Se ha presentado otro lote de quejas ante las agencias de protección de datos de la Unión Europea instando a que se tomen medidas de cumplimiento contra el abuso de la información de los usuarios de Internet por parte de la industria de la tecnología publicitaria para dirigir anuncios.
Las quejas argumentan que los anuncios de comportamiento son dañinos e ilegales.
Las quejas anteriores sobre el mismo problema de publicidad programática de Licitaciones en tiempo real (RTB) se presentaron en toda la UE en 2018 y 2019, pero aún no han dado lugar a ninguna acción reguladora sustantiva.
Irlanda abrió una investigación sobre el intercambio de anuncios de Google el año pasado. Mientras que la DPA de Bélgica ha estado avanzando en una investigación sobre una herramienta emblemática de la industria que se utiliza para recopilar consentimientos para la orientación de anuncios, haciendo un hallazgo preliminar de incumplimiento en octubre. Pero el litigio para llegar a un veredicto final sobre el marco de ‘Transparencia y Consentimiento’ (TCF) de IAB Europe no tendrá lugar hasta el próximo año.
(Relacionado: la agencia de protección de datos del Reino Unido se enfrenta a un desafío legal por no actuar sobre las quejas de RTB, a pesar de expresar repetidamente su preocupación por el problema de legalidad de la industria).
Tanto Google como IAB continúan negando cualquier problema con su adtech. El año pasado, Google dijo que los compradores autorizados que utilizan sus sistemas están sujetos a “políticas y estándares estrictos”. Si bien la IAB Europa rechazó los hallazgos de la DPA de Bélgica, diciendo que su informe preliminar “un malentendido fundamental[s]”La tecnología TCF.
Las últimas quejas de GDPR apuntan a cómo el componente de RTB de la publicidad programática transmite los datos personales de los usuarios de Internet a decenas de entidades involucradas en estas subastas de globo ocular de alta velocidad, argumentando que también va en contra de los requisitos de seguridad básicos del Reglamento general de protección de datos (GDPR) como algo horrible para la privacidad de las personas.
Un principio clave del RGPD es la seguridad por diseño y por defecto: la regulación impone requisitos legales a los manipuladores de datos personales para garantizar que la información de las personas esté debidamente protegida.
Las quejas, que se dirigen a Google y la IAB en su calidad de emisores de normas RTB, han sido presentadas por grupos de la sociedad civil en seis países europeos, a saber: Asociatia pentru Tehnologie si Internet (ApTi), Rumania; D3 – Defesa dos Direitos Digitais, Portugal; GONG, Croacia; Fundación Global para la Dignidad Humana, Malta; Homo Digitalis, Grecia; y el Instituto de Información de Chipre.
Están siendo coordinados por un consorcio liderado por Civil Liberties Union for Europe (Liberties), ORG (Open Rights Group) y la Fundación Panoptykon.
“La licitación en tiempo real, que es la base de la industria de la publicidad en línea, es un abuso del derecho de las personas a la privacidad”, dijo la Dra. Orsolya Reich, oficial senior de defensa de Liberties, en una declaración de respaldo. “El RGPD ha estado en vigor desde 2018 y está ahí precisamente para dar a las personas una mayor voz sobre lo que sucede con sus datos en línea.
“Hoy, más grupos de la sociedad civil están diciendo suficiente con este modelo publicitario invasivo y están pidiendo a las autoridades de protección de datos que se opongan a las prácticas dañinas e ilegales que utilizan”.
El consorcio solicita una investigación conjunta por parte de sus respectivas DPA nacionales, y que los reguladores se unan a las investigaciones de adtech en curso en Irlanda (en adtech de Google) y Bélgica (en el marco TCF de IAB Europe).
No está claro hasta dónde ha progresado la investigación de Google por parte de la DPC irlandesa, pero sigue enfrentando críticas por la falta de decisiones sobre casos de GDPR transfronterizos, unos 2,5 años después de que técnicamente comenzara a aplicarse la regulación.
Un mecanismo en el GDPR significa que los casos transfronterizos (básicamente todo lo relacionado con la tecnología de consumo convencional) se pasan a una agencia líder para que los investigue. Sin embargo, otras agencias también siguen involucradas, como partes interesadas, y deben estar de acuerdo con cualquier decisión final que se tome.
El sistema ha provocado un cuello de botella de casos en ciertas ubicaciones de la UE, como Irlanda, donde muchos gigantes tecnológicos tienen su sede europea. Entonces, la preocupación es que este mecanismo de ventanilla única está agregando un nivel inviable de fricción a las investigaciones de GDPR, lo que retrasa las decisiones y las acciones de cumplimiento tanto que arriesga todo el marco.
La Comisión ha reconocido la debilidad en la aplicación del RGPD. Más obviamente porque está trabajando en un paquete masivo de nuevas regulaciones digitales. Aunque su estrategia para solucionar el problema de la aplicación es menos clara, ya que los Estados miembros de la UE parecen estar dispuestos a seguir siendo responsables de la mayor parte de esta supervisión adicional, al igual que ahora son responsables de dotar de recursos a sus propias APD. (Y aún se han presentado más quejas este año acusando a los gobiernos europeos de una falla en los recursos de GDPR).
