Se ha presentado otro lote de quejas ante las agencias de protección de datos de la Unión Europea que instan a que se tomen medidas de cumplimiento contra el abuso de la información de los usuarios de Internet por parte de la industria de la tecnología publicitaria para orientar anuncios.
Las quejas argumentan que los anuncios de comportamiento son dañinos e ilegales.
Más temprano quejas sobre el mismo problema de publicidad programática de licitaciones en tiempo real (RTB) se presentaron en toda la UE en 2018 y 2019, pero aún no han dado lugar a ninguna acción reguladora sustantiva.
Irlanda abrió una investigación sobre De Google intercambio de anuncios el año pasado. Mientras La DPA de Bélgica ha estado avanzando en una investigación sobre una herramienta emblemática de la industria que se utiliza para recopilar consentimientos para la orientación de anuncios, haciendo un hallazgo preliminar de incumplimiento en octubre. Pero el litigio para llegar a un veredicto final sobre el marco de ‘Transparencia y Consentimiento’ (TCF) de IAB Europe no tendrá lugar hasta el próximo año.
(Relacionado: la agencia de protección de datos del Reino Unido se enfrenta a una impugnación legal por su falta de actuación en las quejas de RTB, a pesar repetidamente expresando preocupación acerca de problema de legalidad de la industria.)
Tanto Google como IAB continúan negando cualquier problema con su adtech. El año pasado, Google dijo que los compradores autorizados que utilizan sus sistemas están sujetos a “políticas y estándares estrictos”. Mientras que IAB Europe rechazó las conclusiones de la DPA de Bélgica: diciendo su informe preliminar “malentendido fundamental[s]”La tecnología TCF.
Lo último GDPR las quejas apuntan a cómo RTB El componente de publicidad programática transmite los datos personales de los usuarios de Internet a decenas de entidades involucradas en estas subastas de globo ocular de alta velocidad, argumentando que va en contra de los requisitos de seguridad básicos del Reglamento general de protección de datos (GDPR), además de ser horrible para la privacidad de las personas.
Un principio clave del RGPD es la seguridad por diseño y por defecto: la regulación impone requisitos legales a los manipuladores de datos personales para asegurarse de que la información de las personas esté debidamente protegida.
Las quejas, que se dirigen a Google y al IAB en su calidad de emisores de estándares de OTR, han sido presentados por grupos de la sociedad civil en seis países europeos, a saber: Asociación de Tecnología e Internet (ApTi), Rumania; D3 – Defensa de los derechos digitales, Portugal; GONG, Croacia; Fundación Global de Dignidad Humana, Malta; Homo Digitalis, Grecia; y el Instituto de Información de Chipre.
Están siendo coordinados por un consorcio liderado por el Unión de Libertades Civiles para Europa (Libertades), el ORG (Open Rights Group) y el Fundación Panoptykon.
“La licitación en tiempo real, que es la base de la industria de la publicidad en línea, es un abuso del derecho de las personas a la privacidad”, dijo la Dra. Orsolya Reich, oficial senior de defensa de Liberties, en una declaración de apoyo. “El RGPD ha estado en vigor desde 2018 y está ahí precisamente para dar a las personas una mayor voz sobre lo que sucede con sus datos en línea.
“Hoy, más grupos de la sociedad civil están diciendo suficiente con este modelo publicitario invasivo y están pidiendo a las autoridades de protección de datos que se opongan a las prácticas dañinas e ilegales que utilizan”.
El consorcio solicita una investigación conjunta por parte de sus respectivas APD nacionales y que los reguladores se unan a las investigaciones adtech en curso en Irlanda (en adtech de Google) y Bélgica (en el marco TCF de IAB Europe).
No está claro hasta dónde ha progresado la investigación de Google por parte de la DPC irlandesa, pero sigue enfrentando críticas por la falta de decisiones sobre casos de GDPR transfronterizos, unos 2,5 años después de que técnicamente comenzara a aplicarse la regulación.
Un mecanismo en el GDPR significa que los casos transfronterizos (básicamente todo lo relacionado con la tecnología de consumo convencional) se pasan a una agencia líder para que los investigue. Sin embargo, otras agencias también siguen involucradas, como partes interesadas, y deben estar de acuerdo con cualquier decisión final que se tome.
El sistema ha provocado un cuello de botella en los casos en ciertas ubicaciones de la UE, como Irlanda, donde muchos gigantes tecnológicos tienen su sede en Europa. Entonces, la preocupación es que este mecanismo de ventanilla única está agregando un nivel inviable de fricción a las investigaciones de GDPR, lo que retrasa las decisiones y las acciones de cumplimiento tanto que arriesga todo el marco.
La Comisión ha debilidad reconocida en la aplicación del RGPD. Obviamente, porque está trabajando en un paquete masivo de nuevas regulaciones digitales. Aunque su estrategia para solucionar el problema de la aplicación de la ley es menos clara, ya que los Estados miembros de la UE parecen estar dispuestos a seguir siendo responsables de la mayor parte de esta supervisión adicional, al igual que ahora son responsables de dotar de recursos a sus propias APD. (Y aún más quejas se han presentado este año acusando a los gobiernos europeos de una falla en los recursos de GDPR).
