RASTREJADORS WEB
Els rastrejadors són eines que permeten seguir el rastre als usuaris d'Internet de manera que qui els rastregi pugui conèixer les seves accions i certs hàbits de conducta. No tots els rastrejadors que circulen a Internet són galetes, ni tots impliquen els mateixos riscos per als usuaris. En aquest article veurem els principals tipus d'eines de seguiment que existeixen actualment i explicarem quina finalitat té cadascun:
- Cookies;
- Pixels de seguiment i altres “web beacons”;
- Tècniques de Fingerprinting; i
- Espais d’emmagatzematge HTML (tipus LocalStorage, SessionStorage i altres funcions que accedeixin a l’objecte “storage” del navegador).
Mitjançant els enllaços següents podràs accedir de forma fàcil a la informació que t’interessi::
1 Que són les cookies i quines classes n’hi ha?
1.1 Quins tipus de cookies n’hi ha?
1.1.1 Classificació de les cookies atenent a la seva finalitat
1.1.2 Classificació atenent el temps que perduren
1.1.3 Classificació de les cookies atenent a la seva procedència
4 Que són els espais d’emmagatzematge HTML?
L'ús generalitzat d’Internet ha permès als proveïdors de continguts i serveis, i a tercers que es dediquen a l'anàlisi de les xarxes, desenvolupar mecanismes per conèixer, per exemple, si qui visitava una web ho feia per primera vegada, des d'on havia arribat, per quines altres pàgines del lloc web havien passat els usuaris, si s'havien registrat, o donar-los la possibilitat de guardar configuracions personals (com ara l'idioma de visualització) o dades d'una sessió. Les galetes permeten implementar aquestes funcionalitats i moltes més.
Les galetes permeten, entre altres coses, que els anunciants coneguin quins llocs d'Internet visiten les persones individuals per oferir, a cadascuna d'elles, productes/continguts i serveis d'acord amb els seus gustos (personalitzats). Igualment, encara que en un àmbit diferent dels que podríem utilitzar per classificar-les, les cookies permeten als responsables dels llocs web saber també les pàgines que més i menys s'han visitat, així com altres estadístiques sobre l'efectivitat de l'estructura i els continguts del vostre lloc, per prendre decisions que millorin la qualitat i posicionament del seu lloc web a Internet, i un llarg etcètera.
El seguiment de l'activitat dels usuaris a la xarxa s'implementa mitjançant el que genèricament s'anomenen cookies, que solen associar-se amb petits fitxers utilitzats pels servidors de les pàgines web, per emmagatzemar i recuperar informació del dispositiu d'un usuari, cosa que permet tractar dades personals d'aquest quan navega i interacciona amb les diferents aplicacions i continguts desplegats a les xarxes, a Internet, les extranets i les intranets. En realitat, sota la denominació de cookies s'emmarquen moltes tècniques que permeten el seguiment dels usuaris de manera activa o passiva, i, de vegades, de manera poc transparent. Entre aquestes tecnologies de seguiment es poden trobar les que utilitzen les característiques del dispositiu, els identificadors únics i els hàbits de navegació de l’usuari. Cada vegada que demanem una pàgina, una imatge o un contingut a un servidor web, li estem comunicant, almenys, la nostra adreça IP, de manera que es pot saber la nostra ubicació geogràfica, però també el model de navegador que fem servir i, en conseqüència, també el nostre sistema operatiu, el dispositiu amb què ens connectem i com està actualitzat. Un servidor de pàgines web pot saber si l’usuari que navega té un bloquejador d’elements emergents, quanta memòria té el seu equip, quina targeta gràfica utilitza, o com es mou el ratolí per la pantalla. Tota aquesta informació s'agrupa sota el nom genèric de fingerprint o empremta digital del dispositiu i es pot utilitzar en servidors d'Internet per vincular tota l'activitat de l'usuari i així poder crear-ne un perfil.
