PROGRAMMATIC SPAIN

View Original

Curiosidades sobre las Data Clean Rooms: la seguridad de los datos no es un hecho

Las Data Clean Rooms son mágicas. Todo lo que tienes que hacer es meter tus datos dentro, pulsar un botón, y salen emparejados, seguros y con privacidad al otro lado… ¡Es broma! Los anunciantes deben hacer las diligencias correspondientes sobre los posibles socios de Data Clean Rooms antes de trabajar juntos, lo que incluye (y especialmente) averiguar el grado de seguridad de la plataforma, porque una vez que los datos han sido expuestos, vinculados o enriquecidos por otro conjunto de datos, "no se puede dar marcha atrás". Esto es lo que ha comentado Devon DeBlasio, VP de marketing de producto en InfoSum, hablando en un evento de privacidad IAB Tech Lab Rearc en la ciudad de Nueva York.

Que alguien llame a seguridad

Algunas de las amenazas potenciales a la seguridad en un entorno de Data Clean Rooms son la mezcla de datos, la fuga de información y la “observación de anuncios por parte de publishers“. Si, por ejemplo, un publisher sabe qué anuncios tiene previsto publicar un anunciante, podría observar y registrar los First-Party IDs asociados a sus propios visitantes a los que también se mostraron los anuncios. A continuación, el publisher podría buscar las claves de coincidencia de PII en texto plano para esos identificadores y, ¡voilá! - los datos han quedado al descubierto.

Pero no todas las amenazas tienen una motivación nefasta, afirma Bosko Milekic, director de producto de la plataforma de colaboración de datos Optable. Por ejemplo, supongamos que una empresa de medios posee y gestiona su propio SSP o que un anunciante tiene su propio DSP. No hay nada malo en ello, afirma Milekic, pero incluso el intercambio de datos internos aparentemente benigno entre ellos puede ser una forma de "connivencia" que provoque problemas de privacidad y seguridad, incluida la transferencia de datos a través de canales no seguros.

Para que las Data Clean Rooms se consideren seguras, según la nueva norma técnica del IAB Tech Lab para la interoperabilidad de las Data Clean Rooms, deben cumplir tres requisitos importantes:

  • Toda la información personal debe cifrarse y nunca compartirse directamente con nadie.

  • Ningún participante debe poder conocer la identidad de personas que no figuren en su propio conjunto de datos.

  • Ninguna de las partes implicadas debe poder saber nada de nadie de la audiencia solapada.

Si se omite alguno de estos pasos, no se puede decir que una Data Clean Room sea realmente una Data Clean Room.

Preguntar siempre

Pero el diablo está en los detalles, y hay muchas otras cosas que los anunciantes deben tener en cuenta antes de asociarse con Data Clean Rooms. Por ejemplo (respira hondo):

¿Cómo accede la Data Clean Room a los datos? ¿Pueden los datos permanecer en su sitio o tendrán que ser transmitidos a otra plataforma? ¿Hay que cambiar el formato de los datos antes de compartirlos? ¿Existen controles para la gobernanza y el cifrado de los datos? ¿Qué grado de detalle tienen los controles? ¿Existe un límite de tiempo para el acceso de la Data Clean Room a los datos? ¿Se auditarán los flujos de datos? ¿Qué consultas se pueden realizar en la plataforma y existe un lenguaje de consulta específico? ¿Qué tipo de responsabilidad tiene en caso de violación de los datos, y de quién es la responsabilidad? ¿Qué ocurre si se produce una filtración de datos coincidentes?

"Esto se complica mucho", dijo DeBlasio, "pero son preguntas muy importantes que hay que hacerse".

Y no hemos terminado. No te olvides de preguntar qué tecnologías de mejora de la privacidad (PET) utiliza la Data Clean Room, dijo Rachel Blum, arquitecta principal y CTO de campo en Snowflake. Algunas PET mejoran la privacidad más que otras, dependiendo del caso de uso y de la tolerancia al riesgo del anunciante. Y las PET no son estáticas. El "nivel" de privacidad puede aumentarse o reducirse en función de umbrales cualitativos, y suele haber un equilibrio entre privacidad y precisión. Una filtración de datos es un quebradero de cabeza que nadie desea, pero implantar una PET tan fuerte que no se pueda hacer nada práctico también es un problema.

"Es importante tener en cuenta lo que te interesa implantar y los riesgos a los que te enfrentas", afirma Blum. "También hay que ser capaz de realizar realmente la actividad".

Fuente: AdExchange