque a lei incentivou esse comportamento
    • Acho que isso não é estritamente correto. O cookie em si não é o problema. O problema é a forma como os cookies são usados
      Ter que avisar que se usa cookie para a sessão é como ter que avisar que se usa garfo para comer
      O problema é que algumas pessoas esfaqueiam outras com esse garfo, e agora todo mundo precisa dizer de antemão como vai usar o garfo. Bastaria proibir o ato de esfaquear
    • Seguindo essa analogia, no fim até empresas que não cobram taxas ocultas acabam exibindo um banner, só por precaução
      Além disso, eu nem sou cidadão da UE e nem estou acessando sites baseados na UE, mas sou atingido por banners de cookies sem parar
  • Quando KingOfCoders/amazingcto disse que “não existe lei de banner de cookies; basta não rastrear”, isso está tecnicamente correto, mas Paul Graham não estava falando do texto da lei em si
    A reclamação dele deve ser interpretada pela ótica da teoria dos jogos, isto é, como a lei das consequências não intencionais ao observar como as empresas de fato reagem à lei
    O post do blog focou nas boas intenções da lei, enquanto o tweet de PG focou no resultado real

    • Essa lógica não se aplica aos dois lados? Se olharmos para a regulação da UE pela ótica da teoria dos jogos, ela também é uma consequência não intencional da coleta agressiva de dados pelas empresas
      Não entendo bem por que criticar só a UE e não as empresas
    • O blog claramente trata da questão pela ótica dos resultados reais. Ele repete isso várias vezes. As empresas podem simplesmente não rastrear
      O resultado real é que as empresas querem continuar rastreando e empurram os usuários, com padrões hostis e conformidade maliciosa, para forçar o “consentimento”
      Paul Graham continua errado
    • Como gosto de pensamento de segunda ordem e consequências não intencionais, concordo com essa parte. Então como deveríamos formular “não rastreie pessoas sem consentimento” sem consequências não intencionais?
      O ponto que o texto queria transmitir é que as empresas fazem isso de propósito para obter “consentimento” contra a vontade do usuário e, assim, andam numa corda bamba: violam a lei sem, tecnicamente, ultrapassar a linha da ilegalidade
    • Todo mundo sabe que agentes mal-intencionados continuarão se comportando mal mesmo diante da lei. Isso não é uma grande sacada
      Na verdade, o tweet de PG tem pouco a ver com teoria dos jogos e se parece mais com uma reclamação de país desenvolvido por ter que clicar em banner de cookies. Avaliar os resultados reais de regulação e legislação complexas vai além do escopo de um único tweet
      Seria bom Graham primeiro definir que argumento ele quer fazer. Ele está refutando algum representante específico da UE que se gaba de fazer boa regulação? Ou está dizendo que a UE nem deveria ter tido a ousadia de tentar regular?
    • Acho um bom resultado quando dá para reconhecer claramente um site horrível e apertar voltar
  • “Regular bem” também inclui a capacidade de prever os possíveis resultados de uma regulação
    Se você cria uma regra dizendo “as empresas agora precisam dar o produto de graça, mas podem apertar o nariz do cliente como uma buzina”, muita gente vai acabar com dor no nariz
    Aqui é parecido. Quase todos os sites ganham dinheiro com anúncios ou, no mínimo, registram logs de atividade dos usuários para otimizar o site, e isso não vai mudar; então a regulação idiota da UE só causa um pouco mais de sofrimento aos clientes

