Publicidad programática, pujas a tiempo real y riesgos para la privacidad.

En el Vlog de esta semana hablamos sobre publicidad y pujas a tiempo real (RTB).

Las pujas a tiempo real son un conjunto de técnicas y prácticas usadas en publicidad programática que permite a los publicistas competir por espacios publicitarios online en milisegundos, de modo que se insertan anuncios de manera automática y a tiempo real.

¿Cómo funciona esto de manera práctica? La huella digital del dispositivo genera una gran cantidad de datos sobre nuestra actividad en internet. Esta información es recogida por los publicistas, que la utilizan para localizar a su público objetivo. Los editores de las páginas web, por su parte, sacan a subasta espacios publicitarios a tiempo real, mientras el usuario está en la web. Los publicistas entonces pujan por dicho espacio y el que gana inserta su anuncio.

¿Cumple todo esto con el RGPD? La autoridad de control de Reino Unido, la ICO, ha lanzado recientemente una serie de guías al respecto sobre los desafíos para la privacidad que esta tecnología supone.

  • La mayoría está relacionado con la transparencia y el consentimiento:
    • Es complicado identificar una base legal para el tratamiento de los datos implicados en RTB, pues los escenarios donde el interés legítimo puede operar son muy limitados y el consentimiento podría ser insuficiente en consideración con los requisitos de la normativa de protección de datos;
    • las Políticas de Privacidad proporcionadas a los usuarios no son del todo claras y no ofrecen información real sobre el tratamiento y sus implicaciones;
    • la escala de la creación de perfiles personales en RTB es desproporcionada e intrusiva, sobre todo cuando la mayoría de los interesados no son ni siquiera conscientes de que el tratamiento está teniendo lugar;
    • no está claro si en las prácticas de RTB se ha tenido realmente en cuenta la información necesaria para definir al consumidor objetivo, ni si se aplican los principios de minimización de datos y limitación conforme a la finalidad;
    • en la mayoría de casos se afirma que existen contratos y acuerdos entre las diferentes partes implicadas, pero esto no resulta suficiente si se tiene en cuenta la cantidad de agentes que participan.

RTB conlleva una serie de riesgos:

  • elaboración de perfiles y toma automatizada de decisiones;
  • tratamiento a gran escala (incluidas categorías especiales de datos);
  • uso de nuevas tecnologias;
  • combinación y cruzado de datos de diferentes fuentes;
  • seguimiento de la localización y el comportamiento; y
  • tratamiento invisible.

Además, muchos sujetos no son conocedores de cómo funciona esta tecnología.

Estos elementos muestran que la naturaleza de las a suponen un alto riesgo para los derechos y libertades de los individuos. Además, los factores arriba definidos cualifican la mayoría de ellos para realizar de manera previa una Evaluación de Impacto.

En nuestra opinión, y especialmente considerando la nueva guía de cookies lanzada por la ICO, los responsables deberían realizar una serie de acciones previas al tratamiento, como elaborar Evaluaciones de Impacto y recoger el consentimiento. Asimismo, RTB debería contar con una casilla separada en el banner de cookies, al igual que se requiere para las cookies no esenciales.

Si necesitas asesoramiento en IA para tus productos y servicios, Aphaia ofrece evaluaciones de la ética de la IA y evaluaciones de impacto.

¿Cuáles son los riesgos de privacidad de la huella digital del dispositivo?

En el vlog de esta semana hablamos sobre la huella digital del dispositivo.

¿Sueles borrar las cookies? ¿Te sientes así protegido frente a los identificadores online?

Te contamos por qué borrar las cookies ya no es suficiente para no ser rastreado en internet.

¿Qué es el fingerprinting o huella digital?

Más allá de las cookies o los pixels, existen otras técnicas de identificación y seguimiento en internet que permiten la realización de perfiles y la rentabilización potencial de los datos asociados a los mismos. En esta categoría aparece el denominado fingerprintingo huella digital del dispositivo, que se define como una recopilación sistemática de información sobre un determinado equipo remoto a fin de identificarlo y singularizarlo. Si bien puede llevarse a cabo con un fin legítimo como la habilitación de mecanismos de autenticación múltiple, también se puede utilizar para hacer seguimiento y perfilado, con el objetivo último de explotar tales datos, aunque inicialmente la información se recoja con una finalidad técnica.

