Site-urile web nonprofit urmăresc vizitatorii, unele mergând chiar până la urmărirea tastelor

Anul trecut, aproape 200 de milioane de oameni au vizitat site-ul web al Planned Parenthood, o organizație nonprofit la care mulți oameni apelează pentru chestiuni foarte private, cum ar fi educația sexuală, accesul la contraceptive și accesul la avorturi. Ceea ce acei vizitatori nu știau este că, de îndată ce au deschis plannedparenthood.org, aproximativ două duzini de instrumente de urmărire a reclamelor încorporate în site au alertat o mulțime de companii a căror activitate nu este libertatea de reproducere, ci colectarea, vânzarea și utilizarea datelor de navigare.

Markup a rulat site-ul web al Planned Parenthood prin instrumentul nostru Blacklight și a găsit 28 de instrumente de urmărire a reclamelor și 40 de cookie-uri terță parte care urmăresc vizitatorii, pe lângă așa-numitele „înregistratoare de sesiune” care ar putea capta mișcările mouse-ului și apăsările de taste ale persoanelor care vizitează pagina de pornire în căutare. lucruri precum informații despre contraceptive și avorturi. Site-ul conținea și trackere care spun Facebook și Google dacă utilizatorii au vizitat site-ul.

Scanarea Markup a constatat că site-ul Planned Parenthood comunică cu companii precum Oracle, Verizon, LiveRamp, TowerData și Quantcast, dintre care unele au făcut o afacere prin asamblarea și vânzarea accesului la mase de date digitale despre obiceiurile oamenilor.

Katie Skibinski, vicepreședinte pentru produse digitale la Planned Parenthood, a declarat că datele colectate pe site-ul său sunt „utilizate doar în scopuri interne de către Planned Parenthood și afiliații noștri”, iar compania nu „vinde” date terților.

„Deși ne propunem să folosim datele pentru a afla cum putem avea cel mai mare impact, la Planned Parenthood, învățarea bazată pe date este întotdeauna executată cu atenție, cu respect pentru confidențialitatea pacientului și a utilizatorului”, a spus Skibinski. „Aceasta înseamnă utilizarea platformelor de analiză pentru a colecta date agregate pentru a aduna informații și a identifica tendințele care ne ajută să ne îmbunătățim programele digitale.”

Skibinski nu a contestat faptul că organizația partajează date cu terți, inclusiv cu brokerii de date.

O scanare Blacklight a Planned Parenthood Gulf Coast – un site web localizat special pentru oamenii din regiunea Golfului, inclusiv Texas, unde avortul a fost în esență interzis – a dat rezultate similare.

Planned Parenthood nu este singurul când vine vorba de organizații nonprofit, unele activând în domenii sensibile precum sănătatea mintală și dependența, culegând și partajând date despre vizitatorii site-ului.

Folosind instrumentul nostru Blacklight, The Markup a scanat peste 23.000 de site-uri web ale organizațiilor nonprofit, inclusiv cele aparținând furnizorilor de avorturi și centrelor nonprofit de tratare a dependenței. Markup a folosit fișierul principal nonprofit al IRS pentru a identifica organizațiile nonprofit care au depus o declarație de impozit din 2019 și pe care agenția le clasifică ca concentrându-se pe domenii precum sănătatea mintală și intervenția în criză, drepturile civile și cercetarea medicală. Apoi am examinat site-ul fiecărei organizații nonprofit, așa cum este listat public în GuideStar. Am descoperit că aproximativ 86 la sută dintre ei aveau cookie-uri terță parte sau solicitări de urmărire a rețelei. Prin comparație, când The Markup a realizat un sondaj al celor mai bune 80.000 de site-uri web în 2020, am constatat că 87% au folosit un tip de urmărire terță parte.

Aproximativ 11% dintre cele 23.856 de site-uri web nonprofit pe care le-am scanat aveau încorporat un pixel Facebook, în timp ce 18% foloseau funcția Google Analytics „Remarketing Audiences”.

Markup a constatat că 439 dintre site-urile web nonprofit au încărcat scripturi numite recordere de sesiune, care pot monitoriza clicurile și apăsările de taste ale vizitatorilor. Optzeci și nouă dintre acestea au fost pentru site-uri web care aparțineau unor organizații nonprofit pe care IRS le clasifică ca concentrându-se în principal pe probleme de sănătate mintală și de intervenție în criză.

„În calitate de utilizator al acestui site, prin partajarea informațiilor dumneavoastră cu ei, probabil că nu presupuneți că aceste informații sensibile sunt partajate cu terțe părți și cu siguranță nu presupuneți că apăsările dvs. de taste sunt înregistrate”, Gunes Acar, un cercetător de confidențialitate care a copublicat un studiu din 2017 privind înregistratoarele de sesiune, a spus. „Cu cât site-ul este mai sensibil, cu atât sunt mai îngrijorat.”

Tracy Plevel, vicepreședintele pentru dezvoltare și relații cu comunitatea la Gateway Rehab, una dintre organizațiile nonprofit cu înregistratoare de sesiune pe site-ul său, a declarat că organizația nonprofit folosește instrumente de urmărire și înregistrare de sesiune pentru că trebuie să rămână competitivă cu omologii săi mai mari, cu scop profit.

