Investigación por un grupo de defensa de los derechos de privacidad descubrió que los sitios web populares de salud mental en la UE comparten datos personales confidenciales de los usuarios con los anunciantes.
Los europeos que se conectan en línea para buscar ayuda con problemas de salud mental están haciendo un seguimiento de datos sensibles de salud y pasados a terceros, según Privacidad internacional hallazgos – incluyendo sitios web de depresión que pasan respuestas y resultados de pruebas de verificación de salud mental directas a terceros con fines de orientación publicitaria.
La caridad usó el código abierto Herramienta Webxray analizar los hábitos de recopilación de datos de 136 páginas web populares de salud mental en Francia, Alemania y el Reino Unido, así como analizar un pequeño subconjunto de pruebas de depresión en línea (los tres resultados de búsqueda de Google más importantes para la frase por país).
Ha compilado sus hallazgos en un informe llamado Tu salud mental en venta.
"Nuestros hallazgos muestran que muchos sitios web de salud mental no toman la privacidad de sus visitantes tan en serio como deberían", escribe Privacy International. "Esta investigación también muestra que algunos sitios web de salud mental tratan los datos personales de sus visitantes como una mercancía, pero no cumplen con sus obligaciones bajo las leyes europeas de protección de datos y privacidad".
Según el Reglamento General de Protección de Datos (GDPR) de Europa, existen reglas estrictas que rigen el procesamiento de datos de salud, que se clasifican como datos personales de categoría especial.
Si se utiliza el consentimiento como base legal para recopilar este tipo de datos, el estándar que debe obtenerse del usuario es el consentimiento "explícito".
En la práctica, eso podría significar una ventana emergente antes de tomar una prueba de depresión que le pregunta si desea compartir su salud mental con una larga lista de anunciantes para que puedan usarla para venderle cosas cuando se sienta deprimido, también ofreciendo una opción clara y libre de penalidades para no consentir (pero aún así tomar el examen).
Es seguro decir que tales pantallas de consentimiento sin barnizar son tan raras como los dientes de gallina en Internet moderno.
Pero, en Europa, ahora se están utilizando leyes de privacidad reforzadas para desafiar los abusos sistémicos del "complejo industrial de datos" y ayudar a las personas a hacer valer sus derechos contra una industria de tecnología de seguimiento de comportamiento que los reguladores han advertido que está fuera de control.
Entre los hallazgos clave de Privacy International se encuentran:
- El 76.04% de las páginas web de salud mental contenían rastreadores de terceros con fines de marketing.
- Los rastreadores de Google son casi imposibles de evitar, con el 87.8% de las páginas web en Francia con un rastreador de Google, el 84.09% en Alemania y el 92.16% en el Reino Unido
- Facebook es el segundo rastreador de terceros más común después de Google, con el 48.78% de todas las páginas web francesas analizadas compartiendo datos con Facebook; 22,73% para Alemania; y 49.02% para el Reino Unido.
- También se utilizaron los servicios de marketing de Amazon por mucho de las páginas web de salud mental analizadas (24,39% de las páginas web analizadas en Francia; 13,64% en Alemania y 11,76% en el Reino Unido)
- Las páginas web relacionadas con la depresión utilizaron una gran cantidad de cookies de seguimiento de terceros que se colocaron antes de que los usuarios pudieran expresar (o negar) el consentimiento . En promedio, PI encontró que las páginas web de salud mental colocaron 44.49 cookies en Francia; 7.82 para Alemania; y 12.24 para el Reino Unido
La ley europea sobre el consentimiento como base legal para el procesamiento de datos personales (generales), incluso para la eliminación de cookies de seguimiento, requiere que se informe, sea específico y se dé libremente. Esto significa que los sitios web que deseen recopilar datos de los usuarios deben indicar claramente qué datos tienen la intención de recopilar para qué propósito, y hacerlo antes de hacerlo, brindando a los visitantes la opción libre de aceptar o rechazar el seguimiento.
Dejar caer las cookies de seguimiento sin siquiera preguntar claramente no cumple con ese estándar legal. Y muy sucio cuando considera que los datos personales que manejan estos sitios web de salud mental son datos de salud de categoría especial altamente sensibles.
"Es extremadamente difícil que las personas busquen información sobre salud mental y, por ejemplo, se hagan una prueba de depresión sin que lo vean innumerables terceros ”, dijo el tecnólogo de Privacy International, Eliot Bendinelli, en un comunicado. "Todos los proveedores de sitios web tienen la responsabilidad de proteger la privacidad de sus usuarios y cumplir con las leyes existentes, pero este es particularmente el caso de los sitios web que comparten datos inusualmente granulares o confidenciales con terceros. Tal es el caso de los sitios web de salud mental ".