Los motivos por los que la privacidad se ve amenazada por la huella digital del dispositivo son los siguientes:

-Puesto que normalmente los dispositivos no se comparten entre varias personas, ser capaz de singularizar un teléfono móvil conduce automáticamente a la identificación de una persona.

-Un riesgo adicional surge de la posibilidad de relacionar la información entre sí incluso cuando las cookies han sido eliminadas.

Los interesados pueden ser por tanto identificados mediante la huella digital del dispositivo, y los tres elementos principales que dan lugar a ello son los siguientes:

-Recogida masiva de datos.

-Naturaleza global de internet.

-Identificador único.

La huella digital del dispositivo está regulada en el RGPD por medio del considerando 30, que se refiere de manera genérica a los identificadores online. La legislación de protección de datos, por tanto, se aplica de forma directa al fingerprinting.

Consejos para los usuarios:

-Establecer las preferencias en los ajustes de los navegadores.

-Activar el mecanismo “Do Not Track”, que ha sido diseñado para frenar el seguimiento online.

Consejos para los responsables del tratamiento:

-Comprobar de manera previa al tratamiento la configuración del mecanismo DNT.

-Recoger el consentimiento del usuario (aun cuando la opción DNT esté inactiva).

-Incluir el uso de la huella en el registro de actividades de tratamiento.

Te recomendamos:

-Realizar una Evaluación de Impacto que considere el riesgo de compartir y difundir los datos del perfil de los interesados.

-Evitar el sesgo cultural, racial o social y su presencia en la toma automatizada de decisiones.

-Crear controles de acceso tanto de los empleados como de terceros a los datos de los usuarios.

-Evitar la colección masiva de datos y períodos largos de almacenamiento, lo que implica implantar políticas de minimización de datos.

-Considerar el impacto del uso libre de los datos del perfil de los usuarios.

-Evitar la manipulación de los interesados mediante el uso de sus datos.

-Tener en cuenta el riesgo de re-identificación.

Si necesitas asesoramiento en IA para tus productos y servicios, Aphaia ofrece evaluaciones de la ética de la IA y evaluaciones de impacto.

IA Y LAS MULTAS BAJO EL RGPD

En el blog de esta semanahemos analizado las multas impuestas bajo el RGPD y el rol de la Inteligencia Artificial en este contexto.

Una de las multas más sonadas de las impuestas bajo el RGPD hasta el momento ha sido la multa de más de 500.000 € que la ICO, en el Reino Unido, ha impuesto a Facebook por incumplimiento de la normativa. La investigación de la ICO ha probado que Facebook trató información personal de forma ilegítima al permitir a los desarrolladores de aplicaciones acceso a los datos de interesados sin consentimiento claro e informado. Asimismo, Facebook tampoco realizó los debidos controles de seguridad en las apps y desarrolladores que utilizaban su plataforma. Todo esto condujo a que datos de más de 87 millones de personas en todo el mundo fueron recogidos sin su consentimiento.

Además, un subconjunto de estos datos fue también compartido con otras compañías, incluida Cambridge Analytica, la cual estuvo involucrada en el escándalo político de Estados Unidos. La ICO descubrió que información personal de al menos un millón de interesados británicos fue expuesta.

La Comisión Federal de Comercio ha anunciado un acuerdo de 5 billones de dólares con Facebook, después de una larga investigación sobre el escándalo de Cambridge Analytica y otras brechas de privacidad. Esta multa es la segunda mayor cuantía jamás impuesta por la Comisión Federal de Comercio.

Las multas del RGPD han sido diseñadas de tal modo que no cumplir con la normativa suponga un alto coste para las empresas independientemente de su tamaño. Los incumplimientos más graves pueden resultar en una multa de 20 millones de euros o el 4% del beneficio financiero del año anterior, según qué cuantía sea mayor.

Estas multas pueden surgir por la violación de los artículos que regulan:

  • Los principios básicos del tratamiento.
  • Las condiciones del consentimiento.
  • Los derechos de los interesados.
  • La transferencia de datos a una organización internacional o un receptor en un tercer país.

Un mal uso de los sistemas de IA puede estar vinculado con la mayoría de ellos, porque, por un lado, hay sólo dos bases válidas para el tratamiento: contrato y consentimiento, y cuando rija el consentimiento éste debe ser explícito. Por otro lado, la toma automatizada de decisiones y la elaboración de perfiles se regula en el artículo 22 del RGPD, que está incluido en el Capítulo III, sobre los derechos de los interesados.

