Herramientas de analytics y publicidad: ¿qué riesgos para tu privacidad?

Cómo funcionan las empresas de marketing que te vigilan y qué opciones tienes para negarte al tracking

Publicado por Pixel de Tracking el 10 de mayo de 2020

Cuando navega por la web o en una aplicación móvil, muchas empresas lo rastrean. A continuación se ofrece una descripción general (parcial) de las diferentes herramientas de análisis y publicidad y sus consecuencias en su vida privada.

Herramientas analytics

Estas herramientas tienen como objetivo proporcionar estadísticas de uso de un sitio web o aplicación; por ejemplo, te permiten rastrear:

  • Indicadores como el número de visitantes, sesiones, páginas vistas o conversiones.
  • Las páginas y pantallas consultadas.
  • Métodos de ingreso al sitio (directos, buscadores, redes sociales, sitios web).
  • Características del visitante: región, dispositivo, navegador, tamaño de pantalla, etc.

En la web, herramientas de análisis que funcionan con cookies first-party

La mayoría de las herramientas de análisis compartimentan los datos por cliente. Por ejemplo, su ruta de navegación en L'Équipe no tiene ningún interés en proporcionar estadísticas al sitio Lemonde. También en la web, esta separación se aplica técnicamente mediante el uso de cookies first-party : su seguimiento se realiza a través de un seudónimo colocado en el dominio del cliente (ejemplo: leequipe.fr), técnicamente este seudónimo no puede ser leído por otro dominio (ejemplo: lemonde.fr). A continuación se muestran ejemplos de herramientas que utilizan cookies first-party:

  • Google Analytics : La herramienta de análisis de Google está presente en la mayoría de los sitios web y en muchas aplicaciones. De forma predeterminada, funciona a través de cookies first-party.
  • Adobe Analytics : a través del adquisición de Omniture en 2009, Adobe ofrece una herramienta de análisis ampliamente utilizada por las principales cuentas.
  • AT Internet : Herramienta de análisis francesa, todavía bastante popular en los sitios de medios franceses.
  • Matomo : anteriormente Piwik, una herramienta de análisis de código abierto que puede autohospedarse (como en este blog).

Las cookies first-party tienen la “ventaja” de ser más duraderas que las de terceros. Para proteger la privacidad de sus usuarios, los navegadores bloquean cada vez más las cookies third-party (Safari, Firefox y Brave lideran el camino, Chrome está en último lugar, pero ha decidido bloquear cookies third-party dentro de 2 años).

Ten en cuenta que cuando se conecta a un sitio web, pierde su anonimato y el sitio puede potencialmente combinar su viaje en el sitio, independientemente del dispositivo que utilice, con datos de CRM ya registrados sobre usted (su suscripción, sus compras, etc.). Sin enviar ningún dato personal, algunos sitios simplemente enviarán su ID de cliente a la herramienta de análisis y luego exportarán los datos sin procesar de la herramienta de análisis a su herramienta de Business Intelligence para su posterior análisis.

¿Cómo evitar este seguimiento? Puedes instalar un bloqueador de anuncios como uBlock Origin.

En la web, otras herramientas de análisis funcionan con cookies third-party.

Sin embargo, algunas herramientas de análisis web pueden rastrearte en varios sitios, a través de cookies third-party : su seudónimo se coloca en el dominio de la herramienta de análisis, permitiéndole acceder a él independientemente del sitio que consulte. Evidentemente, el impacto sobre tu privacidad es peor: la herramienta es entonces capaz de perfilarte a través de tu navegación en cada uno de los sitios web donde está instalada. Podemos citar como ejemplos:

  • Google Analytics : La herramienta de análisis gratuita de Google está presente en la mayoría de los sitios web y en muchas aplicaciones. De forma predeterminada en la web, Google Analytics instala cookies first-party, pero ofrece una opción opt-in para que sus clientes activen cookies third-party (en el dominio doubleclick.net), además de cookies first-party. Esta opción permite que el sitio web del cliente habilite ciertas funciones publicitarias, como remarketing, sino también para obtener información agregada sobre el perfil del visitante (demografía e intereses). Obviamente, activar esta función permite a Google crear un perfil aún mejor.
  • Quantcast : esta empresa de publicidad ofrece una herramienta de análisis gratuita para los editores. Esta herramienta permitirá a los editores comprender mejor a su audiencia, pero sobre todo permitirá a Quantcast enriquecer su base de datos de perfiles de usuarios.