Además, el análisis del grupo encontró que algunos de los rastreadores integrados en sitios web de salud mental se utilizan para habilitar un práctica publicitaria programática conocida como Real Time Bidding (RTB).
Esto es importante porque RTB es sujeto a múltiples quejas bajo GDPR.
Estas quejas sostienen que el intercambio sistemático y de alta velocidad de datos personales es, por naturaleza, inherentemente inseguro, sin forma de asegurar la información de las personas después de que se comparte con cientos o incluso miles de entidades involucradas en la cadena programática, porque no hay manera para controlarlo una vez que se haya pasado. Y, por lo tanto, ese RTB no cumple con el requisito del RGPD de que los datos personales se procesen de forma segura.
Los reguladores están considerando las quejas en varios Estados miembros. Pero este verano, el perro guardián de datos del Reino Unido, el ICO, esencialmente señaló que está de acuerdo con el quid de la discusión: poner a la industria adtech en guardia en un informe de actualización en el que advierte que la publicidad conductual está fuera de control e instruye a la industria que debe reformar.
Sin embargo, el regulador también dijo que les daría a los jugadores "un período de tiempo apropiado para ajustar sus prácticas", en lugar de meterse con una decisión y los banhammers para hacer cumplir la ley ahora.
La decisión de la ICO de optar por una amenaza implícita de aplicación futura para impulsar la reforma de las prácticas adtech no conformes, en lugar de tomar medidas inmediatas para terminar con las violaciones de la privacidad, generó críticas de los activistas de la privacidad.
Y ahora parece problemático, dado que los hallazgos de Privacy International sugieren que los datos confidenciales de salud mental están siendo absorbidos en solicitudes de licitación y se colocan a una escala insegura, donde podría representar un grave riesgo para los derechos y libertades de las personas.
Privacy International dice que encontró "numerosos" sitios web de salud mental, incluidos rastreadores de corredores de datos conocidos y compañías de AdTech, algunos de los cuales participan en publicidad programática. También descubrió que algunos sitios web de pruebas de depresión (a saber: netdoktor.de, passeportsante.net y doctissimo.fr, de los que miró) están utilizando publicidad programática con RTB.
"Los resultados de este estudio son parte de un problema más amplio y mucho más sistémico: las formas en que las empresas explotan los datos de las personas para orientar los anuncios con cada vez más precisión están fundamentalmente rotas", agrega Bendinelli. "Tenemos la esperanza de que el regulador del Reino Unido esté investigando la industria de AdTech y las muchas formas en que utiliza datos de categorías especiales de manera que no son transparentes ni justas y que a menudo carecen de una base legal clara".
Nos hemos comunicado con el ICO con preguntas.
También le preguntamos a Internet Advertising Bureau Europe qué medidas está tomando para alentar la reforma de RTB para que el sistema cumpla con la ley de privacidad de la UE. Al momento de escribir este artículo, la asociación de la industria no había respondido.
El IAB lanzó recientemente una nueva versión de lo que se refiere como un "marco de gestión de la transparencia y el consentimiento" destinado a que los sitios web se integren para recopilar el consentimiento de los visitantes para procesar sus datos, incluso con fines de orientación publicitaria, según afirma legalmente el IAB.
Sin embargo, los críticos argumentan que esta es solo otra dosis de negocios como el "teatro de cumplimiento" habitual de la industria de la tecnología de la tecnología de la información y la comunicación: a los usuarios se les ofrece solo opciones falsas, ya que no hay un control real sobre cómo se usan sus datos personales o dónde terminan.
A principios de este año El principal regulador de privacidad de Google en Europa, el DPC irlandés, abrió una investigación formal sobre el procesamiento de datos personales de la compañía en el contexto de su Ad Exchange en línea, también como resultado de una queja RTB presentada en Irlanda.
El DPC dijo que analizará cada etapa de una transacción publicitaria para establecer si el intercambio de anuncios está procesando datos personales de conformidad con el RGPD, incluida la búsqueda de la base legal para el procesamiento; los principios de transparencia y minimización de datos; y sus prácticas de retención de datos.
El resultado de esa investigación aún está por verse. (Hoy se ha vertido combustible nuevo con el demandante presentando nueva evidencia de que sus datos personales se compartan de una manera que alegan que infringe el RGPD).
La mayor atención regulatoria sobre las prácticas de tecnología publicitaria ciertamente está destacando muchas cosas legalmente cuestionables y éticamente dudosas, como la infraestructura de seguimiento integrada que está tomando notas liberales sobre la condición de salud mental de las personas para fines de orientación publicitaria. Y está claro que los reguladores de la UE tienen mucho más trabajo por hacer para cumplir la promesa de GDPR.