RASTREADORES WEB
Los rastreadores son herramientas que permiten seguir el rastro a los usuarios de Internet de manera que quien los rastrea pueda conocer sus acciones y ciertos hábitos de conducta. No todos los rastreadores que circulan en Internet son cookies, ni todos implican los mismos riesgos para los usuarios. En este artículo vamos a ver los principales tipos de herramientas de seguimiento que existen actualmente y a explicar qué finalidad tiene cada uno de ellos:
- Cookies HTTP (o cookies, a secas);
- Pixels de seguimiento y otros “web beacons”;
- Técnicas de Fingerprinting; y
- Espacios de almacenamiento HTML (tipo LocalStorage, SessionStorage).
A través de los siguientes enlaces podrás acceder fácilmente a la información que te interese:
1 ¿Qué son las cookies y que clases hay?
1.1 ¿Qué tipos de cookies hay?
1.1.1 Clasificación de las cookies atendiendo a su finalidad
1.1.2 Clasificación atendiendo al tiempo que perduran
1.1.3 Clasificación de las cookies atendiendo a su procedencia
2 ¿Qué son los web beacons (pixels de seguimiento, etc.)?
4 ¿Qué son los espacios de almacenamiento HTML?
Una cookie HTTP (o “cookie”, a secas) es un pequeño archivo que un sitio web descarga en el dispositivo del usuario cuando el usuario lo visita. Una vez la cookie se encuentra en el dispositivo del usuario, el sitio web podrá almacenar en ella información y recuperarla conforme la necesite, ya sea durante esa visita o en visitas posteriores de ese mismo usuario/navegador.
El uso generalizado de la Internet ha permitido a los proveedores de contenidos i servicios, y a terceros que se dedican al análisis de las redes, desarrollar mecanismos para conocer, por ejemplo, si quien visitaba una web lo hacía por primera vez, desde dónde había llegado, por qué otras páginas del sitio web habían pasado los usuarios, si se habían registrado, o darles la posibilidad de guardar configuraciones personales (como por ejemplo el idioma de visualización) o datos de una sesión. Las cookies permiten implementar estas funcionalidades y muchas más.
Las cookies permiten, entre otras cosas, que los anunciantes conozcan qué sitios de Internet visitan las personas individuales para ofrecer a cada una de ellas productos/contenidos y servicios acordes a sus gustos (personalizados). Igualmente, aunque en un ámbito distinto de los que podríamos utilizar para clasificarlas, las cookies permiten a los responsables de los sitios web saber también las páginas que más y menos se han visitado, así como otras estadísticas sobre la efectividad de la estructura y contenidos de su sitio, para tomar decisiones que mejoren la calidad y posicionamiento de su sitio web en la Internet, y un largo etcétera.
El seguimiento de la actividad de los usuarios en la red se implementa mediante lo que genéricamente se denominan cookies, que suelen asociarse con pequeños archivos utilizados por los servidores de las páginas web para almacenar y recuperar información del dispositivo de un usuario, lo que permite tratar datos personales de este cuando navega e interacciona con las diferentes aplicaciones y contenidos desplegados en las redes, en la Internet, las extranets i las intranets. En realidad, bajo la denominación de cookies se enmarcan muchas técnicas que permiten el seguimiento de los usuarios de forma activa o pasiva, y, en ocasiones, de forma poco transparente. Entre estas tecnologías de seguimiento se pueden encontrar aquellas que utilizan las características del dispositivo, los identificadores únicos y los hábitos de navegación del usuario. Cada vez que pedimos una página, una imagen o un contenido a un servidor web, le estamos comunicando, al menos, nuestra dirección IP, con lo que se puede saber nuestra ubicación geográfica, pero también el modelo de navegador que usamos y, en consecuencia, también nuestro sistema operativo, el dispositivo con el que nos conectamos, y cómo está de actualizado. Un servidor de páginas web puede saber si el usuario que navega tiene un bloqueador de elementos emergentes, cuánta memoria tiene su equipo, qué tarjeta gráfica usa, o cómo se mueve el ratón por la pantalla. Toda esta información se agrupa bajo el nombre genérico de fingerprint o huella digital del dispositivo y puede utilizarse en servidores de Internet para vincular toda la actividad del usuario y así poder crear un perfil de este.
