Rebutges les cookies? Un estudi demostra que sovint no serveix de res i t'espien igual

Alguns premen "Acceptar" i no li donen més voltes. Altres, ho rebutgen tot perquè tenen pressa. També n'hi ha que s'entretenen una estona a configurar quines "cookies" (o galetes) volen permetre i quines refusar.

A cada nova web, ens enfrontem a l'enèsim bàner de galetes i hem d'escollir. Triem el que triem, però, el resultat, sovint, és el mateix.

Un estudi de la Universitat de Girona (UdG) ha comprovat que més de la meitat de les pàgines web vulneren la privacitat dels seus usuaris, perquè tinguin o no el seu consentiment, acaben instal·lant "cookies" de rastreig o altres tecnologies de monitorització.

En conversa amb el 3CatInfo, el principal investigador de l'estudi, David Martínez Álvarez, explica que les infraccions que han constatat són múltiples:

"Hem detectat moltes irregularitats, ja que encara que l'usuari no hagi acceptat aquestes cookies, s'acaben posant."

Les conclusions de l'estudi "Large-scale web tracking and cookie compliance" van encara més enllà i demostren que el sector de l'espionatge comercial d'usuaris a internet està molt concentrat: només 10 empreses de seguiment són responsables de la majoria d'infraccions detectades.

Darrere les galetes que ens mengem tant si com no, en el top 10 de les pàgines més infractores hi ha els sospitosos habituals: Microsoft, Google, Apple, Amazon... i també Cloudflare, Yandex, Xiaomi, Wordpress, Adobe o GitHub, entre d'altres.

Què són i com s'instal·len, les cookies?

Les galetes són petits arxius que s'instal·len en el navegador o en el dispositiu de l'usuari quan visita una pàgina web o utilitza una aplicació mòbil.

N'hi ha de diferents tipus, des de les essencials o tècniques que són necessàries per prestar el servei, a les cookies de rastreig que recopilen l'activitat de l'usuari durant la navegació, passant per les de personalització o les analítiques.

Les de rastreig són les més sensibles, perquè s'encarreguen de recopilar dades sobre l'activitat en línia d'una persona. On fa clic, què mira, des de quin dispositiu i ubicació, quanta estona hi passa...

Especialment compromeses per a la privacitat són les galetes de rastreig de tercers, que acompanyen l'usuari allà on vagi, recopilant-ne informació, tal com explica el professor lector del Departament d'Arquitectura i Tecnologia de Computadors de l'UdG i responsable de l'estudi, David Martínez:

"Si entres en un web mirant un ventilador, com que hi ha una cookie d'alguna gran empresa publicitària, quan entris en una altra, t'ensenyaran anuncis de ventiladors, perquè aquella cookie també hi serà."

Com que aquestes dades poden arribar a ser tan precises es poden associar a un usuari en concret. "Les galetes poden ser considerades dades de caràcter personal", explica al 3CatInfo Joana Marí, jurista i delegada de protecció de dades de l'Autoritat Catalana de Protecció de Dades (APDCAT).

En aquests casos, diu Marí, "la normativa de protecció de dades és aplicable" i, si no es compleix, es tracta d'una vulneració del reglament general de protecció de dades (RGPD).

Com ens espien, les pàgines web?

La majoria d'infraccions detectades són per utilitzar tècniques de rastreig sense un consentiment vàlid de l'usuari, sigui perquè ha rebutjat les cookies, perquè no ha donat resposta (ni positiva ni negativa) al bàner de galetes, o perquè no se l'ha informat de l'existència d'aquestes o d'altres mètodes per recollir dades.

Són tres casuístiques que són equivalents, tal com explica Marí. La jurista recorda que els bàners informatius "han de ser clarament visibles abans de començar a recollir cookies", i l'usuari ha de saber per quines finalitats es recollirà la informació, amb quins terminis de conservació i amb qui es compartiran, a més de tenir les opcions d'"acceptar, rebutjar o configurar-les".

