Cada vez que una persona visita una página web que utiliza sistemas de RTB, datos personales e íntimos de ese ciudadano y aquello que hace mientras está 'online' son enviados en forma de “solicitud de pujas” a decenas de miles de empresas que los revenden a los anunciantes que ofrecen una mejor puja en la subasta, a cambio de la oportunidad de mostrarle publicidad a esa persona en particular.
7 activistas europeos de defensa de la privacidad de los consumidores denuncian la «subasta en tiempo real»
Ponen en conocimiento que dicho sistema, usado por la industria publicitaria "online", vulnera los datos personales de terceros
|
23/5/2019 06:15
|
Actualizado: 23/5/2019 01:11
|
Son 7 activistas de España, Holanda, Bélgica y Luxemburgo. Todos ellos profesionales que conocen muy bien el sector. Por ello han denunciado ante las autoridades europeas de protección de datos de sus respectivos países el uso del sistema publicitario «subasta en tiempo real» (Real-Time Bidding, RTB) que utiliza la industria de la publicidad «online», y en particular Google.
Lo hicieron el pasado lunes.
Los denunciantes son Gemma Galdón Clavell (Fundación Éticas) y Diego Fanjul (Finch) en España, David Korteweg (Bits of Freedom) y Jef Ausloos (University of Amsterdam) en los Países Bajos, Pierre Dewitte (University of Leuven) en Bélgica, Patricia Macedo Alves (Antas da Cunha Ecija & Associados) en Portugal, y José Belo (International Association of Privacy Professionals) en Luxemburgo.
Según ellos, dicho sistema comparte datos personales con terceros sin conocimiento ni control por parte de usuarios en lo que puede constituir una vulneración masiva de la protección de datos de los ciudadanos de Europa.
Las denuncias, que tendrán que ser admitidas a trámite, se suman a las que se presentaron ya en Irlanda, Reino Unido y Polonia, llegando así a 8 países y autoridades de protección de datos en la semana que se conmemora el primer aniversario de la entrada en vigor del Reglamento General de Protección Datos (RGPD), que entró en vigor el 25 de mayo del 2018.
En Reino Unido las denuncias fueron interpuestas en otoño pasado por Johnny Ryan, del navegador privado Brave, Jim Killock, director del Open Rights Group, y Michael Veale, investigador de datos y políticas en el University College London.
«Esperamos que esta denuncia mande un fuerte mensaje a Google y a todas las organizaciones que utilizan herramientas de publicidad y personalización ‘online’ en sus páginas ‘web’ y productos”, comenta Gemma Galdón Clavell, presidenta de la Fundación Éticas.
“La protección de datos es una obligación legal que debe traducirse a prácticas concretas y especificaciones técnicas”.
Y recuerda que desde el pasado 25 de mayo todos los intercambios de datos que se hayan hecho podrían ser sancionados con multas elevadas.
Para esta doctora en sociología, responsable de esta entidad, dedicada al estudio del impacto social de la tecnología parece evidente que la industria de la publicidad ‘online’ no ha hecho ningún esfuerzo para adaptarse al RGPD, “lo cual es muy grave».
«Hay un marco legal ya fijado desde hace un año y algunos sectores no hicieron ningún esfuerzo para adaptarse a este entorno. Es como si esperasen a que no pasara nada”.
Para Galdón que la industria publicitaria ‘online’ se adapte al RGPD supondría tener que cambiar su modelo de negocio. Porque «con este sistema Real-Time Bidding, RTB se comparten datos en tiempo real sin ninguna garantía para el propio ciudadano».
POR DEBAJO DE LA SUPERFICIE DE INTERNET HAY UN NEGOCIO OPACO PARA EL USUARIO
Por su parte, el experto en protección de datos Diego Fanjul, del despacho Finch, otro de los denunciantes españoles “este sistema RTB es muy opaco, lo que llama la atención».
«Por debajo de la superficie de Internet hay un negocio opaco para el usuario que genera un tráfico brutal de datos y que maneja volúmenes de información personal y datos sensibles importantes».
«Ahora lo que hemos hecho tras las primeras denuncias y el informe sobre dicho modelo publicitario del propio Johnny Ryan interponer otras denuncias sobre estas malas prácticas”, aclara.
Cuestiones como la privacidad desde el diseño o el principio de transparencia son dos de los elementos que según estos expertos no aparece en este sistema publicitario RTB.
“Los usuarios no saben que hacen con sus datos realmente”.
La denuncia se ha interpuesto ante la IAB Europe (Oficina de Publicidad Interactiva Europa) y Google en su sede americana.
“Realmente los afectados estamos todos en Europa. Sabemos que esta iniciativa puede suponer una acción coordinada de las propias autoridades reguladoras”, señala Fanjul.
COMO FUNCIONA EL MECANISMO
A la hora de explicar el funcionamiento de este mecanismo, nuestro interlocutor señala que cada vez que una persona visita una página web que utiliza sistemas de RTB, datos personales e íntimos de ese ciudadano y aquello que hace mientras está ‘online’ son enviados en forma de “solicitud de pujas” a decenas de miles de empresas que los revenden a los anunciantes que ofrecen una mejor puja en la subasta, a cambio de la oportunidad de mostrarle publicidad a esa persona en particular.
También destaca que los datos que se intercambian en esas transacciones pueden incluir la localización exacta de cada persona, sus creencias religiosas, preferencias sexuales o políticas, lo que están leyendo, viendo o escuchando online.
También códigos de identificación únicos que hacen posible identificar a una misma persona en diferentes momentos y construir un perfil individualizado que se va completando con el tiempo y con cada interacción online.
FILTRACIÓN MASIVA DE DATOS PERSONALES
Tal como señalan en las denuncias recientemente presentadas esto ocurre centenares de miles de veces cada día, y es la filtración de datos personales más masiva identificada hasta la fecha.
Otra cuestión que explican sobre esta práctica tiene que ver con el sistema DoubleClick de Google (que recientemente ha cambiado el nombre para llamarse “Compradores Autorizados”) está activo en 8,4 millones de páginas web, y envía datos personales sobre las personas que visitan esas páginas web a más de 2.000 empresas.
El segundo sistema de estas características por volumen de datos personales es AppNexus, propiedad de AT&T, que realiza 131.000 millones de envíos de datos personales cada día.
Para estos profesionales que han denunciado en siete países estas prácticas, no existe ningún control sobre qué ocurre con esos datos una vez que son enviados a esas terceras empresas anunciantes.
Desde su punto de vista, el caso es parecido a lo que ocurrió con la filtración que permitió que Cambridge Analytica hiciera perfiles de individuos, pero a mucho mayor escala.
Google, por ejemplo, cuenta con directrices de auto-regulación que se basan en que las empresas que reciben los datos deben informar a Google si vulneran las normas.
También explican a Confilegal que, según Google, más de 2.000 empresas con las que trabaja han sido “certificadas”, y en base a esto comparte con ellas datos personales e íntimos sobre prácticamente todos y cada uno de los usuarios y usuarias a esas empresas, decenas de miles de veces al día.
Sin embargo, según el RGPD, las empresas no pueden utilizar datos personales a no ser que controlen de forma efectiva lo que ocurre con esos datos. A juicio de estos denunciantes, esta práctica publicitaria vulnera varios artículos del propio Reglamento.
El artículo 5 (1)(f) requiere que los datos personales sean “tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental”.
Noticias Relacionadas:
