Explicación de las «páginas secretas de seguimiento web» de Google

Google ha sido acusado de utilizar páginas web ocultas que se asignan a los usuarios para proporcionar más información a los anunciantes sobre cada uno de sus movimientos en línea.

La alegación se ha añadido a una denuncia presentada ante la Comisión de Protección de Datos de Irlanda.

La empresa de tecnología insiste en que actúa de acuerdo con las leyes de privacidad de la UE.

Se produce un día después de que Google fuera multado con 170 millones de dólares (138 millones de libras esterlinas) por un organismo de control estadounidense por capturar ilegalmente datos de niños y dirigirlos a ellos con anuncios.

¿De qué se acusa a Google?
El navegador web centrado en la privacidad Brave ha publicado los detalles de una investigación que llevó a cabo sobre un sistema de anuncios de Google conocido como Compradores Autorizados, que anteriormente se conocía como DoubleClick.

Envió las conclusiones al comisario irlandés de datos como parte complementaria de una denuncia presentada el año pasado.

El director de políticas, Johnny Ryan, utilizó el navegador Chrome de Google para llevar a cabo su investigación. No tenía nombres de usuario, cookies ni historial de navegación en el dispositivo, por lo que era, en efecto, un nuevo usuario.

Dijo que descubrió páginas web ocultas que tenían una dirección única. Actuaba como un identificador, que era único para él. Este marcador llamado seudónimo, cuando se combina con las cookies, puede ayudar a rastrear la actividad del usuario a través de la web, afirma.

Las cookies, pequeñas piezas de código que se incrustan en los sitios web y se descargan en los dispositivos para rastrear la navegación de los usuarios por la red, requieren permisos del usuario para su uso, lo que no ocurre con la página web oculta.

En el transcurso de sólo una hora de navegación web, dijo, Google creó al menos nueve de estas páginas y 11 páginas duplicadas que transfirieron datos sobre él.

Esos datos no fueron vistos por él, pero podrían haber incluido información sobre la edad y el género, los hábitos, el uso de los medios sociales, el origen étnico o la afiliación política, dijo.

Ocho empresas distintas de Google estaban activas en una o más de estas páginas y sus identificadores se utilizaron 278 veces, encontró.

Brave afirma que Google está utilizando estas páginas push como solución a GDPR – la ley de privacidad del Reglamento General de Protección de Datos, cuyo objetivo es dar a los usuarios un control mucho mayor de sus datos.

Google ha dicho anteriormente que ya no comparte identificadores únicos que puedan ayudar a las empresas a vincular a un individuo con sus propios perfiles internos.

La pregunta para el comisionado será si estas páginas web ayudan a los anunciantes a construir perfiles detallados de los usuarios de la web y si eso va en contra de los principios de GDPR.

Google dijo al sitio de noticias de The Register que las páginas se utilizaban para medir la latencia del sitio web y no como un identificador.

Esto suena complicado. ¿Por qué debería importarme?
Hay un viejo refrán que dice que en línea «si usted no es el cliente que paga, usted es el producto».

El intercambio de información y comunicación gratuita se paga con nuestros datos. Pero, ¿los métodos por los que la industria publicitaria acumula estos datos se vuelven más sofisticados, más opacos y más invasivos?

Frederike Kaltheuner, de Privacy International, así lo cree.

«En la superficie, la publicidad en línea suena como una gran oferta para todos; la gente puede utilizar los sitios web y los servicios de forma gratuita, los editores, los desarrolladores de sitios web y aplicaciones pueden monetizar sus productos y los anunciantes pueden llegar a sus audiencias», dice.

«Pero aquí está el truco: en la última década la publicidad dirigida se ha vuelto exponencialmente más invasiva.»

Ahora miles de empresas conocen su identidad, no por su nombre, foto o dirección, sino por lo que hace en línea. Y, dicen algunos, estos perfiles en línea a menudo revelan información extremadamente privada sobre usted.

«Si está leyendo un artículo sobre la disfunción eréctil, la depresión o la autolesión, hay muchas posibilidades de que esto se transmita a miles de empresas», dice la Sra. Kaltheuner.

¿Cómo es posible que esto suceda?
El sistema publicitario de Google está presente en 8,4 millones de sitios web y cada vez se basa más en un sistema conocido como puja en tiempo real (RTB), un tipo de publicidad online que permite subastar en tiempo real todos los detalles de lo que la gente está haciendo en línea con el fin de servirles anuncios dirigidos.

A través de RTB, grandes cantidades de datos personales intercambian manos entre un gran número de jugadores mil millones de veces al día, en transacciones que toman milisegundos, un poco como el comercio algorítmico en los mercados financieros pero con los datos como premio.

Cuando una persona visita un sitio web que muestra anuncios a través de RTB, se envía una solicitud de publicación de un anuncio a una bolsa de anuncios que transmite lo que está haciendo a cientos de compradores de anuncios. Luego realizan una subasta y pujan para publicar sus anuncios.

La industria vale miles de millones de libras.

¿Cómo ha respondido Google?
Su declaración es breve.

«No publicamos anuncios personalizados ni enviamos solicitudes de ofertas a los licitadores sin el consentimiento del usuario», dice.

«La Comisión de Protección de Datos de Irlanda -como principal autoridad de protección de datos de Google- y la Oficina del Comisionado de Información del Reino Unido ya están estudiando la posibilidad de presentar ofertas en tiempo real para evaluar su cumplimiento con el GDPR. Acogemos con beneplácito ese trabajo y estamos cooperando plenamente».

¿Esto es nuevo?
El investigador Lukasz Olejnik explicó por primera vez en su artículo Cuánto valemos, escrito hace cinco años, cómo funcionaba RTB y el método para hacer coincidir las cookies con los perfiles.

«Cada vez que navegamos por la web, estamos siendo evaluados en tiempo real por sistemas complejos que permiten a los anunciantes decidir su valor para ellos y pujar por sus datos privados con el fin de mostrar anuncios en los sitios que visita», escribió.

El Sr. Olejnik también enlazó con el sitio web del desarrollador de Google, donde se detalla la práctica.

Y Google en sí mismo es perfectamente abierto sobre la comparación de cookies, lo que describe como una práctica que abarca a toda la industria.

La gran pregunta es si la forma en que facilita la RTB y la comparación de cookies está en línea con GDPR y la protección de los datos de los usuarios.

¿Qué pasa después?
Si el comisario de datos irlandés encuentra a Google infringiendo el GDPR, se enfrentará a otra multa importante. Y si se le ordena cambiar sus prácticas, podría ser perjudicial para su negocio publicitario.

Sin embargo, el experto en seguridad informática de la Universidad de Surrey, el profesor Alan Woodward, dijo: «Si se les quita ese método, desarrollarán nuevas formas, como la toma de huellas dactilares, en la que los navegadores envían mucha información sobre los dispositivos en los que estamos y que se pueden juntar para crear un perfil único de nosotros».

«Los vendedores saben mucho más de ti que los servicios de seguridad.»

¿Qué puedo hacer?
Para aquellos preocupados por la cantidad exacta de información que están dando, el sitio web Panopticklick, un proyecto de investigación de la Electronic Frontier Foundation, puede revelar hasta qué punto se está haciendo un seguimiento de su navegación.