Docenas de sitios web universitarios, benéficos y policiales diseñados para ayudar a las personas a obtener apoyo para problemas graves como el abuso sexual, la adicción o la salud mental están recopilando y compartiendo inadvertidamente datos confidenciales de los visitantes del sitio con anunciantes.
Una variedad de herramientas de seguimiento integradas en estos sitios, incluidos Meta Pixel y Google Analytics, significan que cuando una persona los visita en busca de ayuda, sus datos confidenciales se recopilan y comparten con empresas como Google y Meta, que pueden darse cuenta de que una persona está buscando. utilizar servicios de soporte antes de que esos servicios puedan siquiera ofrecer ayuda.
Según los expertos en privacidad que intentan crear conciencia sobre el problema, el uso de tales herramientas de seguimiento significa que la información de las personas se comparte sin darse cuenta con estos anunciantes, tan pronto como ingresan a los sitios, en muchos casos porque las etiquetas analíticas comienzan a recopilar datos personales antes de que los usuarios hayan interactuado. con el cartel de galletas.
Dependiendo de la configuración de los análisis implementados, los datos recopilados podrían incluir información sobre la edad, ubicación, navegador, dispositivo, sistema operativo y comportamientos en línea del visitante del sitio.
Si bien se comparten aún más datos con los anunciantes si los usuarios dan su consentimiento para las cookies, los expertos dijeron a Computer Weekly que los sitios no brindan una explicación adecuada de cómo los anunciantes programáticos almacenarán y utilizarán su información.
Advirtieron además que el problema es “endémico” debido a una falta generalizada de conciencia sobre cómo funcionan las tecnologías de seguimiento como las cookies, así como a los posibles daños asociados con permitir a los anunciantes el acceso inadvertido a información tan sensible.
Stef Elliott, un experto en protección y gobernanza de datos que ha estado dando la alarma sobre estas prácticas desde que notó el problema a mediados de 2023, ha identificado desde entonces más de 50 sitios sensibles con este tipo de configuración, incluidos sitios de soporte relacionados con abuso sexual. condiciones de salud y la protección de los niños.
Mientras El guardián informó sobre el uso de la herramienta Meta Pixel por parte de la Policía Met en su sitio web en julio de 2023 después de que Elliott señalara el problema, dijo que el problema es mucho más profundo que el uso de una herramienta de seguimiento en particular por parte de una organización.
“Parece haber una falta real de comprensión de los daños potenciales que pueden estar asociados con esto”, dijo, y agregó que una parte importante del problema es que los desarrolladores agregan los análisis a los sitios web como práctica estándar, sin tener en cuenta la sensibilidad de un sitio determinado.
Elliott dijo que, aunque las tecnologías de seguimiento pueden ser útiles para las organizaciones por diversas razones, le preocupa que se utilicen sin el debido cuidado y atención. Pero cada vez que plantea el problema a las autoridades, ya sea el regulador de datos del Reino Unido o su parlamentario local, recibe a cambio “plantas rodadoras”.
Dada la sensibilidad de los datos que se recopilan, a Elliott y otros expertos les preocupa que las personas puedan verse disuadidas de buscar la asistencia que tanto necesitan si creen que se están enviando datos confidenciales sobre ellos a terceros.
El investigador de privacidad en línea Mark Richards, por ejemplo, dijo que cuando las personas ingresan a entornos físicos sensibles como el consultorio de un médico o el consultorio de un maestro, las organizaciones y las personas tienen el deber de cuidar de salvaguardar a las personas vulnerables allí.
“La premisa básica de que ‘estas cuatro paredes son seguras para que puedas hablar conmigo y nadie más te oirá’ no se cumple”, dijo. “Ya no es cierto: cuando estás en línea, te están vigilando, alguien sabe que entraste a esa oficina y el tema que estás tratando de abordar… es una intrusión en un espacio que se supone debe estar protegido”.
Sobre los daños que implica este uso generalizado del seguimiento invasivo, Richards dijo que si la gente no confía en un sistema, no lo utilizará.
“Si tienes un niño que está deprimido, que tiene problemas de confianza con el entorno que lo rodea, y luego le dicen que entre en un entorno que comienza a mentirle mostrándole carteles de galletas que dicen que no van a ser rastreado; mientras que al mismo tiempo ven que su herramienta de bloqueo de privacidad dice que se están cargando Facebook, Google y YouTube, van a empezar a pensar, ‘¿cómo puedo confiar en este sitio web?’”, dijo.
