Publicidad programática, pujas a tiempo real y riesgos para la privacidad.

En el Vlog de esta semana hablamos sobre publicidad y pujas a tiempo real (RTB).

Las pujas a tiempo real son un conjunto de técnicas y prácticas usadas en publicidad programática que permite a los publicistas competir por espacios publicitarios online en milisegundos, de modo que se insertan anuncios de manera automática y a tiempo real.

¿Cómo funciona esto de manera práctica? La huella digital del dispositivo genera una gran cantidad de datos sobre nuestra actividad en internet. Esta información es recogida por los publicistas, que la utilizan para localizar a su público objetivo. Los editores de las páginas web, por su parte, sacan a subasta espacios publicitarios a tiempo real, mientras el usuario está en la web. Los publicistas entonces pujan por dicho espacio y el que gana inserta su anuncio.

¿Cumple todo esto con el RGPD? La autoridad de control de Reino Unido, la ICO, ha lanzado recientemente una serie de guías al respecto sobre los desafíos para la privacidad que esta tecnología supone.

  • La mayoría está relacionado con la transparencia y el consentimiento:
    • Es complicado identificar una base legal para el tratamiento de los datos implicados en RTB, pues los escenarios donde el interés legítimo puede operar son muy limitados y el consentimiento podría ser insuficiente en consideración con los requisitos de la normativa de protección de datos;
    • las Políticas de Privacidad proporcionadas a los usuarios no son del todo claras y no ofrecen información real sobre el tratamiento y sus implicaciones;
    • la escala de la creación de perfiles personales en RTB es desproporcionada e intrusiva, sobre todo cuando la mayoría de los interesados no son ni siquiera conscientes de que el tratamiento está teniendo lugar;
    • no está claro si en las prácticas de RTB se ha tenido realmente en cuenta la información necesaria para definir al consumidor objetivo, ni si se aplican los principios de minimización de datos y limitación conforme a la finalidad;
    • en la mayoría de casos se afirma que existen contratos y acuerdos entre las diferentes partes implicadas, pero esto no resulta suficiente si se tiene en cuenta la cantidad de agentes que participan.

RTB conlleva una serie de riesgos:

  • elaboración de perfiles y toma automatizada de decisiones;
  • tratamiento a gran escala (incluidas categorías especiales de datos);
  • uso de nuevas tecnologias;
  • combinación y cruzado de datos de diferentes fuentes;
  • seguimiento de la localización y el comportamiento; y
  • tratamiento invisible.

Además, muchos sujetos no son conocedores de cómo funciona esta tecnología.

Estos elementos muestran que la naturaleza de las a suponen un alto riesgo para los derechos y libertades de los individuos. Además, los factores arriba definidos cualifican la mayoría de ellos para realizar de manera previa una Evaluación de Impacto.

En nuestra opinión, y especialmente considerando la nueva guía de cookies lanzada por la ICO, los responsables deberían realizar una serie de acciones previas al tratamiento, como elaborar Evaluaciones de Impacto y recoger el consentimiento. Asimismo, RTB debería contar con una casilla separada en el banner de cookies, al igual que se requiere para las cookies no esenciales.

Si necesitas asesoramiento en IA para tus productos y servicios, Aphaia ofrece evaluaciones de la ética de la IA y evaluaciones de impacto.

Primera multa de Suecia bajo el RGPD

Un colegio en Suecia ha sido multado por la autoridad de control sueca con 20.000 € por usar tecnología de reconocimiento facial para controlar la asistencia de los estudiantes.

El colegio alegó que estaba valorando implementar esta tecnología como procedimiento estándar por motivos de eficiencia. Dado que comprobar la asistencia de los menores a clase conlleva un tiempo de aproximadamente diez minutos diarios, automatizar la tarea supondría ganar más de 17.000 horas de trabajo por año.

Los datos biométricos se recogían mediante cámaras que tomaban fotografías y se vinculaban con los nombres completos. Después, dicha información se almacenaba en equipos sin conexión a internet, que eran guardados en una taquilla bajo llave.

El colegio argumenta que no procedió a dicho tratamiento sin ninguna base legal, pues solicitaba el consentimiento previo de los padres o tutores, que tenían la posibilidad de negarse a participar. Sin embargo, no se realizó ninguna evaluación de riesgo, ni Evaluación de Impacto ni consulta a la autoridad de control.

