Un error en el código de PubMatic pone en riesgo a los editores al incumplir las normas de privacidad
Las empresas AdTech gestionan miles de millones de ofertas publicitarias de miles de editores en cuestión de milisegundos. Por lo general, estos procesos automáticos se desarrollan con normalidad pero, en ocasiones, puede haber errores que merman la privacidad. Cuando esto ocurre, se convierte en un problema en relación al cumplimiento de las leyes de protección de datos como GDPR.
Esto es lo que ha ocurrido recientemente con PubMatic, cuya tecnología, hoy en día desplegada en casi 2.500 sitios web de todo el mundo se ha configurado esta misma semana de una forma que ponía a vendedores y editores en riesgo de infringir GDPR.
Sincera, una startup especializada en recopilar y suministrar datos de telemetría de medios al ecosistema de tecnología publicitaria, se percató de este fallo, que recoge AdExchanger. Según este medio, PubMatic afirma que el problema se debe, al menos en parte, a un error en el código de Prebid.
Es decir, una configuración por defecto en Identity Hub, la herramienta de gestión de identidades de PubMatic basada en Prebid, estaba tan baja que ignoraba las cadenas de consentimiento de los usuarios. Por otra parte, se observó que la herramienta introducía ID’s de Identity Hub en las solicitudes de puja de otros SSP’s dentro del wrapper principal de un editor (que suele estar basada en Prebid).
Un portavoz de PubMatic afirmó a AdExchanger que la empresa "nunca ignora el consentimiento del usuario", se adhiere a las señales de consentimiento que recibe y sólo "transmite señales inalteradas” a sus socios en cada transacción en la que participan. Pero la cuestión no es que Identity Hub ignore a propósito el consentimiento del usuario, sino que estaba dando a las plataformas de gestión del consentimiento y a los usuarios tiempo suficiente para interactuar con el mecanismo.
El tiempo de espera predeterminado de Prebid para llamar a un CMP es de 10.000 milisegundos (o 10 segundos). En Identity Hub, el tiempo de espera se fijaba regularmente en 1 milisegundo o 50 milisegundos, es decir, sólo 0,001 o 0,005 segundos. Aunque existe un módulo de consentimiento, Identity Hub no esperaba lo suficiente para registrar la interacción.
El objetivo de Identity Hub es facilitar a los editores el trabajo con cualquier proveedor de identidad que elijan dentro de un servicio gestionado, lo que significa que es probable que muchos editores nunca se molesten en cambiar la configuración predeterminada. PubMatic declaró a AdExchanger que, "por precaución" para sus clientes editores, "está tomando la medida proactiva de restablecer el tiempo de espera de consentimiento por defecto" para que las consultas de consentimiento tengan más tiempo para obtener una respuesta.
Desde entonces, ha forzado el restablecimiento del temporizador de consentimiento en Identity Hub a entre 497 y 500 milisegundos (aproximadamente la mitad de un segundo), lo que sigue siendo mucho menos que el valor predeterminado de Prebid. El tiempo medio de consentimiento de los 1.600 principales editores por tráfico en el ecosistema de Prebid, excluyendo Identity Hub, es de aproximadamente 7,7 segundo.
¿Por qué era esto un problema?
Cuando se carga una página web, los editores necesitan comprobar si hay consentimiento antes de llamar a la API de un proveedor de identidad con señales de consentimiento. Pero un umbral de tiempo de espera de consentimiento tan bajo lo hace imposible. Por ello, Identity Hub marcaba con frecuencia sus solicitudes de enriquecimiento a los proveedores de identidad como "GDPR = 0", lo que presumiblemente significaba que no creía que la ley fuera aplicable en ese caso. Si un proveedor de identidad se toma esto al pie de la letra, acabaría generando identificaciones no consentidas, pero, afortunadamente, la mayoría de los proveedores de identidad comprueban la existencia de un opt in antes de enriquecer una solicitud de oferta.
Ian Meyers, cofundador de Sincera, declaró: "Es una buena llamada de atención para los proveedores de tecnología publicitaria. Tienes que saber quién está delante de ti y tampoco puedes dar por hecho que tienes el consentimiento sin verificarlo".
El el sector AdTech, hay numerosos traspasos que se producen en milisegundos a lo largo de la cadena de suministro para dar soporte a la publicidad dirigida. Si Internet es una serie de tubos, la tecnología publicitaria es una serie de asociaciones enormemente interconectadas a través de un laberinto de tuberías programáticas codependientes. En regiones como Europa, donde es ilegal no atender las solicitudes de consentimiento, los editores que no tienen una idea clara de lo que hacen sus proveedores de tecnología publicitaria corren un alto riesgo de que se les aplique la ley.
"Entienda lo que está implementando y haga preguntas, muchas preguntas, sobre cómo funciona", dijo Meyers. "Si hay algo que sacar de todo esto, es que puede haber una gran diferencia entre pensar que una solución es segura para la privacidad y saber realmente lo que está haciendo en su sitio web".
Fuente: AdExchanger