En consecuencia, aplicar todas las medidas de seguridad que recoge el RGPD se convierte en un paso esencial para evitar incurrir en una brecha del tratamiento:

  • Pseudonimización y cifrado de los datos;
  • la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento;
  • la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico;
  • un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.

El uso de sistemas de IA requiere sin embargo la implementación de algunas medidas de seguridad adicionales para salvaguardar los derechos y libertades de los sujetos y también el interés legítimo. Entre ellas se encuentran: el derecho a obtener intervención humana, expresar su punto de vista y cuestionar la decisión.

La ICO pretende imponer una multa de más de 180 millones de euros a British Airways por el robo de información personal y financiera de sus clientes, y también una multa de más de 100 millones de euros al hotel Marriott por exponer de forma accidental 339 millones de registros de huéspedes de forma global. Las multas de British Airways y de Marriott no están relacionadas con el uso de IA. ¿Te imaginas qué cantidad hubiesen alcanzado si se hubiese aplicado IA? ¡Comparte tus ideas con nosotros!

Si necesitas asesoramiento en IA para tus productos y servicios, Aphaia ofrece evaluaciones de la ética de la IA y evaluaciones de impacto.

Auditoría y ética de la IA

Los sistemas de auditoría que deben establecerse es uno de los principales retos a los que se enfrenta la regulación de la IA.

Es importante tener en cuenta que una auditoría puede ser interna o externa.

El objetivo de una auditoría interna es medir el impacto, tanto positivo como negativo, que la IA puede tener en la empresa, tanto a corto como medio y largo plazo, mientras que con una auditoría externa se persigue comprobar si la empresa está cumpliendo o no con los estándares y normas en la materia.

Conforme al Instituto de Auditores Internos, un marco de auditoría interna de IA debería tener tres componentes: – Estrategia de la IA, Gobierno del dato y Factor Humano — y siete elementos: Ciber Resiliencia, Componentes de la IA, Calidad del dato, infraestructuras y arquitecturas de la IA, medición del desempeño, ética y “Caja Negra” que son todos los procesos por los que pasa el algoritmo hasta emitir una respuesta.

En relación a las auditorías externas, aún no existe unanimidad entre las Autoridades de Control para alcanzar un marco común.

La ICO, en Reino Unido, por su parte está intentando construir un sistema de auditoria de referencia que desemboque en una metodología sólida para asegurar que las auditorías tienen lugar en un cuadro de transparencia y que cuentan con todas las medidas necesarias para solventar cualquier riesgo que pueda surgir. La estructura propuesta incluye:

1.- Gobierno y responsabilidad.

  • Aceptación del riesgo.
  • Compromiso del equipo y supervisión.
  • Estructuras de gestión.
  • Cumplimiento y capacidad de asegurar posibles daños.
  • Protección de datos por diseño y por defecto.
  • Políticas y procedimientos.
  • Documentación y registros.
  • Formación y concienciación.

2.- Áreas específicas de riesgo de la IA.

  • Justicia y transparencia  – incluye todo lo relacionado con sesgos, discriminación y explicabilidad.
  • Precisión – Tanto en los datos que funcionan como input como aquellos que son output.
  • Modelos de toma de decisiones completamente automatizada frente a modelos que cuentan con cierto grado de intervención humana.
  • Seguridad – Incluyendo cualquier tipo de pruebas de vulnerabilidad y tests de verificación.
  • Trade-offs – entre las diferentes variables que rodean a la IA, como por ejemplo privacidad y transparencia o privacidad y precisión.
  • Minimización de los datos y limitación a la finalidad.
  • Ejercicio de derechos.
  • Impacto en los intereses públicos.

El CNIL, en Francia, considera que los países deberían proporcionar una plataforma nacional de auditoría de la IA. Para ello, considera que en primer lugar es necesario evaluar los recursos con los que se cuenta y enfrentarlo también con las necesidades y demanda que se da en el mercado. Asimismo, y en relación a la autoridad que debería encargarse de dichas auditorías, el CNIL afirma que de manera ideal habría de ser un cuerpo público, si bien, debido a la complejidad y tamaño del sector, sería conveniente valorar otras alternativas como la habilitación de entidades privadas dentro de un marco de referencia para que puedan emitir certificaciones.

Si necesitas asesoramiento en IA para tus productos y servicios, Aphaia ofrece evaluaciones de la ética de la IA y evaluaciones de impacto.