Entras en un buscador, realizas una búsqueda y, en milésimas de segundos, tus datos se envían a miles de terceros, que hacen pujas en tiempo real para enviarte publicidad personalizada. Ocurre a diario y hasta decenas de veces por persona (cada vez que haces clic). Miles de millones de datos de cada usuario online que llegan a sistemas de subasta de anuncios segmentados en tiempo real. Una “profunda fuga masiva de datos”, según las organizaciones que este mes han interpuesto denuncias en España y otros países europeos contra la industria de la publicidad online, especialmente Google.
Les acusan de no cumplir el Reglamento General de Protección de Datos (RGPD). “Siguen utilizando el sistema de subasta en tiempo real para compartir datos personales con terceros, sin conocimiento ni control por parte de los usuarios”, señala Gemma Galdón, presidenta de la Fundación Éticas, dedicada a la realización de estudios y actividades de concienciación sobre cómo impactan las nuevas tecnologías en la sociedad.
Galdón y Diego Fanjul, de Finch Abogados, son quienes han interpuesto la denuncia en la Agencia Española de Protección de Datos, en el marco de la campaña Fix AdTech que busca “hacer que la publicidad en internet sea mejor y más fiable y segura”. Otros colegas han hecho lo propio en Luxemburgo, Bélgica y Países Bajos. Meses atrás lo hicieron Reino Unido, Polonia e Irlanda, que ha anunciado una investigación por presuntas infracciones por parte del negocio de intercambio de publicidad de Google.
“Es muy grave. Hablamos de la mayor vulneración de datos de la historia en términos de volumen”, sostiene Galdon. La experta -también fundadora de Eticas Research and Consulting- explica que estos sistemas recogen información sobre todos los movimientos online de cada usuario para completar su perfil, al que los corredores de datos (data brokers) tienen acceso, en un sistema de pujas, sin que las personas a quienes pertenecen dichos datos tengan ningún tipo de control.
Cómo funciona
Un usuario X -tú, que lees este artículo, por ejemplo- entra a una web cualquiera. Los datos de su perfil online van a parar a un servidor de anuncios. Después llega a un sistema de oferta de espacios publicitarios e impresiones.
Y luego a otro de intercambio de anuncios (que conecta los datos de las diferentes demandas que lanzan los anunciantes con los de los espacios publicitarios). Finalmente, una de esas demandas de anuncio segmentado será escogida y se mostrará al usuario que realiza la búsqueda y obtendrá de X nuevos datos para completar la información que ya tiene sobre este. ¿Qué información se envía? Tal y como explica uno de los impulsores de Fix AdTech -el director de Política y Relaciones con la Industria del navegador Brave, Johnny Ryan- los datos de cada usuario que reciben esos miles de terceros son:
Tu historial de búsqueda. Lo que ves, miras o escuchas.
Categorías de contenido: cualquier cosa que hayas buscado por cualquier motivo y por sensible o íntima que sea se asocia a tu persona bajo categorías como incesto, abuso de drogas, infertilidad, salud mental, si eres de izquierdas o de derechas…
Tu identificador (ID) pseudónimo único, que oculta tu identidad pero permite que se te reconozca bajo ese ID en siguientes visitas.
Dicho ID asociado al perfil de ti que tienen los compradores de anuncios.
Tu geolocalización.
Una descripción de tu dispositivo.
Tu dirección IP (en algunos casos, dependiendo del sistema pujas el tiempo real usado).
Ryan destaca la posibilidad y alta probabilidad de que los diferentes actores implicados en el proceso de subasta conecten toda la información de la que disponen sobre ti para tener un perfil más completo. Una de las consecuencias es que cada persona online puede ser ampliamente perfilada. Galdón destaca la gravedad de recopilar toda esta información. “Solo con la dirección IP ya tienen un identificador único que pertenece a tu dispositivo y que, por tanto, pueden asociar a tu nombre y apellido”, señala.
La experta insiste en la vulneración del RGPD que esto supone y acusa a industria de la publicidad online de no haber hecho ningún esfuerzo por adaptarse al reglamento.
“Es una pena tener que ir a los tribunales para que se adapten a la legislación vigente”, asegura. Entiende que les cueste, ya que es un ataque a su modelo de negocio y les obliga a reinventarse, pero considera que eso no constituye un atenuante.
elpais.com