La herramienta de construcción de audiencia Google Analytics permite a los anunciantes definir objetivos muy precisos para luego reorientarlos:

Audience_Builder_Google_Analytics

Aquí también se puede utilizar un bloqueador de publicidad como uBlock Origin te protegerá.

Herramientas analytics en aplicaciones

El grado de seguimiento de las herramientas de análisis en las apps es mayor. En primer lugar, estas herramientas de análisis acceden a los identificadores de usuario con mayor persistencia y accesibles para todas las aplicaciones: en particular IDFA en Apple Y AAID en Google en Google. Los usuarios pueden desactivar estos identificadores, pero las opciones están bien ocultas (y su seguimiento no termina, otros identificadores "propios" toman el control). En comparación, los navegadores y las extensiones bloquean cada vez más las cookies third-party para proteger la privacidad.

Además, las herramientas de análisis dedicadas a las apps (o que han comenzado a ofrecer sus servicios a las apps) ofrecen funcionalidades para rastrear a los usuarios individualmente, lo que todavía es raro en el caso de las herramientas de análisis especializadas en la web (en general, estas herramientas son más "antiguas" y "tardías" en términos de funcionalidades). Además, estas herramientas suelen recopilar datos personales no anónimos, como su nombre o su dirección de correo electrónico, lo que sigue siendo poco común en las herramientas de análisis web. Por ejemplo, así es como Mixpanel vende su solución en su sitio :

Mixpanel

Por lo tanto, estas empresas pueden combinar mucha información sobre usted. Algunas de ellas se especializan en Analytics y no tienen ningún motivo comercial para combinar tus datos personales de diferentes aplicaciones, pero otras empresas también brindan servicios de publicidad y, por lo tanto, se permiten combinar tus datos personales. A continuación se muestran ejemplos identificados durante las pruebas de aplicaciones en este blog:

  • Mixpanel : herramienta de análisis pura que comenzó con las aplicaciones.
  • Amplitude : otra herramienta de análisis pura que comenzó con las aplicaciones.
  • Adjust : herramienta de análisis para apps que también ofrece atribución (saber qué campañas publicitarias son efectivas), prevención de fraude, segmentación de audiencia y retargeting.
  • AppsFlyer : otra herramienta de analytics para apps que ofrece multitud de servicios como análisis de marketing, prevención de fraude o atribución.

Protegerse se vuelve más complicado aquí, y las aplicaciones rara vez le dan control sobre estas herramientas. Necesitará utilizar aplicaciones como DNSCloak, AdGuard O NextDNS el iOS.

Soluciones publicitarias

Dado que la publicidad suele basarse en su comportamiento, estas soluciones no respetan su privacidad. Dependiendo del objeto del tipo de empresa, el riesgo es diferente. A través del sitio Ad Ops Insider (más detalles aquí), aquí está el diagrama que resume los intercambios entre los diferentes actores involucrados en la entrega de un anuncio:

OTR

Ahora veamos las diferentes herramientas involucradas y sus implicaciones para su privacidad.

Herramientas que operan en nombre de un editor o anunciante

Estas herramientas no necesitan combinar los datos de comportamiento de varios clientes para funcionar bien. Estas son las principales herramientas del lado del editor (el sitio web en el que se muestran los anuncios):

  • El servidor de anuncios del editor : el "director", la herramienta que decide qué campañas publicitarias mostrar cuando visita un sitio de medios y mide su distribución en nombre del editor. Tendrá que arbitrar entre ventas directas (campañas publicitarias vendidas directamente por el editor, a menudo con un número fijo de anuncios publicitarios) y ventas indirectas (publicidad que el editor no controla, pero que delega en redes publicitarias y SSP). El servidor del editor no necesita conocer su navegación web para funcionar correctamente, "solo" conocer su comportamiento en el sitio del editor.
  • La SSP (Supply-Side Platform) o ad exchange : el mercado programático, su función es subastar las oportunidades publicitarias del editor. Está conectado a numerosos DSP (plataformas de compra programática operadas por anunciantes) y redes publicitarias (intermediarios que a menudo también han desarrollado plataformas de compra programática). Tampoco necesita conocer su comportamiento en la web para funcionar correctamente. Ten en cuenta que, a menudo, el editor pone en competencia a varios SSP mediante un mecanismo llamado "header bidding".

