I siti Web senza scopo di lucro stanno monitorando i visitatori, alcuni addirittura arrivando al monitoraggio delle sequenze di tasti

L'anno scorso, quasi 200 milioni di persone hanno visitato il sito web di Planned Parenthood, un'organizzazione no profit a cui molte persone si rivolgono per questioni molto private come l'educazione sessuale, l'accesso ai contraccettivi e l'accesso all'aborto. Ciò che quei visitatori potrebbero non sapere è che non appena hanno aperto planningparenthood.org, circa due dozzine di tracker pubblicitari incorporati nel sito hanno allertato una sfilza di aziende il cui business non è la libertà riproduttiva ma la raccolta, la vendita e l'utilizzo dei dati di navigazione.

Il markup ha eseguito il sito Web di Planned Parenthood tramite il nostro strumento Blacklight e ha trovato 28 ad tracker e 40 cookie di terze parti che tracciano i visitatori, oltre ai cosiddetti "registratori di sessione" che potrebbero catturare i movimenti del mouse e le sequenze di tasti delle persone che visitano la home page in cerca di cose come informazioni su contraccettivi e aborti. Il sito conteneva anche tracker che informano Facebook e Google se gli utenti hanno visitato il sito.

La scansione del markup ha rilevato che il sito di Planned Parenthood comunicava con aziende come Oracle, Verizon, LiveRamp, TowerData e Quantcast, alcune delle quali si sono occupate di assemblare e vendere l'accesso a masse di dati digitali sulle abitudini delle persone.

Katie Skibinski, vicepresidente per i prodotti digitali di Planned Parenthood, ha affermato che i dati raccolti sul suo sito Web sono "utilizzati solo per scopi interni da Planned Parenthood e dai nostri affiliati" e la società non "vende" i dati a terzi.

"Sebbene miriamo a utilizzare i dati per imparare come possiamo avere un maggiore impatto, in Planned Parenthood, l'apprendimento basato sui dati viene sempre eseguito in modo ponderato nel rispetto della privacy dei pazienti e degli utenti", ha affermato Skibinski. "Ciò significa utilizzare piattaforme di analisi per raccogliere dati aggregati per raccogliere informazioni e identificare le tendenze che ci aiutano a migliorare i nostri programmi digitali".

Skibinski non ha contestato il fatto che l'organizzazione condivida i dati con terze parti, inclusi i data broker.

Una scansione Blacklight di Planned Parenthood Gulf Coast, un sito Web localizzato appositamente per le persone nella regione del Golfo, incluso il Texas, dove l'aborto è stato sostanzialmente bandito, ha prodotto risultati simili.

Planned Parenthood non è solo quando si tratta di organizzazioni non profit, alcune operano in aree sensibili come la salute mentale e la dipendenza, raccogliendo e condividendo dati sui visitatori del sito web.

Utilizzando il nostro strumento Blacklight, The Markup ha scansionato più di 23.000 siti Web di organizzazioni senza scopo di lucro, compresi quelli appartenenti a fornitori di aborti e centri di trattamento delle dipendenze senza scopo di lucro. The Markup ha utilizzato il file master senza scopo di lucro dell'IRS per identificare le organizzazioni non profit che hanno presentato una dichiarazione dei redditi dal 2019 e che l'agenzia classifica come incentrate su aree come la salute mentale e l'intervento in caso di crisi, i diritti civili e la ricerca medica. Abbiamo quindi esaminato il sito Web di ciascuna organizzazione no profit come elencato pubblicamente in GuideStar. Abbiamo scoperto che circa l'86% di loro disponeva di cookie di terze parti o di tracciamento delle richieste di rete. In confronto, quando The Markup ha condotto un sondaggio tra i primi 80.000 siti Web nel 2020, abbiamo riscontrato che l'87% utilizzava un tipo di monitoraggio di terze parti.

Circa l'11% dei 23.856 siti web senza scopo di lucro che abbiamo scansionato aveva un pixel di Facebook incorporato, mentre il 18% utilizzava la funzione "Pubblico di remarketing" di Google Analytics.

Il markup ha rilevato che 439 dei siti Web senza scopo di lucro hanno caricato script chiamati registratori di sessione, che possono monitorare i clic e le sequenze di tasti dei visitatori. Ottantanove di questi erano per siti Web che appartenevano a organizzazioni non profit che l'IRS classifica come incentrati principalmente sulla salute mentale e sui problemi di intervento in caso di crisi.

"Come utente di questo sito Web, condividendo le tue informazioni con loro, probabilmente non presumi che queste informazioni sensibili siano condivise con terze parti e sicuramente non presumi che le tue battute siano registrate", Gunes Acar, un ricercatore sulla privacy che ha co-pubblicato uno studio del 2017 sui registratori di sessione, ha affermato. "Più è sensibile il sito web, più sono preoccupato."

