Para Paul Graham, não existe lei de banner de cookies
(amazingcto.com)Sobre o fato de não existir uma lei de banner de cookies
- Paul Graham achava que a UE tinha tornado os banners de cookies obrigatórios, mas na realidade não existe nenhuma lei sobre banners de cookies.
- A UE afirma que é necessário consentimento para rastreamento, criação de perfis e venda de dados pessoais.
- As empresas podem evitar banners de cookies não realizando rastreamento ou respeitando o cabeçalho 'Do Not Track' dos usuários que não querem ser rastreados.
Métodos alternativos de consentimento de cookies
- Os navegadores podem oferecer um ícone de rastreamento, como o ícone de SSL, e fornecer informações nas quais o usuário pode clicar para dar consentimento.
- É possível solicitar consentimento para cookies com um pequeno banner no topo do site, ou colocar um pequeno botão no rodapé da página para pedir consentimento para "apoio por meio de rastreamento".
Uso de banners de cookies pelas empresas
- As empresas sabem que os usuários não querem ser rastreados, mas ainda assim querem rastrear.
- Por isso, forçam a exibição de banners de cookies do tamanho de metade da página, esperando que o usuário consinta, cobrindo o conteúdo e atrapalhando o uso do site.
- Usam 'Dark UI Patterns' para cansar ou confundir os usuários até que acabem consentindo.
A realidade dos banners de cookies
- A UE não tornou os banners de cookies obrigatórios, mas as empresas estão tornando a vida dos usuários mais difícil.
- Quando as empresas deixaram de poder abusar secretamente dos usuários, escolheram em vez disso um método irritante.
Opinião sobre privacidade
- A regulação da UE nem sempre é boa, mas a privacidade de dados é importante, e o autor lutou pelo PGP há 30 anos e continuará lutando.
Opinião do GN⁺
- Os banners de cookies podem prejudicar a experiência do usuário e reduzir a acessibilidade dos sites.
- Proteger a privacidade de dados dos usuários é importante, mas a abordagem para isso deve ser amigável ao usuário.
- Desenvolvedores web precisam buscar formas melhores de obter o consentimento dos usuários, e isso pode contribuir para a evolução dos padrões da web.
- Em vez de banners de cookies, deve-se considerar um design de site que respeite a privacidade do usuário.
- Tecnicamente, implementar mecanismos como o respeito ao cabeçalho 'Do Not Track' pode ser um novo desafio para desenvolvedores e ajudar a conquistar a confiança dos usuários.
1 comentários
Opiniões no Hacker News
É só imaginar um mercado em que empresas acrescentam um monte de taxas ocultas sem que os clientes saibam, e os usuários só descobrem depois e ficam irritados
Quando a lei muda para dizer que “não é possível cobrar uma taxa sem informá-la previamente”, as empresas cheias de taxas mantêm as taxas como estão e passam a fazer o usuário ler as taxas em cada página do menu, da forma mais irritante possível
Ao mesmo tempo, divulgam que o problema não são as taxas excessivas, nem o fato de antes elas ficarem escondidas e agora precisarem ser informadas por causa da lei, mas sim a lei que obriga avisar antes que seja tarde demais
Os banners de cookies são essencialmente iguais a isso, e entre os que hoje xingam a lei dos cookies há uma mistura de pessoas que erram de propósito por interesse próprio e pessoas que erram porque realmente não entendem a posição que estão defendendo
Isso também revela em que estado está a relação entre empresas e consumidores, quando a primeira reação a esse mau comportamento é “foi você que fez eles agirem assim!”