„În calitate de organizație nonprofit, ne confruntăm cu furnizorii cu scop lucrativ cu bugete mari de publicitate, precum și cu brokerii de tratare a dependenței care îi atrag pe cei care caută îngrijire cu tactici similare de publicitate online și îi conectează cu furnizorul care oferă cea mai mare compensație pentru „vânzări”. ”, a spus Plevel. „În plus, știm că experiența utilizatorului are un impact mare asupra urmăririi tratamentului. Când cineva este gata să se angajeze la tratament, trebuie să ne asigurăm că este cât mai ușor posibil pentru el înainte de a fi frustrat sau intimidat de proces.”

Alte organizații nonprofit au avut un număr semnificativ de instrumente de urmărire încorporate și pe site-urile lor. Markup a găsit 26 de instrumente de urmărire a reclamelor și 50 de cookie-uri terță parte în The Clinic at Sharma-Crawford Attorneys at Law, o clinică juridică din Kansas City care reprezintă persoanele cu venituri mici care se confruntă cu deportarea.

Rekha Sharma-Crawford, președintele consiliului de administrație al Clinicii, a scris într-o declarație trimisă prin e-mail: „Luăm foarte în serios preocupările privind confidențialitatea și securitatea și vom continua să lucrăm cu furnizorul nostru web pentru a rezolva problemele pe care le-ați identificat.”

Salvați Copiii, o organizație de ajutor umanitar fondată cu peste 100 de ani în urmă, avea 26 de instrumente de urmărire a reclamelor și 49 de cookie-uri terță parte. March of Dimes, o organizație nonprofit inițiată de președintele Franklin D. Roosevelt, care se concentrează pe îngrijirea mamei și a sugarului, a avut peste 29 de dispozitive de urmărire a reclamelor pe site-ul său și 58 de cookie-uri terță parte. City of Hope, un centru de cercetare și tratament al cancerului din California, avea 25 de instrumente de urmărire a reclamelor și 47 de cookie-uri terță parte.

Paul Butcher, vicepreședinte asociat al strategiei digitale globale la Salvați Copiii, a declarat într-o declarație trimisă prin e-mail că organizația „ia foarte în serios protecția datelor”. Butcher a mai scris că Salvați Copiii colectează unele date prin intermediul instrumentelor de urmărire a reclamelor „pentru a îmbunătăți experiența utilizatorului” și că organizația este în proces de a-și reînnoi politicile de păstrare a datelor și a angajat recent un nou șef de date.

March of Dimes și City of Hope nu au răspuns solicitărilor de comentarii.↩︎ link

Legile privind confidențialitatea la nivel de stat Miss Nonprofits

În timp ce datele de sănătate sunt guvernate de HIPAA, iar FERPA reglementează înregistrările educaționale, nu există legi federale care să reglementeze modul în care site-urile web își urmăresc vizitatorii. Recent, câteva state – California, Virginia și Colorado – au adoptat legi privind confidențialitatea consumatorilor care impun companiilor să-și dezvăluie practicile de urmărire și să permită vizitatorilor să renunțe la colectarea datelor.

Dar organizațiile nonprofit din două dintre aceste state, California și Virginia, nu trebuie să adere la reglementări.

Senatorul Ron Wyden (D-OR), care și-a propus propria legislație federală privind confidențialitatea, a spus că organizațiile nonprofit acumulează o cantitate mare de date potențial sensibile.

„Organizațiile nonprofit stochează informații incredibil de personale despre lucrurile care ne pasionează, de la cauze politice și opinii sociale până la cauzele caritabile la care ne pasă”, a spus Wyden într-o declarație trimisă prin e-mail. „Dacă o încălcare a datelor dezvăluie că cineva donează unui grup de sprijin pentru violența domestică sau unei organizații pentru drepturile LGBTQ sau numele moscheii sale, orice informație ar putea fi incredibil de privată.”

Cu toate acestea, liderii nonprofit susțin că le lipsește infrastructura și finanțarea pentru a se conforma cu cerințele legii privind confidențialitatea și trebuie să adune și să împărtășească informații despre donatori pentru a supraviețui.

„Una dintre cele mai substanțiale și mai impactante utilizări ale datelor de către organizațiile nonprofit a fost strângerea noastră de fonduri”, a declarat Shannon McCracken, CEO al The Nonprofit Alliance, un grup de advocacy format din organizații nonprofit și companii. „Fără capacitatea de a ajunge în mod eficient din punct de vedere al costurilor la noi donatori potențiali și la donatorii actuali, atunci organizațiile nonprofit nu pot continua să aibă un impact atât de important ca în prezent.”

Dar cu intenție sau nu, spun experții în confidențialitate, organizațiile nonprofit furnizează informații personale brokerilor de date și giganților tehnologici precum Facebook și Google.

