Google dice que no vende tus datos. Así es como la compañía los comparte, monetiza y explota.
“Google nunca venderá información personal a terceros; y tú siempre podrás decidir como es usada tu información” – Sundar Pinchai.
¿Te suena familiar? A pesar que grandes compañías tecnológica como Google mantienen el foco en la recopilación y monetización de tus datos personales, pueden cambiar rápido sus palabras y negar el escenario del intercambio de discos duros lleno de datos por maletines con dinero. Ahora la ley de California les ha dado otra razón para negar y desviar.
La Ley de Privacidad del Consumidor de California (CCPA) entró en vigor el 1 de enero de 2020. Uno de sus mayores efectos es regular la venta de datos: según la ley, cualquier intercambio de información personal por una "consideración valiosa" es, con algunas excepciones, “una venta." Cualquier empresa que venda datos tiene que dar a los usuarios la oportunidad de optar por no participar en esa venta y facilitar esas opciones colocando un botón de "no vender mis datos" en el sitio web de la empresa.
Este es un gran problema. La CCPA otorga a los californianos un derecho afirmativo para controlar cómo se utilizan nuestros datos personales. Por sí sola, la CCPA no es suficiente para solucionar los problemas con el uso de datos personales por parte de la tecnología, pero es un buen primer paso en el camino hacia la reforma de la privacidad.
¿Cómo puede una empresa que monetiza datos personales evadir estos nuevos deberes de la CCPA? Una forma es afirmar que no "venden" datos, ya que ese término se usa en CCPA. Google, el oligarca adtech, devorador de datos, topógrafo de almas, ese que sabe todo lo que se sabe, ha dicho que no vende datos.
Google controla alrededor del 62% de los navegadores móviles, el 69% de los navegadores de escritorio y los sistemas operativos del 71% de los dispositivos móviles del mundo. El 92% de las búsquedas en Internet se realizan a través de Google y el 73% de los adultos estadounidenses usan YouTube. Google ejecuta código en aproximadamente el 85% de los sitios en la Web y dentro de hasta el 94% de las aplicaciones en Play Store. Recopila datos sobre cada click, touch/tap, consulta y movimiento de los usuarios de todas esas fuentes y mucho más… Entonces, ¿Qué está pasando con todos esos datos, que Google dice que no está vendiendo, pero de los que gana decenas de miles de millones de dólares al año? Vamos a averiguarlo.
Programática
Google monetiza lo que observa sobre las personas de dos maneras principales:
1. Utiliza datos para crear perfiles individuales con datos demográficos e intereses, y luego permite a los anunciantes dirigirse a grupos de personas en función de esos rasgos.
2. Comparte datos con los anunciantes directamente y les pide que hagan ofertas en anuncios individuales.
El segundo método de monetización involucra la mayoría de los comportamientos que la gente común podría considerar como "venta de datos". Google participa en casi todos los niveles del proceso complejo y automatizado de colocación de anuncios de terceros conocido como "ofertas en tiempo real " o RTB o simplemente programática.
Las ofertas en tiempo real son el proceso mediante el cual los publishers subastan espacios publicitarios en sus Apps o en sus sitios web. Al hacerlo, comparten datos confidenciales de los usuarios, incluida la geolocalización, las identificaciones de los dispositivos, las cookies de identificación y el historial de navegación, con docenas o cientos de empresas de tecnología publicitaria diferentes.
En cada subasta, los datos de los usuarios pasan normalmente a través de tres capas diferentes de empresas en su camino desde un dispositivo hasta un anunciante: las plataformas del lado de la oferta (o SSP’s) recopilan datos de los usuarios para venderlos, los Ad Exchanges organizan subastas entre ellos y los anunciantes, y la demanda - las plataformas secundarias (o DSP’s) - "ofertan" en nombre de los anunciantes para decidir qué anuncios mostrar a qué personas. Estas subastas tardan milisegundos y se agitan constantemente en el fondo de su actividad de navegación a medida que las empresas en todos los niveles del proceso comparten y recopilan más y más datos para agregar a sus perfiles de usuarios existentes.
Google controla porciones masivas de casi todos los niveles del ecosistema de ofertas en tiempo real. En 2007, Google compró DoubleClick, entonces la mayor red publicitaria de terceros para la Web. Y en 2009 compró AdMob, el Ad Server más grande para el entonces incipiente mercado de Apps móviles. Tanto AdMob como DoubleClick han florecido bajo la propiedad de Google y hoy continúan dominando sus respectivos mercados. DoubleClick (ahora integrado en Google Marketing Platform) controla más de la mitad del mercado de intercambio de anuncios en la web, y AdMob es, con diferencia, la plataforma de oferta más popular para aplicaciones tanto en iOS como en Android.
Las ofertas en tiempo real son un sistema intrincado y opaco de recopilación e intercambio de datos que permite la creación de perfiles y la vigilancia por parte de anunciantes, data brokers, fondos de cobertura e ICE . Está en el centro de todo lo que está mal con la privacidad en la tecnología. Echemos un vistazo a cómo Google afirma que no vende datos en diferentes niveles del proceso RTB.
En tu teléfono
AdMob es una plataforma móvil del lado de la oferta. Eso significa que la empresa crea herramientas, llamadas kits de desarrollo de software (SDK), que los desarrolladores integran en sus aplicaciones. AdMob se asocia con los intercambios de anuncios y sus SDK conectan las aplicaciones a los intercambios directamente . Dentro de una aplicación, el código de AdMob recopila información y la comparte con Google y otros intercambios a través de procesos denominados " oferta abierta " y " mediación ". Su teléfono comparte datos, incluidos el ID de su dispositivo y los datos de geolocalización, con Google y con otros intercambios de anuncios; la aplicación te muestra un anuncio; Google y el desarrollador cobran.
