Una reciente sentencia de la autoridad de protección de datos belga ha puesto en guardia al sector de la publicidad online (adtech).
La agencia belga de protección de datos ha determinado que el marco de transparencia y consentimiento de IAB Europe (Interactive Advertising Bureau) no cumple con el Reglamento General de Protección de Datos (RGPD) en una decisión que tiene importantes repercusiones para el sector de la publicidad online. IAB (Interactive Advertising Bureau) es una empresa de software responsable del desarrollo del sistema de gestión de publicidad online más usado en el sector.
Aunque la multa impuesta no es muy onerosa (€250,000) para una organización del tamaño de IAB, los términos de la sentencia establecen que la industria en su conjunto debe reformar sus métodos de trabajo. En concreto, la decisión está relacionada con uno de los sistemas más extendidos para gestionar la publicidad online: la puja en tiempo real o real time bidding.
¿Qué es la puja en tiempo real en publicidad online?
La puja en tiempo real consiste en la venta de espacio publicitario a través de un sistema de subasta automatizado. Cuando un individuo entra en una página web o una aplicación, los anunciantes pujan por mostrarle un anuncio específicamente adaptado a su perfil.
Este sistema presenta serios riesgos para la privacidad y, en los últimos años, estas prácticas han sido objeto de investigaciones y sanciones por parte de las autoridades. Entre los principales problemas está:
- La falta de transparencia, ya que el individuo no sabe que sus acciones están siendo monitorizadas y usadas para crear un perfil.
- El consentimiento no informado, ya que el individuo accede al tratamiento de sus datos sin tener una idea clara del propósito con el que serán usado.
- La compartición masiva de datos de las grandes plataformas con los anunciantes.
El cordón de consentimiento (TCF)
La respuesta de IAB para tratar de cumplir con el RGPD fue la creación del Transparency & Consent Framework (TCF) que permite almacenar las preferencias de los usuarios y transmitirlas como un cordón de consentimiento (consent string) a otras partes dentro del sector. Este cordón de consentimiento está diseñado para servir también como fuente de información al usuario para que pueda consultar los datos que están siendo compartidos y la finalidad con la que serán utilizados.
Este sistema ha sido adoptado por una gran parte de la industria con la idea de que aseguraba el cumplimiento del RGPD ya que los medios digitales recogían el consentimiento y se lo pasaban a los anunciantes a través de este cordón de consentimiento.
Sin embargo, la autoridad belga ha dictaminado que este cordón de consentimiento y las preferencias de usuario que contiene constituyen datos personales y puede servir para la identificación del usuario de manera indirecta.
Para la autoridad belga, la capacidad que tiene este sistema de individualizar a un usuario para mostrarle publicidad puede servir para identificarlo a pesar de que no existan datos de identidad concretos.
La autoridad también ha llegado a la conclusión de que los datos personales se almacenan incluso aunque el individuo opte por no dar su consentimiento de una manera activa.
Conclusión
La decisión de la autoridad belga pone en entredicho uno de los pilares de la industria publicitaria y puede tener importantes repercusiones para su futuro y para el funcionamiento de los medios en internet. La elaboración y compartición de perfiles de usuario es una práctica que se mueve en los límites de la legalidad y es necesario que una industria con tanto peso adopte sistemas que se encuentren firmemente anclados en la legalidad.