No fim, tratam como se fosse culpa de todo mundo, menos do próprio agente mal-intencionado
Uma analogia mais próxima seria entrar em um restaurante, receber uma folha com as informações de alergênicos de todos os pratos e ter que dizer “concordo que estes ingredientes entrem na comida” para poder sentar
Concordo que o restaurante não deve esconder essa informação, e que uma minoria pode querê-la, mas obrigar todo mundo a passar por essa etapa inconveniente é outra questão. O modelo real que já existia, de fornecer informações sobre alergênicos quando solicitadas, também funcionava bem
As empresas devem informar dados com os quais todo mundo se importaria e ficaria chocado, mas há muitas coisas que só importam a uma minoria. Por que parar nos cookies? Se a infraestrutura de servidores do site usa produtos fabricados no exterior, popup; se as emissões de carbono da empresa operadora ficam acima da média, popup; se a comida da praça de alimentação da sede não for kosher, também poderia virar popup obrigatório
O grupo que se importa profundamente com cookies tem tamanho parecido com o grupo que se importa com tamanho de binário ou execução de JavaScript. A execução de JavaScript também deveria exibir um popup obrigatório? Se um site passa de 10 MB, deveria primeiro pedir consentimento em uma página leve? O problema é como decidir quais ações merecem um alerta em popup
O motivo pelo qual o mercado não resolve o problema dos banners de cookies, e pelo qual essa lei é ruim, é que os usuários na prática não se importam e só ficam irritados
A Califórnia tem uma lei que exige aviso quando há em um estabelecimento substâncias químicas que podem causar câncer. A intenção é boa, mas o limite é mais baixo do que um nível realisticamente testável, então quase todos os imóveis colocam uma placa dizendo “pode haver substâncias químicas aqui”
O aviso é inútil e só irrita; isso acontece por causa das forças de mercado e, em outras palavras, porque a lei incentivou esse comportamento
Ter que avisar que se usa cookie para a sessão é como ter que avisar que se usa garfo para comer
O problema é que algumas pessoas esfaqueiam outras com esse garfo, e agora todo mundo precisa dizer de antemão como vai usar o garfo. Bastaria proibir o ato de esfaquear
Além disso, eu nem sou cidadão da UE e nem estou acessando sites baseados na UE, mas sou atingido por banners de cookies sem parar
Quando KingOfCoders/amazingcto disse que “não existe lei de banner de cookies; basta não rastrear”, isso está tecnicamente correto, mas Paul Graham não estava falando do texto da lei em si
A reclamação dele deve ser interpretada pela ótica da teoria dos jogos, isto é, como a lei das consequências não intencionais ao observar como as empresas de fato reagem à lei
O post do blog focou nas boas intenções da lei, enquanto o tweet de PG focou no resultado real
Não entendo bem por que criticar só a UE e não as empresas
O resultado real é que as empresas querem continuar rastreando e empurram os usuários, com padrões hostis e conformidade maliciosa, para forçar o “consentimento”
Paul Graham continua errado
O ponto que o texto queria transmitir é que as empresas fazem isso de propósito para obter “consentimento” contra a vontade do usuário e, assim, andam numa corda bamba: violam a lei sem, tecnicamente, ultrapassar a linha da ilegalidade
Na verdade, o tweet de PG tem pouco a ver com teoria dos jogos e se parece mais com uma reclamação de país desenvolvido por ter que clicar em banner de cookies. Avaliar os resultados reais de regulação e legislação complexas vai além do escopo de um único tweet
Seria bom Graham primeiro definir que argumento ele quer fazer. Ele está refutando algum representante específico da UE que se gaba de fazer boa regulação? Ou está dizendo que a UE nem deveria ter tido a ousadia de tentar regular?
“Regular bem” também inclui a capacidade de prever os possíveis resultados de uma regulação
Se você cria uma regra dizendo “as empresas agora precisam dar o produto de graça, mas podem apertar o nariz do cliente como uma buzina”, muita gente vai acabar com dor no nariz
Aqui é parecido. Quase todos os sites ganham dinheiro com anúncios ou, no mínimo, registram logs de atividade dos usuários para otimizar o site, e isso não vai mudar; então a regulação idiota da UE só causa um pouco mais de sofrimento aos clientes
“Registrar logs de atividade dos usuários para otimizar o site” também não exige rastreamento pessoal
Mas nem todo site precisa de banner de cookies. O GitHub não é um site bem complexo e otimizado para usuários? https://github.blog/2020-12-17-no-cookie-for-you/
Sem rastreamento > sem banner > todo mundo mais feliz > mostre os anúncios necessários à vontade
No momento em que uma empresa precisa me rastrear, ela está fazendo mais do que “otimização do site”. Está usando meus dados para vender algo para mim ou vendendo meus dados a terceiros
Acho bom que esse tipo de coisa exija permissão
Isso não é só uma lei de cookies; é também uma importante lei antimalware da UE
O princípio é que, quando qualquer software controlado por terceiros grava ou lê informações no meu computador ou celular pela internet, deve haver consentimento prévio baseado em explicações suficientes
As exceções se limitam a funções estreitas, como armazenamento/leitura necessários para fornecer o serviço solicitado pelo usuário ou balanceamento de carga. Isso se aplica não só a cookies do navegador, mas também à webcam, ao microfone e ao conteúdo da pasta Documents