    • “Quase todos os sites ganham dinheiro com anúncios” não exige rastreamento pessoal
      “Registrar logs de atividade dos usuários para otimizar o site” também não exige rastreamento pessoal
    • A ideia ficou bem clara, e concordo que é uma consequência lamentável da regulação. A analogia também foi divertida
      Mas nem todo site precisa de banner de cookies. O GitHub não é um site bem complexo e otimizado para usuários? https://github.blog/2020-12-17-no-cookie-for-you/
    • A regulação da UE não impede a exibição de anúncios. Mais precisamente, ela mira o rastreamento
      Sem rastreamento > sem banner > todo mundo mais feliz > mostre os anúncios necessários à vontade
    • A confusão parece surgir entre anúncios e rastreamento. O banner não é sobre anúncios, é sobre rastreamento
    • É possível registrar logs de atividade dos usuários para otimizar o site sem rastrear meus dados pessoais
      No momento em que uma empresa precisa me rastrear, ela está fazendo mais do que “otimização do site”. Está usando meus dados para vender algo para mim ou vendendo meus dados a terceiros
      Acho bom que esse tipo de coisa exija permissão
  • Isso não é só uma lei de cookies; é também uma importante lei antimalware da UE
    O princípio é que, quando qualquer software controlado por terceiros grava ou lê informações no meu computador ou celular pela internet, deve haver consentimento prévio baseado em explicações suficientes
    As exceções se limitam a funções estreitas, como armazenamento/leitura necessários para fornecer o serviço solicitado pelo usuário ou balanceamento de carga. Isso se aplica não só a cookies do navegador, mas também à webcam, ao microfone e ao conteúdo da pasta Documents
    O princípio em si parece válido, mas a UE está travada em reformas para criar exceções adicionais, como verificações de segurança/atualizações essenciais ou métricas de uso que respeitem a privacidade. Os reguladores também, na prática, fazem vista grossa até certo ponto, então é difícil dizer que a UE regula bem
    A sociedade, de modo geral, não está conseguindo corrigir o que vê como bugs ou excessos na lei original de décadas atrás

    • Se o princípio é que “software controlado por terceiros não deve gravar ou ler informações no computador/celular sem consentimento prévio”, a responsabilidade de implementar isso é dos fornecedores de navegadores
    • Houve alguma tentativa de transformar isso em um padrão de navegador? Procurei, mas não encontrei
    • O que quer dizer “lei original de décadas atrás”? O GDPR tem 8 anos
  • O interessante na legislação é que ela também carrega responsabilidade pelas consequências não intencionais da lei

    • Neste caso, isso só mostra que a maioria das empresas coleta mais dados do que precisa
      Dados necessários para que o serviço funcione minimamente não precisam de banner. Como o site não funciona sem eles, nem há espaço para o consentimento entrar em cena
    • Dito de outra forma, leis que proíbem determinado comportamento quase sempre existem porque alguém quer praticar exatamente esse comportamento
      A legislação normalmente é uma disputa de interesses e, idealmente, o legislador tenta proteger o interesse público geral quando ele entra em conflito com interesses privados estreitos
      Se o lado com interesses estreitos for um grupo poderoso, a briga é inevitável; e, se houver uma maneira de fazer a regulação parecer mais intrusive e irritante do que o dano que ela originalmente tentava impedir, eles vão usá-la para colocar a opinião pública a seu favor
      Portanto, os legisladores também devem prever esse tipo de disputa e podem ter responsabilidade parcial pela forma que ela assume, mas não responsabilidade total. Quanto mais fortes forem os interesses privados, maior a probabilidade de encontrarem formas de resistir à regulação
      Neste caso, os sites que exibem banners também prejudicam a si mesmos. Isso porque os concorrentes passam a ter incentivo para oferecer uma experiência melhor sem banners. Ou seja, a regulação pode tornar valioso, em um contexto competitivo, não exibir banners; resta ver o resultado
    • As pessoas não podem escapar da responsabilidade dizendo que “a lei as obrigou a ser agressivas com os usuários”
      Usar cookies e tornar a experiência desagradável para as pessoas é uma escolha deliberada
    • O tweet original de PG parece presumir que banners de cookies são a) ruins, b) culpa da UE e c) uma consequência não intencional que a UE não previu, demonstrando incompetência
      É difícil dizer o que os legisladores previram ou pretendiam, mas vejo os banners de cookies como, na verdade, a) bons e b) culpa de empresas que não conseguem imaginar tratar melhor os usuários
      Acho que são bons porque causam incômodo psicológico aos usuários de software que não tenta evitar essa necessidade nem implementá-la direito. Com o tempo, espero que os usuários passem a ver sites com banners de cookies como algo suspeito e sem escrúpulos, como anúncios em popup
    • É impossível prever tudo, assim como a escala da conformidade maliciosa
      No fim, acho melhor ter essa lei e futuras iterações/emendas do que não tê-la. O nível de mau uso dos dados das pessoas é simplesmente absurdo demais
  • pg parece estar falando de banners de anúncios e, se for isso, ele está certo. A UE arruinou nossa experiência na web enquanto beneficiava apps móveis que fazem rastreamento ainda pior
    O problema maior é que essa lei não corrigiu nada, destruiu o pouco que restava do negócio de publicidade online da UE e focou no alvo errado
    Para começo de conversa, os cidadãos europeus não pediram essa lei, e havia problemas maiores. Ela foi impulsionada por um grupo de interesse alemão específico, indiferente para a maioria dos cidadãos da UE
    Rastreamento publicitário não era uma preocupação da grande maioria dos cidadãos da UE, e eles nem foram consultados sobre essa lei. Já o vício em internet e redes sociais é um problema real para a maioria dos cidadãos
    A UE gastou tanta energia e capital político com esse problema inútil dos banners de cookies que ficou com menos fôlego para lidar com o problema do vício
    Legislação apressada sempre produz esse tipo de coisa, e o pior é que essas decisões equivocadas não geram responsabilização. As pessoas que inspiraram a legislação não dependem de eleições, e as próximas eleições para o Parlamento Europeu também são uma disputa por procuração da política doméstica, não da política da UE
    Mesmo apontando esse desalinhamento político algumas vezes, não há mecanismo para mudá-lo até que algo realmente grave aconteça e seja tarde demais

