7 historias sobre privacidad de datos que sacudieron el AdTech en 2022

Decir que el 2022 fue un gran año para la privacidad de datos sería quedarse muy corto. Con el escrutinio normativo en aumento y los fantasmas de los cambios pasados, presentes y futuros en la privacidad de las plataformas rondando el desván del AdTech, ha habido pocos momentos aburridos, a menos que encuentres aburrido el funcionamiento interno de las cadenas de consentimiento del GDPR; en ese caso, sí el 2022 ha sido aburrido.

Desde el plan de la Comisión Federal de Comercio para regular la privacidad en ausencia de una ley federal de privacidad hasta las insinuaciones de Apple de tomar medidas enérgicas contra el fingerprinting, estas son las siete historias que han sacudido el ecosistema AdTech en 2022 y que seguirán sacudiéndolo en 2023.

A la deriva

En febrero, la autoridad belga de protección de datos dejó caer una pequeña bomba sobre el Marco de Transparencia y Consentimiento (TCF) de IAB Europe, dictaminando que el TCF es ilegal bajo el GDPR en su forma actual. Para ser justos, no fue una sorpresa total. IAB Europe advirtió a sus miembros a finales de 2021 de que este pronunciamiento estaba en camino. La DPA belga alega que el TCF se basa en el interés legítimo (y no debería). También argumenta que IAB Europe es un controlador de datos de las cadenas del TCF (un punto con el que IAB Europe discrepa vehementemente).

IAB Europe está trabajando en la revisión del TCF para adaptarlo, pero las implicaciones de la sentencia belga son importantes para las empresas AdTech. El TCF es una piedra angular del plan de la industria AdTech para cumplir con GDPR y las leyes de privacidad estatales emergentes en los Estados Unidos.

"El Fingerprinting nunca está permitido"

Apple no es precisamente famosa por sus comunicaciones claras con los desarrolladores, pero no se puede confundir la postura de Apple sobre el device fingerprinting. Durante una sesión sobre ATT en la Conferencia Mundial de Desarrolladores de Apple celebrada en junio, Julia Hanson, miembro del equipo de ingeniería de privacidad de Apple, no se anduvo con rodeos.

"Con permiso, se permite el rastreo, pero nunca el Fingerprinting"

"Independientemente de si el usuario da permiso a la App para rastrear, el Fingerprinting -o el uso de señales del dispositivo para tratar de identificar el dispositivo o el usuario- no está permitido, según el Acuerdo de Licencia del Programa de Desarrolladores de Apple".

Es difícil ser más claro. Pero hay una cosa que no está clara, y es cómo Apple tiene la intención de implementar medidas contra el Fingerprinting. Apple todavía no parece tener una solución técnica para acabar sistemáticamente con esta práctica.

No es tan bonito

En agosto, Sephora se ganó el dudoso honor de convertirse en la primera empresa multada en virtud de la Ley de Privacidad del Consumidor de California (CCPA). Sephora pagó 1,2 millones de dólares para zanjar las acusaciones de que no había informado a los consumidores de que vendía su información personal a terceros para crear perfiles publicitarios específicos. La marca de cosméticos también fue multada por no procesar las solicitudes de exclusión voluntaria realizadas a través de controles de privacidad habilitados por el usuario, como el Control Global de Privacidad. Aunque el importe de la multa no es significativo, las implicaciones del acuerdo sí lo son.

El caso de Sephora "fue un gran golpe de efecto", declaró recientemente Matt Voda, consejero delegado de OptiMine, "y deberíamos esperar más cuando se ponga en marcha la CPRA [Ley de Derechos de Privacidad de California]".

Localización, localización, localización

Pero el escrutinio normativo también está llegando a nivel federal. En agosto, la FTC demandó a Kochava por hacer posible la venta de datos de visitas vinculados a lugares sensibles, como clínicas abortistas, centros de salud mental, refugios para víctimas de malos tratos y lugares de culto. Según la Comisión, los datos de geolocalización proporcionados por Kochava no son anónimos, lo que significa que su combinación con un identificador de anuncio móvil e información offline podría identificar al propietario de un dispositivo concreto.

Las acusaciones de la FTC son oportunas, ya que se producen pocos meses después de la sentencia Dobbs del Tribunal Supremo de EE.UU. que anuló el caso Roe contra Wade.

La "vigilancia" entra en el léxico

Durante el verano, la FTC anunció lo que se conoce como Notificación Anticipada de Propuesta de Reglamentación (ANPR), que forma parte de un proceso para explorar normas para tomar medidas enérgicas contra las prácticas poco estrictas de seguridad de datos y lo que la comisión denomina "vigilancia comercial". La FTC define la vigilancia comercial como "el negocio de recopilar, analizar y sacar provecho de la información sobre las personas". (¿Os suena?)

Como señalaba Gary Kibel, socio de Davis+Gilbert, en una columna publicada en marzo del año pasado, "la creciente asociación entre 'data driven' y 'surveillance' es un problema". Aunque los términos "vigilancia comercial" y "publicidad comercial" no son nuevos, el proceso de elaboración de normas de la FTC ha contribuido a consolidarlos en la conciencia pública, y va a ser difícil deshacerse de esa asociación.

Por los pelos

La American Data Privacy and Protection Act (ADPPA) es lo más cerca que ha estado Estados Unidos de aprobar una ley federal de protección de datos, pero está estancada en la Cámara de Representantes. En septiembre, la presidenta de la Cámara de Representantes, Nancy Pelosi -quien, cabe señalar, representa a California, donde se encuentran la CCPA y la CPRA- dijo que no apoyaba el proyecto de ley tal cual porque no es lo suficientemente fuerte. En otras palabras, ¿por qué apoyar un proyecto de ley federal que no ofrece tanta protección como las leyes estatales que ya están en vigor? (La senadora Maria Cantwell, del estado de Washington, opina lo mismo).

Dicho esto, la ADPPA representa un avance real. Si no se aprueba en el próximo Congreso, es probable que surja un proyecto de ley similar (esperemos que con más éxito) en el Congreso siguiente. Pero mientras tanto, hay cinco leyes estatales de privacidad con las que lidiar que entrarán en vigor en 2023, entre ellas las de California, Virginia, Connecticut, Colorado y Utah.

Hora de correr

Los avances avanzan a buen ritmo en el Android Privacy Sandbox, que entrará en fase beta en 2023, y cuando eso ocurra, la vida va a cambiar para muchos SDK’s.

Los desarrolladores integran kits de desarrollo de software en sus aplicaciones para no tener que escribir código desde cero para hacer cosas como monetizar u obtener informes de fallos. Pero cuando un SDK se ejecuta en una aplicación anfitriona, hereda los mismos permisos que la aplicación, lo que significa que existe la posibilidad de recopilar y compartir datos no revelados. Pero hay una API incubándose dentro de Android Privacy Sandbox llamada SDK Runtime que detendrá esa práctica en seco.

La API SDK Runtime crea un entorno dedicado e independiente en el que se pueden ejecutar los SDK de terceros, lo que les impide recopilar datos dentro de la aplicación sin consentimiento explícito. Es decir, buenas noches y buena suerte a algunos modelos de negocio no tan sanos.

Con lo importante que es SDK Runtime, es de extrañar que no haya más gente hablando de ello.

Fuente: AdExchanger