Uit recent onderzoek van privacyorganisatie webXray blijkt dat verschillende grote technologiebedrijven advertentiecookies plaatsen in browsers van gebruikers, ook als deze expliciet hebben aangegeven niet gevolgd te willen worden. Dit is in strijd met de Californische wetgeving, die consumenten het recht geeft om verkoop van hun persoonlijke gegevens te weigeren.

De audit richtte zich op het internetverkeer in Californië in maart en ontdekte dat 194 online advertentiediensten de wereldwijd erkende opt-out signalen, zoals vastgelegd in de Global Privacy Control (GPC), negeren. Deze signalen worden door gebruikers via een browserextensie afgegeven om aan te geven dat zij niet gevolgd willen worden. De Californische Consumer Privacy Act (CCPA) beschermt consumenten tegen het ongewenst delen van hun data, en bedrijven die de GPC negeren zijn al eerder beboet, zoals Sephora met een boete van 1,2 miljoen dollar en Disney met 2,75 miljoen dollar respectievelijk en hier.

Volgens het rapport negeert Google de opt-out verzoeken in 86 procent van de gevallen. De onderzoekers tonen aan dat Google’s servers, ondanks een opt-out signaal, alsnog een advertentiecookie met de naam IDE plaatsen. Google ontkent dit en stelt dat het rapport berust op een fundamenteel misverstand over de werking van hun producten en dat zij opt-outs respecteren zoals wettelijk vereist.

Microsoft volgt met een negeerpercentage van 50 procent. Ook hier blijkt het systeem voor het verwerken van opt-out signalen vergelijkbaar te zijn met dat van Google. Microsoft benadrukt dat privacy een prioriteit is en dat zij gebruikers die een GPC signaal afgeven uitsluiten van het delen van persoonlijke gegevens voor gepersonaliseerde advertenties, hoewel sommige cookies noodzakelijk zijn voor operationele doeleinden.

Meta negeert opt-out verzoeken in 69 procent van de gevallen. De code van Meta controleert niet op de standaard opt-out signalen en plaatst ongeacht de privacyvoorkeuren trackingcookies. Meta noemt het onderzoek een misleidende marketingactie en stelt dat de Global Privacy Control instelling beperkt hoe data wordt gedeeld, niet hoe het wordt verzameld.