Les webs més visitades a Espanya no compleixen correctament les lleis de privacitat i rastregen els usuaris

Tan sols un petit percentatge de les 500 webs més visitades d'Espanya, entre les quals s'inclouen des de pàgines governamentals fins a llocs de streaming o de contingut per a adults, implementa correctament els requisits que estableix el Reglament General de Protecció de Dades (RGPD). Aquesta és una de les principals conclusions d'un estudi en el qual han participat investigadors de la Universitat Oberta de Catalunya (UOC), la Universitat de Girona (UdG) i el Centre de Recerca en Ciberseguretat de Catalunya (CYBERCAT).

Els resultats, publicats en obert en la revista científica Computers & Security amb llicència de Creative Commons, es van aconseguir després d'aplicar nous mètodes d'anàlisi automatitzada de les tècniques de rastreig i del compliment de les normatives de privacitat a internet.

A més de l'ús incorrecte i no consentit de cookies, aquests algorismes d'anàlisi també van detectar la utilització de tècniques de rastreig poc conegudes per l'usuari mitjà, com els web beacons (píxels invisibles o espia, o valises web) o les tecnologies que es basen en l'empremta digital del navegador.

Incompliment generalitzat de les lleis de privacitat

L'aprovació del Reglament General de Protecció de Dades per part del Parlament Europeu el 2016 tenia l'objectiu de canviar per sempre la gestió de les dades personals dels usuaris per part de les empreses, les pàgines web i les plataformes digitals. La normativa europea, que a l'Estat espanyol va acabar prenent la forma de Llei orgànica de protecció de dades personals i garantia dels drets digitals el 2018, havia de marcar un abans i un després en la protecció de la privacitat dels ciutadans. No obstant això, sis anys després, la implementació real de la regulació avança amb pas desigual.

"Concloem que encara queda molt camí per recórrer perquè s'apliquin correctament a les webs els requisits establerts pel Reglament General de Protecció de Dades", explica Cristina Pérez-Solà, la qual va participar en l'anàlisi d'aquesta qüestió com a investigadora dels Estudis d'Informàtica, Multimèdia i Telecomunicació de la Universitat Oberta de Catalunya (UOC). "Moltes de les pàgines web analitzades informen l'usuari de l'ús de cookies, però o bé no esperen a tenir-ne el consentiment per utilitzar-les o bé adquireixen aquest consentiment de manera incorrecta".

Després d'analitzar amb els algorismes desenvolupats per l'equip d'investigadors els 500 llocs web més visitats a l'Estat espanyol, segons el rànquing d'Alexa, l'estudi assenyala que un gran percentatge de pàgines no compta amb un formulari adequat per recaptar el consentiment dels usuaris per l'ús de cookies i altres eines de recopilació de dades. Les eines d'anàlisi van detectar, a més, l'ús de gairebé set cookies de rastreig de mitjana per web i 11 web beacons, petits fragments de codi inserits en la pàgina que serveixen per recopilar de manera invisible certs tipus d'informació del trànsit web. A més, un 10 % de les pàgines analitzades utilitza tècniques d'empremta digital del navegador, també difícils de detectar.

"En general, totes aquestes tècniques tenen com a objectiu registrar el comportament dels usuaris a internet per crear perfils que després es puguin fer servir per ajustar la publicitat que es mostrarà o els preus que s'oferiran per serveis o productes", assenyala l'experta en seguretat i privacitat. A més, l'anàlisi efectuada pels investigadors Pérez-Solà i Albert Jové, professor col·laborador dels Estudis d'Informàtica, Multimèdia i Telecomunicació a la UOC; David Martínez i Eusebi Calle (UdG) permet concloure que només el 8,91 % dels llocs web que recullen el consentiment dels usuaris de manera correcta l'aplica amb èxit a la pràctica.

Nous algorismes per analitzar el compliment de l'RGPD

Més enllà dels resultats de l'anàlisi, la importància de la recerca està en els algorismes utilitzats per estudiar el compliment de les lleis de privacitat a internet. El gran volum de pàgines i plataformes fa necessària l'automatització del procés (estudiar cada cas de manera manual és impossible). A més, algunes de les tècniques de rastreig utilitzades són molt difícils de detectar, ja que no hi ha marcadors clars que n'indiquin la presència. Per solucionar aquests desafiaments, els investigadors van desenvolupar un mètode propi basat en quatre algorismes i un índex, el Websites Level of Confidence, amb el qual van poder avaluar l'estat del compliment normatiu.

