Los sitios web más visitados no cumplen correctamente con las leyes de privacidad y rastrean activamente a sus usuarios, encuentra estudio español

Solo un pequeño porcentaje de los 500 sitios web más visitados en España (que incluyen desde sitios gubernamentales hasta plataformas de transmisión y contenido para adultos) cumplen correctamente los requisitos establecidos en el Reglamento General de Protección de Datos (RGPD). Esta es una de las principales conclusiones de un estudio en el que han participado investigadores de la Universitat Oberta de Catalunya (UOC), la Universitat de Girona y el Centro de Investigación en Ciberseguridad de Cataluña (CYBERCAT).

Los resultados, que se publican en Informática y Seguridad bajo una licencia Creative Commons, se alcanzaron utilizando métodos automatizados novedosos para analizar las técnicas de seguimiento web y el cumplimiento de las normas de privacidad en Internet.

Además del uso incorrecto y no consentido de cookies, estos algoritmos de análisis detectaron el uso de técnicas de rastreo web poco conocidas por el usuario medio, como web beacons y tecnologías basadas en la huella digital del navegador.

Incumplimiento generalizado de las leyes de privacidad

La aprobación del Reglamento General de Protección de Datos por parte del Parlamento Europeo en 2016 cambiaría para siempre la forma en que las empresas, los sitios web y las plataformas digitales gestionan los datos personales de los usuarios. La normativa europea, que se transpuso en España como Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales en 2018, iba a marcar un punto de inflexión en la protección de la privacidad de los ciudadanos. Sin embargo, seis años después, la implementación real de esta regulación avanza a un ritmo vacilante.

“Encontramos que los sitios web aún tienen un largo camino por recorrer para implementar correctamente los requisitos establecidos en el Reglamento General de Protección de Datos”, explica Cristina Pérez-Solà, que participó en el análisis de este tema como investigadora de la Facultad de Informática de la UOC , Multimedia y Telecomunicaciones. Ella dijo: «Muchos de los sitios web analizados informan a los usuarios sobre el uso de cookies, pero no esperan su consentimiento para usarlas o adquieren este consentimiento de manera incorrecta».

Para este estudio, el equipo de investigadores desarrolló varios algoritmos para analizar las 500 webs más visitadas en España según el ranking de Alexa. Los resultados revelaron un alto porcentaje de sitios que carecen de un formulario adecuado para obtener el consentimiento de los usuarios para el uso de cookies y otras herramientas de recopilación de datos.

Las herramientas de análisis también detectaron el uso de casi 7 cookies de seguimiento en promedio por sitio web y 11 balizas web, que son pequeños fragmentos de código incrustados en el sitio para recopilar de manera invisible ciertos tipos de información del tráfico web. Además, el 10 % de los sitios analizados en el estudio utilizan técnicas de identificación del navegador, que también son difíciles de detectar.

Según Pérez-Solà, experto en seguridad y privacidad web, «el objetivo de todas estas técnicas suele ser el seguimiento del comportamiento en línea de los usuarios de la web para crear perfiles que luego se pueden utilizar para ajustar la publicidad que se mostrará o los precios que se ofrecerán por los servicios o productos”. El análisis realizado por los investigadores de la UOC (Pérez-Solà y Albert Jové) y de la Universitat de Girona (David Martínez y Eusebi Calle) muestra que solo el 8,91% de las webs que obtienen el consentimiento de los usuarios como se requiere lo aplican con éxito en la práctica .

Nuevos algoritmos para analizar el cumplimiento del RGPD

Más allá de los resultados del análisis, la importancia de esta investigación radica en los algoritmos utilizados para estudiar el cumplimiento de las leyes de privacidad en línea. La gran cantidad de páginas y plataformas en Internet hace que sea imperativo automatizar el proceso, ya que estudiar cada caso manualmente sería inviable.

Además, algunas de las técnicas de seguimiento web utilizadas son extremadamente difíciles de detectar, sin marcadores claros que indiquen su presencia. Para superar estos desafíos, los investigadores desarrollaron un método patentado que involucra cuatro algoritmos y una medida, el nivel de confianza de los sitios web, para evaluar el estado del cumplimiento normativo.

“Nuestro método utiliza una combinación de automatización e inspección manual. Los algoritmos implementados navegan automáticamente por los sitios web analizados y toman capturas de pantalla que luego se inspeccionan manualmente”, dijo Pérez-Solà.

«Para detectar técnicas de seguimiento web, también utilizamos una herramienta desarrollada por el Supervisor Europeo de Protección de Datos llamada Website Evidence Collector. Esta herramienta está diseñada para realizar inspecciones de privacidad en sitios web y permite detectar el uso de cookies, web balizas y herramientas de huellas dactilares del navegador».

• Cada uno de los algoritmos utilizados por los investigadores tiene una función bien definida:
• El Algoritmo del Inspector de Consentimiento (CIA) captura imágenes claras de los banners de cookies del sitio web e identifica botones que deberían permitir a los usuarios personalizar el uso de estos elementos de seguimiento.
• El Website Evidence Collector (WEC) recopila información sobre las diferentes técnicas de seguimiento web que se utilizan en cada sitio web.
• El Algoritmo Detector de Cookies (CDA) categoriza las cookies que los sitios web utilizan en los navegadores sin el consentimiento del usuario, en base a los datos proporcionados por el WEC.
• El algoritmo de detección de balizas web (BDA) no solo extrae las balizas web detectadas por el WEC, sino que también identifica las técnicas de huellas dactilares del navegador.

“Nuestro estudio se centra en analizar el cumplimiento del Reglamento General de Protección de Datos por parte de las webs más visitadas en España”, añade Pérez-Solà. “Seleccionamos los 500 sitios web más visitados según el ranking de Alexa y analizamos el uso que hacen de estas técnicas de rastreo web, así como la información que brindan a los usuarios y las opciones alternativas que les brindan. Finalmente, recopilamos los resultados de este análisis. en una medida, el Nivel de Confianza de los Sitios Web, que permite evaluar el estado actual de cumplimiento”.

“Entender los detalles de la normativa que se aplica en cada momento y saber saber qué técnicas está utilizando un sitio web está fuera del alcance de la mayoría de los usuarios”, concluyó; «Nuestra medida de nivel de confianza de los sitios web (WLoC) propuesta brinda a los usuarios información sobre el estado de cumplimiento de los sitios web más populares y les permite ver cómo cambia con el tiempo sin necesidad de conocimientos legales o técnicos».

Proporcionado por la Universitat Oberta de Catalunya