Después de ganar la batalla sobre el rastreo de cookies por parte de terceros, ¿perderán los defensores de la privacidad la guerra por el uso de los datos personales?
Durante años, los defensores de la privacidad argumentaron que la recopilación y el intercambio de datos entre innumerables intermediarios publicitarios ocultos, a través de las cookies de terceros, era una invasión de la privacidad. Gracias en parte a su defensa, la presión de los gobiernos y los consumidores para que se proteja más la privacidad ha hecho que Google y otros desactiven las cookies de terceros. Ahora, la industria de la publicidad digital está gravitando hacia sustitutos que algunos activistas de la privacidad consideran aún más invasivos.
"La ironía no se me escapa", afirma el tecnólogo Ashkan Soltani, que ayudó a elaborar la Ley de Privacidad del Consumidor de California y trabajó en la División de Privacidad y Protección de la Identidad de la Comisión Federal de Comercio.
Los anunciantes, las empresas de tecnología publicitaria y los editores digitales llevan dos décadas confiando en las cookies de terceros y en la moneda de cambio que representan para facilitar el quid pro quo de la web abierta: contenidos, servicios y publicidad más relevante a cambio de información personal. “Algunas formas de rastreo entre sitios habilitadas por las cookies de terceros han sido "abusivas", dijo Pam Dixon, fundadora y directora de la organización sin ánimo de lucro Foro Mundial de la Privacidad, otra veterana defensora de un ecosistema digital seguro para la privacidad.
Pero hoy en día, se está recopilando más información personal que nunca para una nueva cosecha de identificadores que pueden intercambiarse a través de la cadena de suministro de tecnología publicitaria. Algunos requieren direcciones de correo electrónico o números de teléfono -datos de origen- para funcionar.
Empresas tecnológicas como LiveRamp y The Trade Desk y organismos del sector como Partnership for Responsible Addressable Media afirman que protegen la privacidad mejor que las cookies de terceros porque transforman los correos electrónicos en cadenas de números y letras encriptadas, creando identificaciones seudónimas. Y argumentan que estas identificaciones se crean con el consentimiento de la gente, porque los correos electrónicos y otros datos personales se recogen cuando la gente interactúa directamente con una marca o editor.
El veterano defensor de la privacidad digital Jeff Chester, director ejecutivo de la organización sin ánimo de lucro Center for Digital Democracy, no se lo cree. "No podemos permitir que se mantenga la afirmación de la industria de que los datos de origen van acompañados de un permiso", dijo. "Eso es una patraña". Hasta ahora, hay pocas orientaciones y requisitos sobre cómo debe ser la notificación a las personas para que den su consentimiento.
"Los identificadores de primera parte propuestos son esencialmente más invasivos para la privacidad que incluso las cookies, y proporcionan a los usuarios menos transparencia y control", dijo Soltani. Mientras que la gente puede eliminar o bloquear las cookies de terceros, dijo, los identificadores que incorporan datos codificados o encriptados "son más problemáticos" porque crean conexiones persistentes e identificables con las personas a través de la actividad en múltiples dispositivos. Soltani dijo que, en cierto modo, estas tecnologías producen "un identificador aún más sólido que tu nombre real u otra [información de identificación personal]".
Nacido con adicción a los datos
En la búsqueda de minimizar la recopilación de datos, la carrera por obtener datos de clientes de primera mano, como los correos electrónicos, se ha acelerado, ya que los anunciantes se preparan para la pérdida de las conexiones de datos de terceros que les ayudan a personalizar los mensajes y a conectar la exposición a los anuncios con las ventas.
Sin embargo, los esfuerzos estratégicos para recopilar datos de primera mano no son más que una continuación del impulso perpetuo del sector hacia la comunicación hiperpersonalizada entre los anunciantes y los consumidores, dijo Chester. "Es realmente la trayectoria del modelo de marketing uno a uno en el corazón de la publicidad digital desde su creación en la década de 1990", dijo. "Han ido aumentando los conjuntos de datos de primera parte y los han trasladado a Facebook y Google", añadió. "No es una tendencia nueva".
Fue la forma en que se diseñaron las cookies (en octubre de 1994, el mismo año en que apareció el primer anuncio publicitario) la que puso en marcha una industria que depende del rastreo de datos a nivel individual, dijo Bennett Cyphers, tecnólogo de la Electronic Frontier Foundation, una organización sin ánimo de lucro que lleva más de una década luchando por la protección de la privacidad relacionada con la publicidad digital. Dado que las cookies se diseñaron con un acceso total por defecto de terceros, "facilitaron mucho el seguimiento y la elaboración de perfiles en la web", dijo Cyphers. "Es una pena que la industria del rastreo se haya acostumbrado tanto a todas estas prácticas que son tan “anticonsumidor” en muchos sentidos, y que además parecen tan dependientes de ellas".
¿Presunto consentimiento?
Sin embargo, existen obstáculos para la proliferación y adopción de identificadores alternativos. En concreto, el anuncio de Google el 3 de marzo de que dejará de admitir los identificadores sustitutivos de las cookies, como los construidos a partir de las direcciones de correo electrónico en el inventario publicitario que vende fuera de sus propias propiedades, ha agravado la incertidumbre sobre estas tecnologías
Otro posible obstáculo: la ley. Pocas empresas de tecnologías de ID exigen un aviso explícito o puntual o mecanismos de consentimiento informado para las personas en EE.UU. cuando sus correos electrónicos se utilizan para construir identificadores seudónimos para rastrearlos en la web. Por ahora, muchas empresas que las emplean suponen que la gente ha dado su consentimiento porque sus políticas de privacidad establecen en términos generales que pueden utilizar la información personal con fines de marketing y publicidad.
Pero este enfoque estándar puede no ser apropiado para un sector que proclama su compromiso con la privacidad y la transparencia de los consumidores, y puede no ser válido tampoco para los reguladores. La ley de privacidad de California, por ejemplo, establece que la mera aceptación de las condiciones generales de uso que describen el tratamiento de la información personal no constituye un consentimiento para la venta de información personal. Y algunos sostienen que el uso de identificaciones basadas en el correo electrónico se considerará una venta de datos según la versión actualizada de esa ley, que cubre los datos personales recogidos por una empresa a partir de enero de 2022.
"Los reguladores no lo tolerarán", dijo Soltani. "[La transferencia por parte de un editor] de mi identificador, incluido un identificador con hash, [es una venta]".
Mientras tanto, Jeff Chester espera que se forme una coalición en defensa de la privacidad para convencer a los legisladores de que la recogida de correos electrónicos no equivale a un consentimiento para la tecnología de la identidad. De hecho, sostiene que es irónico que cuando los defensores de los consumidores presionan a los legisladores, cada vez más receptivos, para que ofrezcan garantías de privacidad más significativas: "ahora el intento de la industria de deshacerse de las cookies puede desencadenar la reacción política que todos hemos estado esperando durante dos décadas".
Artículo original publicado en inglés en DIGIDAY