Anar al contingut (clic a Intro)
UdG Home UdG Home
Tancar
Menú

Universitat de Girona

Les webs més visitades no compleixen correctament les lleis de privacitat i rastregen els usuaris

Un estudi de la UOC, la UdG i el CYBERCAT conclou que, més enllà de les galetes (cookies), hi ha un ús estès d'altres tècniques de rastreig poc conegudes pel públic, com ara els web beacons.

Tan sols un petit percentatge de les 500 webs més visitades de l'Estat espanyol, entre les quals s'inclouen des de pàgines governamentals fins a llocs de streaming (reproducció en continu) o de contingut per a adults, implementa correctament els requisits que estableix el Reglament General de Protecció de Dades (RGPD). Aquesta és una de les principals conclusions d'un estudi dut a terme per un equip investigador de la Universitat Oberta de Catalunya (UOC), la Universitat de Girona (UdG) i el Centre de Recerca en Ciberseguretat de Catalunya (CYBERCAT).

Els resultats, publicats en obert a la revista científica Computers & Security amb llicència de Creative Commons, es van aconseguir després d'aplicar nous mètodes d'anàlisi automatitzada de les tècniques de rastreig i del compliment de les normatives de privacitat a internet. A més de l'ús incorrecte i no consentit de galetes, aquests algorismes d'anàlisi també van detectar la utilització de tècniques de rastreig poc conegudes per l'usuari mitjà, com els web beacons (píxels invisibles o espia, o valises web) o les tecnologies que es basen en l'empremta digital del navegador.

Incompliment generalitzat de les lleis de privacitat
L'aprovació del Reglament General de Protecció de Dades per part del Parlament Europeu el 2016 tenia l'objectiu de canviar per sempre la gestió de les dades personals dels usuaris per part de les empreses, les pàgines web i les plataformes digitals. La normativa europea, que a l'Estat espanyol va acabar prenent la forma de Llei orgànica de protecció de dades personals i garantia dels drets digitals el 2018, havia de marcar un abans i un després en la protecció de la privacitat dels ciutadans. No obstant això, sis anys després, la implementació real de la regulació avança a pas desigual.

"Concloem que encara queda molt camí per recórrer perquè s'apliquin correctament a les webs els requisits establerts pel Reglament General de Protecció de Dades", explica Cristina Pérez-Solà, la qual va participar en l'anàlisi d'aquesta qüestió com a investigadora dels Estudis d'Informàtica, Multimèdia i Telecomunicació de la Universitat Oberta de Catalunya (UOC). "Moltes de les pàgines web analitzades informen l'usuari de l'ús de galetes o cookies, però o bé no esperen a tenir-ne el consentiment per utilitzar-les o bé adquireixen aquest consentiment de manera incorrecta".

Després d'analitzar amb els algorismes desenvolupats per l'equip d'investigadors els 500 llocs web més visitats a l'Estat espanyol, segons el rànquing d'Alexa, l'estudi assenyala que un gran percentatge de pàgines no compta amb un formulari adequat per recaptar el consentiment dels usuaris per l'ús de galetes i altres eines de recopilació de dades. Les eines d'anàlisi van detectar, a més, l'ús de gairebé 7 galetes de rastreig de mitjana per web i 11 web beacons, petits fragments de codi inserits en la pàgina que serveixen per recopilar de manera invisible certs tipus d'informació del trànsit web. A més, un 10 % de les pàgines analitzades utilitza tècniques d'empremta digital del navegador, també difícils de detectar.

"En general, totes aquestes tècniques tenen com a objectiu registrar el comportament dels usuaris a internet per crear perfils que després es puguin fer servir per ajustar la publicitat que es mostrarà o els preus que s'oferiran per serveis o productes", assenyala l'experta en seguretat i privacitat. A més, l'anàlisi efectuada pels investigadors Pérez-Solà i Albert Jové (UOC), i David Martínez i Eusebi Calle (UdG) permet concloure que només el 8,91 % dels llocs web que recullen el consentiment dels usuaris de manera correcta l'aplica amb èxit a la pràctica.