"El nostre mètode es basa en una combinació d'automatització i inspecció manual. Els algorismes implementats naveguen automàticament per les pàgines web analitzades i van fent captures de pantalla que després s'inspeccionen manualment", explica Cristina Pérez-Solà. "A més, per la detecció de tècniques de rastreig també fem ús d'una eina elaborada pel Supervisor Europeu de Protecció de Dades anomenada Website Evidence Collector. Aquesta eina està dissenyada per fer inspeccions de privacitat en llocs web i permet detectar l'ús de cookies, píxels invisibles o balises web (web beacons) i eines d'identificació de la petjada del navegador".

Cadascun dels algorismes utilitzats pels investigadors té una funció ben definida:

• • L'algorisme de l'inspector de consentiment (CIA, per la sigla en anglès) captura imatges clares dels bàners de cookies del lloc web i identifica els botons que haurien de permetre als usuaris personalitzar l'ús d'aquests elements de rastreig.
• • El Website Evidence Collector (WEC) recopila informació sobre les diferents tècniques de rastreig que s'utilitzen en cada pàgina web.
• • L'algorisme detector de cookies (CDA) categoritza, basant-se en les dades recollides pel WEC, les cookies que els llocs web utilitzen als navegadors sense el consentiment de l'usuari.
• • L'algorisme detector de web beacons (BDA) no sols extreu les balises web o píxels web detectats pel WEC, sinó que també identifica les tècniques d'anàlisi d'empremtes digitals del navegador.

"El nostre estudi se centra a analitzar el compliment del Reglament General de Protecció de dades per les pàgines web més visitades a l'Estat espanyol", afegeix Pérez-Solà. "Seleccionem les 500 pàgines més visitades segons el rànquing Alexa i analitzem tant l'ús que fan d'aquestes tècniques de rastreig com la informació que n'ofereixen als usuaris i les alternatives de configuració que els proporcionen. Finalment, combinem els resultats de tota aquesta anàlisi en un índex, el Websites Level of Confidence, que permet avaluar l'estat actual del compliment normatiu".

"Conèixer el detall de les normatives que poden aplicar-se cada moment i saber avaluar quines tècniques fa servir una pàgina web és una tasca que queda fora de l'abast de la majoria d'usuaris", conclou la investigadora. "El Websites Level of Confidence (WLoC) que proposem permet als usuaris conèixer l'estat de compliment de les pàgines web més populars i veure com evoluciona en el temps sense necessitat de tenir coneixements legals o tècnics."

Aquesta recerca contribueix a l'objectiu de desenvolupament sostenible (ODS) número 9, sobre la construcció d'infraestructures resilients, la promoció de la industrialització sostenible i el foment de la innovació.

Contacte per a premsa

Rubén Permuy
rpermuy@uoc.edu
+34 659 05 42 39

Article relacionat

David Martínez, Eusebi Calle, Albert Jové, Cristina Pérez-Solà, Web-tracking compliance: websites' level of confidence in the use of information-gathering technologies, Computers & Security, volum 122, 2022, 102873, ISSN 0167-4048, https://doi.org/10.1016/j.cose.2022.102873.

UOC R&I

La recerca i innovació (R+I) de la UOC contribueix a solucionar els reptes a què s'enfronten les societats globals del segle XXI mitjançant l'estudi de la interacció de la tecnologia i les ciències humanes i socials, amb un focus específic en la societat xarxa, l'aprenentatge en línia i la salut digital.

Els més de 500 investigadors i investigadores i més de 50 grups de recerca s'articulen entorn dels set estudis de la UOC, un programa de recerca en aprenentatge en línia (e-learning research) i dos centres de recerca: l'Internet Interdisciplinary Institute (IN3) i l'eHealth Center (eHC).

A més, la Universitat impulsa la innovació en l'aprenentatge digital mitjançant l'eLearning Innovation Center (eLinC), i la transferència de coneixement i l'emprenedoria de la comunitat UOC amb la plataforma Hubbik.

Els objectius de l'Agenda 2030 per al Desenvolupament Sostenible de les Nacions Unides i el coneixement obert són eixos estratègics de la docència, la recerca i la innovació de la UOC. Més informació: research.uoc.edu.