Los sitios web sin fines de lucro están rastreando a los visitantes, algunos incluso van tan lejos como para rastrear las pulsaciones de teclas.
Publicado: 2021-10-22El año pasado, casi 200 millones de personas visitaron el sitio web de Planned Parenthood, una organización sin fines de lucro a la que muchas personas recurren para asuntos muy privados como educación sexual, acceso a anticonceptivos y acceso a abortos. Lo que esos visitantes tal vez no sabían es que tan pronto como abrieron planningparenthood.org, unas dos docenas de rastreadores de anuncios incrustados en el sitio alertaron a una gran cantidad de empresas cuyo negocio no es la libertad reproductiva sino la recopilación, venta y uso de datos de navegación.
El marcado ejecutó el sitio web de Planned Parenthood a través de nuestra herramienta Blacklight y encontró 28 rastreadores de anuncios y 40 cookies de terceros que rastrean a los visitantes, además de los llamados "grabadores de sesión" que podrían capturar los movimientos del mouse y las pulsaciones de teclas de las personas que visitan la página de inicio en búsqueda. de cosas como información sobre anticonceptivos y abortos. El sitio también contenía rastreadores que le dicen a Facebook y Google si los usuarios visitaron el sitio.
El escaneo de Markup encontró que el sitio de Planned Parenthood se comunica con compañías como Oracle, Verizon, LiveRamp, TowerData y Quantcast, algunas de las cuales han hecho un negocio de ensamblaje y venta de acceso a grandes cantidades de datos digitales sobre los hábitos de las personas.
Katie Skibinski, vicepresidenta de productos digitales de Planned Parenthood, dijo que los datos recopilados en su sitio web son "utilizados solo para fines internos por parte de Planned Parenthood y nuestros afiliados", y que la empresa no "vende" datos a terceros.
“Si bien nuestro objetivo es utilizar los datos para aprender cómo podemos tener el mayor impacto, en Planned Parenthood, el aprendizaje basado en datos siempre se ejecuta cuidadosamente con respeto por la privacidad del paciente y del usuario”, dijo Skibinski. “Esto significa usar plataformas de análisis para recopilar datos agregados para recopilar información e identificar tendencias que nos ayuden a mejorar nuestros programas digitales”.
Skibinski no cuestionó que la organización comparte datos con terceros, incluidos los corredores de datos.
Un escaneo Blacklight de Planned Parenthood Gulf Coast, un sitio web localizado específicamente para personas en la región del Golfo, incluido Texas, donde el aborto ha sido esencialmente prohibido, arrojó resultados similares.
Planned Parenthood no está solo cuando se trata de organizaciones sin fines de lucro, algunas operan en áreas sensibles como la salud mental y la adicción, recopilando y compartiendo datos sobre los visitantes del sitio web.
Usando nuestra herramienta Blacklight, The Markup escaneó más de 23,000 sitios web de organizaciones sin fines de lucro, incluidos los que pertenecen a proveedores de servicios de aborto y centros de tratamiento de adicciones sin fines de lucro. El Markup usó el archivo maestro sin fines de lucro del IRS para identificar organizaciones sin fines de lucro que han presentado una declaración de impuestos desde 2019 y que la agencia clasifica como centradas en áreas como salud mental e intervención en crisis, derechos civiles e investigación médica. Luego examinamos el sitio web de cada organización sin fines de lucro tal como aparece públicamente en GuideStar. Descubrimos que alrededor del 86 por ciento de ellos tenían cookies de terceros o solicitudes de red de seguimiento. En comparación, cuando The Markup realizó una encuesta de los 80 000 sitios web principales en 2020, encontramos que el 87 % usaba algún tipo de seguimiento de terceros.
Alrededor del 11 por ciento de los 23,856 sitios web sin fines de lucro que escaneamos tenían un píxel de Facebook incrustado, mientras que el 18 por ciento usaba la función de "Audiencias de remarketing" de Google Analytics.
El Markup encontró que 439 de los sitios web sin fines de lucro cargaron scripts llamados grabadores de sesión, que pueden monitorear los clics y las pulsaciones de teclas de los visitantes. Ochenta y nueve de ellos eran para sitios web que pertenecían a organizaciones sin fines de lucro que el IRS clasifica como centradas principalmente en problemas de intervención de crisis y salud mental.
"Como usuario de este sitio web, al compartir su información con ellos, probablemente no asuma que esta información confidencial se comparte con terceros y definitivamente no asuma que sus pulsaciones de teclas se registran", Gunes Acar, un investigador de privacidad que copublicó un estudio de 2017 sobre grabadoras de sesiones, dijo. “Cuanto más sensible es el sitio web, más preocupado estoy”.
Tracy Plevel, vicepresidenta de desarrollo y relaciones comunitarias de Gateway Rehab, una de las organizaciones sin fines de lucro con grabadoras de sesiones en su sitio, dijo que la organización sin fines de lucro usa rastreadores y grabadoras de sesiones porque necesita seguir siendo competitiva con sus contrapartes más grandes con fines de lucro.