Nous algorismes per analitzar el compliment de l'RGPD
Més enllà dels resultats de l'anàlisi, la importància de la recerca està en els algorismes utilitzats per estudiar el compliment de les lleis de privacitat a internet. El gran volum de pàgines i plataformes fa necessària l'automatització del procés (estudiar cada cas de manera manual és impossible). A més, algunes de les tècniques de rastreig utilitzades són molt difícils de detectar, ja que no hi ha marcadors clars que n'indiquin la presència. Per solucionar aquests desafiaments, els investigadors van desenvolupar un mètode propi basat en quatre algorismes i un índex, el Websites Level of Confidence, amb el qual van poder avaluar l'estat del compliment normatiu.

"El nostre mètode es basa en una combinació d'automatització i inspecció manual. Els algorismes implementats naveguen automàticament per les pàgines web analitzades i van fent captures de pantalla que després s'inspeccionen manualment", explica Cristina Pérez-Solà. "A més, per la detecció de tècniques de rastreig també fem ús d'una eina elaborada pel Supervisor Europeu de Protecció de Dades anomenada Website Evidence Collector. Aquesta eina està dissenyada per fer inspeccions de privacitat en llocs web i permet detectar l'ús de galetes, píxels invisibles o balises web (web beacons) i eines d'identificació de la petjada del navegador".

Cadascun dels algorismes utilitzats pels investigadors té una funció ben definida:

  • L'algorisme de l'inspector de consentiment (CIA, per la sigla en anglès) captura imatges clares dels bàners de galetes del lloc web i identifica els botons que haurien de permetre als usuaris personalitzar l'ús d'aquests elements de rastreig.
  • El Website Evidence Collector (WEC) recopila informació sobre les diferents tècniques de rastreig que s'utilitzen en cada pàgina web.
  • L'algorisme detector de galetes (cookies) (CDA) categoritza, basant-se en les dades recollides pel WEC, les galetes que els llocs web utilitzen als navegadors sense el consentiment de l'usuari.

L'algorisme detector de web beacons (BDA) no sols extreu les balises web o píxels web detectats pel WEC, sinó que també identifica les tècniques d'anàlisi d'empremtes digitals del navegador. "El nostre estudi se centra a analitzar el compliment del Reglament General de Protecció de dades per les pàgines web més visitades a l'Estat espanyol", afegeix Pérez-Solà. "Seleccionem les 500 pàgines més visitades segons el rànquing Alexa i analitzem tant l'ús que fan d'aquestes tècniques de rastreig com la informació que n'ofereixen als usuaris i les alternatives de configuració que els proporcionen. Finalment, combinem els resultats de tota aquesta anàlisi en un índex, el Websites Level of Confidence, que permet avaluar l'estat actual del compliment normatiu".

"Conèixer el detall de les normatives que poden aplicar-se cada moment i saber avaluar quines tècniques fa servir una pàgina web és una tasca que queda fora de l'abast de la majoria d'usuaris", conclou la investigadora. "El Websites Level of Confidence (WLoC) que proposem permet als usuaris conèixer l'estat de compliment de les pàgines web més populars i veure com evoluciona en el temps sense necessitat de tenir coneixements legals o tècnics."


Article
David Martínez, Eusebi Calle, Albert Jové, Cristina Pérez-Solà, Web-tracking compliance: websites' level of confidence in the use of information-gathering technologies, Computers & Security, volum 122, 2022, 102873, ISSN 0167-4048, https://doi.org/10.1016/j.cose.2022.102873.

Notícies relacionades

Escull quins tipus de galetes acceptes que el web de la Universitat de Girona pugui guardar en el teu navegador.

Les imprescindibles per facilitar la vostra connexió. No hi ha opció d'inhabilitar-les, atès que són les necessàries pel funcionament del lloc web.

Permeten recordar les vostres opcions (per exemple llengua o regió des de la qual accediu), per tal de proporcionar-vos serveis avançats.

Proporcionen informació estadística i permeten millorar els serveis. Utilitzem cookies de Google Analytics que podeu desactivar instal·lant-vos aquest plugin.

Per a oferir continguts publicitaris relacionats amb els interessos de l'usuari, bé directament, bé per mitjà de tercers (“adservers”). Cal activar-les si vols veure els vídeos de Youtube incrustats en el web de la Universitat de Girona.