Τα προγράμματα Συμβουλευτικής μοιράζονται πληροφορίες σχετικά με τους χρήστες των ιστότοπων τους – συμπεριλαμβάνοντας αυτούς που ζητούν βοήθεια με απαίτηση παροχών για αναπηρία ή αλκοολισμό – με δεκάδες ιδιωτικές εταιρείες.
Περισσότερες από 400 τοπικές αρχές επέτρεψαν σε τουλάχιστον μία τρίτη εταιρεία να εντοπίζει τα άτομα που επισκέπτονται τα website τους, αποκάλυψε η έρευνα.
Ορισμένα συμβούλια διαπίστωσαν ότι επιτρέπουν σε εταιρείες να εντοπίζουν τη χρήση ευαίσθητων τμημάτων των website τους, όπως όταν οι άνθρωποι αναζητούν οικονομική βοήθεια ή υποστήριξη για κατάχρηση ουσιών.
Τα data που λαμβάνονται από το tracking των cookies για το που οι χρήστες περιηγούνται online μπορούν να πωληθούν από τους “μεταπωλητές των data” με στόχο το κέρδος.
Οι επικριτές ισχυρίστηκαν ότι οι δικτυακοί τόποι των δημοτικών συμβουλίων εξυπηρετούν δημόσιο σκοπό και δεν πρέπει να επιτρέπουν σε εξωτερικές επιχειρήσεις να παρακολουθούν τη δραστηριότητα των χρηστών τους, ιδίως λόγω του ευαίσθητου χαρακτήρα κάποιων επισκέψεων.
Ο Wolfie Christl, τεχνολόγος και ερευνητής που ερευνά τη βιομηχανία ad-tech, δήλωσε: “Οι ιστότοποι και οι εφαρμογές που εξυπηρετούν κάποιο δημόσιο τομέα δεν πρέπει να χρησιμοποιούν καθόλου επεμβατική παρακολούθηση τρίτου μέρους”.
Ο Johnny Ryan, ο επικεφαλής της ομάδας πολιτικής στον ανώνυμο browser Brave, ο οποίος ανέλυσε τα website των συμβουλίων και μοιράστηκε τα ευρήματα με την Guardian, δήλωσε: “Οι ιδιωτικές εταιρείες που είναι ενσωματωμένες σε ιστότοπους συμβουλίων μαθαίνουν πράγματα για εσάς. Αυτό συμβαίνει ακόμα και στις πιο ευαίσθητες περιπτώσεις, όταν μπορεί να ζητάτε βοήθεια από το συμβούλιο σας.”
Οι γενναίοι χρησιμοποιούσαν εργαλεία ανοιχτού κώδικα για να δουν ποιες εταιρείες υπήρχαν σε ορισμένες ιστοσελίδες. Βρήκαν ότι 409 website συμβουλίων στο Ηνωμένο Βασίλειο επέτρεψαν σε ιδιωτικές εταιρείες να λαμβάνουν δεδομένα σχετικά με τους επισκέπτες τους.
Η έρευνα έδειξε:
- Είκοσι τρία συμβούλια επιτρέπουν στους μεσίτες δεδομένων – επιχειρήσεις που συλλέγουν προσωπικές πληροφορίες σχετικά με τους καταναλωτές και πωλούν αυτές τις πληροφορίες σε άλλους οργανισμούς – να μάθουν πότε επισκέπτονταν κάποιο από τα website τους.
- Στον ιστότοπο του δήμου Enfield, μια σελίδα για άτομα που χρειάζονται οικονομική υποστήριξη για διαμονή και φαγητό επέτρεψε σε 21 εταιρείες, συμπεριλαμβανομένης της Google, να δουν ποιος επισκέφθηκε την ιστοσελίδα.
- Μια σελίδα του συμβουλίου της Sheffield για άτομα που ζητούν βοήθεια για κατάχρηση ουσιών μοιράστηκε δεδομένα σχετικά με επισκέπτες με τουλάχιστον 20 εταιρείες, συμπεριλαμβανομένων επτά εταιρείων που αγοράζουν δεδομένα.
- Το website εκπαιδευτικών αναγκών και αναπηριών της Ealing επέτρεψε σε τουλάχιστον 21 επιχειρήσεις να έχουν πρόσβαση στα δεδομένα σχετικά με τους επισκέπτες.
- Σχεδόν 7 εκατομμύρια άνθρωποι εξυπηρετούνται από συμβούλια που επιτρέπουν σε έναν μεσίτη δεδομένων όπως το LiveRamp, να παρακολουθεί τους ανθρώπους στις τοποθεσίες τους. Η εταιρεία αποτελούσε μέρος της Acxiom, μιας ομάδας που πωλούσε προφίλ εκλογών στην Cambridge Analytica.
Οι εταιρείες παρακολουθούν την ηλεκτρονική δραστηριότητα μέσω των cookies, pixels και άλλων trackers. Όταν ενσωματωθούν σε ένα πρόγραμμα περιήγησης, αυτά τα κομμάτια κώδικα μπορούν να επιτρέψουν στους χρήστες να εντοπιστούν στον ιστό. Αν και δεν εντοπίζουν προσωπικά στοιχεία όπως όνομα ή διεύθυνση, προσδιορίζουν τις συνήθειες προβολής ενός χρήστη – όπως η σελίδα που φορτώθηκε σε μια συγκεκριμένη ώρα.
Ενώ πολλοί ιστότοποι, συμπεριλαμβανομένης της Guardian χρησιμοποιούν cookies, ο Ravi Naik, δικηγόρος δεδομένων, ανέφερε ότι η χρήση τους σε δικτυακούς τόπους συμβούλων ήταν προβληματική λόγω της φύσης των λεπτομερειών που μοιράζονται. Είπε: “Έχουμε περισσότερες από τις συνομιλίες μας με το κράτος μέσω των τοπικών αρχών και εξαιτίας αυτού συνεπάγονται πιο ευαίσθητες και προσωπικές πληροφορίες”.
Τώρα απαγορεύεται στις εταιρείες να μοιράζονται data σχετικά με προστατευόμενες κατηγορίες χωρίς ρητή συγκατάθεση. Αυτό σημαίνει ότι προτού συλλεχθούν πληροφορίες για την υγεία, τον σεξουαλικό προσανατολισμό, την εθνικότητα και τις πολιτικές απόψεις, ο χρήστης πρέπει να συμφωνήσει με την συγκεκριμένη κοινή χρήση των δεδομένων της “ειδικής κατηγορίας”.
Οι εταιρείες λένε ότι έχουν συναίνεση μέσω των ατόμων που δέχονται cookies. Ωστόσο, η αναφορά του Brave διαπίστωσε ότι, ενώ μερικά website ενδέχεται να έχουν δηλώσει ότι χρησιμοποιούσαν cookies, κανένας χρήστης δεν έκανε κλικ στο κουμπί της αποδοχής.
Ο νόμος δηλώνει ότι η συναίνεση πρέπει να ενημερώνεται και να βασίζεται σε ρητή θετική ενέργεια. Η Υπηρεσία Επιτρόπου Πληροφοριών (ICO) δήλωσε: “Για να είναι έγκυρη, η συγκατάθεση πρέπει να παρέχεται ελεύθερα, συγκεκριμένη και ενημερωμένη. Πρέπει να περιλαμβάνει κάποια μορφή σαφούς θετικής δράσης – για παράδειγμα, κάνοντας κλικ σε ένα σύνδεσμο – και το άτομο πρέπει να καταλάβει πλήρως ότι σας δίνει την συγκατάθεσή του.”
Ο Ryan δήλωσε: “Χρησιμοποιήσαμε ένα αυτόματο σύστημα για τη φόρτωση της ιστοσελίδας του κάθε συμβουλίου. Το μόνο που κάνει είναι να φορτώσει τον ιστότοπο. Δεν είναι σε θέση να κάνει κλικ σε κουμπιά. Όλη η παρακολούθηση που αποκαλύφθηκε στην έρευνά μας συνέβη χωρίς συγκατάθεση.”