La autoridad de control sueca, en consecuencia, determinó que el colegio había infringido el RGPD de tres maneras diferentes:

  • Violación de los principios fundamentales del Artículo 5 al tratar datos de manera más invasiva de lo necesario en relación al propósito (asistencia a clase).
  • Artículo 9, al tratar datos de categoría sensible (datos biométricos) sin base legal.
  • Artículos 35 y 36 por incumplir los requisitos de Evaluación de Impacto y consulta previa.

Aunque el colegio sostenía que contaba con el consentimiento de los estudiantes, la autoridad de control consideró que no había base legítima para el tratamiento debido a la posición desigual entre el interesado (los estudiantes) y el responsable (el colegio).

Debe recordarse que, en un caso similar, pero aplicado al entorno de trabajo en lugar de a escuelas, la AEPD afirmó que se permite el uso de la huella dactilar para el control en el registro de la jornada laboral, siempre que se apliquen determinadas garantías, como la aplicación de los principios de finalidad y minimización, entre otros.

¿Necesitas ayuda con el RGPD o la LOPDGDD? Aphaia ofrece servicios tanto de consultoría para adaptación al RGPDtambién Evaluaciones de Impacto, como subcontratación delSubcontratación del Delegado de Protección de Datos.

¿Cuáles son los riesgos de privacidad de la huella digital del dispositivo?

En el vlog de esta semana hablamos sobre la huella digital del dispositivo.

¿Sueles borrar las cookies? ¿Te sientes así protegido frente a los identificadores online?

Te contamos por qué borrar las cookies ya no es suficiente para no ser rastreado en internet.

¿Qué es el fingerprinting o huella digital?

Más allá de las cookies o los pixels, existen otras técnicas de identificación y seguimiento en internet que permiten la realización de perfiles y la rentabilización potencial de los datos asociados a los mismos. En esta categoría aparece el denominado fingerprintingo huella digital del dispositivo, que se define como una recopilación sistemática de información sobre un determinado equipo remoto a fin de identificarlo y singularizarlo. Si bien puede llevarse a cabo con un fin legítimo como la habilitación de mecanismos de autenticación múltiple, también se puede utilizar para hacer seguimiento y perfilado, con el objetivo último de explotar tales datos, aunque inicialmente la información se recoja con una finalidad técnica.

Los motivos por los que la privacidad se ve amenazada por la huella digital del dispositivo son los siguientes:

-Puesto que normalmente los dispositivos no se comparten entre varias personas, ser capaz de singularizar un teléfono móvil conduce automáticamente a la identificación de una persona.

-Un riesgo adicional surge de la posibilidad de relacionar la información entre sí incluso cuando las cookies han sido eliminadas.

Los interesados pueden ser por tanto identificados mediante la huella digital del dispositivo, y los tres elementos principales que dan lugar a ello son los siguientes:

-Recogida masiva de datos.

-Naturaleza global de internet.

-Identificador único.

La huella digital del dispositivo está regulada en el RGPD por medio del considerando 30, que se refiere de manera genérica a los identificadores online. La legislación de protección de datos, por tanto, se aplica de forma directa al fingerprinting.

Consejos para los usuarios:

-Establecer las preferencias en los ajustes de los navegadores.

-Activar el mecanismo “Do Not Track”, que ha sido diseñado para frenar el seguimiento online.

Consejos para los responsables del tratamiento:

-Comprobar de manera previa al tratamiento la configuración del mecanismo DNT.

-Recoger el consentimiento del usuario (aun cuando la opción DNT esté inactiva).

-Incluir el uso de la huella en el registro de actividades de tratamiento.

Te recomendamos:

-Realizar una Evaluación de Impacto que considere el riesgo de compartir y difundir los datos del perfil de los interesados.

-Evitar el sesgo cultural, racial o social y su presencia en la toma automatizada de decisiones.

-Crear controles de acceso tanto de los empleados como de terceros a los datos de los usuarios.

-Evitar la colección masiva de datos y períodos largos de almacenamiento, lo que implica implantar políticas de minimización de datos.

-Considerar el impacto del uso libre de los datos del perfil de los usuarios.

