.
Os sites geralmente oferecem aos visitantes a oportunidade de cancelar a coleta de dados. Isso não é devido à preocupação abundante com sua privacidade – é a lei e eles são forçados a fazê-lo. Mas, de acordo com um trio de pesquisadores de privacidade, desativar nem sempre funciona – os dados do visitante ainda são coletados.
Estruturas legais como o Regulamento Geral de Proteção de Dados da Europa (GDPR) e a Lei de Privacidade do Consumidor da Califórnia (CCPA) exigem que sites e terceiros associados obtenham consentimento antes de coletar e processar dados pessoais.
Para ajudar os operadores de sites a cumprir esse requisito, fornecedores como Didomi, Quantcast, OneTrust e Usercentrics oferecem o que é conhecido como plataforma de gerenciamento de consentimento (CMP).
Essas empresas fornecem software que os sites usam para solicitar que os visitantes aceitem ou rejeitem cookies para controlar como as informações pessoais são tratadas. Eles afirmam que seus respectivos CMPs permitem que as empresas cumpram as leis de privacidade nos EUA, UE, Reino Unido, Brasil, África do Sul, Cingapura e outros lugares.
Como Usercentrics baseados na Alemanha coloca: “A vigilância na Internet é real e generalizada – usar uma plataforma de gerenciamento de consentimento pode tornar seu site um espaço privado seguro.”
No entanto, os cientistas da computação Zengrui Liu (Texas A&M University), Umar Iqbal (Universidade de Washington) e Nitesh Saxena (Texas A&M University) criaram um mecanismo de auditoria para testar a eficácia dos controles de exclusão baseados em CMP e descobriram que essas plataformas não necessariamente garantir a conformidade com os requisitos do GDPR e da CCPA.
Eles descrevem suas descobertas em um papel [PDF] intitulado “Desativado, mas rastreado: os regulamentos são suficientes para proteger sua privacidade?”
Alerta de spoiler: Não.
“Nossos resultados indicam que, em muitos casos, os dados do usuário infelizmente ainda estão sendo coletados, processados e compartilhados, mesmo quando os usuários optam por não participar”, afirmam os pesquisadores em seu artigo. “Nossas descobertas sugerem que vários anunciantes proeminentes podem estar em potencial violação do GDPR e da CCPA”.
Em muitos casos, infelizmente, os dados do usuário ainda estão sendo coletados, processados e compartilhados, mesmo quando os usuários optam por não participar.
O opt-out nos termos da lei, portanto, não é tão diferente de “Não rastreie” – uma especificação da web que permitia aos usuários do navegador declarar o desejo de não ser rastreado, sem quaisquer consequências por ignorar essa preferência.
Os pesquisadores criaram uma maneira de auditar a conformidade de opt-out usando OpenWPMName, uma estrutura de medição de privacidade na web de código aberto. O processo envolveu visitar os 50 principais sites em 16 categorias de interesse diferentes (computadores, notícias, esportes e assim por diante) para simular as personas de interesse do usuário.
Eles se concentraram nos principais sites que suportam lances de cabeçalho por meio de prebid.js e optam por não usar CMPs de Didomi, Quantcast, OneTrust e Usercentrics (CookieBot) ajustados para conformidade com GDPR e CCPA.
Header bidding – uma tecnologia do Google supostamente tentou matar – é uma forma de os editores leiloarem seu inventário de anúncios para várias trocas de anúncios, conhecidas como plataformas de fornecimento (ou SSPs), antes de passar o lance vencedor para um servidor de anúncios como o Google Ad Manager. E como o lance de cabeçalho via prebid.js ocorre no cliente, os pesquisadores foram capazes de interceptar e analisar as transações relacionadas do lado do cliente.
Para verificar se seus opt-outs estavam sendo respeitados, os boffins visitaram seu conjunto de sites com personas de interesse do usuário (esperando lances mais altos para anúncios direcionados a esses interesses) e uma persona de controle – um perfil de navegador em branco. Eles coletaram lances e solicitações de rede de anunciantes para configurações de ativação e desativação e, em seguida, analisaram os resultados.
Em teoria, a desativação deve reduzir os lances do anunciante a um nível comparável ao da persona de controle em branco em termos de uso de dados, compartilhamento de dados do lado do cliente e compartilhamento de dados do lado do servidor. Infelizmente, muitas vezes não era esse o caso.
Os interesses vazados do usuário são usados para direcionar anúncios para os usuários, apesar do consentimento dos usuários em cancelar o processamento de dados como parte dos regulamentos
“No geral, observamos que, sob os CMPs, a maioria das personas recebe lances mais altos em comparação com o controle quando os usuários optam por não processar dados e vender sob GDPR e CCPA”, observam os pesquisadores. “A variabilidade nos valores dos lances, particularmente lances mais altos em comparação com o controle, indica que os interesses vazados do usuário são usados para direcionar anúncios para os usuários, apesar do consentimento dos usuários em cancelar o processamento de dados como parte dos regulamentos”.
Os boffins também observam que os resultados de opt-out não são estatisticamente diferentes dos opt-in, o que eles interpretam como significando que o conteúdo do usuário em grande parte não tem efeito sobre o processamento e venda de dados.
No entanto, eles observam que alguns CMPS parecem transmitir consentimento de forma mais eficaz – especificamente Didomi.
OneTrust e Usercentrics não responderam imediatamente a um pedido de comentário.
“Nossas descobertas em geral lançam sérias dúvidas sobre a eficácia dos regulamentos como único meio de proteção da privacidade”, concluem os pesquisadores. “Especificamente, mesmo depois que os usuários optam por CMPs, seus dados ainda podem ser usados e compartilhados por anunciantes. Infelizmente, para proteger totalmente a privacidade, os usuários ainda precisam contar com ferramentas de aprimoramento da privacidade, como extensões de navegador de bloqueio de anúncios/rastreadores e navegadores focados em privacidade (por exemplo, Brave Browser).”
No entanto, isso é pedir demais aos usuários da Internet, argumentam os pesquisadores. Os reguladores precisam intensificar a fiscalização e trabalhar na detecção de violações da lei em grande escala. ®
.
