ICO afirma que la industria de la tecnología publicitaria está violando las leyes de protección de datos. ¿Qué se puede hacer para que la publicidad en línea prospere frente a un mayor escrutinio?
Con una estricta doctrina de regulación de datos aprobada o en trámite legislativo en todo el mundo en los últimos años, las empresas han reconocido que necesitan revisar la forma en que recopilan, usan y almacenan datos con fines de marketing. En el Reino Unido, el regulador de datos, la Oficina del Comisionado de Información (ICO), recientemente sacudió la industria con dos acciones notables, y al hacerlo, pusieron de relieve los pecados de la industria contra la privacidad de datos.
El primero es la adhesión del ICO a la nueva estructura de sanciones por violaciones de la privacidad de datos. “El ICO tiene la intención de multar a British Airways con 183 millones de libras esterlinas aunque British Airways tiene la intención de apelar“ por la violación de datos que ocurrió en septiembre pasado, exponiendo 380,000 transacciones, incluidos detalles de tarjetas y datos personales, a los ojos de estafadores y piratas informáticos. Esto eclipsa la multa de 500.000 libras esterlinas impuesta a Facebook por el escándalo de Cambridge Analytica que ocurrió antes de que entrara en vigor el RGPD. Por primera vez, la promesa de GDPR de sanciones draconianas por el mal manejo de datos se implementó en el Reino Unido. Pero el ICO no está esperando a que esto se asiente, emitiendo un aviso de su intención de multar al grupo hotelero Marriott International con 99,2 millones de libras esterlinas por una infracción similar. Con estas acciones, ICO ha presentado un nuevo fanatismo por la privacidad de los datos. La aplicación estricta es ahora una realidad.
Estas acciones punitivas también dan cierto peso a las afirmaciones contenidas en el informe que el ICO emitió quince días antes. los Informe de actualización en Adtech y Real Time Bidding ofrece una visión despectiva del estado de la privacidad de los datos en la publicidad conductual en línea, un amplio ecosistema que incluye una gran parte de la economía del Reino Unido, desde anunciantes hasta editores, y todo lo demás. El informe, una lectura obligada para cualquier vendedor que esté creando una estrategia de datos para su empresa, destaca varios aspectos de RTB que han estado bajo escrutinio desde el inicio del GDPR debido a un número de quejas a través de Europa. De manera apenas disimulada, el Comisionado está diciendo que AdTech es ilegal en este momento, en la medida en que se basa en el protocolo Real-Time Bidding (RTB) en su forma actual como una forma de asignar inventario entre editores. El tono y las conclusiones del informe están en línea con la contraparte del ICO en Francia, la CNIL (Commission Nationale de l’Informatique et des Libertés) que es investigar denuncias de infracciones del RGPD al tiempo que insta a adtech a autorregularse y reformarse. (Si el estímulo no funciona, el pasado mes de enero el CNIL recaudó 50 millones de euros a Google para recopilar consentimiento de usuarios de manera contraria al RGPD). Y así, un nuevo viento está barriendo Europa.
Pero, ¿cuáles son los riesgos que RTB representa para los especialistas en marketing en términos de privacidad de datos según los reguladores?
- Existe una confusión persistente sobre la calidad del consentimiento requerido para colocar rastreadores como cookies. Si bien las empresas pueden procesar algunos datos personales sobre la base de un interés legítimo, el consentimiento para las cookies debe ser activa y claramente proporcionado y el propósito de las cookies explicado en términos simples. Al configurar cookies, las empresas deben tener en cuenta tanto el RGPD como el PECR (Reglamento de Privacidad y Comunicaciones Electrónicas) recientemente actualizado y la forma en que se combinan. El consentimiento, no el interés legítimo, puede constituir la base adecuada para cookies distintas de las esenciales.
- El informe afirma que las taxonomías de contenido utilizadas por los protocolos de IAB y Google para realizar ofertas contienen información de datos que el RGPD identifica como confidencial, como salud, religión, etnia u orientación política. El IAB ha hecho algunos progresos en esto, cambiando viejas categorías como "depresión" o "catolicismo" en otras más integrales, como "salud mental" y "cristianismo", pero ¿se informa claramente a los usuarios que dicha información será compartida o incluso capturada. El regulador no cree que ese sea el caso.
- La mayoría de las empresas tienen la culpa de no realizar una evaluación de la privacidad. El RGPD exige una evaluación de impacto de protección de datos (DPIA) cuando existe un "procesamiento a gran escala de categorías especiales de datos", pero las empresas a menudo se han conectado de manera negligente a los protocolos RTB existentes sin evaluar el impacto en los datos del cliente que están controlando.