-Evitar la manipulación de los interesados mediante el uso de sus datos.

-Tener en cuenta el riesgo de re-identificación.

Si necesitas asesoramiento en IA para tus productos y servicios, Aphaia ofrece evaluaciones de la ética de la IA y evaluaciones de impacto.

Apple da un paso más para proteger la privacidad de los niños

Aún a riesgo de afectar a su negocio, Apple ha decidido cambiar sus normas en relación a las apps infantiles.

Bajo las nuevas normas, las apps infantiles de Apple Store no podrán utilizar software analítico externo, que son líneas invisibles de código empleadas para recoger información muy detallada sobre quién y cómo se usa la app. Apple también restringirá la habilidad de vender publicidad en estas apps, lo cual hasta el momento es lo que ha sostenido el modelo de negocio de aquellas apps que son gratuitas. Estos cambios se han introducido a raíz de que muchos niños estaban recibiendo anuncios inapropiados, según Apple.

Las novedades forman parte de un movimiento para mejorar la protección de la privacidad de los usuarios, lo cual ha sido elogiado por muchos abogados. Se teme sin embargo que estas medidas, lejos de proteger a los niños, los expongan en mayor medida al uso de apps para adultos.

Algunos desarrolladores web, por su parte, están preocupados de que las nuevas normas limiten la posibilidad de introducir anuncios en las apps, lo cual conduciría a la necesidad de abandonar el modelo de negocio que permite actualmente que éstas se ofrezcan sin coste. Apple alega que con este giro está respondiendo a las preocupaciones de muchos padres. Phil Schiller, Vicepresidente de Apple de marketing a nivel mundial, explicó que algunos padres estaban quejándose de la publicidad inapropiada que llegaba a sus hijos cuando utilizaban apps de iPhone: “los padres se decepcionan en gran medida cuando esto ocurre, porque ellos confían en nosotros”.

Con las nuevas normas, el software analítico de Apple sí podrá seguir utilizándose, pero, una vez que los datos hayan sido recogidos, Apple no podrá ver qué se hace con ellos como tal, como enviarlos a un servidor donde puedan ser analizados por terceros. De alguna forma, y conforme a profesionales de la industria, parece que Apple podría estar incluso empeorando la situación al relegar el análisis de datos a prácticas ocultas.

La App Store de Apple se encuentra en el punto de mira de una investigación europea antimonopolio, tras la acusación de una app de música sueca que alegó que Apple beneficiaba la música de Apple Music en la Apple Store. Asimismo, el Tribunal Supremo aceptó a trámite un caso que apuntaba a Apple de usar su poder de monopolio para aumentar de manera injustificada los precios de las app.

Las apps infantiles suponen sólo una pequeña parte de los millones de app disponibles en Apple Store, aunque Apple se ha negado a aportar datos sobre cuál es el porcentaje. Tampoco se ha proporcionado información sobre cuántas de dichas apps recogen información personal de los niños y cuáles lo hacen de manera inapropiada.

Muchos abogados se han quejado durante años de estos problemas de Apple que ahora la compañía dice estar intentando resolver. La Ley de 1998 sobre la protección de la privacidad de los menores (COPPA) y el RGPD limitan los datos que las apps infantiles pueden recoger y rastrear.

Según el Cristina Contero Almagro, Socio Gerente de Aphaia,»si bien esto es un paso remarcable en la dirección correcta, está todavía por ver cómo se aplicará en la práctica. La imposición de las nuevas normas muestra una preocupación teórica de Apple, uno de los gigantes de internet, sobre privacidad, si bien la protección de datos va más allá de una serie de reglas escritas. Dado que el software propio de Apple sí se permite, la información personal de los menores se seguirá recogiendo, y estará por tanto expuesta a un mal uso. Y, lo que es peor, si no hay control sobre cómo y a quién los desarrolladores transfieren después esos datos, los interesados no podrán ejercer de forma adecuada sus derechos, lo cual supondrá una inaceptable limitación del RGPD».

¿Necesitas ayuda con el RGPD o la LOPDGDD? Aphaia ofrece servicios tanto de consultoría para adaptación al RGPDtambién Evaluaciones de Impacto, como subcontratación delSubcontratación del Delegado de Protección de Datos.