PROGRAMMATIC SPAIN

View Original

Una empresa AdTech optó al TCF de IAB Europe para recoger datos de huellas dactilares

El TCF de IAB Europe, fuertemente analizado, se diseñó para ayudar a las empresas a respetar la privacidad de las personas y cumplir con GDPR, la legislación europea sobre privacidad. Sin embargo, a principios de este año, la empresa de supervisión de la seguridad publicitaria Confiant detectó que una empresa de tecnología publicitaria se había aprovechado del marco para recopilar información de millones de personas en Estados Unidos.

"Lo que hace que este caso sea especialmente extraño es que estaba teniendo lugar en los Estados Unidos, que no es una jurisdicción del GDPR. Y el TCF es un marco para el cumplimiento del GDPR", dijo Kaileigh McCrea, un ingeniero de privacidad en Confiant.

McCrea se negó a nombrar a la empresa que estaba detrás del exploit -que Confiant ha bautizado como "Voldrakus"- y la describió como una pequeña empresa de tecnología publicitaria con sede en Europa del Este. Sin embargo, detalló la mecánica del exploit y explicó cómo los datos recogidos por la empresa -incluyendo la geolocalización de los dispositivos, los niveles de batería y los movimientos- podrían utilizarse para “atacar“ a personas que trabajan en edificios corporativos y oficinas gubernamentales con información errónea y malware.

Sin embargo, los riesgos se extienden más allá de este exploit específico. Voldrakus proporciona un ejemplo de cómo se puede optar por un marco de privacidad y, como resultado, poner a otras empresas en riesgo de violar las leyes de privacidad.

"La marca es responsable de cualquier tipo de tecnología de rastreo que haya en su sitio", dijo Daniel Goldberg, socio y presidente del grupo de privacidad y seguridad de datos del bufete de abogados Frankfurt Kurnit Klein & Selz. Y añadió: "La marca es el guardián. Así que Voldrakus, de un modo u otro, puede obtener datos del sitio, por lo que, en virtud de la ley, muy técnicamente hablando, la marca podría ser considerada responsable de los datos que se recogen y pasan a Voldrakus".

Fuente: Digiday