Tracy Plevel, vicepresidente per lo sviluppo e le relazioni con la comunità di Gateway Rehab, una delle organizzazioni non profit con registratori di sessioni sul proprio sito, ha affermato che l'organizzazione non profit utilizza tracker e registratori di sessioni perché deve rimanere competitiva con le sue controparti più grandi e a scopo di lucro.

“In qualità di no-profit, ci troviamo di fronte a fornitori a scopo di lucro con grandi budget pubblicitari e ai broker per il trattamento delle dipendenze che catturano coloro che cercano assistenza con tattiche pubblicitarie online simili e li collegano con il fornitore che offre il più grande compenso di 'vendita' ", ha detto Plevel. "Inoltre, sappiamo che l'esperienza dell'utente ha un grande impatto sul seguito del trattamento. Quando qualcuno è pronto a impegnarsi in un trattamento, dobbiamo assicurarci che [sia] il più semplice possibile per loro prima che si sentano frustrati o intimiditi dal processo".

Anche altre organizzazioni non profit avevano un numero significativo di tracker incorporati nei loro siti. The Markup ha trovato 26 ad tracker e 50 cookie di terze parti su The Clinic at Sharma-Crawford Attorneys at Law, una clinica legale di Kansas City che rappresenta le persone a basso reddito che rischiano l'espulsione.

Rekha Sharma-Crawford, presidente del consiglio di amministrazione di The Clinic, ha scritto in una dichiarazione inviata via e-mail: "Prendiamo molto sul serio i problemi di privacy e sicurezza e continueremo a lavorare con il nostro provider web per affrontare i problemi che hai identificato".

Save the Children, un'organizzazione umanitaria fondata più di 100 anni fa, aveva 26 ad tracker e 49 cookie di terze parti. March of Dimes, un'organizzazione no-profit fondata dal presidente Franklin D. Roosevelt che si concentra sull'assistenza materna e infantile, aveva più di 29 tracker pubblicitari sul suo sito e 58 cookie di terze parti. City of Hope, un centro di ricerca e cura del cancro della California, aveva 25 tracker pubblicitari e 47 cookie di terze parti.

Paul Butcher, vicepresidente associato della strategia digitale globale di Save the Children, ha dichiarato in una dichiarazione inviata via e-mail che l'organizzazione "prende molto sul serio la protezione dei dati". Butcher ha anche scritto che Save the Children raccoglie alcuni dati tramite ad tracker "per migliorare l'esperienza dell'utente" e che l'organizzazione sta rinnovando le sue politiche di conservazione dei dati e ha recentemente assunto un nuovo responsabile dei dati.

March of Dimes e City of Hope non hanno risposto alle richieste di commento.↩︎ link

Leggi sulla privacy a livello statale Miss Non profit

Sebbene i dati sanitari siano disciplinati dall'HIPAA e la FERPA regoli i registri educativi, non esistono leggi federali che disciplinano il modo in cui i siti Web tengono traccia dei loro visitatori. Di recente, alcuni stati, California, Virginia e Colorado, hanno emanato leggi sulla privacy dei consumatori che richiedono alle aziende di rivelare le proprie pratiche di tracciamento e di consentire ai visitatori di rinunciare alla raccolta dei dati.

Ma le organizzazioni non profit in due di questi stati, California e Virginia, non hanno bisogno di aderire ai regolamenti.

Il senatore Ron Wyden (D-OR), che ha proposto la propria legislazione federale sulla privacy, ha affermato che le organizzazioni non profit accumulano una grande quantità di dati potenzialmente sensibili.

"Le organizzazioni non profit archiviano informazioni incredibilmente personali su cose che ci appassionano, da cause politiche e opinioni sociali a cause di beneficenza a cui teniamo", ha affermato Wyden in una dichiarazione inviata via e-mail. "Se una violazione dei dati rivela che qualcuno fa una donazione a un gruppo di sostegno alla violenza domestica o a un'organizzazione per i diritti LGBTQ o il nome della sua moschea, qualsiasi di queste informazioni potrebbe essere incredibilmente privata".

I leader senza scopo di lucro, tuttavia, sostengono di non avere le infrastrutture e i finanziamenti per conformarsi ai requisiti della legge sulla privacy e devono raccogliere e condividere informazioni sui donatori per sopravvivere.

"Uno degli usi più sostanziali e di maggior impatto dei dati da parte delle organizzazioni non profit è stata la nostra raccolta fondi", ha affermato Shannon McCracken, CEO di The Nonprofit Alliance, un gruppo di difesa composto da organizzazioni non profit e aziende. "Senza la capacità di raggiungere a costi contenuti potenziali nuovi donatori e donatori attuali, le organizzazioni non profit non possono continuare ad avere l'impatto di oggi".

Ma intenzionali o meno, affermano gli esperti di privacy, le organizzazioni non profit stanno fornendo informazioni personali a broker di dati e giganti della tecnologia come Facebook e Google.