O princípio em si parece válido, mas a UE está travada em reformas para criar exceções adicionais, como verificações de segurança/atualizações essenciais ou métricas de uso que respeitem a privacidade. Os reguladores também, na prática, fazem vista grossa até certo ponto, então é difícil dizer que a UE regula bem
A sociedade, de modo geral, não está conseguindo corrigir o que vê como bugs ou excessos na lei original de décadas atrás
O interessante na legislação é que ela também carrega responsabilidade pelas consequências não intencionais da lei
Dados necessários para que o serviço funcione minimamente não precisam de banner. Como o site não funciona sem eles, nem há espaço para o consentimento entrar em cena
A legislação normalmente é uma disputa de interesses e, idealmente, o legislador tenta proteger o interesse público geral quando ele entra em conflito com interesses privados estreitos
Se o lado com interesses estreitos for um grupo poderoso, a briga é inevitável; e, se houver uma maneira de fazer a regulação parecer mais intrusive e irritante do que o dano que ela originalmente tentava impedir, eles vão usá-la para colocar a opinião pública a seu favor
Portanto, os legisladores também devem prever esse tipo de disputa e podem ter responsabilidade parcial pela forma que ela assume, mas não responsabilidade total. Quanto mais fortes forem os interesses privados, maior a probabilidade de encontrarem formas de resistir à regulação
Neste caso, os sites que exibem banners também prejudicam a si mesmos. Isso porque os concorrentes passam a ter incentivo para oferecer uma experiência melhor sem banners. Ou seja, a regulação pode tornar valioso, em um contexto competitivo, não exibir banners; resta ver o resultado
Usar cookies e tornar a experiência desagradável para as pessoas é uma escolha deliberada
É difícil dizer o que os legisladores previram ou pretendiam, mas vejo os banners de cookies como, na verdade, a) bons e b) culpa de empresas que não conseguem imaginar tratar melhor os usuários
Acho que são bons porque causam incômodo psicológico aos usuários de software que não tenta evitar essa necessidade nem implementá-la direito. Com o tempo, espero que os usuários passem a ver sites com banners de cookies como algo suspeito e sem escrúpulos, como anúncios em popup
No fim, acho melhor ter essa lei e futuras iterações/emendas do que não tê-la. O nível de mau uso dos dados das pessoas é simplesmente absurdo demais
pg parece estar falando de banners de anúncios e, se for isso, ele está certo. A UE arruinou nossa experiência na web enquanto beneficiava apps móveis que fazem rastreamento ainda pior
O problema maior é que essa lei não corrigiu nada, destruiu o pouco que restava do negócio de publicidade online da UE e focou no alvo errado
Para começo de conversa, os cidadãos europeus não pediram essa lei, e havia problemas maiores. Ela foi impulsionada por um grupo de interesse alemão específico, indiferente para a maioria dos cidadãos da UE
Rastreamento publicitário não era uma preocupação da grande maioria dos cidadãos da UE, e eles nem foram consultados sobre essa lei. Já o vício em internet e redes sociais é um problema real para a maioria dos cidadãos
A UE gastou tanta energia e capital político com esse problema inútil dos banners de cookies que ficou com menos fôlego para lidar com o problema do vício
Legislação apressada sempre produz esse tipo de coisa, e o pior é que essas decisões equivocadas não geram responsabilização. As pessoas que inspiraram a legislação não dependem de eleições, e as próximas eleições para o Parlamento Europeu também são uma disputa por procuração da política doméstica, não da política da UE
Mesmo apontando esse desalinhamento político algumas vezes, não há mecanismo para mudá-lo até que algo realmente grave aconteça e seja tarde demais
Como anedota pessoal, certa vez fiquei encarregado de adicionar um banner de cookies ao site da empresa. Eu tinha conseguido impedir a adoção do banner por alguns anos, mas o novo proprietário queria experimentar coisas novas no departamento de marketing e alegou que os advogados disseram que era necessário obter consentimento dos usuários.
Disseram para eu não gastar muito tempo com isso, usar um produto pronto, o OneTrust, e não fazer customizações.
Quando eu disse que o texto padrão do banner soava muito assustador e dava a entender que fazíamos muitas coisas que na prática não fazíamos, responderam que os advogados da OneTrust certamente o haviam revisado, então mudar aquilo traria grande risco jurídico e deveríamos deixar como estava.
O produto da OneTrust é uma solução genérica que precisa garantir conformidade até para os sites de mídia mais bagunçados e contaminados por ad tech, e eu argumentei que nós não éramos esse tipo de site, mas não adiantou.
Empresas como a OneTrust e consultores dessa área têm um forte incentivo para exagerar muito o risco de não conformidade. Do ponto de vista de um não especialista, o risco jurídico assumido por agentes de boa-fé parece, na prática, bem baixo. Se as autoridades descobrem uma não conformidade, em geral dão uma oportunidade de correção, e talvez no máximo a chance de receber uma advertência leve. Aquelas multas assustadoras calculadas como porcentagem da receita mundial não são algo que se aplicaria a um erro honesto.