Vigilancia digital en sitios sensibles
Si bien los expertos con los que habló Computer Weekly eligen no revelar qué sitios específicos se ven afectados para que las personas no se disuadan de buscar ayuda, se han compartido con Computer Weekly fallas técnicas del seguimiento en múltiples sitios para confirmar la recopilación y el intercambio de datos que se están llevando a cabo. .
Al dar el ejemplo de un visitante de una página de denuncia de delitos sexuales de la policía, Elliott dijo que con la configuración de seguimiento actualmente implementada, las cookies se implementarían inmediatamente para comenzar a recopilar información sobre el usuario, que está vinculada a perfiles individualizados que los anunciantes pueden usar para apuntar a ellos.
Si bien esto se lleva a cabo mediante cookies de inicio de sesión que se colocan cuando los usuarios inician sesión, por ejemplo, en sus cuentas de Google o X, dichos anunciantes también pueden crear perfiles de personas sin cuentas mediante el uso de ID de anunciante, que utilizan varios métodos, como la toma de huellas digitales del navegador. direcciones para correlacionar a los usuarios con la actividad en línea.
Al comparar el seguimiento con otras formas de vigilancia, Elliott dijo que era “más preciso” que usar cámaras de video o reconocimiento facial debido a la forma en que permite vincular una amplia variedad de información sobre personas específicas a perfiles individualizados de ellas.
Destacando otro ejemplo de la página web sobre infecciones de transmisión sexual (ITS) de una universidad, Elliot dijo que en ese caso pregunta por las edades, códigos postales y preferencias sexuales de las personas, lo que luego conduce a una página de resultados de búsqueda con esa información en la URL, todo lo cual tiene lugar antes de cualquier interacción con el banner de cookies.
“Mi problema es que si supieras que los datos van a Facebook y Google, ¿irías al sitio de STI e ingresarías esos datos?” él dijo. “Creo que socava el propósito del sitio, que es ayudar a las personas en apuros y traumas”.
Al comentar sobre la naturaleza de la vigilancia digital que sustenta la publicidad programática, Richards la comparó con un acto criminal de invasión.
“Cada vez que estás en un dispositivo… estás realizando tus actividades personales en tu propio entorno. Y cuando las haces, te observan a través de tu propio dispositivo”, dijo. “Para mí, esto es una sensación de invasión: si alguien estuviera en mi casa, observándome hacer cosas, tomando notas, sentiría que la policía debería estar aquí sacándolos afuera.
Siempre que estás en un dispositivo… estás siendo observado. Para mí, esto es una sensación de transgresión.
Mark Richards, investigador de privacidad en línea
“En cierto modo son como mirón, que miran a través de ellos aunque se supone que no deben hacerlo… no hay restricciones, las calles digitales por las que caminas, ellas las siguen”.
Richards agregó que si bien muchas personas al menos intentan recuperar algo de privacidad, por ejemplo, usando bloqueadores de publicidad (una de las herramientas más descargadas en Internet) o comprando iPhones debido a su mayor grado de privacidad en comparación con los dispositivos Android, “la Lo más triste es que por mucho que la gente intente evitar todo esto, no tienen muchas esperanzas”.
Dijo que si bien puede ser difícil cuantificar el costo de las invasiones de la privacidad en términos financieros, puede haber impactos emocionales claros por la pérdida de privacidad, y que los intentos de las personas por impedir que se abuse de su privacidad muestran que hay “obviamente una sensación de disgusto”. y desconfianza en el sistema que ha creado la TI moderna”.
Un ecosistema de caja negra
Las personas con las que habló Computer Weekly también destacaron la naturaleza de “caja negra” del ecosistema de publicidad en línea al que luego se envían estos datos confidenciales, y señalaron que una vez que los datos se toman del dispositivo de una persona y se envían a empresas como Google, Meta y otros, hay muy poca visibilidad sobre cómo se utiliza.
“Están usando algoritmos de búsqueda, están usando inteligencia artificial, están usando aprendizaje automático, están usando técnicas para intentar correlacionar a los usuarios con cosas que creen que les interesarán y cosas que creen que los usuarios comprarán. para ganar dinero”, dijo Richards.