  • Como anedota pessoal, certa vez fiquei encarregado de adicionar um banner de cookies ao site da empresa. Eu tinha conseguido impedir a adoção do banner por alguns anos, mas o novo proprietário queria experimentar coisas novas no departamento de marketing e alegou que os advogados disseram que era necessário obter consentimento dos usuários.
    Disseram para eu não gastar muito tempo com isso, usar um produto pronto, o OneTrust, e não fazer customizações.
    Quando eu disse que o texto padrão do banner soava muito assustador e dava a entender que fazíamos muitas coisas que na prática não fazíamos, responderam que os advogados da OneTrust certamente o haviam revisado, então mudar aquilo traria grande risco jurídico e deveríamos deixar como estava.
    O produto da OneTrust é uma solução genérica que precisa garantir conformidade até para os sites de mídia mais bagunçados e contaminados por ad tech, e eu argumentei que nós não éramos esse tipo de site, mas não adiantou.
    Empresas como a OneTrust e consultores dessa área têm um forte incentivo para exagerar muito o risco de não conformidade. Do ponto de vista de um não especialista, o risco jurídico assumido por agentes de boa-fé parece, na prática, bem baixo. Se as autoridades descobrem uma não conformidade, em geral dão uma oportunidade de correção, e talvez no máximo a chance de receber uma advertência leve. Aquelas multas assustadoras calculadas como porcentagem da receita mundial não são algo que se aplicaria a um erro honesto.
    Além disso, operadores que realmente precisam desses banners por dependerem de rastreamento invasivo se beneficiam quando todos os demais passam a acreditar equivocadamente que também precisam arruinar a experiência do usuário com banners. Assim, o que eles fazem parece normal e aceitável.

  • É um bom exemplo. Nem o Hacker News nem o artigo linkado precisavam de banner de cookies.

    • O artigo ainda tem até anúncio de livro ao lado.
  • Detesto essa mentalidade em que o governo cria uma regulamentação aparentemente bem-intencionada, deixa brechas que tornam a vida de todo mundo mais trabalhosa, e depois as pessoas defendem dizendo que “as empresas podem simplesmente não fazer isso”.
    A lei foi necessária justamente porque elas não deixavam de fazer isso; depois da lei, não é meio estranho dizer que elas deveriam simplesmente parar por conta própria?
    Se a lei de cookies tivesse sido implementada corretamente, bastaria uma única configuração do navegador que deveria ser respeitada. Isso teria sido totalmente transparente para o usuário e, no geral, benéfico.
    Em vez disso, graças a funcionários públicos incompetentes, acabamos vendo banners de cookies para sempre em quase todos os sites, e eles nem sequer são padronizados, de modo que os piores lugares, como sites em que veículos de imprensa publicam matérias, podem criar banners ainda mais indecifráveis.

