Los reguladores en Europa se han enfrentado a una avalancha de quejas sobre compañías que operan en el campo de la tecnología publicitaria. Discutimos la situación: las causas y las posibles consecuencias.
Fotos - ev - Unsplash¿Cuáles son las quejas relacionadas con
Las apelaciones están relacionadas con la tecnología RTB (Real-Time Bidding). Es necesario para las subastas de anuncios y se basa en el protocolo
OpenRTB . Organizaciones como
IAB , Google, MediaMath y DataXu están
involucradas en su desarrollo. Para mostrar publicidad dirigida, el sistema RTB
identifica a los visitantes del sitio web mediante navegadores, cuentas de redes sociales y cookies. Representantes de grandes organizaciones y universidades europeas
señalan que los mecanismos RTB violan los requisitos del Reglamento General de Protección de Datos (GDPR) y pueden conducir a fugas masivas de PD.
A finales de mayo, los reguladores recibieron quejas en España, los Países Bajos, Bélgica y Luxemburgo. Fueron
enviados por representantes de la organización sin fines de lucro Fundación Eticas, la Fundación Bits of Freedom, así como las Universidades de Amsterdam y Lovaina.
A principios de año, los reguladores del Reino Unido, Polonia e Irlanda
presentaron quejas similares. Fueron dirigidos por los desarrolladores del navegador Brave, empleados de la Universidad de Londres y representantes de la organización Open Rights Group, que se ocupa de la observancia de los derechos humanos y las libertades en el mundo digital.
Lo que no se adapta a RTB
Cuando un usuario abre una página web, el sistema RTB (y sitios similares) analiza sus datos personales (cookies, etc.) y los envía a cientos de anunciantes. Además, los algoritmos especiales del lado de las empresas deciden si mostrar anuncios a esta persona o no, y establecen un precio para mostrar un banner. Un visitante del sitio verá un banner de la compañía que ofreció la mayor cantidad.
Tales "subastas" procesan una gran cantidad de transacciones diariamente. El sistema de compradores autorizados de Google
funciona con 8 millones de sitios web y 2,000 organizaciones. El segundo servicio AppNexus más popular de AT&T completa diariamente 130 mil millones de transacciones de datos personales. Al mismo tiempo, según las estimaciones de The New Economics Foundation, una página puede transmitir información sobre el usuario a otros 164 sitios (
página 4 ).
Los expertos señalan que toda esta situación es contraria al quinto artículo del GDPR.
Permite procesar PD solo si se proporciona protección confiable contra su pérdida o compromiso. El usuario debe saber quién usa sus datos y por qué. En las condiciones actuales, es imposible garantizar el cumplimiento de estos requisitos.
Ya existen precedentes: en mayo, Twitter
descubrió un error en el sistema AdTech. La compañía divulgó accidentalmente la información de ubicación de algunos usuarios de iOS a través de mecanismos RTB (aunque no aplicaron ninguna sanción por esta violación).
Fotos - Franki Chamaki - UnsplashOtro problema es la incapacidad de controlar el contenido de los perfiles de comportamiento que conforman la plataforma publicitaria. Algunas etiquetas que el sistema "adjunta" a los usuarios
pueden revelar información que el usuario no pretendía que fuera pública, por ejemplo, datos sobre posibles problemas de salud. Ahora, la industria de AdTech no tiene mecanismos especiales por los cuales es posible restringir la recopilación de datos o prohibir su procesamiento por parte de las personas, como lo requiere el
Artículo 18 del GDPR .
Lo que dicen los expertos
IAB
dice que las quejas sobre el trabajo de las empresas que proporcionan herramientas de AdTech solo perjudican el desarrollo de la industria digital y no tienen fundamento. Según ellos, los principios del trabajo RTB son totalmente consistentes con el GDPR: para cumplir con los requisitos de la ley, la asociación IAB
desarrolló el año pasado
un marco especial. Con él, los visitantes del sitio pueden averiguar qué sitios procesan sus datos personales. Google
utiliza una lista de
reglas y regulaciones para proteger la EP, que son obligatorias para la organización misma y los socios que trabajan en el campo del marketing programático.
Pero a principios de año, una fuente anónima en IAB
informó que la gerencia de la compañía estaba al tanto de las violaciones publicitarias programáticas de los requisitos del Reglamento General. Según ellos, es "técnicamente imposible" rectificar la situación. Los abogados y las figuras públicas llamaron a esta noticia evidencia de numerosas violaciones de la ley europea por parte de las empresas AdTech.
Los expertos esperan que los reguladores de España, Bélgica y Luxemburgo, que recibieron quejas sobre RTB este año, pronto comiencen a escribir multas.
Varios procedimientos ya están en marcha. En mayo, el regulador irlandés
inició una investigación sobre Quantcast. La empresa está acusada de recopilar datos personales y compilar perfiles de comportamiento ilegalmente. Aunque los representantes de Quantcast
dicen que no hay violaciones de su parte, y todos los procesos comerciales se llevan a cabo de conformidad con la ley. Google también
está bajo investigación debido a filtraciones de PD en el servicio de Compradores Autorizados: la empresa
corre el riesgo de recibir
otra multa por un monto del 4% de la facturación anual.
Que sigue
La Comisión de Protección de Datos de Irlanda y otros reguladores probablemente reconocen violaciones del GDPR. Además, se pueden tomar medidas a nivel de la Comisión Europea, lo que complicará el trabajo de las empresas de AdTech en toda la Unión Europea.
Lectura adicional de nuestros blogs y redes sociales:
Detección de dispositivos electrónicos en la frontera: ¿necesidad o violación de los derechos humanos?
Cómo verificar las cookies para el cumplimiento de GDPR: una nueva herramienta abierta ayudará
Cómo proteger un servidor virtual en Internet
Minimización de riesgos: cómo no perder sus datos
Instantáneas: ¿por qué necesitamos "instantáneas"
Copias de seguridad: brevemente sobre copias de seguridad