El RGPD, y por tanto la LQPD que (aún sin los considerandos) se adecua al mismo, se pronuncia respecto de las cookies en su considerando 308, reconociendo su capacidad para elaborar perfiles de las personas e identificarlas. La normativa especial que regula, para los servicios de la sociedad de la información, la utilización de cookies viene recogida en el artículo 20 de la Llei 20/2014, del 16 d’octubre, reguladora de la contractació electrònica i dels operadors que desenvolupen la seva activitat econòmica en un espai digital. Los criterios de la Agencia Andorrana de Protección de Datos (APDA) para la adecuación a la normativa sobre cookies a los prestadores de servicios de la sociedad de la información se encuentran detallados en la Guia sobre l'ús de Cookies, política de privadesa i avís legal cuya segunda edición se publicó en septiembre de 2022. En dicha guía se incluyen, también, las definiciones de los distintos tipos de cookies, las obligaciones de los editores en cuanto a la información a proporcionar a los usuarios, el modo de recoger el consentimiento previo a su empleo y la responsabilidad de las partes en la utilización de las cookies. En lo sucesivo nos remitiremos a dicha guía en los aspectos que allí se tratan, y los complementaremos con alguna información o criterio que refleje la actualidad cambiante de las mejores prácticas de protección de datos en materia de cookies.
En general, hay tres maneras diferentes de clasificar las cookies:
- según la finalidad;
- según el tiempo que perduran; y
- según la procedencia.
Se distinguen las siguientes 4 categorías de cookies atendiendo a su finalidad:
- Cookies técnicas o estrictamente necesarias: Estas cookies son esenciales para que los usuarios naveguen por el sitio web y utilicen sus funciones. Son ejemplos de este tipo de cookies los identificadores de sesión, los identificadores para acceder a áreas restringidas del sitio web, las cookies de prevención de fraudes (vinculadas a la seguridad del servicio), los contadores de visitas a efectos de controlar las licencias de software, las cookies que habilitan contenido dinámico del sitio web, etc. También son cookies técnicas aquellas cookies que permiten la gestión, de la forma más efectiva posible, de los espacios publicitarios que, como un elemento más de la maquetación, se emplazan en el sitio web, la app, o la plataforma (siempre que no se recoja información de los usuarios con una finalidad diferente, como podría ser la de personalizar el contenido publicitario). Las cookies técnicas o las estrictamente necesarias no requieren el consentimiento previo del usuario, pero se le ha de informar sobre su existencia en la política de cookies, o en su defecto, en la política de privacidad del sitio web, al efecto de cumplir con el deber de información que tiene el responsable del tratamiento de los datos recogidos en las cookies (como mínimo, qué hacen y, cuando pueda caber duda sobre su esencialidad, por qué son necesarias).
- Cookies de preferencias: También conocidas como "cookies de funcionalidad". Estas cookies permiten que un sitio web recuerde las elecciones que ha hecho el usuario en el pasado, como por ejemplo qué idioma prefiere, de qué región le gustan los informes meteorológicos o cuál es su nombre de usuario y contraseña para iniciar sesión automáticamente. Si es el mismo usuario quién escoge estas preferencias (por ejemplo, haciendo clic al icono del idioma preferido, o seleccionando la opción «Recuérdame») el responsable del tratamiento de esos datos no necesita recoger el consentimiento previo de los usuarios (en lo que se refiere a esta finalidad del tratamiento).
- Cookies de estadísticas: También conocidas como "cookies de rendimiento" o “cookies analíticas”. Estas cookies recogen información sobre como el usuario usa un sitio web o una app con el objetivo de mejorar las funcionalidades que ofrece el sitio web. Son ejemplos de este tipo de cookies las que recogen qué páginas ha visitado el usuario y en qué enlaces ha hecho clic. Las estadísticas que se generan tratando los datos que recogen estas cookies no serán datos que puedan identificar a un usuario, una vez que los datos recogidos por estas cookies ya estén agregados y, por tanto, esas estadísticas serán anónimas. No obstante, antes de estar agregados, los datos que recogen estas cookies suelen identificar de forma única a los visitantes para poder distinguir, por ejemplo, el caso de un visitante que accede muchas veces a la misma página del caso de muchos visitantes únicos que accedan una única vez a esa página (dos métricas radicalmente distintas para decidir qué parte de una web merece una optimización dado el elevado número de personas que la visitan). Debido a que los datos que recogen estas cookies antes de extraer de ellos las estadísticas suelen estar vinculados a identificadores únicos del visitante, esos datos se han de considerar datos personales y, por tanto, al no ser estrictamente necesarios para el funcionamiento del sitio web, el responsable del tratamiento está obligado a obtener el consentimiento de los usuarios antes de descargar en el dispositivo de dicho usuario este tipo de cookies o, si ya están descargadas, antes de recoger los datos que las mismas hayan almacenado.