Algunas soluciones combinan un servidor de anuncios de editor y un SSP: encontramos en particular Google Ad Manager (actor dominante), AppNexus (renombrado Xandr desde su compra por parte de AT&T), FreeWheel (comprado por Comcast) o Smart AdServer (actor francés). Muchas soluciones solo ofrecen SSP.

Por parte del anunciante, estas son las principales herramientas:

  • El servidor del anunciante : la herramienta encargada de distribuir publicidad y medir su efectividad por parte del anunciante. Mide todas las campañas del anunciante: compras directas e indirectas (a través de redes publicitarias y DSP). El servidor del anunciante no necesita conocer su navegación web para funcionar correctamente, “solo” recordar las diferentes interacciones con los anuncios del anunciante.
  • La DSP (plataforma del lado de la demanda) : la plataforma de compra programática, su función es comprar publicidad en nombre del anunciante, en los sitios correctos, para el target correcto (los usuarios más relevantes) y al precio correcto. Esta herramienta no necesita conocer tu comportamiento en la web para funcionar correctamente, pero podrá apostar de forma más inteligente si conoce tu historial con el anunciante. Ten en cuenta que el anunciante puede utilizar varios DSP para competir.

Algunas soluciones combinan tanto el servidor de anuncios del anunciante como el DSP: siempre encontramos Google a través de Display & Video 360 (actor dominante), pero también Adform. Muchas soluciones solo ofrecen un DSP.

Los editores y anunciantes también pueden utilizar DMP (Data Management Platforms), estas herramientas les permiten recopilar sus datos de navegación, combinarlos con tus datos personales de un CRM (suscripciones, compras, etc.) y transferirlos si es necesario a sus herramientas publicitarias. Ejemplos de aplicación:

  • Un editor podrá vender una campaña publicitaria a Sony PlayStation, dirigida a los suscriptores de su newsletter de videojuegos. El DMP del editor recopila suscriptores al boletín informativo del videojuego y luego transfiere este "objetivo" al servidor del editor, lo que le permitirá transmitir la campaña publicitaria al objetivo correcto.
  • Un sitio de comercio electrónico quiere excluir a las personas que ya han instalado su aplicación de su campaña publicitaria que promociona la aplicación. El DMP del anunciante recopila los perfiles de los usuarios que han instalado la aplicación y luego transfiere este "objetivo" al DSP del anunciante, lo que le permitirá excluir al objetivo de la campaña publicitaria.

Campañas publicitarias dirigidas que automáticamente resultan en una filtración de tus datos personales a estos actores de adtech.

Las principales empresas que ofrecen DMP son gigantes del marketing como Oracle, Salesforce O Adobe. Estas empresas ofrecen muchas otras herramientas de marketing, como CRM, y, por tanto, pueden cubrir la mayoría de las necesidades de gestión de clientes de un anunciante.

Programática, donde la filtración generalizada de tus datos personales

Si, en teoría, estas herramientas no necesitan rastrearte con un solo seudónimo en toda la web o en todas las aplicaciones para funcionar (sino solo dentro del alcance de su cliente, al igual que las herramientas de análisis que utilizan cookies first-party), esto es lo que hacen (a través de cookies third-party) y esto les permite, en particular, hacer que las compras programáticas funcionen.

Los DSP y las redes publicitarias que compran espacio publicitario mediante programación “necesitan” conocerle para poder apostar de forma inteligente. Excepto que no tienen acceso directo a tu terminal (son llamados por los SSP, que tienen acceso a tu terminal). En apps, esto no es un problema porque los SSP envían su identificador de publicidad (IDFA en Apple, AAID en Google).

