Madrid
Se acercan nuevos nubarrones para el negocio de Google en Europa. El Comisionado de Protección de Datos de Irlanda (DPC) anunció el pasado miércoles que iniciaba su primera investigación sobre cómo maneja el gigante de internet los datos personales de los usuarios con fines publicitarios. Y esto sucede justo cuando se cumple un año de la aplicación directa del Reglamento Europeo de Protección de Datos (RGPD), que prevé multas de hasta el 4% de los ingresos globales de la compañía.
El 25 de mayo del pasado año comenzaba a aplicarse de manera directa en toda la Unión Europea el entonces 'temido' RGPD, que armonizaba —y endurecía— las normas de protección de datos personales de los ciudadanos para las empresas que tratan esos datos.
El DPC —Irlanda acoge la mayor parte de las sedes europeas de los gigantes tecnológicos— arranca ahora una investigación en profundidad sobre después de haber recibido varias quejas e informes contra ciertas prácticas de Google. La principal, la del navegador Brave (cuyo punto fuerte es la privacidad de sus usuarios), que denunciaba hace un año cómo el buscador recoge masivamente, a través del sistema "DoubleClick/Authorized Buyers", datos de todos nosotros en lo que considera "con mucho la mayor fuga de datos personales jamás registrada".
El sistema de publicidad "DoubleClick/Authorized Buyers" de Google es un mercado de intercambio de anuncios 'online' basado en subastas, en el cual las impresiones de anuncio se compran y se venden en tiempo real.
De acuerdo con Brave, ese sistema está activo en 8.4 millones de sitios web. Cuando una usuario visita uno de esos sitios web, una gran cantidad de datos personales que describen sus preferencias de navegación y sus comportamientos se transmiten "cientos de miles de millones de veces al día" a miles de compañías, sin su conocimiento, para colocar anuncios específicos para cada persona.
Según la denuncia de este buscador, "los datos pueden incluir la ubicación de las personas, preferencias religiosas, sexuales y políticas inferidas, qué leen, ven y escuchan en la Red, y códigos únicos que permiten crear perfiles a largo plazo de cada persona a lo largo del tiempo". "No hay control sobre lo que sucede con los datos una vez emitidos", agrega.
Por esta razón, principalmente, los responsables del navegador acusan al gigante de internet de violar "masiva y continuadamente" la normativa vigente; tal y como recuerda Brave, el artículo 5 (1) (f) del RGPD exige que los datos personales se controlen estrictamente. El artículo 5 (1) (a) y (b) también requiere que las personas estén adecuadamente informadas sobre lo que sucederá con sus datos.
¿Cumplirá Google?
"Se ha iniciado una investigación con respecto al procesamiento de datos personales por parte de Google Ireland Limited en el contexto de intercambio de anuncios en línea", afirma la autoridad de protección de datos irlandesa en un comunicado.
"El propósito de la investigación", prosigue el comunicado, "es establecer si el procesamiento de los datos personales realizados en cada etapa de una transacción publicitaria cumple con las disposiciones pertinentes del Reglamento General de Protección de Datos". También se examinarán los principios que establece el GDPR en cuanto a transparencia y minimización de datos, así como las prácticas de retención de los mismo que realiza Google", añade.
Es conveniente recordar que la autoridad francesa de protección de datos (CNIL) ya multó a la compañía este mismo año con 50 millones de euros por "falta de transparencia, información incorrecta y ausencia de consentimiento válido en la publicidad personalizada".
La primera queja interpuesta, directamente contra "DoubleClick/Authorized Buyers", data de septiembre de 2018 y fue interpuesta por el jefe de políticas de Brave, Johnny Ryan. Otras dos quejas simultáneas fueron presentadas al Comité de Información del Reino Unido quejas similares. En Polonia, la Fundación Panoptykon, presentó otra en enero y denuncias similares fueron interpuestas el pasado 20 de mayo en Países Bajos, Bélgica, España y Luxemburgo.
En un breve comunicado, Google asegura que se compromete "plenamente con la investigación del DPC" de Irlanda. "Valoramos positivamente la oportunidad de que exista la posibilidad de unas reglas de protección de datos en Europa sobre pujas en tiempo real más claras", comenta, y añade: "Los compradores autorizados que usan nuestros sistemas están sujetos a políticas y normas estrictas".