- Cookies publicitarias: Estas cookies hacen un seguimiento de la actividad en línea del usuario para ayudar los anunciantes a ofrecer la publicidad más relevante o para limitar el número a veces que se ve un anuncio. Estas cookies suelen compartir esta información con otras organizaciones o anunciantes (terceros).
- Cookies de sesión: Los sitios web no tienen memoria, por lo que utilizan las cookies de sesión para recordar a un usuario durante un tiempo limitado: la sesión, que comienza cuando entras al sitio web (o a una aplicación web) desde una pestaña/ventana de tu navegador y termina cuando sales del mismo o matas esa pestaña del navegador. Estas cookies están diseñadas para recoger datos y almacenarlos mientras el usuario navega por el sitio web y se suelen emplear para almacenar información para proporcionar el servicio solicitado por el usuario mientras dura la sesión, caducando (eliminándose) cuando el usuario abandona el sitio web. La siguiente vez que ese usuario entre a ese mismo sitio web, o si lo abre en una nueva ventana del navegador, se le considerará una nueva visita y se le abrirá una nueva sesión con sus propias cookies de sesión. Un ejemplo típico de este tipo de cookies son las que utilizan los balanceadores de carga de la red para saber a qué ventana del navegador enviar un determinado contenido cuando el usuario tiene varias ventanas abiertas en el mismo sitio web, o las cookies que recogen los productos que el usuario va dejando en un carrito de la compra (si bien, cuando se utilizan únicamente cookies de sesión, si la sesión se rompe, los productos del carrito se pierden, razón por la cual suele haber otra cookie persistente que permita al usuario recuperar su carrito cuando vuelve a acceder al e-commerce desde otra ventana/pestaña del navegador).
- Cookies persistentes: Esta categoría incluye todas las galletas que permanecen en el disco duro del usuario hasta que éste las borra o hasta que lo hace su navegador cuando detecta que la fecha de caducidad de la cookie ha expirado. Todas las cookies persistentes tienen una fecha de caducidad escrita en su código, y su duración puede variar entre un minuto y cientos de años. En tanto que la cookie no caduque, los datos recogidos por ella podrán ser consultados y tratados por el responsable del sitio web, o por los terceros que la crearon.
- Cookies propias: Son aquellas que se envían al dispositivo terminal del usuario desde el mismo sitio web que está visitando el usuario. Su diferencia con las otras cookies es que únicamente el responsable de ese sitio web concreto podrá leer los datos que recogen sus cookies propias.
- Cookies de terceros: Son las que se envían al usuario desde un dominio distinto del correspondiente al sitio web que visita el usuario, lo que significa que será el titular de ese otro dominio, un tercero, quien realmente tenga acceso a los datos que recogen sus cookies. De esta manera, los terceros consiguen una visión del comportamiento de navegación de los usuarios, lo que facilita que se creen perfiles de usuario más precisos que permitan a los terceros ofrecer, por ejemplo, publicidad dirigida según los gustos de cada usuario concreto. Son ejemplos típicos de este tipo de cookies las que instalan las empresas que gestionan publicidad en determinados banners publicitarios, o las cookies de preferencias que colocan las empresas de reproducción de vídeos u otros prestadores de servicios embebidos en páginas web (proveedores de servicios de pago, etc.).
Una baliza web (web beacon) es otra de las técnicas utilizadas para rastrear quién está visitando una página web (y se puede utilizar igualmente para saber si se leyó o reenvió un determinado correo electrónico, o si han copiado tu página web en otro sitio web).
Las primeras balizas web eran pequeños archivos de imágenes digitales que se incrustaban en una página web o correo electrónico. La imagen podía ser tan pequeña como un solo píxel (un "píxel de seguimiento") y podía tener el mismo color que el fondo o ser completamente transparente. Cuando el usuario abre la página o el correo electrónico donde está incrustada dicha imagen, es posible que no vea la imagen, pero su navegador web o lector de correo electrónico descarga automáticamente la imagen del servidor web o del servidor de correo, lo que requiere que el dispositivo del usuario envíe una solicitud a dicho servidor. Esta solicitud incluye información que permite identificar al dispositivo del usuario, y por tanto, salvo que se utilice un dispositivo público, al propio usuario.
