Do Not Track (HTTP)

Do Not Track (DNT) ya no es un campo de encabezado HTTP oficial, diseñado para permitir a los usuarios de Internet optar por no seguir el seguimiento de los sitios web, lo que incluye la recopilación de datos sobre la actividad de un usuario en múltiples contextos distintos y la retención, uso, o compartir datos derivados de esa actividad fuera del contexto en el que ocurrió.

El encabezado Do Not Track fue propuesto originalmente en 2009 por los investigadores Christopher Soghoian, Sid Stamm y Dan Kaminsky. Mozilla Firefox se convirtió en el primer navegador en implementar la función, mientras que Internet Explorer, Safari de Apple, Opera y Google Chrome agregaron soporte posteriormente. Los esfuerzos para estandarizar No rastrear por parte del W3C en el Grupo de trabajo de Expresión de preferencia de rastreo (DNT) alcanzaron solo la etapa de Recomendación candidata y finalizaron en septiembre de 2018 debido a una implementación y soporte insuficientes.

DNT no es ampliamente adoptado por la industria, y las empresas citan la falta de mandatos legales para su uso, así como estándares y pautas poco claros sobre cómo los sitios web deben interpretar el encabezado. Por lo tanto, los críticos afirman que no se garantiza que habilitar DNT realmente tenga algún efecto. El W3C disolvió su grupo de trabajo DNT en enero de 2019, citando apoyo y adopción insuficientes. Apple suspendió el soporte para DNT el mes siguiente, citando preocupaciones sobre las huellas digitales del navegador. A partir de noviembre de 2021, Mozilla Firefox continúa admitiendo DNT. En Firefox, la función está activada de forma predeterminada en el modo de navegación privada y es opcional en el modo normal.

En 2020, una coalición de empresas de Internet con sede en EE. UU. anunció un encabezado de Control de privacidad global que sucede espiritualmente al encabezado No rastrear. Los creadores esperan que este nuevo encabezado cumpla con la definición de "controles de privacidad global habilitados por el usuario" definidos por la Ley de Privacidad del Consumidor de California (CCPA) y el Reglamento General Europeo de Protección de Datos (GDPR). En este caso, el nuevo encabezado sería reforzado automáticamente por las leyes existentes y las empresas estarían obligadas a respetarlo.

Operación

El encabezado DNT acepta tres valores: 1en caso de que el usuario no desee ser rastreado (opt out), 0en caso de que el usuario consienta en ser rastreado (opt in), o nulo (no se envía encabezado) si el usuario no ha expresado una preferencia. El comportamiento predeterminado requerido por el estándar es no enviar el encabezado a menos que el usuario habilite la configuración a través de su navegador o su elección esté implícita en el uso de ese navegador específico.

Historia

En 2007, varios grupos de defensa del consumidor solicitaron a la Comisión Federal de Comercio de EE. UU. que creara una lista de No rastrear para la publicidad en línea. La propuesta habría requerido que los anunciantes en línea enviaran su información a la FTC, que compilaría una lista legible por máquina de los nombres de dominio utilizados por esas empresas para colocar cookies o rastrear a los consumidores.

En julio de 2009, los investigadores Christopher Soghoian y Sid Stamm crearon un complemento prototipo para el navegador web Firefox, implementando soporte para el encabezado Do Not Track. Stamm era, en ese momento, ingeniero de privacidad en Mozilla, mientras que Soghoian poco después comenzó a trabajar en la FTC. Un año después, durante una audiencia de privacidad en el Senado de EE. UU., el presidente de la FTC, Jon Leibowitz, le dijo al Comité de Comercio del Senado que la comisión estaba explorando la idea de proponer una lista de "no rastrear".

En diciembre de 2010, la FTC emitió un informe de privacidad que pedía un sistema de "no rastrear" que permitiría a las personas evitar que sus acciones sean monitoreadas en línea.

Una semana después, Microsoft anunció que su próximo navegador incluiría compatibilidad con las listas de protección de seguimiento que bloquean el seguimiento de los consumidores mediante listas negras proporcionadas por terceros. En enero de 2011, Mozilla anunció que su navegador Firefox pronto proporcionaría una solución Do Not Track, a través de un encabezado de navegador. Internet Explorer de Microsoft, Safari de Apple, Opera y Google Chrome agregaron posteriormente soporte para el enfoque de encabezado.

En agosto de 2015, una coalición de grupos de privacidad liderada por Electronic Frontier Foundation que utiliza el estándar de expresión de preferencia de seguimiento (DNT) de W3C propuso que "No rastrear" sea el objetivo que los defensores exijan a las empresas.

En enero de 2019, el Grupo de Trabajo de Protección de Rastreo del W3C se disolvió, citando el "despliegue insuficiente de estas extensiones" y la falta de "indicaciones de soporte planificado entre los agentes de usuario, terceros y el ecosistema en general". A partir del mes siguiente, Apple eliminó la compatibilidad con DNT de Safari, citando que podría usarse como una "variable de huellas dactilares" para el seguimiento.