Publicidad segmentada, datos, consentimiento
Para Samuel Parra, responsable de ePrivacidad, "precisamente uno de los grandes pilares de la privacidad a nivel mundial son, precisamente, los 'intercambiadores de publicidad', que manejan un montón de información que desconocemos". "No somos conscientes de cómo pueden reunir tanta información sobre nosotros, porque la deducen de nuestra conducta", añade, "pero no marcamos ninguna casilla que diga que estamos casados o que vivimos en tal sitio, por ejemplo".
"Hay muchísimas empresas que dependen de que esa publicidad funcione bien para que sea rentable"
"Me alegra que se ponga el foco en este asunto; todo perfilado de un usuario, como lo identifique aunque sea a través de su dispositivo, tiene una serie de requisitos que ha de cumplir que impone el RGPD, especialmente el consentimiento", apunta Carrasco, que recuerda que eso ya se trato de regular con las cookies, "que se han quedado un poco obsoletas".
Por su parte, Parra se cuestiona si una decisión de la agencia irlandesa de protección de datos que prohíba o restrinja el mercado de las subastas de anuncios podría perjudicar no sólo a Google sino a los anunciantes y claro, a los medios de comunicación.
"La publiciad 'online' funciona mejor y es rentable porque segmenta mejor", comenta, "y hay muchísimas empresas que dependen de que esa publicidad funcione bien para que sea rentable; lo contrario sería volver a los años 90, cuando había que colocar un banner genérico igual para todos, en donde no va a hacer clic casi nadie". "A ver a quién perjudica esto, aparte de a Google", concluye.
Las alternativas (y la suscripción)
Paula Ortiz, directora jurídica y de Relaciones Institucionales de IAB Spain, dibuja dos escenarios posibles de prosperar la investigación contra el sistema de subasta de anuncios. "Si todo esto sigue adelante y se determina que un sistema de compra programática como tal no cumple, se podría ir hacia un sistema de suscripción como una primera solución", comenta a Público, y añade: "O bien, otra alternativa sobre la que ya se está trabajando— sería un sistema en el que la industria se regularía a través de marcos de cumplimiento".
Según Ortiz, toda la industria de la publicidad digital (también Google) está trabajando en esta última solución, que implica el desarrollo de plataformas de gestión del consentimiento (CMP, por sus siglas en inglés) con las que se pide el consentimiento para tratar datos para todo el soporte y todo lo que hay detrás, es decir: crean un marco de cumplimiento para todo el ecosistema". Y parece que es hacia donde tira la industria, que tiene una necesidad vital de ser sostenible, apunta esta experta.
En cualquier caso, habrá que esperar un poco para ver los primeros frutos de la aplicación directa del RGPD a los grandes de internet. Según recuerda Reuters, la autoridad irlandesa tenía abiertas hace un mes al menos 51 investigaciones a fondo, 17 de las cuales están relacionadas con grandes empresas de tecnología como Twitter, LinkedIn, Apple, Facebook y las subsidiarias de esta última WhatsApp e Instagram.
¿Te ha resultado interesante esta noticia?
Comentarios
<% if(canWriteComments) { %> <% } %>Comentarios:
<% if(_.allKeys(comments).length > 0) { %> <% _.each(comments, function(comment) { %>-
<% if(comment.user.image) { %>
<% } else { %>
<%= comment.user.firstLetter %>
<% } %>
<%= comment.user.username %>
<%= comment.published %>
<%= comment.dateTime %>
<%= comment.text %>
Responder
<% if(_.allKeys(comment.children.models).length > 0) { %>
<% }); %>
<% } else { %>
- No hay comentarios para esta noticia.
<% } %>
Mostrar más comentarios<% _.each(comment.children.models, function(children) { %> <% children = children.toJSON() %>-
<% if(children.user.image) { %>
<% } else { %>
<%= children.user.firstLetter %>
<% } %>
<% if(children.parent.id != comment.id) { %>
en respuesta a <%= children.parent.username %>
<% } %>
<%= children.user.username %>
<%= children.published %>
<%= children.dateTime %>
<%= children.text %>
Responder
<% }); %>
<% } %> <% if(canWriteComments) { %> <% } %>