Data Clean Rooms. ¿Una solución al paradigma actual de la publicidad programática?
El ecosistema de la publicidad programática no para recibir golpe tras golpe en un intento de las autoridades de control europeas de regular el tratamiento de los datos personales mediante las cookies, debido al potencial que tiene la analítica realizada mediante este medio de conocer e impactar a los usuarios, lo que supone que las empresas vean dificultado o imposibilitado el uso de datos de terceros, especialmente cuando dicho tratamiento se relaciona con la publicidad programática.
Esto se debe principalmente a que la aprobación del Reglamento General de Protección de Datos (“RGPD”) ha supuesto un endurecimiento en los requisitos necesarios para entender que el consentimiento otorgado por el usuario es válido, ya que, si bien antes se admitía el consentimiento tácito, ahora el mismo debe ser otorgado mediante un acto afirmativo claro que refleje una manifestación de voluntad libre, específica e informada del usuario.
Este refuerzo, unido al hecho de que la Directiva E-Privacy limite la base legítima para la instalación de toda cookie no técnica, es decir, no necesaria para el funcionamiento el sistema o web, al consentimiento, ha supuesto un revés en muchos casos para las empresas que buscan lograr un mejor conocimiento de sus usuarios, clientes y leads, así como para aquellas que buscan mejorar sus servicios o monetizar los datos obtenidos de sus usuarios, ya que el usuario debe ahora aceptar libre y expresamente la instalación de las mismas, no pudiendo considerarse válido el que el mismo decida seguir navegando por la web, y no pudiendo condicionarse el acceso a la misma al hecho de que el usuario acepte las cookies.
Si bien es cierto que esta la situación tiene su origen en 2018, en los últimos años se han producido diversos cambios que han dificultado aún más el uso de estas cookies, como son:
- El endurecimiento las medidas para las transferencias internacionales de datos personales, especialmente a Estados Unidos, lugar en el que tienen sede las empresas cuyas cookies analíticas y publicitarias se encuentran entre las más extendidas en el mundo entero, lo que está derivando en que las autoridades de control estén empezando a declarar el uso de las cookies que implican esta transferencia como una vulneración de la legislación en materia de protección de datos y la directiva e-privacy.
- La interpretación de la Autoridad de Protección de Datos francesa (“CNIL”) de la situación legislativa actual, en base a la cual ha dictaminado que se considera competente para conocer de cualquier tratamiento de datos mediante cookies que tenga lugar en su territorio nacional.
Esto se basa en que el uso de estos dispositivos se regula en su ley nacional a través de la cual se transpuso la directiva e-Privacy (al igual que en el resto de países de Europa), por lo que considera que debe ser competente una autoridad nacional para conocer de las disputas con base en dicha ley.
Este criterio genera mucha inseguridad, ya que cada Autoridad tiene una serie de requisitos que debe cumplir el consentimiento y deber de información de las cookies, que en muchos casos difiere de los criterios de las demás Autoridades, e implica que las empresas con presencia en varios países no sepan con seguridad qué criterios debe aplicar.
- La resolución de la Autoridad Belga de Protección en relación con la IAB Europea, en la cual se afirma, entre otras cosas, que los mecanismos de obtención del consentimiento para las cookies no son, en su mayoría, conformes a la normativa en materia de protección de datos, por lo que las empresas tampoco pueden confiar completamente en estos sistemas de gestión de consentimientos (“CMP”), que podrían considerarse más “profesionales” para recabar los consentimientos de forma segura.
Todo lo anterior está derivando en la desconfianza cada vez mayor de las compañías en todo lo referente a las cookies y su uso, ya que ha conllevado que este acarree un mayor riesgo de incumplimiento de la normativa aplicable y, por tanto, un mayor riesgo de sanción, lo que está llevando a que cada vez más empresas a buscar alternativas a dichas cookies que les permita seguir dando valor y potenciando el uso de los datos recabados por ellos mismos (“first-party data”) y no por cookies de terceros (“third-party data”).
Uno de dichos métodos alternativos que actualmente está teniendo un auge en el sector es el uso de las denominadas “Data Clean Rooms”, las cuales consisten una base de datos segura que incluye información previamente anonimizada y agregada de diferentes plataformas o líneas de negocio y que permite combinar estos datos con datos de primera parte de otros gestores, también anonimizados y agregados, para analizar y proporcionar información de forma que se sigan aplicando controles de privacidad.