El DPC de Irlanda está programado para emitir su primera decisión de GDPR transfronteriza en un caso relacionado con una violación de seguridad de Twitter muy corto. Pero el año pasado, su comisionada, Helen Dixon, sugirió que tomaría sus primeras decisiones de este tipo a principios de 2020, por lo que la brecha entre las expectativas de GDPR y la realidad se está demorando casi 12 meses en este punto.
El consorcio que presentó las últimas quejas de RTB escribe en un comunicado de prensa que, si bien algunas de las quejas adtech anteriores se remitieron a las autoridades principales, no tiene conocimiento de “ninguna cooperación significativa u operaciones conjuntas entre las autoridades nacionales y las autoridades principales”.
“Esto sugiere que los mecanismos de cooperación y coherencia previstos en el RGPD aún no se han implementado por completo”, agrega el grupo, pidiendo una investigación conjunta sobre el problema de las RTB porque la tecnología funciona de la misma manera a través de las fronteras y “produce lo mismo efectos negativos en todos los estados miembros de la UE ”, como dicen.
Sin embargo, no está claro cómo el trabajo conjunto adicional, si es que eso es realmente lo que se pide, ayudaría a acelerar la aplicación del RGPD. Tampoco cómo la remisión de quejas adicionales a Irlanda y Bélgica funcionaría para acelerar sus investigaciones actuales.
Lo más probable es que la intención sea mantener la presión sobre los reguladores para que actúen.
Cuando se le preguntó sobre la convocatoria de trabajo conjunto, un portavoz de Liberties nos dijo: “El problema es que Google e IAB son grandes actores, creadores de estándares en el mercado y afectan a todos los usuarios de Internet. Dado el alcance geográfico de las cuestiones planteadas en las quejas, creemos que es mejor que las autoridades de supervisión actúen al unísono, no que trabajen solas en su esquina. Es por eso que los socios nacionales están invitando a sus DPA nacionales a remitir esta queja a las principales autoridades de supervisión que ya están investigando el cumplimiento de Google y IAB con el GDPR “.
Al comentar en otra declaración de respaldo, Mariano delli Santi, oficial legal y de políticas de la ORG, agregó: “Estas nuevas quejas muestran que el GDPR está funcionando. Las personas son cada vez más conscientes de sus derechos y exigen cambios. Ahora, depende de las autoridades apoyar este proceso y asegurarse de que estas leyes se apliquen de manera adecuada y coherente contra los abusos generalizados de la industria de la tecnología publicitaria “.
En el momento de redactar este informe, el único ejemplo existente de aplicación contra un gigante tecnológico en virtud de la regulación actualizada era Enero de 2019 decisión de multar a Google con 57 millones de dólares por parte de la CNIL de Francia. Sin embargo, esa investigación se limitó a tener un alcance nacional, en lugar de ser tratada como un caso transfronterizo.
Desde entonces, Google ha trasladado su base legal en Europa a Irlanda, por lo que ahora está bajo la jurisdicción principal del DPC.
Este arreglo parece adaptarse a la gran tecnología, lo que le permite evitar el riesgo de investigaciones más rápidas realizadas por agencias de un solo Estado miembro que actúan más rápido por sí solas. (Así que es muy interesante ver TikTok aumentando su infraestructura empresarial y plantilla en Irlanda – como su también ahora en el radar de la CNIL…)
Como se señaló anteriormente, los legisladores de la UE han admitido que la aplicación del RGPD ha sido una debilidad hasta ahora.
En una revisión del reglamento de dos años este verano la Comisión destacó una falta de aplicación universalmente vigorosa.
La semana pasada La comisionada de valores y transparencia, Vera Jourouv, también planteó el problema cuando expuso el plan del bloque para reforzar los valores democráticos contra una variedad de riesgos en línea, como la desinformación algorítmicamente amplificada o microtargetada y la interferencia electoral: reconocer el GDPR por sí solo no es suficiente para arreglar una miríada de problemas que se cruzan alimentados por la tecnología.
“[After the Cambridge Analytica scandal] Dijimos que nos sentimos aliviados de que después de la entrada en vigor del RGPD, estemos protegidos contra este tipo de práctica, que las personas tienen que dar su consentimiento y ser conscientes de eso, pero vemos que podría ser una medida débil solo confiar en el consentimiento o la salida. es para que los ciudadanos den su consentimiento ”, dijo.
“La aplicación de las reglas de privacidad no es suficiente; por eso ingresamos al Plan de Acción para la Democracia Europea con la visión de que el próximo año venga con las reglas para la publicidad política, donde estamos considerando seriamente limitar la microtargeting como un método que es utilizado para la promoción de poderes políticos, partidos políticos o individuos políticos “.
La Comisión Europea está en proceso de redactar un paquete ambicioso y entrelazado de regulaciones digitales, que quiere impulsar una economía de datos regional y establecer reglas firmes en línea para generar la confianza necesaria – y ha dicho que quiere que este importante esfuerzo de formulación de políticas digitales sirva a Europa durante décadas.
Pero sin una aplicación efectiva de su reglamento de Internet, no está claro cómo la estrategia digital del bloque funcionará como se esperaba.