En la web, usted no tiene un identificador único para todos los sitios que visita, por lo que los SSP deben sincronizar su identificador con los DSP conectados (así, por ejemplo, el DSP 1 que lo reconoce a través del identificador "123" sabe que usted tiene el identificador "xyz" con el SSP A, lo que le permite reconocerlo cuando el SSP A le envía la oportunidad publicitaria). Si quieres profundizar más, el mecanismo de sincronización de cookies está muy bien explicado. en el sitio web de Ad Ops Insider de donde proviene el siguiente diagrama:

sincronización_cookies

Resumamos la filtración de tus datos personales:

  • En las aplicaciones, los SSP filtran tus datos personales a numerosos DSP y redes publicitarias (a veces cientos) sin una sincronización previa de los identificadores. La filtración de tus datos personales es totalmente oculta (se produce entre los servidores de los SSP y los servidores de los DSP), solo podrá ver la publicidad del DSP que ganó la subasta (pero cada uno de los DSP convocados habrá podido enriquecer su perfil de usuario).
  • En la web, los SSP tienen que sincronizar sus identificadores con los DSP conectados en sentido ascendente, es posible ver pasar estos "pixels de sincronización de ID", lo que provoca retrasos adicionales.

Estas filtraciones de tus datos personales no se limitan a las interacciones entre SSP y DSP, es una simplificación, también se produce con otros actores de la cadena publicitaria como (lista no exhaustiva):

  • Soluciones que detectan el fraude (la publicidad atrae a las mafias porque es un mercado lucrativo, una parte importante de los anuncios emitidos nunca son vistos por humanos sino simplemente por bots).
  • Soluciones de medición de la visibilidad (a los editores sin escrúpulos les gusta poner anuncios al final de la página, que nunca verás).
  • Las soluciones que venden datos de usuario, por ejemplo herramientas para compartir en redes sociales como ShareThis, recopilan sus datos de navegación para revenderlos.
  • Soluciones de atribución, que medirán cada una de tus interacciones publicitarias para evaluar qué campañas publicitarias son las más efectivas.

Sobre esto puedes leer aquí los elementos de la denuncia de Brave contra Google Y el IAB (Interactive Advertising Bureau, el grupo de presión de las empresas de adtech) sobre la violación de RGPD por parte de RTB (Real-Time Bidding: publicidad programática). La denuncia fue presentada en septiembre de 2018, El ICO (el CNIL inglés) ha pausado la investigación por el Coronavirus, así que no tengas prisa.

Aquí hay un resumen de los principales actores (de nuevo, lista no exhaustiva) involucrados en la cadena publicitaria:

Lumascape_Adtech

¿Qué puedes hacer? Si sigues las recomendaciones de estos actores, puedes instalar cookies de exclusión voluntaria para cada uno de ellos, lo cual no es muy práctico. Además, estos actores co-construyeron el Transparency and Consent Framework (TCF), un protocolo para la transmisión de información sobre su consentimiento. Pero el TCF no funciona correctamente:

  • Como Ya lo hemos visto, los banners de consentimiento. en el que se basa el uso del TCF dark patterns para dificultar el seguimiento de rechazos, sin mencionar que no funcionan correctamente.
  • El TCF es un protocolo de comunicación entre actores de la adtech, nada les obliga a respetar la señal recibida.
  • En particular, no dar su consentimiento no impide que estos actores recopilen tus datos personales o incluso elaboren un perfil de usted. Algunas personas simplemente piensan que deberían desactivar la publicidad personalizada.
  • Los controles y, por tanto, las sanciones son casi inexistentes; la industria publicitaria afirma que la autorregulación es suficiente.

Consecuencias de este ecosistema ultracomplejo, donde todo vale:

  • Sus datos personales se filtran a cientos de herramientas diferentes, sin que sea posible un control real.
  • Los editores reciben solo la mitad del dinero gastado por los anunciantes y los intermediarios se llevan una comisión cada uno.

cascada

Estudio sobre transparencia programática, tenga en cuenta que el estudio no puede explicar el 15% del dinero gastado.

Redes publicitarias, intermediarios que trabajan tanto con editores como con anunciantes.

Los SSP y DSP son herramientas sobre las que los editores y anunciantes tienen control (herramientas de "autoservicio"):

  • La comisión está fijada en el contrato (entre el 5% y el 15% en general).
  • La configuración del SSP es responsabilidad del editor (precio mínimo de venta, anunciantes aceptados, formatos publicitarios aceptados, acuerdos preferenciales para determinadas marcas).
  • La configuración de las campañas publicitarias es responsabilidad del anunciante (o de la agencia que gestiona el DSP, sujeta a la validación del anunciante): elección de los sitios de distribución, orientación, formatos publicitarios o estrategia de oferta para alcanzar el objetivo.