Além disso, operadores que realmente precisam desses banners por dependerem de rastreamento invasivo se beneficiam quando todos os demais passam a acreditar equivocadamente que também precisam arruinar a experiência do usuário com banners. Assim, o que eles fazem parece normal e aceitável.
É um bom exemplo. Nem o Hacker News nem o artigo linkado precisavam de banner de cookies.
Detesto essa mentalidade em que o governo cria uma regulamentação aparentemente bem-intencionada, deixa brechas que tornam a vida de todo mundo mais trabalhosa, e depois as pessoas defendem dizendo que “as empresas podem simplesmente não fazer isso”.
A lei foi necessária justamente porque elas não deixavam de fazer isso; depois da lei, não é meio estranho dizer que elas deveriam simplesmente parar por conta própria?
Se a lei de cookies tivesse sido implementada corretamente, bastaria uma única configuração do navegador que deveria ser respeitada. Isso teria sido totalmente transparente para o usuário e, no geral, benéfico.
Em vez disso, graças a funcionários públicos incompetentes, acabamos vendo banners de cookies para sempre em quase todos os sites, e eles nem sequer são padronizados, de modo que os piores lugares, como sites em que veículos de imprensa publicam matérias, podem criar banners ainda mais indecifráveis.
Padrões de dark UI são de fato ilegais, e agora os tribunais também decidiram assim. Só falta essa percepção se espalhar entre as empresas que criam banners de cookies.
Os navegadores já têm uma configuração de “não rastrear”. Se um site escolher respeitar essa configuração, pode deixar de rastrear sem mostrar nenhum banner de cookies. Mas a maioria não faz isso.
Em vez disso, a lei é escrita de forma tecnologicamente neutra. É tão neutra que nem é chamada de “lei de cookies”. O nome é diretiva ePrivacy, e “cookie” aparece apenas 5 vezes como exemplo.
Referência: https://eur-lex.europa.eu/legal-content/EN/ALL/?uri=celex%3A...
Elas chegaram a ser implementadas de fato quando o Internet Explorer tinha mais de 90% de participação de mercado.
Então o Google passou a enviar intencionalmente cabeçalhos P3P incorretos para contornar as preferências dos usuários no IE.
Quando o Safari adicionou uma heurística para rejeitar cookies de terceiros do Google, o Google também encontrou uma manobra técnica para contorná-la e foi multado por isso.
Depois que o IE e o P3P morreram completamente, os navegadores tentaram oferecer o cabeçalho DNT, a configuração mínima mais fácil para o setor de ad tech implementar. O setor de ad tech o ignorou completamente.
Existem empresas de trilhões de dólares que dependem de rastreamento, e elas farão tudo o que puderem para sabotar tecnologias que prejudiquem seus negócios e barrar leis.
Se “as empresas podem evitar banners de cookies facilmente, basta não rastrear”, então a UE deveria ter transformado exatamente isso em lei.
E nós a teríamos chamado de lei de simplesmente não rastrear.
É surpreendente ver pessoas defendendo a UE com algo como “não existe lei de banner de cookies”. Não, existe uma lei. É justamente por causa dessa lei que as pessoas pensam “por que correr risco à toa?” e colocam porcarias como banners de cookies.
A lei não é um conjunto de palavras no papel, mas um sistema que muda comportamentos ao atribuir recompensas ou punições às ações das pessoas.
Mas é mais fácil não tentar entender e jogar pelo seguro. Ainda assim, não se deve culpar a lei pela responsabilidade de escolher o caminho “seguro” sem investigar.
A maioria é imitadora: se grandes sites colocam banners de cookies, acha que também precisa colocar. Depois culpa a lei.
Se você não é imitador e entende seu próprio negócio, não há motivo para culpar a lei por obrigá-lo a fazer algo desnecessário.
Claro, às vezes leis são complicadas de entender. A maioria das leis é assim, e é por isso que existem advogados. Mas, na área de tecnologia, até advogados muitas vezes parecem imitadores. Portanto, é sempre bom pensar por conta própria e não acreditar em tudo que os outros dizem. Se você investigar e pesquisar diretamente, nem é tão difícil assim.
Meu negócio não rastreava clientes online e não tinha banner. Fim.
Se os advogados reagem de forma exagerada ou se uma empresa não consegue distinguir rastreamento essencial de rastreamento não essencial, talvez os incompetentes sejam eles.