Ο Mark Gannon, διευθυντής επιχειρηματικών αλλαγών και λύσεων IT στο δημοτικό συμβούλιο του Sheffield, δήλωσε ότι τα cookies χρησιμοποιήθηκαν στον ιστότοπό του “και απαιτούμε τη συγκατάθεση όλων των πελατών για την αποθήκευση ή την ανάκτηση data σε desktop, laptop, smartphone ή tablet”.
Η έκθεση αναφέρει ότι όταν φορτώθηκε ο δικτυακός τόπος του συμβουλίου του Sheffield, οι εταιρείες μπορούσαν να παρακολουθήσουν κάποιον χωρίς να κάνει σε τίποτα.
Η Συμβουλευτική του Sheffield έλεγε ότι χρησιμοποιούσαν ένα εργαλείο διαφημίσεων στο Διαδίκτυο που τους είχε δώσει το Δίκτυο Διαφήμισης του Συμβουλίου. Το δίκτυο δήλωσε: “Δεν εγκαθίστανται cookies για σκοπούς υποκλοπής και μεταπώλησης data – αυτό σημαίνει ότι τα data που συλλέγονται από τον ιστότοπο πωλούνται, ενώ δεν συμβαίνει κάτι τέτοιο.”
Το συμβουλευτικό κέντρο της Ealing δήλωσε ότι πίστευε ότι η προσέγγισή του ήταν “σύμφωνη με τις απαιτήσεις του GDPR”. Ωστόσο, σημείωσε: “Πρόκειται για μια πολύπλοκη και συνεχώς εξελισσόμενη περιοχή η οποία πρέπει να παρακολουθείται συνεχώς”.
Η LiveRamp δήλωσε ότι δεν ήταν πλέον μέρος της Acxiom και ότι ποτέ δεν είχε «πουλήσει τις πληροφορίες του εκλογικού προφίλ του Ηνωμένου Βασιλείου στην Cambridge Analytica». Είπε ότι λειτουργεί σύμφωνα με τους νόμους περί δικαιοδοσίας και εργάστηκε “επιμελώς για να ανιχνεύσει και να αποτρέψει την κακή χρήση δεδομένων”.
Άλλα 198 συμβουλευτικά κέντρα χρησιμοποιούν την υποβολή προσφορών σε πραγματικό χρόνο (RTB) – όταν ένας χρήστης διαδικτύου φορτώνει μια σελίδα, χιλιάδες δυνητικά διαφημιζόμενοι προσφέρονται να τους εξυπηρετήσουν μια αγγελία. Σημαίνει ότι τα data των ανθρώπων μεταδίδονται σε όλο το διαδίκτυο σε εκατοντάδες εταιρείες.
Ο Naik δήλωσε ότι ήταν δύσκολο να πει εάν τα συμβούλια είχαν κερδίσει χρήματα από αυτό. “Αλλά φαντάζομαι στα συμβολευτικά κέντρα φαίνεται να είναι μια κατάσταση κερδοφόρα.”
Ένας εκπρόσωπος της Google δήλωσε ότι δεν δημιουργήθηκαν διαφημιστικά προφίλ “από ευαίσθητες κατηγορίες ενδιαφέροντος και μεταξύ άλλων από website που προσφέρουν βοήθεια για την αντιμετώπιση προσωπικών δυσκολιών και έχουμε αυστηρές πολιτικές που εμποδίζουν τους διαφημιζόμενους να χρησιμοποιούν τέτοια δεδομένα για να στοχεύουν διαφημίσεις”.
Είπαν στην Guardian ότι τα cookies τρίτων θα μπορούσαν να χρησιμοποιηθούν για την καλύτερη δυνατή λειτουργία βασικών λειτουργιών του ιστότοπου ή για την προβολή και τη μέτρηση των διαφημίσεων.