Esta técnica básica se ha desarrollado para incluir no solo imágenes, sino muchos otros elementos del contenido de una página web o un correo electrónico que tienen la capacidad de usarse como balizas. Actualmente, esos elementos pueden incluir gráficos, banners o botones, pero también elementos HTML no pictóricos como son, por ejemplo, el marco HTML, el estilo, el guion, la tecla de inserción de texto, el retorno de carro, el objeto, etc.
La información que proporciona el dispositivo del usuario cuando se descarga la baliza suele incluir su dirección IP, la hora en que se realizó la solicitud, el tipo de navegador web o lector de correo electrónico que realizó la solicitud y la existencia de cookies enviadas previamente por el servidor host. El responsable del tratamiento puede almacenar toda esta información y asociarla con un identificador de sesión o un token de seguimiento que marca de forma única la interacción.
El fingerprinting es el nombre que se da a la técnica de identificar de forma única el ordenador que utiliza habitualmente un usuario, para poder acumular datos con los que crear su perfil de navegación (que tipos de páginas web ve, con qué frecuencia lo hace, a que horas, etc.).
Hay dos tipos de fingerprinting del navegador con el que el usuario accede a un sitio web, el activo y el pasivo:
- Fingerprinting pasivo: El navegador a través del cual el usuario accede a una página web le comunica al servidor de esa página web (el servidor que envía esa página al navegador) algunos datos con los que se puede identificar de forma única dicho navegador, y con ello, al usuario que utiliza de forma reiterada ese navegador concreto. Entre los datos que el navegador del ordenador del usuario envía al servidor web pueden estar la dirección IP del ordenador, el puerto del ordenador que utiliza ese navegador para comunicarse con el servidor web, la configuración de idioma y teclado que tiene el ordenador, el sistema operativo del ordenador (incluyendo la versión y los parches instalados), así como la página web desde la cual se ha llegado a la que se está sirviendo al navegador (caso, por ejemplo, que se acceda a esa página web como consecuencia de clicar un link o un anuncio en otro sitio web).
- Fingerprinting activo. El fingerprinting de navegador “activo” es similar al “pasivo”, pero además permite al servidor web conocer datos adicionales como, por ejemplo, el tamaño de la pantalla del ordenador o el conjunto de plug-ins (extensiones) instalados en el navegador del usuario, lo que permite hacer una individualización más exhaustiva.
Esta técnica de rastreo, a diferencia de las anteriores, no instala nada en el ordenador del usuario y, por tanto, no es fácilmente auditable por parte del usuario. Ha de ser el titular del sitio web, o su delegado de protección de datos, quien garantice (en su política de cookies, y en base a la confianza que se tenga en el mismo) que no utiliza este tipo de rastreadores.
El objeto “Storage” (de la API de almacenamiento web, disponible en prácticamente todos los navegadores que aceptan HTML5) es otra de las facilidades que permiten almacenar datos de manera local en el navegador del visitante de un sitio web. La ventaja que tiene para los desarrolladores web utilizar esta tecnología frente a las cookies tradicionales (HTTP) es que el objeto “Storage” del navegador permite almacenar mucha más información (entre 5MB y 10MB, frente a los 4KB que pueden utilizar con las cookies) y no se envían al servidor web cada vez que el usuario visita el sitio web (o mejor dicho, cada vez que su navegador hace una solicitud HTTP al servidor web), con lo que se ahorra ancho de banda y se gana en velocidad de carga de las páginas que forman el sitio web.
LocalStorage y sessionStorage son dos propiedades (de las muchas que existen) que acceden al objeto Storage con el propósito de utilizar ese espacio de almacenamiento local (almacenamiento en el dispositivo del visitante al sitio web). La diferencia entre éstas dos propiedades es que localStorage almacena la información de forma indefinida o hasta que el usuario decida limpiar los datos del navegador y sessionStorage almacena información mientras la pestaña donde el usuario ha accedido a el sitio web siga abierta, una vez cerrada, la información se elimina.
Respecto a los datos que cada dominio (cada responsable, ya sea el propio sitio web o terceros) guarda en su objeto Storage, es toda una incógnita. Solo el desarrollador puede decir que variables/datos guarda en ese objeto, y en que valores tienen en cada momento, por lo que será el sitio web, a través de su política de cookies, quien nos tendrá que informar sobre sus respectivas finalidades.
[1] Conviene tener presente que una misma cookie puede tener más de una finalidad, y por tanto, puede estar incluida en más de una categoría.