El RGPD, i per tant la LQPD que (encara sense els considerants) s'hi adequa, es pronuncia respecte de les cookies en el seu considerant 308, reconeixent la seva capacitat per elaborar perfils de les persones i identificar-les. La normativa especial que regula, per als serveis de la societat de la informació, la utilització de cookies ve recollida a l'article 20 de la Llei 20/2014, de 16 d'octubre, reguladora de la contractació electrònica i dels operadors que desenvolupin l’activitat econòmica en un espai digital. Els criteris de l'Agència Andorrana de Protecció de Dades (APDA) per a l'adequació a la normativa sobre galetes als prestadors de serveis de la societat de la informació es troben detallats a la Guia sobre l'ús de Cookies, política de privadesa i avis legal, quina segona edició, es va publicar el setembre de 2022. En aquesta guia s'inclouen, també, les definicions dels diferents tipus de cookies, les obligacions dels editors quant a la informació a proporcionar als usuaris, la manera de recollir el consentiment previ al seu ús i la responsabilitat de les parts en la utilització de les cookies. En endavant, ens remetrem a aquesta guia en els aspectes que s'hi tracten i els complementarem amb alguna informació o criteri que reflecteixi l'actualitat canviant de les millors pràctiques de protecció de dades en matèria de cookies.
En general, hi ha tres maneres diferents de classificar les cookies:
- segons la finalitat;
- segons el temps que perdurin; i
- segons la procedència.
Es distingeixen les següents 4 categories de cookies atenent la seva finalitat:
- Cookies tècniques o estrictament necessàries: Aquestes galetes són essencials perquè els usuaris naveguin pel lloc web i utilitzin les seves funcions. Són exemples d'aquest tipus de galetes els identificadors de sessió, els identificadors per accedir a àrees restringides del lloc web, les galetes de prevenció de fraus (vinculades a la seguretat del servei), els comptadors de visites per controlar les llicències de programari, les galetes que habiliten contingut dinàmic del lloc web, etc. També són galetes tècniques aquelles galetes que permeten la gestió, de la forma més efectiva possible, dels espais publicitaris que, com un element més de la maquetació, s'emplacen al lloc web, l'app, o la plataforma (sempre que no es reculli informació dels usuaris amb una finalitat diferent, com podria ser la de personalitzar el contingut publicitari). Les cookies tècniques o les estrictament necessàries no requereixen el consentiment previ de l'usuari, però se l’ha d'informar sobre la seva existència en la política de cookies, o si no, en la política de privadesa del lloc web, a l'efecte de complir amb el deure informació que té el responsable del tractament de les dades recollides a les cookies (com a mínim, què fan i, quan pugui existir dubte sobre la seva essencialitat, per què són necessàries).
- Cookies de preferències: També conegudes com a “cookies de funcionalitat”. Aquestes galetes permeten que un lloc web recordi les eleccions que ha fet l'usuari en el passat, com ara quin idioma prefereix, de quina regió li agraden els informes meteorològics o quin és el seu nom d'usuari i contrasenya per iniciar sessió automàticament. Si és el mateix usuari qui escull aquestes preferències (per exemple, fent clic a la icona de l'idioma preferit, o seleccionant l'opció «Recorda'm») el responsable del tractament d'aquestes dades no necessita recollir el consentiment previ dels usuaris (en relació a aquesta finalitat del tractament).
- Cookies d’estadístiques: També conegudes com a “cookies de rendiment” o “cookies analítiques”. Aquestes galetes recullen informació sobre com l'usuari utilitza un lloc web o una app amb l'objectiu de millorar les funcionalitats que ofereix el lloc web. Són exemples d'aquest tipus de galetes les que recullen quines són les pàgines que ha visitat l'usuari i a quins enllaços ha fet clic. Les estadístiques que es generen pel fet de tractar les dades que recullen aquestes galetes, no seran dades que puguin identificar un usuari, un cop les dades recollides per aquestes galetes ja estiguin agregades i, per tant, aquestes estadístiques seran anònimes. No obstant, abans d'estar agregades, les dades que recullen aquestes galetes, solen identificar de forma única els visitants per poder distingir, per exemple, el cas d'un visitant que accedeix moltes vegades a la mateixa pàgina del cas de molts visitants únics que accedeixin una única vegada a aquesta pàgina (dues mètriques radicalment diferents per decidir quina part d'una web mereix una optimització atès l'elevat nombre de persones que la visiten). Com que les dades que recullen aquestes cookies abans d'extreure'n les estadístiques solen estar vinculades a identificadors únics del visitant, aquestes dades s'han de considerar dades personals i, per tant, en no ser estrictament necessàries per al funcionament del lloc web, el responsable del tractament està obligat a obtenir el consentiment dels usuaris abans de descarregar al dispositiu d'aquest usuari aquest tipus de galetes o, si ja estan descarregades, abans de recollir les dades que aquestes hagin emmagatzemat.
- Cookies publicitàries: Aquestes galetes fan un seguiment de l'activitat en línia de l'usuari per ajudar els anunciants a oferir la publicitat més rellevant o per limitar el nombre de vegades que es veu un anunci. Aquestes galetes solen compartir aquesta informació amb altres organitzacions o anunciants (tercers).
- Cookies de sessió: Els llocs web no tenen memòria, per la qual cosa utilitzen les cookies de sessió per recordar un usuari durant un temps limitat: la sessió, que comença quan entres al lloc web (o a una aplicació web) des d'una pestanya/finestra del teu navegador i acaba quan surts del mateix o mates aquesta pestanya del navegador. Aquestes galetes estan dissenyades per recollir dades i emmagatzemar-les mentre l'usuari navega pel lloc web i se solen fer servir per emmagatzemar informació per proporcionar el servei sol·licitat per l'usuari mentre dura la sessió, caducant (eliminant-se) quan l'usuari abandona el lloc web. La següent vegada que aquest usuari entri al mateix lloc web, o si l'obre en una nova finestra del navegador, se li considerarà una nova visita i se l’obrirà una nova sessió amb les seves pròpies galetes de sessió. Un exemple típic d'aquest tipus de galetes són les que utilitzen els balancejadors de càrrega de la xarxa per saber a quina finestra del navegador enviar un determinat contingut quan l'usuari té diverses finestres obertes al mateix lloc web, o les galetes que recullen els productes que l'usuari va deixant en un carret de la compra (si bé, quan s'utilitzen únicament galetes de sessió, si la sessió es trenca, els productes del carret es perden, raó per la qual sol haver-hi una altra galeta persistent que permeti a l'usuari recuperar la cistella quan torna a accedir a l'e-commerce des d'una altra finestra/pestanya del navegador).
- Cookies persistents: Aquesta categoria inclou totes les galetes que romanen al disc dur de l'usuari fins que aquest les esborra o fins que ho fa el navegador quan detecta que la data de caducitat de la galeta ha expirat. Totes les galetes persistents tenen una data de caducitat escrita al seu codi, i la seva durada pot variar entre un minut i centenars d'anys. Mentre que la galeta no caduqui, les dades recollides per ella podran ser consultades i tractades pel responsable del lloc web, o pels tercers que la van crear.
- Cookies pròpies: Són les que s'envien al dispositiu terminal de l'usuari des del mateix lloc web que l'usuari visita. La seva diferència amb les altres galetes és que únicament el responsable d'aquest lloc web concret podrà llegir les dades que recullen les seves galetes pròpies.
- Cookies de tercers: Són les que s'envien a l'usuari des d'un domini diferent del corresponent al lloc web que visita l'usuari, cosa que significa que serà el titular d'aquest altre domini, un tercer, qui realment tingui accés a les dades que recullen les galetes. D'aquesta manera, els tercers aconsegueixen una visió del comportament de navegació dels usuaris, cosa que facilita que es creïn perfils d'usuari més precisos que permetin als tercers oferir, per exemple, publicitat dirigida segons els gustos de cada usuari concret. Són exemples típics d'aquest tipus de galetes les que instal·len les empreses que gestionen publicitat en determinats bàners publicitaris, o les galetes de preferències que col·loquen les empreses de reproducció de vídeos o altres prestadors de serveis encastats en pàgines web (proveïdors de serveis de pagament, etc.).
El tracking píxel (o “píxel” a seques), també anomenat web beacon o gif transparent en les diferents modalitats, és habitualment una imatge o un altre tipus d'arxiu inserit a la web que, en descarregar-se al terminal de l'usuari, permet conèixer-ne algun aspecte de l'activitat d'aquest (per exemple, que l'usuari ha obert una pàgina web determinada on s'ubicava el píxel).