En tu navegador
El producto Ad Manager de Google (anteriormente Doubleclick for Publishers) es el equivalente de AdMob para la web. Los desarrolladores instalan el código de Google en sus sitios web y el código realiza solicitudes a Google y otros intercambios de anuncios con su cookie de identificación y otra información. Una vez más, Google envía datos al ecosistema y los anunciantes devuelven el dinero.
Google también comparte datos con los anunciantes de otras formas menos directas, como la " coincidencia de cookies ", que permite a las empresas de tecnología publicitaria de terceros conectar sus propias cookies de seguimiento con el identificador de Google. Incluso se ha descubierto que establece " soluciones alternativas " para mantener activas sus medidas de intercambio de datos no consensuales en jurisdicciones donde deberían ser ilegales, como la UE.
En los servidores de Google
Una vez que los datos salen de su dispositivo, van a uno de varios servicios posteriores, como Ad Exchange de Google. Google recopila solicitudes de ofertas de todo Internet: tanto de sitios como de aplicaciones; desde teléfonos, ordenadores, consolas de juegos y televisores; y de SSP’s propios y de la competencia. Luego, presenta esas solicitudes de oferta a cientos de "compradores autorizados", DSP’s que representan a los anunciantes. Cada uno de esos DSP’s tiene acceso a una fuente de información personal sobre millones de usuarios diferentes en todos los dispositivos diferentes. Google ejecuta miles de millones de subastas de anuncios al día; en el proceso, comparte datos sobre millones de personas y recibe millones de dólares de los anunciantes.
Todos los datos que se transfieren aquí están asociados con al menos una identificación única: esta podría ser la identificación del anuncio que identifica tu teléfono, la identificación de la cookie almacenada en tu navegador o la identificación interna de Google para tu cuenta. De cualquier manera, se relaciona contigo. Puede incluir información de geolocalización, sexo, edad e intereses.
Más allá de la programática: archivos de datos de clientes
Programática no es la única forma en que Google comparte datos con los anunciantes (o cualquier otra persona con dinero). Google también permite a sus clientes anunciantes dirigirse a los usuarios por nombre, correo electrónico o ID de dispositivo y llegar a ellos prácticamente en cualquier lugar. A través de su programa “Customer Match”, los anunciantes pueden cargar listas de usuarios a los que quieren llegar, y Google les mostrará anuncios a cambio de dinero.
Este es un medio indirecto de compartir datos, pero el resultado final es el mismo. Las empresas pueden cargar listas de identificaciones de dispositivos o números de teléfono "anónimos", y Google conectará esos números con personas reales. Luego, Google mostrará anuncios a esas personas en sus plataformas: en sus teléfonos, ordenadores y TV’s. Cualquiera que interactúe con esos anuncios será enviado directamente a la página de inicio del anunciante, donde el anunciante puede recopilar ID de cookies, dirección IP, ubicación y más. Los investigadores han descubierto que este estilo de sistema de orientación individual expone a los usuarios a una amplia gama de filtraciones de privacidad.
Para hacer esto más concreto: supongamos que una empresa quiere adquirir datos sobre madres embarazadas. Puede comprar una lista de un millón de identificaciones de dispositivos que un data broker cree que pertenecen a esas mujeres. La empresa puede subir esta lista a Google y orientar un anuncio a esos ID. Si incluso una pequeña fracción, digamos, el 1%, hace click en el anuncio, se envía a 10.000 personas a la página de destino del anunciante, donde comparten automáticamente su dirección IP, cookies y posiblemente datos de geolocalización. La empresa ahora tiene datos médicos confidenciales sobre 10.000 personas servidos en bandeja de plata. (Google prohíbe el targeting basado en características médicas y de otro tipo en sus términos de servicio de Customer Match, pero no está claro cómo la empresa los audita o los aplica).
Este sistema proporciona una forma para que las empresas conviertan las listas de identificadores en canales directos para humanos reales. Los anunciantes aprovechan el gráfico de identidad de Google y pueden adquirir nuevos datos sobre sus objetivos en el proceso. Y por sus servicios, a Google se le paga. Una vez más, Google insiste en que esto no es una venta.
La necesidad de leyes de privacidad de datos del consumidor más estrictas
De muchas maneras diferentes, Google envía datos a los anunciantes y los anunciantes les envían dinero. Sin embargo, Google afirma que no está "vendiendo" nada.
Reconoce que, en algún lugar de este proceso, se está produciendo una "venta". Simplemente insiste en que Google mismo no es el que vende datos. En cambio, aunque Google facilita todo el proceso, asigna la responsabilidad del cumplimiento de la CCPA y GDPR a los editores de sitios web y Apps. Por lo tanto, para optar a que los servicios de Google no vendan tus datos, debes hacerlo con cada App y sitio web individual que utilices. Si lo haces, ni siquiera impedirá que se recopilen tus datos; solo evitará que Google te muestre anuncios dirigidos por comportamiento.
Si Google no está "vendiendo" datos con el fin de proteger a los consumidores de la CCPA o GDPR, eso subraya la necesidad de una ley más integral que trate la privacidad como un valor predeterminado, no como una opción. No es razonable esperar que los usuarios le pidan por favor a cada empresa en el ecosistema tecnológico en expansión, una por una, que les gustaría tener su privacidad. Y empresas como Google no deberían poder monetizar los datos que recopilan sin consentimiento, incluso si técnicamente no los están "vendiendo". La recopilación, el uso y el intercambio de datos deben minimizarse de forma predeterminada.
Fuente: EFF