    • A lei em si, na verdade, não é tão ruim; os tribunais é que foram muito lentos.
      Padrões de dark UI são de fato ilegais, e agora os tribunais também decidiram assim. Só falta essa percepção se espalhar entre as empresas que criam banners de cookies.
    • A lei não exige que os sites exibam um banner de cookies.
      Os navegadores já têm uma configuração de “não rastrear”. Se um site escolher respeitar essa configuração, pode deixar de rastrear sem mostrar nenhum banner de cookies. Mas a maioria não faz isso.
    • A lei não exige uma implementação específica. Leis não são escritas para exigir uma implementação específica, nem deveriam ser.
      Em vez disso, a lei é escrita de forma tecnologicamente neutra. É tão neutra que nem é chamada de “lei de cookies”. O nome é diretiva ePrivacy, e “cookie” aparece apenas 5 vezes como exemplo.
      Referência: https://eur-lex.europa.eu/legal-content/EN/ALL/?uri=celex%3A...
    • Configurações de navegador para cookies de rastreamento existem desde 2002: https://www.w3.org/P3P/
      Elas chegaram a ser implementadas de fato quando o Internet Explorer tinha mais de 90% de participação de mercado.
      Então o Google passou a enviar intencionalmente cabeçalhos P3P incorretos para contornar as preferências dos usuários no IE.
      Quando o Safari adicionou uma heurística para rejeitar cookies de terceiros do Google, o Google também encontrou uma manobra técnica para contorná-la e foi multado por isso.
      Depois que o IE e o P3P morreram completamente, os navegadores tentaram oferecer o cabeçalho DNT, a configuração mínima mais fácil para o setor de ad tech implementar. O setor de ad tech o ignorou completamente.
      Existem empresas de trilhões de dólares que dependem de rastreamento, e elas farão tudo o que puderem para sabotar tecnologias que prejudiquem seus negócios e barrar leis.
    • Uma configuração do navegador teria sido 100% aceitável. Mas isso não aconteceu porque pessoas demais escolheriam recusar. Esse é o ponto central do texto.
  • Se “as empresas podem evitar banners de cookies facilmente, basta não rastrear”, então a UE deveria ter transformado exatamente isso em lei.
    E nós a teríamos chamado de lei de simplesmente não rastrear.
    É surpreendente ver pessoas defendendo a UE com algo como “não existe lei de banner de cookies”. Não, existe uma lei. É justamente por causa dessa lei que as pessoas pensam “por que correr risco à toa?” e colocam porcarias como banners de cookies.
    A lei não é um conjunto de palavras no papel, mas um sistema que muda comportamentos ao atribuir recompensas ou punições às ações das pessoas.

    • Quando se entende a lei corretamente, também se entende que, quando você não rastreia usuários, não precisa de banner de cookies.
      Mas é mais fácil não tentar entender e jogar pelo seguro. Ainda assim, não se deve culpar a lei pela responsabilidade de escolher o caminho “seguro” sem investigar.
      A maioria é imitadora: se grandes sites colocam banners de cookies, acha que também precisa colocar. Depois culpa a lei.
      Se você não é imitador e entende seu próprio negócio, não há motivo para culpar a lei por obrigá-lo a fazer algo desnecessário.
      Claro, às vezes leis são complicadas de entender. A maioria das leis é assim, e é por isso que existem advogados. Mas, na área de tecnologia, até advogados muitas vezes parecem imitadores. Portanto, é sempre bom pensar por conta própria e não acreditar em tudo que os outros dizem. Se você investigar e pesquisar diretamente, nem é tão difícil assim.
    • Não é isso mesmo. Como as pessoas não estão dispostas a abrir mão de rastrear usuários e só agora perceberam que fazer errado é ilegal, elas pensam “por que correr risco à toa?” e se agarram a dark patterns horríveis para encobrir a própria responsabilidade.
      Meu negócio não rastreava clientes online e não tinha banner. Fim.
    • A lei pune empresas, não cidadãos individuais.
      Se os advogados reagem de forma exagerada ou se uma empresa não consegue distinguir rastreamento essencial de rastreamento não essencial, talvez os incompetentes sejam eles.