A part de galetes de seguiment, les empreses que gestionen les pàgines web tenen altres maneres de recollir dades dels usuaris. Principalment, n'hi ha dues:

• Píxels de rastreig: també coneguts com a "web beacons" o "pixel tracking". "Es tracta d'elements molt petits d'una pàgina web que a vegades no són ni tan sols visibles, però que estan transmetent la nostra informació a serveis externs", explica David Martínez. L'usuari no els detecta perquè tenen codi per darrere que no és visual i, quan es carreguen, "aprofiten i en aquesta mateixa petició que es fa al servidor, envien dades extres".

• Empremta de navegador: també conegut com a "browser fingerprinting". És la tècnica de recollir un conjunt de dades sobre el nostre navegador que pot arribar a ser molt específic. Registra el tipus de navegador que utilitza un usuari que entra en un web, però també pot recollir "el nombre d'extensions que tinguem instal·lades" i marcadors guardats, "la mida de la finestra, el sistema operatiu, la versió del navegador..." Aquesta informació, introduïda als algoritmes, conforma "detalls tan específics del navegador de l'usuari que acaba sent un número en concret" que ens identifica de manera única, tot i que sovint se'ns presenta com a informació anonimitzada.

Més de 15 anys després d'implantar-se el consentiment informat de l'ús de cookies, milers d'empreses segueixen aplicant la llei incorrectament i no informen completament de la recol·lecció de dades.

Com s'ha fet l'estudi?

La majoria de webs, doncs, recopilen dades dels usuaris sense permís, vulneren el RGPD i la privacitat dels seus usuaris. En definitiva: ens espien.

Això és el que va demostrar el grup de recerca en Comunicacions i Sistemes Distribuïts (BCDS) de l'Escola Politècnica Superior (EPS-UdG) i el Departament de Dret Públic de la Universitat de Girona (UdG) que ha liderat David Martínez.

A partir de la publicació d'una eina d'inspecció de pàgines web del Supervisor Europeu de Protecció de Dades (EDPS), anomenada Website Evidence Collector (WEC), el grup de recerca de la UdG va notar que "alguna cosa trontollava".

Moltes pàgines web feines saltar el programari tot i no haver donat cap consentiment pel rastreig: "A partir d'aquí, ens vam posar les piles".

El grup de recerca va veure un buit en "les avaluacions automatitzades a gran escala" i va desenvolupar "nous algorismes, mètodes i un model d'intel·ligència artificial (IA) per analitzar de manera massiva i automàtica el compliment de les normatives sobre cookies i rastreig web".

L'estudi es va fer sobre més d'un milió de llocs web de la llista Tranco Top, el rànquing "més rigorós que hi ha pel que fa a les pàgines més visitades a escala mundial".

Les principals conclusions són tres:

• Gairebé la meitat dels llocs web utilitzen galetes de rastreig, i més de la meitat opten pel "pixel tracking" sense el consentiment vàlid de l'usuari.
• Hi ha diferències notables entre categories de contingut: les pàgines web de moda o "retail" són les que acumulen més infraccions registrades en l'estudi, seguides del sector de l'alimentació i l'automoció.
  Un algoritme de creació pròpia basat en intel·ligència artificial (Massive Tracking Study o MTS) ha aconseguit fer-ne una classificació automàtica amb una precisió superior al 96%.

• L'espionatge a internet és un sector molt concentrat: només les 10 companyies de seguiment més importants són responsables de la majoria de les infraccions. 
  Microsoft és l'empresa número 1 pel que fa a les infraccions en la gestió de cookies o l'ús de píxels de rastreig i Google les amb tècniques d'empremta digital, seguides de prop per empreses com Apple, Amazon o Yandex, el motor de cerca rus.

Eines per protegir la privacitat dels usuaris

El principal èxit de l'estudi ha estat establir un mètode per analitzar de manera automatitzada i a gran escala l'ús de tècniques de rastreig dels usuaris en pàgines web.

Martínez explica que així podran "analitzar l'evolució d'aquesta pràctica de manera periòdica, veure l'impacte de noves normatives europees i la seva efectivitat a mitjà i llarg termini i si realment s'està protegint la privacitat dels usuaris o no."

Mentrestant, des de l'APDCAT, recorden que "si una persona considera que una entitat del sector públic català" o una empresa privada no respecta la seva privacitat en el tractament de dades, "pot presentar una denúncia" des del seu servei i, si escau, ells s'encarregaran de gestionar-ho directament o derivar-ho a l'autoritat competent.