“Un'organizzazione no profit potrebbe condividere il tuo numero di telefono e nome con LiveRamp. Domani, un'entità a scopo di lucro può quindi riutilizzare gli stessi dati per prenderti di mira", ha affermato Ashkan Soltani, esperto di privacy ed ex capo tecnologo presso la Federal Trade Commission. "I flussi di dati che entrano in questi aggregatori e broker di dati di terze parti provengono spesso anche da organizzazioni non profit".

Soltani, che è stato nominato direttore esecutivo della California Privacy Protection Agency il 4 ottobre, ha contribuito a redigere il California Consumer Privacy Act, originariamente introdotto con le esenzioni senza scopo di lucro.

Molte delle principali organizzazioni non profit lavorano con broker di dati per aiutare a organizzare e analizzare i propri dati, ha affermato Jan Masaoka, CEO della California Association of Nonprofits.

"Le persone che hanno grandi elenchi di donatori li usano ampiamente, praticamente tutti usano uno dei servizi", ha detto Masaoka. "Non lo tengono in casa, praticamente tutti lo tengono con uno di questi servizi."

Ha notato che Blackbaud è un'azienda a cui spesso si rivolgono le organizzazioni non profit. Il materiale di marketing del broker di dati registrato promuove un database cooperativo che combina i dati dei donatori di oltre 550 organizzazioni non profit con informazioni pubbliche su milioni di famiglie.

Blackbaud non ha risposto a una richiesta di commento.

A causa della mancanza di fondi, le organizzazioni no profit si affidano anche a piattaforme di terze parti, che sono anche broker di dati, per gestire la sicurezza e la privacy dei propri dati, ha affermato McCracken. Ma anche questo tipo di aziende non è immune agli attacchi informatici: Blackbaud ha rivelato un attacco ransomware nel 2020 in cui gli hacker hanno rubato password, numeri di previdenza sociale e informazioni bancarie, secondo un deposito della Securities and Exchange Commission. Centinaia di organizzazioni di beneficenza, scuole e ospedali sono state colpite, insieme a oltre 13 milioni di persone, secondo l'Identity Theft Resource Center.

"Si affidano a questo tipo di ecosistema problematico per svolgere il proprio lavoro e, di conseguenza, condividono elenchi di numeri, indirizzi e-mail o comportamenti di navigazione con società pubblicitarie di terze parti e sottopongono i propri membri a rischi", ha affermato Soltani.↩︎ link

L'eccezione

A differenza dei suoi predecessori in California e Virginia, la legge sulla privacy del Colorado non prevede un'esenzione per le organizzazioni non profit.

Sia in California che in Virginia, i principali sostenitori dei progetti di legge hanno concesso un'esenzione alle organizzazioni non profit come manovra politica. Alastair Mactaggart, uno sviluppatore immobiliare e fondatore di Californians for Consumer Privacy, che è stato la forza trainante del California Consumer Privacy Act, ha affermato che la sua proposta stava già affrontando l'opposizione dei giganti della tecnologia e non voleva una resa dei conti politica anche con le organizzazioni non profit.

"Devi fare il primo passo, quindi abbiamo pensato che questo fosse quello su cui sarebbe stato più facile rimbalzare", ha detto Mactaggart. "Alla fine, spero che anche le grandi organizzazioni non profit siano incluse".

David Marsden, il senatore dello stato che ha introdotto il Virginia Consumer Data Protection Act, ha fatto eco a quel sentimento, riflettendo che la legge non era perfetta ma comunque un buon inizio.

“Questo prende tutti come dovrebbe, o esenta tutti coloro che hanno bisogno di un'esenzione? Probabilmente no, ma ci si avvicina molto", ha detto Marsden. "Siamo stati in grado, con questo disegno di legge, di farlo passare senza che le persone si alzassero e si opponessero a ciò che stavamo cercando di fare".

Il senatore dello stato del Colorado Robert Rodriguez, che ha co-sponsorizzato il disegno di legge sulla privacy dello stato, ha affermato di non includere un'esenzione per le organizzazioni non profit perché riteneva che qualsiasi entità che avesse dati su più di 100.000 persone dovrebbe seguire le protezioni della privacy. Inoltre non capiva perché altri stati avessero esenzioni.

"Qualcuno che ha oltre 100.000 record è di buone dimensioni", ha detto in una e-mail. "Dovrebbero avere alcune protezioni o requisiti da seguire."

Nota del redattore: questo articolo è stato originariamente pubblicato su The Markup da Alfred NG e Maddy Varner ed è stato ripubblicato con la licenza Creative Commons Attribution-NonCommercial-NoDerivatives .

Hai qualche idea su questo? Fatecelo sapere in basso nei commenti o trasferite la discussione sul nostro Twitter o Facebook.

Raccomandazioni della redazione:

• Apple rifiuterà la tua app se contiene tracker di terze parti che raccolgono dati senza consenso
• Come impedire al tuo Android di fornire il suo identificatore univoco a tracker di terze parti
• Come impedire al tuo iPhone di fornire il suo identificatore univoco a tracker di terze parti
• Mozilla Firefox ora offre una nuova funzionalità progettata per combattere i tracker