“¿Crees que está bien que cuando un niño visita un sitio web de apoyo al suicidio, ahora confiemos en que los algoritmos de Facebook detectarán que el niño está interesado en suicidarse y presentarán los anuncios apropiados y el contenido recomendado para la situación de ese niño? ¿Cómo se ve eso? ¿Cómo evitan el riesgo, aprendido por las máquinas, de que lo mejor financieramente para mostrarles probablemente sea el alcohol?
Richards agregó la forma en que los anunciantes recopilan y combinan los datos personales de las personas para hacer inferencias sobre ellos, ya que tanto los individuos como los grupos pueden fácilmente volverse muy discriminatorios, ya que esencialmente se basan en estereotipos.
“Hay organizaciones sentadas escogiendo temas y eligiendo cómo van a dirigirse a las personas”, dijo, añadiendo que en la práctica esto significa “elegir estereotipos de grupos específicos y usarlos como un medio para llegar a ese grupo de personas”. gente”.
Mariano delli Santi, funcionario legal y de políticas de Open Rights Group, agregó que el uso sistémico de herramientas de seguimiento para monitorear el comportamiento de las personas con el fin de mostrarles anuncios es particularmente dañino para aquellos con vulnerabilidades o adicciones.
Señalar la dificultad que a menudo tiene la publicidad conductual para inferir con precisión las intenciones, características o estatus de las personas: “si estás leyendo un artículo sobre una huelga, eso no dice si estás de acuerdo con la huelga o no, por lo que todo se basa en conjeturas”. – delli Santi dijo que es bueno para detectar y explotar los comportamientos compulsivos de las personas debido a la naturaleza regular y repetitiva de estas acciones.
“El sistema de publicidad existente es un sistema que inherentemente favorece este modelo explotador de orientación en línea, exactamente porque cualquier sistema que perfile el comportamiento es un sistema que es muy bueno para identificar vulnerabilidades y adicciones, y es muy malo para identificar todo lo demás”, afirmó. dicho. “Existe un incentivo perverso para apuntar a las personas en función de sus puntos débiles”.
Delli Santi también destacó el hecho de que una vez que los datos son recopilados por los sitios sensibles en cuestión, simplemente no se sabe qué sucede con ellos o con qué otros datos sobre usted se pueden combinar, especialmente cuando se compra más información sobre personas a partir de los datos. brokers es muy fácil y accesible.
Sin embargo, Shane Gohil, responsable de protección de datos del Centro DPO, cuestionó si los daños potenciales a las personas superaban el beneficio logrado por los sitios sensibles, dado lo difícil que es identificar daños específicos que se derivan del acceso de un anunciante programático a cualquier punto de datos determinado. o las inferencias posteriores hechas a partir de él.
Añadió que si bien es “muy difícil de rastrear debido al ecosistema publicitario”, la gravedad de los daños será diferente según el contexto de la recopilación de datos.
“Digamos que fue la adicción al juego, por ejemplo; si eso entró en el ecosistema publicitario, ¿quién puede decir que las empresas de juego no pueden ofrecer anuncios a esas personas? Porque su posición será: “No me importa si eres adicto o no, el hecho es que me haces ganar dinero”. Sé que suena horrible, pero así es como funcionarán los vehículos comerciales”, dijo.
“La dificultad con otras cosas –por ejemplo, visitar páginas de autolesión o servicios policiales– es que simplemente no veo cómo eso afecta materialmente a alguien. ¿Cómo podrían reclamar daños y perjuicios, cómo podrían demostrar que esto les causó angustia?
“Simplemente decir: ‘No me siento muy bien con que esa información esté en el sistema de anuncios porque saben que he estado en ese sitio web’, en realidad no constituye una decisión. [legal] daño o perjuicio a alguien”.
Gohil añadió que es mucho más fácil demostrar legalmente el daño directo resultante de la recopilación de datos personales sensibles en otros contextos, como cuando se utilizan para cosas como seguros o gestión de reclamaciones. También dijo que si bien los datos personales de los sitios sensibles pueden agregarse a los perfiles de comportamiento, legalmente sigue siendo muy complicado identificar el daño a los datos específicos recopilados durante una visita al sitio.
A pesar de la dificultad legal de vincular daños específicos con la recopilación de datos específicos, Gohil añadió: “¿Le contaría todo a su médico si mirara y hubiera alguien en la habitación? Eso me haría pensar dos veces”.
Una falta de conciencia
Todas las personas con las que habló Computer Weekly dijeron que la razón principal por la que se ha permitido que prospere este seguimiento invasivo es una falta general de conciencia sobre cómo funcionan estas tecnologías en la práctica.