Controversia sobre la configuración predeterminada de Internet Explorer 10

Al usar la configuración "Exprés" durante la instalación, la opción No rastrear está habilitada de forma predeterminada para Internet Explorer 10 y Windows 8. Microsoft enfrentó críticas por su decisión de habilitar No rastrear de forma predeterminada por parte de las empresas de publicidad, quienes dicen que el uso de la El encabezado No rastrear debe ser una elección realizada por el usuario y no debe habilitarse automáticamente. Las compañías también dijeron que esta decisión violaría el acuerdo de Digital Advertising Alliance con el gobierno de los EE. UU. para honrar un sistema Do Not Track, porque la coalición dijo que solo honraría tal sistema si no estuviera habilitado de manera predeterminada por los navegadores web. Sin embargo, un portavoz de Microsoft defendió su decisión afirmando que los usuarios preferirían un navegador web que respetara automáticamente su privacidad.

El 7 de septiembre de 2012, Roy Fielding, autor del estándar Do Not Track, envió un parche al código fuente del servidor Apache HTTP, lo que haría que el servidor ignorara explícitamente cualquier uso del encabezado Do Not Track por parte de los usuarios de Internet. Explorer 10. Fielding escribió que la decisión de Microsoft "viola deliberadamente" la especificación Do Not Track porque "no protege la privacidad de nadie a menos que los destinatarios crean que fue establecida por un ser humano real, con una preferencia real por la privacidad sobre la personalización". La especificación Do Not Track no exigía explícitamente que el uso de Do Not Track fuera una opción hasta después de que se implementara la característica en Internet Explorer 10.Según Fielding, Microsoft sabía que sus señales de No rastrear serían ignoradas y que su objetivo era dar una ilusión de privacidad sin dejar de satisfacer sus propios intereses. El 9 de octubre de 2012, se comentó el parche de Fielding, restaurando el comportamiento anterior.

El 3 de abril de 2015, Microsoft anunció que, a partir de Windows 10, cumpliría con la especificación y ya no habilitaría automáticamente No rastrear como parte de la configuración predeterminada "Exprés" del sistema operativo, pero que la compañía "brindará a los clientes información clara". información sobre cómo activar esta función en la configuración del navegador si así lo desean".

Adopción

En realidad, muy pocas empresas de publicidad admitían DNT, debido a la falta de requisitos reglamentarios o voluntarios para su uso y a la falta de claridad de los estándares sobre cómo los sitios web deberían responder al encabezado. Los sitios web que cumplen con las solicitudes de DNT incluyen Medium y Pinterest. A pesar de ofrecer la opción en su navegador web Chrome, Google no implementó la compatibilidad con DNT en sus sitios web y, en su lugar, dirigió a los usuarios a su configuración de privacidad en línea y optó por no recibir publicidad basada en intereses. Digital Advertising Alliance, Council of Better Business Bureaus y Direct Marketing Association no requieren que sus miembros respeten las señales DNT.

El uso de software de bloqueo de anuncios para bloquear los rastreadores web y la publicidad se ha vuelto cada vez más común (los usuarios citan como justificación tanto la preocupación por la privacidad como el impacto en el rendimiento), mientras que Apple y Mozilla comenzaron a agregar mejoras de privacidad (como "protección de rastreo") a sus navegadores, que están diseñados para reducir el seguimiento indebido entre sitios. Además, leyes como el Reglamento General de Protección de Datos (GDPR) de la Unión Europea han impuesto restricciones sobre cómo las empresas deben almacenar y procesar la información personal.

El profesor asociado de informática de la Universidad de Princeton, Jonathan Mayer, que fue miembro del grupo de trabajo del W3C para DNT, argumentó que el concepto es un "experimento fallido".

Control de privacidad global

El control de privacidad global (GPC) es un campo de encabezado HTTP propuesto y una propiedad DOM que se puede usar para informar a los sitios web sobre el deseo del usuario de que los rastreadores de anuncios no vendan ni usen su información. GPC fue desarrollado en 2020 por investigadores de tecnología de privacidad como el profesor de la Universidad de Wesleyan Sebastian Zimmeck y el exjefe de tecnología de la Comisión Federal de Comercio Ashkan Soltani, así como un grupo de empresas centradas en la privacidad, incluidas Electronic Frontier Foundation y Automattic, el propietario de Tumblr. y WordPress. La señal ha sido implementada por la extensión de privacidad DuckDuckGo, The New York Times y el navegador de privacidad Brave y cuenta con el respaldo del creador de Firefox, Mozilla, así como del exfiscal general de California, Xavier Becerra.GPC es un sucesor espiritual del encabezado Do Not Track que se creó en 2009 pero no tuvo un éxito generalizado debido a la falta de legislación que exija a las empresas respetar legalmente el encabezado Do Not Track.

GPC es una señal válida de No vender mi información personal de acuerdo con la Ley de Privacidad del Consumidor de California (CCPA), que estipula que los sitios web están legalmente obligados a respetar una señal enviada por los usuarios que desean cancelar la venta de sus datos personales. En julio de 2021, el Fiscal General de California aclaró a través de una pregunta frecuente que, según la ley, se debe respetar la señal de Control de privacidad global.