Elpasado 20 de junio, la ICO (Autoridad de Control en materia de Protección deDatos del Reino Unido) publicó su informe sobre Adtechy Real Time Bidding (RTB), o lo que es lo mismo, el método decompra de publicidad digital en línea a través de pujas en tiempo real dedistintos espacios publicitarios.
Esteinforme resume los resultados obtenidos hasta el momento tras haber analizadola industria y el ecosistema Adtech con la estrecha colaboración de lasprincipales partes interesadas: IAB Europa, Google, editores, anunciantes,empresas participantes de la industria Adtech, así como consultores legalesespecializados en la materia. No obstante, aunque este informe no pretende seruna guía o una decisión jurídicamente vinculante, las opiniones y conclusionesde la ICO deben ser muy tenidas en cuenta, en la medida en que pueden marcar losfuturos itinerarios del resto de autoridades europeas de protección de datos.
El informeanaliza los principales puntos clave relacionados con la industria Adtech, comoson el funcionamiento del ecosistema de RTB, quiénes son los participantes, quétipo de información se incluye en una solicitud de oferta por un espaciopublicitario, cómo funciona el proceso de RTB a través los dos principales protocolosde la IAB Europa y Google, y cuáles son los principales riesgos para losderechos y libertades de las personas cuyos datos están siendo tratados.
En líneasgenerales, el informe confirma que la industria Adtech tiene una percepcióninmadura de los conceptos, riesgos, requisitos y obligaciones en materia deprotección de datos, y para ello, se basa en las siguientes argumentaciones:
- Enprimer lugar, se determina que el consentimientoexplícito no se está obteniendo de manera adecuada cuando se tratan categorías especiales de datos, a pesarde que este tipo de datos de carácter sensible se están utilizando para encuadrara los usuarios en distintos «segmentos de audiencia» con diferentes finalidades.Esto supone que el Framework de Transparencia y Consentimiento de IAB Europa yel Framework de Authorized Buyers de Google no están permitiendo recabar losconsentimientos de forma compatible con las exigencias del RGPD.
- Asimismo,el resto de tipologías de datos (y no solo las categorías especiales) estánsiendo tratadas de forma ilícita, bajo la erróneapercepción de que el interés legítimo puede ser una base legitimadorasuficiente y adecuada para instalar y/o leer una cookie o cualquier otratecnología de características similares, en lugar de recabar el consentimientodel usuario.
- Por otrolado, y en la medida en que las RTB (osubastas en tiempo real) conllevan unaserie de riesgos que son originados por la propia naturaleza del ecosistemaAdtech y la forma en que se tratan los datos personales dentro del mismo (como (1)la elaboración de perfiles y la toma de decisiones automatizadas, (2) eltratamiento a gran escala (incluidas categorías especiales de datos), (3) eluso de tecnologías innovadoras, (4) la combinación y el cotejo de datos demúltiples fuentes, (5) el seguimiento de la geolocalización y/o elcomportamiento del usuario, (6) y el tratamiento de datos que no se hanobtenido directamente del interesado), se requiererealizar una evaluación del impacto en materia de protección de datos, deacuerdo con el RGPD, para evaluar y mitigar plenamente los riesgos asociados alas RTB.
- Tantolos Framework de la IAB como los de Google son insuficientes para garantizar la transparencia en relación con lainformación proporcionada al interesado. La cadena de suministro de datoses demasiado compleja, la lista de proveedores incluye más de 450 participantesy las personas no pueden hacerse una idea adecuada ni global de lo que ocurrecon sus datos.
- Además,el ecosistema Adtech permite crear unperfil extremadamente detallado sobre los interesados, el cualposteriormente es compartido entremúltiples participantes para poder llevar a cabo el proceso RTB, y una vezque los datos salen de las primeras manos de la cadena, no hay forma degarantizar que los datos permanecerán sujetos a la protección y controlesadecuados por parte del resto de participantes.
- Existeuna aplicación inconsistente de medidastécnicas y organizativas adecuadas para asegurar los datos en tránsito ylas múltiples (entre ellas, internacionales) transferencias de datos, y hay unafalta de un seguimiento y control adecuados entre la cadena de participantes.
- La ICOconsidera que utilizar los controles contractuales para proporcionar un nivelde garantías sobre el cumplimiento de la protección de datos no resultasuficiente, sino que, por el contrario, establece que los Responsables delTratamiento deben no solo firmar loscontratos necesarios que incluyan los requisitos legales, sino evaluar la competencia de los Encargadosen relación con sus obligaciones de protección de datos y garantizar el cumplimiento del Encargado de forma continua con auditorías e inspecciones.
Sobre labase de este informe, la ICO seguirá trabajando en este ámbito, con laparticipación de la IAB Europa y Google, pero también con otras Autoridades deControl Europeas. Por nuestra parte, en España aún nos encontramos expectantesa que la AEPD se pronuncie al respecto, si bien aún se encuentra pendiente depublicar la nueva Guía de Cookies.
Encualquier caso, ha llegado el momento de que los participantes de la industriaAdtech evalúen el tratamiento que realizan de los datos personales y tomen lasmedidas necesarias para cumplir con las exigencias que establece la normativade protección de datos, porque como dice el refrán: “cuando las barbas de tu vecino veas afeitar, pon las tuyas a remojar”.
Loreto Jiménez Muñoz, Head of Privacy, L-A