El DPC de Irlanda está programado para emitir su primera decisión de GDPR transfronteriza en un caso que se relaciona con una violación de seguridad de Twitter muy pronto. Pero el año pasado, su comisionada, Helen Dixon, sugirió que tomaría sus primeras decisiones de este tipo a principios de 2020, por lo que la brecha entre las expectativas de GDPR y la realidad se está demorando casi 12 meses en este punto.
El consorcio que presentó las últimas quejas de RTB escribe en un comunicado de prensa que, si bien algunas de las quejas adtech anteriores se remitieron a las autoridades principales, no tiene conocimiento de “ninguna cooperación significativa u operaciones conjuntas entre las autoridades nacionales y las autoridades principales”.
“Esto sugiere que los mecanismos de cooperación y coherencia previstos en el RGPD aún no se han implementado por completo”, agrega el grupo, pidiendo una investigación conjunta sobre el problema de las RTB porque la tecnología funciona de la misma manera a través de las fronteras y “produce lo mismo efectos negativos en todos los estados miembros de la UE ”, como dicen.
Sin embargo, no está claro cómo el trabajo conjunto adicional, si es que eso es realmente lo que se pide, ayudaría a acelerar la aplicación del RGPD. Tampoco cómo la remisión de quejas adicionales a Irlanda y Bélgica funcionaría para acelerar sus investigaciones actuales.
Lo más probable es que la intención sea mantener la presión sobre los reguladores para que actúen.
Cuando se le preguntó sobre la convocatoria de trabajo conjunto, un portavoz de Liberties nos dijo: “El problema es que Google e IAB son grandes actores, creadores de estándares en el mercado y afectan a todos los usuarios de Internet. Dado el alcance geográfico de las cuestiones planteadas en las quejas, creemos que es mejor que las autoridades de supervisión actúen al unísono, no que trabajen solas en su esquina. Es por eso que los socios nacionales están invitando a sus DPA nacionales a remitir esta queja a las autoridades supervisoras principales que ya están investigando el cumplimiento de Google y IAB con el GDPR “.
Al comentar en otra declaración de apoyo, Mariano delli Santi, oficial legal y de políticas de la ORG, agregó: “Estas nuevas quejas muestran que el GDPR está funcionando. Las personas son cada vez más conscientes de sus derechos y exigen cambios. Ahora, depende de las autoridades apoyar este proceso y asegurarse de que estas leyes se apliquen de manera adecuada y coherente contra los abusos generalizados de la industria de la tecnología publicitaria “.
En el momento de redactar este artículo, el único ejemplo existente de aplicación contra un gigante tecnológico en virtud de la regulación actualizada fue una decisión de enero de 2019 de multar a Google con 57 millones de dólares por parte de la CNIL de Francia. Sin embargo, esa investigación se limitó a tener un alcance nacional, en lugar de ser tratada como un caso transfronterizo.
Desde entonces, Google ha trasladado su base legal en Europa a Irlanda, por lo que ahora está bajo la jurisdicción principal del DPC.
Este arreglo parece adaptarse a la gran tecnología, lo que le permite evitar el riesgo de investigaciones más rápidas realizadas por agencias de un solo Estado miembro que actúan más rápido por sí solas. (Por lo tanto, es muy interesante ver a TikTok aumentar su infraestructura comercial y su plantilla en Irlanda, ya que ahora también está en el radar de la CNIL …)
Como se señaló anteriormente, los legisladores de la UE han admitido que la aplicación del GDPR ha sido una debilidad hasta ahora.
En una revisión del reglamento de hace dos años este verano, la Comisión destacó la falta de aplicación universalmente vigorosa.
La semana pasada, la comisionada de valores y transparencia, Vera Jourouv, también planteó el problema cuando expuso el plan del bloque para reforzar los valores democráticos contra una variedad de riesgos en línea, como la desinformación algorítmicamente amplificada o microtargentada y la interferencia electoral; reconocer que GDPR por sí solo no lo es. suficiente para solucionar una miríada de problemas que se cruzan alimentados por la tecnología.
“[After the Cambridge Analytica scandal] Dijimos que nos sentimos aliviados de que, después de la entrada en vigor del RGPD, estemos protegidos contra este tipo de práctica, que las personas tienen que dar su consentimiento y ser conscientes de eso, pero vemos que podría ser una medida débil solo confiar en el consentimiento o la salida. es para que los ciudadanos den su consentimiento ”, dijo.
“La aplicación de las reglas de privacidad no es suficiente; por eso ingresamos en el Plan de Acción para la Democracia Europea con la visión de que el próximo año venga con las reglas para la publicidad política, donde estamos considerando seriamente limitar la microtargeting como un método que es utilizado para la promoción de poderes políticos, partidos políticos o individuos políticos “.
La Comisión Europea está en proceso de redactar un paquete ambicioso e interconectado de regulaciones digitales, que quiere impulsar una economía de datos regional y establecer reglas firmes en línea para generar la confianza necesaria, y ha dicho que quiere que este importante esfuerzo de formulación de políticas digitales sirva Europa durante décadas.
Pero sin la aplicación efectiva de su reglamento de Internet, no está claro cómo la estrategia digital del bloque funcionará como se esperaba.
Source: http://feedproxy.google.com/~r/Techcrunch/~3/pU_9lS8WmEA/