Las redes publicitarias, por otro lado, no dejan el control al anunciante o editor:

  • El editor tiene un control mínimo a través de su SSP si la red publicitaria compra mediante programación.
  • El anunciante no puede decidir de antemano los sitios o aplicaciones en los que retransmitirá.
  • A menudo no tiene acceso a informes detallados de su campaña publicitaria.
  • Él no elige él mismo su estrategia de oferta, sino que delega las decisiones en la red publicitaria.
  • A cambio, el esfuerzo requerido es mínimo.
  • La comisión de la red publicitaria suele ser opaca, pero se eleva fácilmente al 30% (Google AdSense) o incluso el 50% (Criteo).

¿Por qué entonces recurrir a una red publicitaria? Por 2 razones principales:

  • La campaña será menos costosa de operar (no necesitará configuraciones complejas en un DSP).
  • Los resultados suelen ser mejores (estas redes publicitarias le controlan exhaustivamente, tus datos personales le permiten ser más eficaz).

Se podría creer que las redes publicitarias son una minoría en comparación con los DSP y SSP, operados directamente por anunciantes y editores, pero este no es el caso:

  • En la web, Google AdSense representa una parte considerable de los ingresos de los editores.
  • Aún en la web, intermediarios como Criteo También tienen un peso muy importante. Compran mediante programación, pero también pueden comprar directamente a los editores para evitar la comisión del SSP.
  • En apps, las redes publicitarias de Google y Facebook son muy poderosas: Google AdMob Y Facebook Audience Network.
  • Aún en las aplicaciones, la programática tiene más dificultades para establecerse porque los formatos publicitarios a menudo se personalizan y encajan más difícilmente en la caja de la estandarización programática. Las redes publicitarias siguen siendo muy poderosas.

Para tu privacidad, estas redes publicitarias son un desastre porque para ganar más dinero tienen que perfilarte mejor. Aquí está “su” círculo virtuoso:

  • Captura de tus datos personales mediante la distribución de anuncios dirigidos (o simplemente "escuchando" oportunidades publicitarias en programática).
  • Para algunos (Google, Facebook, Twitter, Pinterest, LinkedIn), captura adicional de tus datos personales a través de servicios B2C esenciales (buscador, redes sociales, red profesional, etc.).
  • Para algunos (Google, Facebook, Quantcast, etc), captura adicional de tus datos personales mediante herramientas de análisis.
  • Mejoras en los algoritmos de “perfiles” y “precios” a través de la gran cantidad de datos personales recopilados y mediante la medición del rendimiento de las campañas publicitarias.
  • Para mejorar la eficacia de las campañas publicitarias, los anunciantes están dispuestos a gastar más dinero.
  • Los editores están aumentando sus ingresos y están dispuestos a abrir aún más sus inventarios publicitarios.
  • Captura aún más amplia de tus datos personales.

En este pequeño juego, a las siguientes empresas les va muy bien pero casi no te dejan control, ya que sus modelos económicos están en contradicción con el respeto a tu vida privada:

  • Google : el gigante de Mountain View sabe todo sobre sus aspiraciones, lo que beneficia a su red publicitaria dominante en la web (Google AdSense) y muy bien establecido en aplicaciones (Google AdMob). Su control sobre esta captura de tus datos personales es muy limitado: Google no le permite rechazar la recopilación de tus datos personales, solo rechazar la publicidad personalizada y la asociación de tus datos personales con su perfil de Google.
  • Facebook : el gigante de Menlo Park también te conoce íntimamente, lo que permite que su red publicitaria Facebook Audience Network para funcionar muy bien en las aplicaciones. Facebook no te da ningún control sobre la recopilación de tus datos personales.
  • Criteo : el gigante francés de la adtech, líder mundial en retargeting (anuncios que le siguen a todas partes tras consultar un producto), no permite rechazar la recogida, solo rechazar la publicidad personalizada.

¿Qué hacer? A denuncia de Privacy International fue presentado contra Criteo, Quantcast Y Tapad en noviembre de 2018, la CNIL inició la instrucción de Criteo en marzo de 2020, no tienes que tener prisa.

La única solución por el momento sigue siendo técnica y, por tanto, no accesible a todos los usuarios: la instalación de un bloqueador de publicidad como uBlock Origin en la web o en aplicaciones como DNSCloak, AdGuard O NextDNS el iOS.