Google acusado de eludir el RGPD en el contexto de RTB
El 4 de septiembre de 2019, Brave, la empresa detrás del navegador del mismo nombre, acusa a google de una gigantesca filtración de datos personales a través de su Ad Exchange llamado Authorized Buyers (antes Google AdX). Brave tiene éxito en su cobertura mediática, en particular con una cobertura significativa de las acusaciones del Financial Times (cf. Google acusado de proporcionar en secreto datos personales a anunciantes Y Cómo Google envía sus datos a los anunciantes). Los detalles de estas acusaciones es parte de una denuncia investigada por la CNIL irlandesa, acusando a Google de eludir las regulaciones GDPR.
Podemos alegrarnos de ver los problemas causados por RTB denunciados por los principales medios de comunicación porque la tecnología publicitaria es un campo extremadamente complejo, bien comprendido sólo por unos pocos conocedores. Desafortunadamente, La acusación contiene muchos errores, por lo que Google la descalifica fácilmente.
Errores de Brave vinculados a malentendidos sobre el RTB
analicemos el comunicado de prensa en detalle: comienza con una figura fantasiosa presentada por Johnny Ryan (Director de políticas y relaciones industriales de Brave):
El sistema de anuncios “DoubleClick/Authorized Buyers” de Google está activo en más de 8,4 millones de sitios web.
Esta cifra se basa en análisis de un sitio de terceros que cuenta el número de sitios web que llaman a un rastreador de Doubleclick (empresa de publicidad propiedad de Google). Sin embargo, estos trackers no sólo se utilizan para Google Authorized Buyers, Ad Exchange de Google (que está dirigido a grandes sitios profesionales), sino también para otras herramientas como la plataforma de compras RTB (DSP) de Google (llamada DV360), Google Analytics o Google AdSense. El número de clientes de Authorized Buyers no se conoce públicamente, pero es considerablemente menor.
El comunicado de prensa continúa con una inexactitud:
Google pretende evitar que muchas empresas que utilizan su sistema de anuncios de oferta en tiempo real (RTB), que reciben datos confidenciales sobre los visitantes del sitio web, combinen sus perfiles sobre esos visitantes.
documentación de google es significativamente diferente:
Google prohíbe que varios compradores unan los datos que reciben del Servicio de coincidencia de cookies.
Por lo tanto, Google prohíbe a sus socios combinar sus datos, pero no pretende impedirles técnicamente hacerlo (aquí tocamos un problema intrínseco de RTB, un AdExchange no puede controlar cómo gestionarán los datos personales transmitidos a las plataformas de compras de los socios).
El comunicado de prensa pretende luego revelar que Google habría traicionado una promesa anterior, al haber indicado en octubre de 2019 el cese de compartir identificadores seudónimos en RTB:
También anunció que había dejado de compartir identificadores seudónimos que podrían ayudar a estas empresas a identificar más fácilmente a un individuo, aparentemente en respuesta a la llegada del GDPR.
Sin embargo, el anuncio de Google no indicaba detener el envío de identificadores seudónimos en las solicitudes RTB (solicitudes enviadas por Google en tiempo real a las plataformas de compras cuando navegas por la web), pero eliminar estos identificadores seudónimos Archivos consolidados enviados posteriormente a las plataformas de compra (“Archivos de transferencia de datos”):
Eliminamos los ID de cookies cifrados y los nombres de listas (si se usan) del archivo de transferencia de datos para todas las solicitudes de ofertas globales para compradores autorizados.
Estos archivos, que normalmente se intercambian a diario, contienen información adicional como el ganador de la subasta, el precio de venta efectivo de la oportunidad publicitaria, etc.
La acusación
La nueva evidencia de Brave revela que Google permitió que no solo una parte adicional, sino muchas, coincidieran con los identificadores de Google.
Valiente parece aquí para descubrir cómo funciona RTB, sin embargo bien documentado durante muchos años por Google y por los numerosos actores en el campo.
La evidencia revela además que Google permitió que varias partes hicieran coincidir sus identificadores del interesado entre sí.
Aquí llegamos a la novedad revelada por Brave. ¿De qué se trata?
Todas las empresas a las que Google invita a acceder a una página Push reciben el mismo identificador para la persona a la que se perfila. Este identificador "google_push" les permite cruzar sus perfiles de la persona y luego pueden intercambiar datos de perfil entre sí.
Por lo tanto, Google enviaría el mismo identificador personal (google_push) a todas las plataformas de compras, lo que permitiría a estas plataformas de compras intercambiar entre sí la información que respectivamente poseen sobre los usuarios.
Un intercambio de identificadores personales inherente al RTB
Aquí es importante hacer una pausa: Para que el RTB funcione, Ad Exchange (la plataforma de ventas, también llamada SSP) sincroniza sus identificadores de usuario con las plataformas de compras de sus socios. El problema señalado por Brave es generalizado e inherente a RTB. Para superar este problema, Google envía Diferentes identificadores de usuario para cada plataforma de compra. (Que yo sepa, otros SSP no toman estas precauciones):
Para los compradores, Google identifica a los usuarios mediante un ID de usuario de Google específico del comprador que consiste en una versión cifrada de la cookie de doubleclick.net, derivada de esa cookie, pero no igual a ella.
Así, desde que existe el RTB, las plataformas de compra pueden entrar en connivencia e intercambiar sus propios datos personales para enriquecer sus bases de datos. Esto requiere celebrar acuerdos con competidores y asumir un enorme riesgo legal, pero en teoría es posible.
¿Una elusión del RGPD por parte de Google?
Entonces, ¿qué es este identificador personal “google_push” que envía Google a las plataformas de compras de sus socios? Corajudo anotado que se trata de una elusión introducida por Google, en reacción al RGPD.
Por lo tanto, las Push Pages parecen ser una solución alternativa a las políticas establecidas por Google sobre cómo debería operar RTB según el GDPR.
también es el argumento que retoma Zach Edwards, el investigador encargado por Brave para la investigación.
Una búsqueda sencilla en la ayuda en línea de Google Authorized Buyers anotado que el parámetro google_push ya existía en abril de 2013, lo que arruina el argumento de elusión (el RGPD entró en vigor el 25 de mayo de 2018):
A partir de mediados de abril, comenzaremos a asignar un valor de cadena segura para URL al parámetro google_push en nuestras solicitudes de coincidencia de píxeles y esperaremos que se devuelva esa misma cadena segura para URL en el parámetro google_push que tú configuró. Este cambio nos ayudará con nuestros esfuerzos de solución de problemas de latencia y mejorará nuestra eficiencia de coincidencia de píxeles.
Por lo tanto, Google utiliza el parámetro google_push para diagnosticar problemas de latencia y no para realizar un rastreo de los usuarios.
¿Este "identificador personal" permite a los compradores compartir información del usuario?
Aquí también podemos mirar La comunicación de Zach Edwards. :
Por tanto, resulta que este "identificador personal" no es personal (inútil porque el objetivo de Google es medir la latencia, es un identificador que cambia con cada carga de página). Pero, en teoría, los DSP asociados de Google que han estado compitiendo por la misma oportunidad publicitaria pueden, de hecho, compartir sus logs para enriquecer la información que poseen sobre los usuarios.
Conclusiones
Si el problema identificado por Zach Edwards es real, es una pena por parte de Brave haber multiplicado los errores y haber atribuido a Google una intención deshonesta con este parámetro google_push. Sería más pertinente extender la crítica al mecanismo RTB, probablemente incompatible con el RGPD (ver al respecto la investigación en curso de la CNIL inglesa).