Así subasta Google tus datos online
Privacidad

Así subasta Google tus datos online

Varios países han denunciado a Google y la industria de la publicidad online por vulneración masiva de la privacidad en el proceso de asignación de anuncios en línea. Te explicamos cómo funciona y qué información comparten

Entras en un buscador, realizas una búsqueda y, en milésimas de segundos, tus datos se envían a miles de terceros, que hacen pujas en tiempo real para enviarte publicidad personalizada. Ocurre a diario y hasta decenas de veces por persona (cada vez que haces clic). Miles de millones de datos de cada usuario online que llegan a sistemas de subasta de anuncios segmentados en tiempo real. Una “profunda fuga masiva de datos”, según las organizaciones que este mes han interpuesto denuncias en España y otros países europeos contra la industria de la publicidad online, especialmente Google.

Les acusan de no cumplir el Reglamento General de Protección de Datos (RGPD). “Siguen utilizando el sistema de subasta en tiempo real para compartir datos personales con terceros, sin conocimiento ni control por parte de los usuarios”, señala Gemma Galdon, presidenta de la Fundación Éticas, dedicada a la realización de estudios y actividades de concienciación sobre cómo impactan las nuevas tecnologías en la sociedad.

Galdon y Diego Fanjul, de Finch Abogados, son quienes han interpuesto la denuncia en la Agencia Española de Protección de Datos, en el marco de la campaña Fix AdTech que busca “hacer que la publicidad en internet sea mejor y más fiable y segura”. Otros colegas han hecho lo propio en Luxemburgo, Bélgica y Países Bajos. Meses atrás lo hicieron Reino Unido, Polonia e Irlanda, que ha anunciado una investigación por presuntas infracciones por parte del negocio de intercambio de publicidad de Google.

“Es muy grave. Hablamos de la mayor vulneración de datos de la historia en términos de volumen”, sostiene Galdon. La experta -también fundadora de Eticas Research and Consulting- explica que estos sistemas recogen información sobre todos los movimientos online de cada usuario para completar su perfil, al que los corredores de datos (data brokers) tienen acceso, en un sistema de pujas, sin que las personas a quienes pertenecen dichos datos tengan ningún tipo de control.

  • Cómo funciona

Un usuario X -tú, que lees este artículo, por ejemplo- entra a una web cualquiera. Los datos de su perfil online van a parar a un servidor de anuncios. Después llega a un sistema de oferta de espacios publicitarios e impresiones. Y luego a otro de intercambio de anuncios (que conecta los datos de las diferentes demandas que lanzan los anunciantes con los de los espacios publicitarios). Finalmente, una de esas demandas de anuncio segmentado será escogida y se mostrará al usuario que realiza la búsqueda y obtendrá de X nuevos datos para completar la información que ya tiene sobre este.¿Qué información se envía? Tal y como explica uno de los impulsores de Fix AdTech -el director de Política y Relaciones con la Industria del navegador Brave, Johnny Ryan- los datos de cada usuario que reciben esos miles de terceros son:

  1. Tu historial de búsqueda. Lo que ves, miras o escuchas.
  2. Categorías de contenido: cualquier cosa que hayas buscado por cualquier motivo y por sensible o íntima que sea se asocia a tu persona bajo categorías como incesto, abuso de drogas, infertilidad, salud mental, si eres de izquierdas o de derechas…
  3. Tu identificador (ID) pseudónimo único, que oculta tu identidad pero permite que se te reconozca bajo ese ID en siguientes visitas.
  4. Dicho ID asociado al perfil de ti que tienen los compradores de anuncios.
  5. Tu geolocalización.
  6. Una descripción de tu dispositivo.
  7. Tu dirección IP (en algunos casos, dependiendo del sistema pujas el tiempo real usado).

Ryan destaca la posibilidad y alta probabilidad de que los diferentes actores implicados en el proceso de subasta conecten toda la información de la que disponen sobre ti para tener un perfil más completo. Una de las consecuencias es que cada persona online puede ser ampliamente perfilada. Galdon destaca la gravedad de recopilar toda esta información. “Solo con la dirección IP ya tienen un identificador único que pertenece a tu dispositivo y que, por tanto, pueden asociar a tu nombre y apellido”, señala.

La experta insiste en la vulneración del RGPD que esto supone y acusa a industria de la publicidad online de no haber hecho ningún esfuerzo por adaptarse al reglamento. “Es una pena tener que ir a los tribunales para que se adapten a la legislación vigente”, asegura. Entiende que les cueste, ya que es un ataque a su modelo de negocio y les obliga a reinventarse, pero considera que eso no constituye un atenuante. 

