Los reguladores observan las subastas que deciden qué anuncios web verás

publicidad web wsj
Los reguladores están investigando las subastas que deciden qué anuncios verán los consumidores en línea. FOTO: DAVID PAUL MORRIS / BLOOMBERG NEWS

Con el fin de facilitar las licitaciones en tiempo real, que involucran decenas de miles de millones de dólares, los datos del usuario están disponibles hasta para 2.000 compañías.




Cuando carga un sitio web, se realiza una subasta electrónica en milisegundos para determinar qué anuncios se muestran en su pantalla.

En ese momento, cientos de posibles oferentes pueden encontrar información sobre usted, incluida su ubicación, fecha de nacimiento, el número único asociado con su dispositivo móvil e incluso si ha estado leyendo sobre enfermedades infecciosas o políticas de derecha.

En Europa los reguladores de la privacidad están comenzando a analizar este proceso, conocido como "licitación en tiempo real", a través del cual cada año fluyen decenas de miles de millones de dólares de los anunciantes de todo el mundo.

La Oficina del Comisionado de Información del Reino Unido, la autoridad de protección de datos del país, dijo que las subastas de anuncios en tiempo real violan el Reglamento General de Protección de Datos (GDPR, para sus sigla en inglés) de la Unión Europea (UE), que entró en vigencia el año pasado. Estas subastas implican la recopilación y distribución de información confidencial sobre los usuarios, incluida la raza, la sexualidad, el estado de salud o la inclinación política, sin su consentimiento explícito, explicó el regulador en un informe el mes pasado.

En mayo, la Comisión de Protección de Datos de Irlanda abrió su propia investigación sobre el tema, centrándose en Google, de Alphabet, el jugador más grande en el ecosistema global de la publicidad digital. La investigación analizará si cada paso de una transacción de publicidad en tiempo real cumple con el GDPR, precisó la comisión.

Los activistas de la privacidad han presentado quejas sobre subastas de anuncios en tiempo real, en al menos otros seis países de la Unión Europea, incluidos Bélgica, Holanda, Polonia y España. El regulador de privacidad de Polonia señaló que envió una queja sobre Google al regulador de privacidad de Irlanda, el que encabeza las investigaciones de la UE contra Google, porque ahí es donde la compañía tiene su sede en la UE. La oficina de protección de datos de Bélgica confirmó que también recibió una queja. Los reguladores de privacidad en los otros países no respondieron a las solicitudes de comentarios.

Según los cálculos de la firma de investigación eMarketer, el año pasado más de US$4 mil millones en publicidad se destinaron desde los anunciantes a las publicaciones en EEUU, Francia y Alemania.

En EEUU, el intercambio de datos de usuarios durante las subastas en tiempo real ha sido menos analizado, pero ha sido un tema de conversación en audiencias recientes sobre la política de privacidad de la Comisión Federal de Comercio. El año pasado alrededor de US$20.7 mil millones en publicidad fluyeron a través de ofertas en tiempo real en EEUU, según eMarketer.

No está claro si los reguladores en el Reino Unido o en otros lugares tomarán medidas para frenar las subastas en tiempo real o restringir el flujo de datos de los usuarios de alguna manera. Pero el reciente escrutinio marca un cambio significativo para los reguladores, que hasta ahora se han centrado más en un puñado de casos que involucran a grandes empresas de tecnología.

En el caso de las ofertas en tiempo real, los anunciantes compiten por la oportunidad de mostrar anuncios a un usuario en pocos segundos a medida que se carga una página. Los ingresos por publicidad se distribuyen entre el intercambio de anuncios, el sitio web que muestra el anuncio y potencialmente muchos más intermediarios. Los datos de comportamiento de los usuarios no se comparten con una sola empresa, sino que se ponen a disposición de unas 2.000 firmas para facilitar las ofertas. Los críticos dicen que abre oportunidades para el abuso si no se implementan protecciones más fuertes.

Los datos compartidos no incluyen los nombres de los usuarios, pero tienen identificadores únicos que los destinatarios pueden usar para comprar datos adicionales, para los expertos y los reguladores esta es información más que suficiente para que alguien pueda discernir sus identidades precisas.

La Oficina del Comisionado de Información del Reino Unido no seleccionó a ninguna compañía en particular, sino que pidió a toda la industria que cumpla con los requisitos dentro de seis meses. La industria está observando a Google y al grupo de comercio de anuncios en línea IAB Europe, firmas que operan los protocolos de licitación en tiempo real que ejecutan las subastas de anuncios de la web, según expertos del sector. Las compañías más pequeñas y las publicaciones que siguen estos protocolos también pueden ser responsables de cualquier violación.

Tanto Google como IAB Europe han dicho que trabajarían con la autoridad del Reino Unido, pero desafiaron las conclusiones del informe sobre que sus prácticas violaban la ley.

"Parte de lo que se menciona en el informe está fuera del alcance de nuestro marco", dijo la CEO de IAB Europe, Townsend Feehan. Una portavoz de Google dijo que la compañía necesitaba el consentimiento para la publicidad personalizada. "No mostramos anuncios personalizados basados ​​en categorías sensibles, y requerimos lo mismo de los compradores que usan nuestros servicios", explicó la portavoz en un comunicado.

Es probable que un problema en los casos sea una norma del GDPR conocida como "base legal". Según la ley, el procesamiento de información personal es ilegal a menos que una empresa pueda demostrar que tiene una base legal, como cumplir con una ley, cumplir un contrato con un usuario o haber obtenido su consentimiento.

Pero para cuando alguien ve un anuncio digital, en muchos casos la aplicación o el sitio web que están usando ya ha enviado información a docenas de otras compañías que pueden ofertar por ese anuncio, lo que dificulta que todas las firmas obtengan su consentimiento.

Algunas compañías de tecnología de publicidad dicen que se basan en otra base legal, que les permite usar datos personales de ciertas maneras si la compañía tiene un "interés legítimo" para hacerlo, lo que equilibra la necesidad de la compañía de procesar los datos con el interés de una persona.

Un grupo que representa a los reguladores de privacidad de la UE dijo que es difícil justificar el hecho de basarse en el interés legítimo de las compañías que rastrean a los usuarios en múltiples sitios y aplicaciones con fines publicitarios. El informe del mes pasado de la oficina del Reino Unido emitió una opinión más severa sobre esa base, y expresó que es imposible que las licitaciones en tiempo real cumplan con los requisitos legales de interés legítimo.

IAB Europe dijo que lucharía para preservar el uso de la industria de publicidad en línea de la exención de intereses legítimos. "No está claro en el GDPR que no se pueda usar el interés legítimo para crear perfiles", señaló Feehan.

El viernes, la Oficina del Comisionado de Información emitió una orientación adicional con respecto a las "cookies" del navegador, que son pequeños archivos de texto que los sitios web pueden colocar en un visitante y así seguirlos en la web. La oficina manifestó que las cookies no son esenciales para proporcionar el servicio solicitado por el usuario, incluidos los de publicidad, por lo que no pueden confiar en un interés legítimo y solo se pueden colocar con el consentimiento explícito de los usuarios.

Comenta

Los comentarios en esta sección son exclusivos para suscriptores. Suscríbete aquí.

La nave de la Nasa ha sido la única que ha llegado a Plutón. Desde que pasó por el planeta enano en 2015, ha seguido su viaje por lo más profundo del Sistema Solar. Acá te lo contamos.