En definitiva, se trata de un nuevo sistema que permite potenciar la analítica de nuestros propios usuarios sin tener que ceder su información personal a terceros, al combinar nuestros conjuntos de datos previamente anonimizados con conjuntos similares de terceros para obtener mayores conocimientos de los usuarios, de forma que podamos inferir información sobre grupos de personas y luego asociar esta información inferida a los usuarios que encajen en dichos grupos, pero sin haber tenido que cruzar con los terceros ningún dato personal del individuo final (nombre, email, ID de cookies o publicidad, etc.) para conseguir estos resultados.
Este sistema nos permite realizar análisis de los usuarios sin tener que pedir su consentimiento para instalar cookies o para compartir sus datos con terceros, ya que no se da ninguna de estas opciones, y tampoco implica la necesidad de pedir el consentimiento del interesado para la elaboración de perfiles, ya que los análisis realizados sobre los conjuntos de datos, aunque luego se asocien a usuarios concretos, no implican impactos relevantes sobre su persona ni tienen efectos legales sobre ella.
Así, evitando esos tratamientos, y saliendo por tanto de la aplicación de la directiva e-Privacy en lo que a cookies se refiere, se permite a las empresas recurrir al interés legítimo como base legitimadora para el tratamiento de los datos. De este modo, las empresas pueden seguir explotando y monetizando los datos, pero con pleno respeto al derecho a la intimidad de los usuarios.
Obviamente estos tratamientos no carecen de riesgos, ya que para que no aplique el deber de solicitar consentimiento es necesario que el proceso este perfectamente controlado desde un punto de vista de seguridad y privacidad, ya que debe verificarse que de ninguna forma puedan accederse a los datos personales de clientes de otras compañías o se usan los mismos en forma alguna, más allá de los datos previamente anonimizados, lo que implica, entre otras cosas:
- Verificar que existe un proceso de anonimización robusto, verificable, seguro y en monitorización continua.
- Garantizar la implantación de un control de accesos a las bases de datos no anonimizadas, para que no cualquier pueda ver, compartir y/o extraer los datos de los interesados.
- Establecer conexiones seguras entre las bases de datos operacionales y las bases de datos analíticas, así como entre estas y las Data Clean Rooms, para garantizar que no hay ninguna rotura en la cadena de transferencia de información
- Escoger diligentemente el proveedor de dicha Data Clean Room para garantizar:
- Que tiene un sistema acorde a la normativa en materia de protección de datos y que el mismo se encuentra en la Unión Europea o en un país con un nivel de protección equivalente, para evitar los riesgos de las transferencias internacionales, como los que han impactado a los proveedores de cookies situados en Estados Unidos.
- Que los datos están sometidos en todo momento al control del Responsable del Tratamiento
- Que los datos no se usan para nada más que la analítica necesaria para obtener los resultados agrupados, y, especialmente, que nunca se venden o comparten con terceros de forma alguna.
- Verificar que el proveedor no realiza ninguna combinación de datos de carácter personal, y solo combina los datos previamente anonimizados.
En definitiva, y teniendo en cuenta que estas Data Clean Rooms están empezando a tomar presencia y queda ver cómo reaccionan las Autoridades de Control ante su uso, creemos posible decir estas pueden suponer un medio para suplir el actual sistema de cookies y publicidad de cara a lograr que las empresas puedan seguir monetizando sus bases de datos, pero en cumplimiento con la normativa en materia de protección de datos y, por lo tanto, en respeto también con los derechos de los interesados y prestando el debido respeto al uso de sus datos personales.
Eso sí, siempre será necesario que tanto los propietarios de estos sistemas como las compañías responsables de los datos estén alerta e inviertan el tiempo y recursos debidos en garantizar que sus procesos y sistemas están actualizados y seguros, ya que cualquier descuido en sus obligaciones que afecte a alguno de los requisitos anteriormente mencionados puede acarrear que todo el proceso devenga contrario a los requisitos exigidos en la normativa en materia de protección de datos.
Enrique Extremera Maestro, Head Privacy Counsel, Legal Army