Google buscando a Google en Alemania

  • Qué dice IAB

Por su parte, la asociación que integra a la industria de la publicidad online -el Interactive Advertising Bureau (IAB Spain)- sostiene que están en proceso de adaptación y han dado claras muestras de ello. La directora de Asuntos Legales e Institucionales de IAB España, Paula Ortiz, critica que las denuncias interpuestas al sector en diferentes países “no distinguen los actores que cumplen de los que no, y meten a todo tipo de empresas en el mismo saco”. Cree que la visión ofrecida por las organizaciones demandantes “no representa a todo un sector”.

Ortiz reconoce que es complejo adaptar todo el sistema de compra programática al RGPD pero destaca los esfuerzos de IAB Europa para dar solución a esta exigencia legal mediante la creación de un Marco de Transparencia y Consentimiento (TCF), cuyo fin es “garantizar que los datos personales tratados con fines de publicidad digital se traten con una base legal apropiada y trasladar ese consentimiento a toda la cadena de participantes que tratan la información”.

Según IAB Spain, la versión actual del TCF permite a los editores de sitios web obtener el consentimiento de un usuario para el tratamiento de datos personales en relación con la personalización de contenido y publicidad, y almacenar o acceder a información relacionada con el tratamiento de datos para esas finalidades. Durante el proceso, las empresas de publicidad con las que trabaja el editor para generar ingresos publicitarios también se muestran al usuario.

Desde IAB Spain aseguran que la finalidad de este protocolo es aportar información al usuario sobre las finalidades del tratamiento y requerir su consentimiento para todas las partes que operan dentro de una cadena de valor de publicidad digital. Y también que, si alguna lo infringe, será sancionada y suspendida del Marco. ¿Por qué la industria no se ha adaptado aún a un reglamento que se publicó hace ya tres años y entró en vigor hace más de doce meses? Para Ortiz todavía hay mucha incertidumbre, pero rechaza las acusaciones de falta de esfuerzo por parte del sector. “Existe una preocupación absoluta por cumplir con la ley”, afirma.

La portavoz de IAB España también recuerda que IAB Europa había trasladado a la Comisión Europea en 2017 su preocupación ante la complejidad de cumplir el RGPD. Destaca que, aun así, están haciendo lo posible por adaptarse y critica que las denuncias omitan dichos esfuerzos. Considera que estas reflejan confusión respecto al funcionamiento de la industria publicitaria digital, sobre el papel que juega una asociación comercial sin ánimo de lucro como IAB Europa y sobre la finalidad del TCF.

Políticas abusivas en el 83% de las webs top

Según un estudio de la empresa PrivacyCloud, el 83% de las páginas web más visitadas en España cuentan con políticas de privacidad abusivas para el usuario. Tras analizar los 100 sitios más populares (excluyendo contenido adulto y pirata) según el ranking de referencia de Alexa, su conclusión es que solo 14 de ellas ha adecuado su uso de cookies al RGPD durante el año en vigor que tiene la normativa.

PrivacyCloud destaca que el uso de dichas cookies para facilitar el seguimiento del usuario a través de múltiples páginas web, o enriqueciendo bases de datos con perfiles de usuario, exige el consentimiento previo con mención específica de sus receptores y propósitos. El estudio también señala que el 99% de las webs analizadas incumple la obligación de permitir al usuario rechazar directamente las cookies con la misma sencillez con que se aceptan, y un 9% equipara la cesión de datos a un peaje de acceso.

Sergio Maldonado, CEO de PrivacyCloud, afirma que hasta ahora se ha traspasado al usuario la carga de la nueva normativa “con intrusivas solicitudes de consentimiento y mayores molestias”. Asegura que la industria publicitaria y de medios online debe acostumbrarse a vivir sin cookies de perfilado y sin compraventa de audiencias. También que debe ser cada persona quien exponga los datos que desee en función de la capacidad que una empresa tenga de transformarlos en un servicio diferenciado. PrivacyCloud ha desarrollado para ello la app WeRule, que permite a los usuarios entrar en contacto con las organizaciones para decidir directamente qué datos ceden y a quiénes.

Retina

18/08/2019
07
¿Pero quién conduce este mundo?

¿Pero quién conduce este mundo?

No queremos que el robot se siente en la cabina, por si se hace con los mandos; pero lo cierto es que no controlaremos esas palancas sin su asistencia

Normas