Os reguladores da Europa enfrentaram uma enxurrada de reclamações sobre empresas que operam no campo da tecnologia de publicidade. Discutimos a situação - as causas e possíveis consequências.
Fotos - ev - UnsplashQuais são as reclamações relacionadas a
Os recursos estão relacionados à tecnologia RTB (Real-Time Bidding). É necessário para leilões de anúncios e é baseado no protocolo
OpenRTB . Organizações como
IAB , Google, MediaMath e DataXu estão
envolvidas em seu desenvolvimento. Para exibir publicidade direcionada, o sistema RTB
identifica os visitantes do site por navegadores, contas de redes sociais e cookies. Representantes de grandes organizações e universidades européias
observam que os mecanismos de RTB violam os requisitos do Regulamento Geral de Proteção de Dados (GDPR) e podem levar a vazamentos maciços de DP.
No final de maio, foram recebidas reclamações pelos reguladores da Espanha, Holanda, Bélgica e Luxemburgo. Eles foram
enviados por representantes da organização sem fins lucrativos Eticas Foundation, da Bits of Freedom Foundation, além das Universidades de Amsterdã e Leuven.
No início do ano, queixas semelhantes foram
registradas por reguladores no Reino Unido, Polônia e Irlanda. Eles foram dirigidos pelos desenvolvedores do navegador Brave, funcionários da Universidade de Londres e representantes da organização Open Rights Group, que lida com a observância dos direitos humanos e liberdades no mundo digital.
O que não combina com RTB
Quando um usuário abre uma página do site, o sistema RTB (e sites similares) analisa seus dados pessoais (cookies etc.) e os envia para centenas de anunciantes. Além disso, algoritmos especiais do lado das empresas decidem se exibem anúncios para essa pessoa ou não e estabelecem um preço para a exibição de um banner. Um visitante do site verá um banner da empresa que ofereceu a maior quantidade.
Esses "leilões" processam um grande número de transações diariamente. O sistema de compradores autorizados do Google
funciona com 8 milhões de sites e 2.000 organizações. O segundo serviço AppNexus mais popular da AT&T realiza 130 bilhões de transações de dados pessoais diariamente. Ao mesmo tempo, de acordo com estimativas da The New Economics Foundation, uma página pode transmitir informações sobre o usuário para outros 164 sites (
página 4 ).
Os especialistas observam que toda essa situação é contrária ao quinto artigo do RGPD. Ele
permite processar o PD apenas se for fornecida proteção confiável contra perda ou comprometimento. O usuário deve saber quem usa seus dados e por quê. Nas condições atuais, não é possível garantir a conformidade com esses requisitos.
Já existem precedentes - em maio, o Twitter
descobriu um bug no sistema AdTech. A empresa divulgou acidentalmente as informações de localização de alguns usuários do iOS por meio de mecanismos de RTB (embora eles não tenham aplicado nenhuma sanção por essa violação).
Fotos - Franki Chamaki - UnsplashOutro problema é a incapacidade de controlar o conteúdo dos perfis comportamentais que compõem a plataforma de publicidade. Algumas tags que o sistema "anexa" aos usuários
podem divulgar informações que não foram destinadas ao público pelo próprio usuário - por exemplo, dados sobre possíveis problemas de saúde. Agora, o setor de AdTech não possui mecanismos especiais pelos quais é possível restringir a coleta de dados ou proibir seu processamento por parte de indivíduos, conforme exigido pelo
artigo 18 do GDPR .
O que dizem os especialistas
O IAB
afirma que as reclamações sobre o trabalho de empresas que fornecem ferramentas AdTech prejudicam apenas o desenvolvimento da indústria digital e não têm fundamento. Segundo eles, os princípios do trabalho de RTB são totalmente consistentes com o GDPR - para atender aos requisitos da lei, a associação do IAB no ano passado
desenvolveu uma estrutura especial. Com ele, os visitantes do site podem descobrir quais sites processam seus dados pessoais. O Google
usa uma lista de
regras e regulamentos para proteger o PD, que são obrigatórios para a própria organização e parceiros que trabalham no campo do marketing programático.
Porém, no início do ano, uma fonte anônima no IAB
informou que a administração da empresa estava ciente das violações de publicidade programática dos requisitos do Regulamento Geral. Segundo eles, é "tecnicamente impossível" retificar a situação. Advogados e figuras públicas chamaram essa notícia de evidência de inúmeras violações da lei européia por empresas da AdTech.
Especialistas esperam que reguladores da Espanha, Bélgica e Luxemburgo, que receberam reclamações sobre a RTB este ano, em breve começarão a aplicar multas.
Vários processos já estão em andamento. Em maio, o órgão regulador irlandês
iniciou uma investigação sobre o Quantcast. A empresa é acusada de coletar ilegalmente dados pessoais e compilar perfis comportamentais. Embora os representantes da Quantcast
digam que não há violações da parte deles, e todos os processos de negócios são realizados de acordo com a lei. O Google também
está sob investigação devido a vazamentos de PD no serviço de compradores autorizados - a empresa
corre o risco de receber
outra multa no valor de 4% do faturamento anual.
O que vem a seguir
A Comissão Irlandesa de Proteção de Dados e outros reguladores provavelmente reconhecem violações do RGPD. Além disso, medidas podem ser tomadas no nível da Comissão Europeia, o que complicará o trabalho das empresas AdTech em toda a União Europeia.
Leitura adicional de nossos blogs e redes sociais:
Triagem de dispositivos eletrônicos na fronteira - uma necessidade ou violação dos direitos humanos?
Como verificar os cookies quanto à conformidade com o GDPR - nova ferramenta aberta ajudará
Como proteger um servidor virtual na Internet
Minimização de riscos: como não perder seus dados
Instantâneos: por que precisamos de "instantâneos"
Backups: brevemente sobre o backup