La EFF ha advertido durante mucho tiempo sobre los peligros del sistema de "pujas en tiempo real" (RTB, por sus siglas en inglés) que impulsa casi todos los anuncios que ves en línea. Una propuesta de acuerdo de demanda colectiva con Google sobre su sistema RTB es un paso en la dirección correcta para dar a las personas más control sobre sus datos. Sin embargo, frenar verdaderamente los daños del RTB requerirá protecciones legislativas más fuertes.

¿Qué son las Pujas en Tiempo Real?

RTB es el proceso mediante el cual la mayoría de los sitios web y aplicaciones subastan su espacio publicitario. Desafortunadamente, las subastas de milisegundos que determinan qué anuncios ves también exponen tu información personal a miles de empresas al día. A un alto nivel, así es como funciona el RTB:

1. En el momento en que visitas un sitio web o aplicación con espacio publicitario, este le pide a una empresa de tecnología publicitaria que determine qué anuncios mostrarte. Esto implica enviar información sobre ti y el contenido que estás viendo a la empresa de tecnología publicitaria.

2. Esta empresa de tecnología publicitaria empaqueta toda la información que puede recopilar sobre ti en una "solicitud de oferta" y la transmite a miles de anunciantes potenciales.

3. La solicitud de oferta puede contener información como tu ID de publicidad único, tus coordenadas GPS, dirección IP, detalles del dispositivo, intereses inferidos, información demográfica y la aplicación o sitio web que estás visitando. La información en las solicitudes de oferta se llama "datos de flujo de ofertas" y típicamente incluye identificadores que pueden vincularse a personas reales.

4. Los anunciantes usan la información personal en cada solicitud de oferta, junto con perfiles de datos que han construido sobre ti a lo largo del tiempo, para decidir si ofertar por el espacio publicitario.

5. El mejor postor consigue mostrar un anuncio para ti, pero los anunciantes (y las empresas de tecnología publicitaria que usan para comprar anuncios) pueden recopilar tus datos de flujo de ofertas independientemente de si ofertaron o no por el espacio publicitario.

¿Por qué son Dañinas las Pujas en Tiempo Real?

Una vulnerabilidad clave de las pujas en tiempo real es que, aunque solo un anunciante gana la subasta, todos los participantes reciben datos sobre la persona que vería su anuncio. Como resultado, cualquiera que se haga pasar por un comprador de anuncios puede acceder a un flujo de datos sensibles sobre miles de millones de individuos al día. Los corredores de datos han aprovechado esta vulnerabilidad para recolectar datos a una escala asombrosa. Dado que las solicitudes de oferta contienen identificadores individuales, pueden ser vinculadas para crear perfiles detallados del comportamiento de las personas a lo largo del tiempo.

Los corredores de datos han vendido datos de flujo de ofertas para una gama de propósitos invasivos, incluyendo rastrear a organizadores sindicales y manifestantes políticos, exponer a sacerdotes homosexuales, y realizar vigilancia gubernamental sin orden judicial. Varias agencias federales, incluidas ICE, CBP y el FBI, han comprado datos de ubicación de un corredor de datos cuyas fuentes probablemente incluyen RTB. ICE recientemente solicitó información sobre herramientas de "Tecnología Publicitaria" que podría usar en investigaciones, demostrando aún más el potencial del RTB para facilitar la vigilancia. El RTB también plantea riesgos de seguridad nacional, ya que investigadores han advertido que podría permitir a estados extranjeros obtener datos personales comprometedores sobre personal de defensa y líderes políticos estadounidenses.

Los daños a la privacidad del RTB no son solo una cuestión de mal uso por parte de corredores de datos individuales. Las subastas de RTB transmiten torrentes de datos personales a miles de empresas, cientos de veces por día, sin supervisión de cómo se usa esta información en última instancia. Una vez que tu información se transmite a través de RTB, es casi imposible saber quién la recibe o controlar cómo se usa.

La Propuesta de Acuerdo con Google es un Paso en la Dirección Correcta

Como el jugador dominante en la industria de la publicidad en línea, Google facilita la mayoría de las subastas de RTB. Google ha enfrentado varias demandas colectivas por compartir información personal de los usuarios con miles de anunciantes a través de subastas RTB sin el aviso y consentimiento adecuados. Un acuerdo propuesto recientemente para estas demandas tiene como objetivo dar a las personas más conocimiento y control sobre cómo se comparte su información en las subastas RTB.

Bajo el acuerdo propuesto, Google debe crear una nueva configuración de privacidad (el "Control RTB") que permita a las personas limitar los datos compartidos sobre ellas en las subastas RTB. Cuando el Control RTB está habilitado, las solicitudes de oferta no incluirán información de identificación como IDs seudónimos (incluidos los IDs de publicidad móvil), direcciones IP y detalles del agente de usuario. El Control RTB también debería prevenir el emparejamiento de cookies, un método que las empresas usan para vincular sus perfiles de datos sobre una persona a una solicitud de oferta correspondiente. Eliminar la información de identificación de las solicitudes de oferta dificulta que los corredores de datos y anunciantes creen perfiles de consumidores basados en datos de flujo de ofertas. Si se aprueba el acuerdo propuesto, Google tendrá que informar a todos los usuarios sobre el nuevo Control RTB por correo electrónico.

Si bien este acuerdo sería un paso en la dirección correcta, aún requeriría que los usuarios opten activamente por no compartir su información de identificación a través de RTB. Aquellos que no cambien sus configuraciones predeterminadas —la investigación muestra que es la mayoría de las personas— seguirán siendo vulnerables a la masiva filtración de datos diaria del RTB. Que Google transmita tus datos personales a miles de empresas cada vez que ves un anuncio es un valor predeterminado inaceptable y peligroso.

El impacto del Control RTB se ve aún más limitado por restricciones técnicas sobre quién puede habilitarlo. El Control RTB solo funcionará para dispositivos y navegadores donde Google pueda verificar que los usuarios han iniciado sesión en su cuenta de Google, o para usuarios que no han iniciado sesión en navegadores que permiten cookies de terceros. Las personas que no inician sesión en una cuenta de Google o no habilitan las cookies de terceros invasivas para la privacidad no pueden beneficiarse de esta protección. Estas limitaciones podrían evitarse fácilmente haciendo que el Control RTB sea el predeterminado para todos. Si se aprueba el acuerdo, los reguladores y legisladores deberían presionar a Google para habilitar el Control RTB por defecto.

La Verdadera Solución: Prohibir la Publicidad Comportamental en Línea

Limitar los datos expuestos a través de RTB es importante, pero también necesitamos cambios legislativos para proteger a las personas de la vigilancia en línea habilitada e incentivada por la publicidad dirigida. La falta de una ley de privacidad fuerte e integral en los EE. UU. dificulta que los individuos sepan y controlen cómo las empresas usan su información personal. Una legislación de privacidad fuerte puede hacer que la privacidad sea la norma, no algo por lo que los individuos deban luchar a través de configuraciones ocultas o herramientas de privacidad adicionales. La EFF aboga por una legislación de privacidad de datos con dientes y una prohibición de la segmentación publicitaria basada en perfiles comportamentales en línea, ya que crea un incentivo financiero para que las empresas rastreen cada uno de nuestros movimientos. Hasta entonces, puedes limitar los daños del RTB usando Privacy Badger de la EFF para bloquear anuncios que te rastrean, deshabilitando tu ID de publicidad móvil (ver instrucciones para iPhone/Android), y estando atento al Control RTB de Google.