El pasado 20 de junio, la ICO (Autoridad de Control en materia de Protección de Datos del Reino Unido) publicó su informe sobre Adtech y Real Time Bidding (RTB), o lo que es lo mismo, el método de compra de publicidad digital en línea a través de pujas en tiempo real de distintos espacios publicitarios.
Este informe resume los resultados obtenidos hasta el momento tras haber analizado la industria y el ecosistema Adtech con la estrecha colaboración de las principales partes interesadas: IAB Europa, Google, editores, anunciantes, empresas participantes de la industria Adtech, así como consultores legales especializados en la materia. No obstante, aunque este informe no pretende ser una guía o una decisión jurídicamente vinculante, las opiniones y conclusiones de la ICO deben ser muy tenidas en cuenta, en la medida en que pueden marcar los futuros itinerarios del resto de autoridades europeas de protección de datos.
El informe analiza los principales puntos clave relacionados con la industria Adtech, como son el funcionamiento del ecosistema de RTB, quiénes son los participantes, qué tipo de información se incluye en una solicitud de oferta por un espacio publicitario, cómo funciona el proceso de RTB a través los dos principales protocolos de la IAB Europa y Google, y cuáles son los principales riesgos para los derechos y libertades de las personas cuyos datos están siendo tratados.
En líneas generales, el informe confirma que la industria Adtech tiene una percepción inmadura de los conceptos, riesgos, requisitos y obligaciones en materia de protección de datos, y para ello, se basa en las siguientes argumentaciones:
- En primer lugar, se determina que el consentimiento explícito no se está obteniendo de manera adecuada cuando se tratan categorías especiales de datos, a pesar de que este tipo de datos de carácter sensible se están utilizando para encuadrar a los usuarios en distintos «segmentos de audiencia» con diferentes finalidades. Esto supone que el Framework de Transparencia y Consentimiento de IAB Europa y el Framework de Authorized Buyers de Google no están permitiendo recabar los consentimientos de forma compatible con las exigencias del RGPD.
- Asimismo, el resto de tipologías de datos (y no solo las categorías especiales) están siendo tratadas de forma ilícita, bajo la errónea percepción de que el interés legítimo puede ser una base legitimadora suficiente y adecuada para instalar y/o leer una cookie o cualquier otra tecnología de características similares, en lugar de recabar el consentimiento del usuario.
- Por otro lado, y en la medida en que las RTB (o subastas en tiempo real) conllevan una serie de riesgos que son originados por la propia naturaleza del ecosistema Adtech y la forma en que se tratan los datos personales dentro del mismo (como (1) la elaboración de perfiles y la toma de decisiones automatizadas, (2) el tratamiento a gran escala (incluidas categorías especiales de datos), (3) el uso de tecnologías innovadoras, (4) la combinación y el cotejo de datos de múltiples fuentes, (5) el seguimiento de la geolocalización y/o el comportamiento del usuario, (6) y el tratamiento de datos que no se han obtenido directamente del interesado), se requiere realizar una evaluación del impacto en materia de protección de datos, de acuerdo con el RGPD, para evaluar y mitigar plenamente los riesgos asociados a las RTB.
- Tanto los Framework de la IAB como los de Google son insuficientes para garantizar la transparencia en relación con la información proporcionada al interesado. La cadena de suministro de datos es demasiado compleja, la lista de proveedores incluye más de 450 participantes y las personas no pueden hacerse una idea adecuada ni global de lo que ocurre con sus datos.
- Además, el ecosistema Adtech permite crear un perfil extremadamente detallado sobre los interesados, el cual posteriormente es compartido entre múltiples participantes para poder llevar a cabo el proceso RTB, y una vez que los datos salen de las primeras manos de la cadena, no hay forma de garantizar que los datos permanecerán sujetos a la protección y controles adecuados por parte del resto de participantes.
- Existe una aplicación inconsistente de medidas técnicas y organizativas adecuadas para asegurar los datos en tránsito y las múltiples (entre ellas, internacionales) transferencias de datos, y hay una falta de un seguimiento y control adecuados entre la cadena de participantes.
- La ICO considera que utilizar los controles contractuales para proporcionar un nivel de garantías sobre el cumplimiento de la protección de datos no resulta suficiente, sino que, por el contrario, establece que los Responsables del Tratamiento deben no solo firmar los contratos necesarios que incluyan los requisitos legales, sino evaluar la competencia de los Encargados en relación con sus obligaciones de protección de datos y garantizar el cumplimiento del Encargado de forma continua con auditorías e inspecciones.
Sobre la base de este informe, la ICO seguirá trabajando en este ámbito, con la participación de la IAB Europa y Google, pero también con otras Autoridades de Control Europeas. Por nuestra parte, en España aún nos encontramos expectantes a que la AEPD se pronuncie al respecto, si bien aún se encuentra pendiente de publicar la nueva Guía de Cookies.
En cualquier caso, ha llegado el momento de que los participantes de la industria Adtech evalúen el tratamiento que realizan de los datos personales y tomen las medidas necesarias para cumplir con las exigencias que establece la normativa de protección de datos, porque como dice el refrán: “cuando las barbas de tu vecino veas afeitar, pon las tuyas a remojar”.
Loreto Jiménez Muñoz, Head of Privacy, L-A