“Como una organización sin fines de lucro, nos enfrentamos a proveedores con fines de lucro con grandes presupuestos publicitarios, así como a corredores de tratamiento de adicciones que atrapan a quienes buscan atención con tácticas publicitarias en línea similares y los conectan con el proveedor que ofrece la mayor compensación de 'ventas'. ”, dijo Plevel. “Además, sabemos que la experiencia del usuario tiene un gran impacto en el seguimiento del tratamiento. Cuando alguien está listo para comprometerse con el tratamiento, debemos asegurarnos de que sea lo más fácil posible para ellos antes de que se sientan frustrados o intimidados por el proceso”.
Otras organizaciones sin fines de lucro también tenían una cantidad significativa de rastreadores integrados en sus sitios. The Markup encontró 26 rastreadores de anuncios y 50 cookies de terceros en The Clinic at Sharma-Crawford Attorneys at Law, una clínica legal de Kansas City que representa a personas de bajos ingresos que enfrentan la deportación.
Rekha Sharma-Crawford, presidente de la junta de The Clinic, escribió en un comunicado enviado por correo electrónico: “Nos tomamos muy en serio las preocupaciones de privacidad y seguridad y continuaremos trabajando con nuestro proveedor web para abordar los problemas que ha identificado”.
Save the Children, una organización de ayuda humanitaria fundada hace más de 100 años, tenía 26 rastreadores de anuncios y 49 cookies de terceros. March of Dimes, una organización sin fines de lucro iniciada por el presidente Franklin D. Roosevelt que se enfoca en el cuidado materno infantil, tenía más de 29 rastreadores de anuncios en su sitio y 58 cookies de terceros. City of Hope, un centro de investigación y tratamiento del cáncer de California, tenía 25 rastreadores de anuncios y 47 cookies de terceros.
Paul Butcher, vicepresidente asociado de estrategia digital global de Save the Children, dijo en un comunicado enviado por correo electrónico que la organización “se toma muy en serio la protección de datos”. Butcher también escribió que Save the Children recopila algunos datos a través de rastreadores de anuncios "para mejorar la experiencia del usuario" y que la organización está en proceso de renovar sus políticas de retención de datos y recientemente contrató a un nuevo jefe de datos.
March of Dimes y City of Hope no respondieron a las solicitudes de comentarios.↩︎ link
Leyes de privacidad a nivel estatal Miss Organizaciones sin fines de lucro
Si bien los datos de salud se rigen por HIPAA y FERPA regula los registros educativos, no existen leyes federales que rijan cómo los sitios web rastrean a sus visitantes. Recientemente, algunos estados (California, Virginia y Colorado) han promulgado leyes de privacidad del consumidor que requieren que las empresas divulguen sus prácticas de seguimiento y permitan a los visitantes optar por no participar en la recopilación de datos.
Pero las organizaciones sin fines de lucro en dos de esos estados, California y Virginia, no necesitan cumplir con las regulaciones.
El senador Ron Wyden (D-OR), quien propuso su propia legislación federal sobre privacidad, dijo que las organizaciones sin fines de lucro acumulan una gran cantidad de datos potencialmente confidenciales.
“Las organizaciones sin fines de lucro almacenan información increíblemente personal sobre las cosas que nos apasionan, desde causas políticas y puntos de vista sociales hasta las causas benéficas que nos interesan”, dijo Wyden en un comunicado enviado por correo electrónico. “Si una violación de datos revela que alguien hace una donación a un grupo de apoyo a la violencia doméstica o a una organización de derechos LGBTQ o el nombre de su mezquita, esa información podría ser increíblemente privada”.
Los líderes sin fines de lucro, sin embargo, argumentan que carecen de la infraestructura y los fondos para cumplir con los requisitos de la ley de privacidad y deben recopilar y compartir información sobre los donantes para poder sobrevivir.
“Uno de los usos más sustantivos e impactantes de los datos por parte de las organizaciones sin fines de lucro ha sido nuestra recaudación de fondos”, dijo Shannon McCracken, directora ejecutiva de The Nonprofit Alliance, un grupo de defensa compuesto por organizaciones sin fines de lucro y empresas. “Sin la capacidad de llegar de manera rentable a posibles nuevos donantes y donantes actuales, las organizaciones sin fines de lucro no pueden seguir teniendo el impacto que tienen hoy”.
Pero, con un propósito o no, dicen los expertos en privacidad, las organizaciones sin fines de lucro están proporcionando información personal a corredores de datos y gigantes tecnológicos como Facebook y Google.