El fingerprinting és el nom que es dona a la tècnica d'identificar de forma única l'ordinador que utilitza habitualment un usuari, per poder acumular dades per crear el seu perfil de navegació (quins tipus de pàgines web veu, amb quina freqüència ho fa, a quines hores, etc.).
Hi ha dos tipus de fingerprinting del navegador amb que l’usuari accedeix a un lloc web, l’actiu i el passiu:
- Fingerprinting passiu: El navegador mitjançant el quin l'usuari accedeix a una pàgina web comunica al servidor d'aquesta pàgina web (el servidor que envia aquesta pàgina al navegador) algunes dades amb què es pot identificar de forma única aquest navegador, i amb això, a l’usuari que utilitza de manera reiterada aquest navegador concret. Entre les dades que el navegador de l'usuari envia al servidor web poden estar l'adreça IP de l'ordinador, el port de l'ordinador que utilitza aquest navegador per comunicar-se amb el servidor web, la configuració d'idioma i el teclat que té l'ordinador, el sistema operatiu de l'ordinador (incloent-hi la versió i els pegats instal·lats), així com la pàgina web des de la quina s'ha arribat a la que s'està servint al navegador (cas, per exemple, que s'accedeixi a aquesta pàgina web com a conseqüència de clicar un link o un anunci en un altre lloc web).
- Fingerprinting actiu. El fingerprinting de navegador "actiu" és similar al "passiu", però a més permet al servidor web conèixer dades addicionals com, per exemple, la mida de la pantalla de l'ordinador o el conjunt de plug-ins (extensions) instal·lats al navegador de l'usuari, cosa que permet fer una individualització més exhaustiva
Aquesta tècnica de rastreig, a diferència de les anteriors, no instal·la res a l'ordinador de l'usuari i, per tant, no és fàcilment auditable per part de l'usuari. Ha de ser el titular del lloc web, o el seu delegat de protecció de dades, qui garanteixi (en la seva política de cookies, i en base a la confiança que s'hi tingui) que no utilitza aquest tipus de rastrejadors.
L'objecte “Storage” (de l'API d'emmagatzematge web, disponible a pràcticament tots els navegadors que accepten HTML5) és una altra de les facilitats que permeten emmagatzemar dades de manera local al navegador del visitant d'un lloc web. L'avantatge que té per als desenvolupadors web utilitzar aquesta tecnologia davant de les cookies tradicionals (HTTP) és que l'objecte “Storage” del navegador permet emmagatzemar molta més informació (entre 5MB i 10MB, davant dels 4KB que poden utilitzar amb les cookies) i no s'envien al servidor web cada vegada que l'usuari visita el lloc web (o millor dit, cada cop que el seu navegador fa una sol·licitud HTTP al servidor web), de manera que s'estalvia ample de banda i es guanya en velocitat de càrrega de les pàgines que formen el lloc web.
LocalStorage i sessionStorage són dues propietats (de les moltes que existeixen) que accedeixen a l'objecte Storage amb el propòsit d'utilitzar aquest espai d'emmagatzematge local (emmagatzematge al dispositiu del visitant al lloc web). La diferència entre aquestes dues propietats és que localStorage emmagatzema la informació de manera indefinida o fins que l'usuari decideixi netejar les dades del navegador i sessionStorage emmagatzema informació mentre la pestanya on l'usuari ha accedit al lloc web segueixi oberta, un cop tancada, la informació s'elimina.
Pel que fa a les dades que cada domini (cada responsable, ja sigui el propi lloc web o tercers) guarda al seu objecte Storage, és tota una incògnita. Només el desenvolupador pot dir que variables/dades guarda en aquest objecte, i quins valors tenen a cada moment, per la qual cosa serà el lloc web, a través de la seva política de cookies, qui ens haurà d'informar sobre les seves finalitats respectives.
[1] Convé tenir present que una mateixa cookie pot tenir més d’una finalitat i, per tant, pot estar inclosa en més d’una categoria.