„O organizație nonprofit ar putea să vă împărtășească numărul de telefon și numele cu LiveRamp. Mâine, o entitate cu scop profit poate reutiliza aceleași date pentru a vă viza”, a declarat Ashkan Soltani, expert în confidențialitate și fost tehnolog șef la Comisia Federală pentru Comerț. „Fluxurile de date care intră în acești agregatori și brokeri de date terți provin adesea și de la organizații nonprofit.”

Soltani, care a fost numit director executiv al Agenției pentru Protecția Confidențialității din California pe 4 octombrie, a contribuit la elaborarea Legii privind confidențialitatea consumatorilor din California, care a fost introdus inițial cu scutirile nonprofit.

Multe organizații nonprofit importante lucrează cu brokerii de date pentru a ajuta la organizarea și analiza datelor lor, a declarat Jan Masaoka, CEO al Asociației Nonprofit din California.

„Oamenii care au liste mari de donatori le folosesc pe scară largă, aproape toți folosesc unul dintre servicii”, a spus Masaoka. „Nu îl păstrează în interior, aproape toată lumea îl păstrează cu unul dintre aceste servicii.”

Ea a menționat că Blackbaud este o companie la care se adresează adesea organizațiile nonprofit. Materialul de marketing al brokerului de date înregistrat promovează o bază de date cooperativă care combină datele donatorilor de la peste 550 de organizații nonprofit cu informații publice despre milioane de gospodării.

Blackbaud nu a răspuns la o solicitare de comentariu.

Din cauza lipsei de fonduri, organizațiile nonprofit se bazează și pe platforme terțe - care se întâmplă să fie și brokeri de date - pentru a-și gestiona securitatea și confidențialitatea datelor, a spus McCracken. Dar nici aceste tipuri de companii nu sunt imune la atacuri cibernetice: Blackbaud a dezvăluit un atac ransomware în 2020 în care hackerii au furat parole, numere de securitate socială și informații bancare, potrivit unui dosar al Comisiei de Valori Mobiliare. Sute de organizații caritabile, școli și spitale au fost afectate, împreună cu peste 13 milioane de oameni, potrivit Centrului de resurse pentru furtul de identitate.

„Ei se bazează pe acest tip de ecosistem problematic pentru a-și îndeplini munca și, ca rezultat, partajează liste de numere, adrese de e-mail sau comportament de navigare cu companii de publicitate terțe și își expun membrii la riscuri”, a spus Soltani.↩︎ link.

Exceptia

Spre deosebire de predecesorii săi din California și Virginia, legea de confidențialitate a Colorado nu are o scutire pentru organizațiile nonprofit.

Atât în ​​California, cât și în Virginia, principalii susținători ai proiectelor de lege au acordat organizațiilor nonprofit o scutire ca manevră politică. Alastair Mactaggart, un dezvoltator imobiliar și fondator al Californians for Consumer Privacy, care a fost forța motrice din spatele Legii privind confidențialitatea consumatorilor din California, a declarat că propunerea sa se confruntă deja cu opoziția giganților din tehnologie și că nu vrea nici o confruntare politică cu organizațiile nonprofit.

„Trebuie să faci primul pas, așa că ne-am gândit că acesta ar fi cel mai ușor de respins”, a spus Mactaggart. „În cele din urmă, sper să fie incluse și marile organizații nonprofit.”

David Marsden, senatorul de stat care a introdus Legea privind protecția datelor pentru consumatori din Virginia, a făcut ecou acest sentiment, reflectând că legea nu a fost perfectă, dar încă un început bun.

„Acest lucru îi ridică pe toți cei care ar trebui sau îi scutesc pe toți care au nevoie de o scutire? Probabil că nu, dar se apropie destul de mult”, a spus Marsden. „Cu acest proiect de lege, am reușit să-l adoptăm fără ca oamenii să se ridice și să se opună la ceea ce încercam să facem.”

Senatorul statului Colorado, Robert Rodriguez, care a cosponsorizat proiectul de lege privind confidențialitatea, a spus că nu a inclus o scutire pentru organizațiile nonprofit, deoarece a considerat că orice entitate care deține date despre mai mult de 100.000 de persoane ar trebui să respecte protecția vieții private. De asemenea, nu înțelegea de ce alte state au scutiri.

„Cineva care are peste 100.000 de înregistrări are o dimensiune bună”, a spus el într-un e-mail. „Ar trebui să aibă anumite protecții sau cerințe de urmat.”

Nota editorului: Acest articol a fost publicat inițial pe The Markup de Alfred NG și Maddy Varner și a fost republicat sub licența Creative Commons Attribution-NonComercial-NoDerivatives .

Ai vreo părere despre asta? Anunțați-ne mai jos în comentarii sau transmiteți discuția pe Twitter sau Facebook.

Recomandările editorilor:

• Apple vă va respinge aplicația dacă conține instrumente de urmărire terță parte care colectează date fără consimțământ
• Cum să împiedicați Android-ul să ofere identificatorul său unic instrumentelor de urmărire terță parte
• Cum să împiedicați iPhone-ul dvs. să ofere identificatorul său unic instrumentelor de urmărire terță parte
• Mozilla Firefox oferă acum o nouă funcție concepută pentru a lupta împotriva trackerilor