“Una organización sin fines de lucro podría compartir su número de teléfono y nombre con LiveRamp. Mañana, una entidad con fines de lucro puede reutilizar esos mismos datos para dirigirse a usted”, dijo Ashkan Soltani, experto en privacidad y exjefe de tecnología de la Comisión Federal de Comercio. “Los flujos de datos que ingresan a estos agregadores de terceros y corredores de datos a menudo también provienen de organizaciones sin fines de lucro”.
Soltani, quien fue nombrada directora ejecutiva de la Agencia de Protección de Privacidad de California el 4 de octubre, ayudó a redactar la Ley de Privacidad del Consumidor de California, que se introdujo originalmente con las exenciones para organizaciones sin fines de lucro.
Muchas organizaciones sin fines de lucro importantes trabajan con corredores de datos para ayudar a organizar y analizar sus datos, dijo Jan Masaoka, director ejecutivo de la Asociación de Organizaciones sin fines de lucro de California.
“Las personas que tienen grandes listas de donantes las usan mucho, casi todas usan uno de los servicios”, dijo Masaoka. “No lo mantienen internamente, casi todo el mundo lo mantiene con uno de estos servicios”.
Señaló que Blackbaud es una empresa a la que recurren a menudo las organizaciones sin fines de lucro. El material de marketing del corredor de datos registrado promueve una base de datos cooperativa que combina datos de donantes de más de 550 organizaciones sin fines de lucro con información pública sobre millones de hogares.
Blackbaud no respondió a una solicitud de comentarios.
Debido a la falta de fondos, las organizaciones sin fines de lucro también dependen de plataformas de terceros, que también son intermediarios de datos, para administrar la seguridad y privacidad de sus datos, dijo McCracken. Pero este tipo de empresas tampoco son inmunes a los ataques cibernéticos: Blackbaud reveló un ataque de ransomware en 2020 en el que los piratas informáticos robaron contraseñas, números de seguridad social e información bancaria, según un archivo de la Comisión de Bolsa y Valores. Cientos de organizaciones benéficas, escuelas y hospitales se vieron afectados, junto con más de 13 millones de personas, según el Identity Theft Resource Center.
“Se basan en este tipo de ecosistema problemático para lograr su trabajo y, como resultado, comparten listas de números, direcciones de correo electrónico o comportamiento de navegación con empresas de publicidad de terceros y exponen a sus miembros a riesgos”, dijo Soltani.↩︎ link
La excepción
A diferencia de sus predecesores en California y Virginia, el proyecto de ley de privacidad de Colorado no tiene una exención para las organizaciones sin fines de lucro.
Tanto en California como en Virginia, los principales partidarios de los proyectos de ley otorgaron una exención a las organizaciones sin fines de lucro como maniobra política. Alastair Mactaggart, desarrollador de bienes raíces y fundador de Californians for Consumer Privacy, quien fue la fuerza impulsora detrás de la Ley de Privacidad del Consumidor de California, dijo que su propuesta ya enfrentaba la oposición de los gigantes tecnológicos y que no quería un enfrentamiento político con las organizaciones sin fines de lucro.
“Tienes que dar el primer paso, así que pensamos que este sería el más fácil de rebotar”, dijo Mactaggart. “Eventualmente, espero que también se incluyan las grandes organizaciones sin fines de lucro”.
David Marsden, el senador estatal que presentó la Ley de Protección de Datos del Consumidor de Virginia, se hizo eco de ese sentimiento, reflejando que la ley no era perfecta, pero aun así era un buen comienzo.
“¿Esto recoge a todos los que debería, o exime a todos los que necesitan una exención? Probablemente no, pero se acerca bastante”, dijo Marsden. “Pudimos, con este proyecto de ley, aprobarlo sin que la gente se levantara y se opusiera a lo que estábamos tratando de hacer”.
El senador del estado de Colorado, Robert Rodríguez, quien copatrocinó el proyecto de ley de privacidad del estado, dijo que no incluyó una exención para las organizaciones sin fines de lucro porque sentía que cualquier entidad que tuviera datos sobre más de 100,000 personas debería seguir las protecciones de privacidad. Tampoco entendía por qué otros estados tenían exenciones.
“Alguien que tiene más de 100.000 registros tiene un buen tamaño”, dijo en un correo electrónico. “Deberían tener algunas protecciones o requisitos a seguir”.
Nota del editor: Este artículo fue publicado originalmente en The Markup por Alfred NG y Maddy Varner, y se volvió a publicar bajo la licencia Creative Commons Attribution-NonCommercial-NoDerivatives .
¿Tiene alguna idea sobre esto? Háganos saber a continuación en los comentarios o lleve la discusión a nuestro Twitter o Facebook.
Recomendaciones de los editores:
- Apple rechazará su aplicación si contiene rastreadores de terceros que recopilan datos sin consentimiento
- Cómo evitar que su Android proporcione su identificador único a rastreadores de terceros
- Cómo evitar que su iPhone proporcione su identificador único a rastreadores de terceros
- Mozilla Firefox ahora ofrece una nueva característica diseñada para luchar contra los rastreadores