- La complejidad es un problema importante con RTB, en conflicto con el requisito de GDPR de explicar claramente y desglosar para el usuario los diferentes servicios para los cuales se recopila el consentimiento (la base de la multa de CNIL en Google, que se consideró que no lo hizo). Tal como está, en RTB, los datos se recopilan para una serie de propósitos y se envían a docenas, incluso cientos, de organizaciones en milisegundos. Lo que los usuarios no pueden entender, no pueden dar su consentimiento, de acuerdo con la ley.
- Quizás más condenatorio y menos remediable para RTB, el regulador encuentra ingenuo diseñar un sistema que se base simplemente en obligaciones contractuales para proteger los datos personales. La fuga de datos ha estado persiguiendo la publicidad programática desde el inicio y realmente no hay un conocimiento seguro de qué datos capturan, retienen o cómo los usan los cientos de entidades en la cadena.
El informe revela la incredulidad del Comisionado por la forma arrogante en que se han manejado los datos de los clientes. Su lista de altos riesgos no está acompañada de ejemplos de buenas prácticas dentro de RTB y, por lo tanto, mientras el informe señala con el dedo a "algunos participantes del mercado”, es realmente toda la industria la que está bajo fuego, haciéndose eco de la insistencia de GDPR en la responsabilidad de los controladores de datos para las infracciones de datos. Finalmente, el informe identifica las causas de tal desorden en una "falta de madurez“, sobre cuestiones de privacidad, y también en los „incentivos comerciales“ para asociar datos personales con solicitudes de licitación. – una mezcla profana de codicia e ignorancia. Tales proclamaciones podrían verse como mandamientos desde lo alto que instan al ecosistema de marketing digital a convertirse al nuevo orden.
Detrás del enfoque cauteloso e iterativo de los reguladores, que no llega a interrumpir toda una industria, existe la conciencia de que, si bien los problemas son claros, la solución requiere un cambio importante en las prácticas arraigadas. El IAB (Internet Advertising Bureau) en su respuesta ha reiterado su opinión de que simplemente proporciona un instrumento que las empresas pueden utilizar, pero no es responsable de su cumplimiento de la ley. Como comentamos en un Artículo anterior, esta opinión es ampliamente cuestionada. En cualquier caso, dejando de lado las responsabilidades legales, no proporciona una solución a los problemas de la industria.
Lo que el informe de ICO no analiza son las muchas empresas e iniciativas que prefiguran una relación diferente y más transparente entre los clientes, sus datos, el controlador de datos y la forma en que las empresas pueden promocionarse. Se ha promocionado un regreso a la publicidad contextual, con métricas de audiencia contextual más sofisticadas, como una forma de volverse "seguro para el RGPD", pero esto parece un paso atrás para seguir adelante.
En cambio, Teavaro se ha apasionado, incluso antes de que la regulación hiciera inevitable el cambio, sobre el diseño de sistemas para aprovechar los datos dentro de la relación con el cliente. Esta es una cuestión de negocios sólidos, más que solo de cumplimiento legal. Investigación reciente ha reivindicado esta perspectiva al sugerir que el uso de cookies tiene un impacto en los ingresos de los editores, por extensión, arrojando dudas sobre los beneficios generales para otras partes interesadas también. La arquitectura de dichos sistemas personalizados comprende la creación de una vista unificada del cliente mediante la unión de identificadores propios que las empresas pueden recopilar con permiso claro, transparencia y equidad, proporcionando controles fáciles de usar para los usuarios. Con esto como base, las herramientas de activación de datos, como DataAction de Teavaro, pueden aprovechar dichos datos personales con un protocolo que garantiza que se compartan solo con las partes que tienen la autorización para leerlos, desde la asociación del controlador de datos hasta el usuario individual. permisos Dichos sistemas están diseñados para poner al controlador de datos en el asiento del conductor, no a las empresas de tecnología publicitaria.
Después de la predicción de la ICO de que la reparación de RTB no sucederá "sin intervención", la escritura está en la pared para un ecosistema basado en cookies. Tal revelación no significa el fin del marketing digital. En su lugar, puede volver a nacer activando identificadores propios y la publicidad en línea puede continuar floreciendo. La pregunta sigue siendo, ¿aprovecharán los especialistas en marketing esta oportunidad para arrepentirse o continuar por este camino? El conocimiento de que existen alternativas viables al statu quo actual hace que estas oportunidades sean más tentadoras y permitirá a los consumidores depositar una nueva fe en cómo se utilizan sus datos.
Este artículo apareció originalmente en Revista de marketing móvil.
EN 
EN 
DE 
ES 
EN 
EN 
DE 
ES