Privacy Sandbox de Google podría incumplir la ley de privacidad, según una nueva investigación

Tras dos meses de pruebas, la empresa de tecnología publicitaria Criteo determinó que Privacy Sandbox, el conjunto de alternativas a las cookies propuestas por Google, reduciría los ingresos publicitarios de los publishers en un 60%. Pero más allá de la amenaza obvia de reducir los ingresos, Privacy Sandbox también está haciendo saltar las alarmas dentro de la comunidad publicitaria por sus riesgos contractuales, como apunta The Drum.

Un nuevo estudio encargado por Movement for an Open Web (MOW), un grupo de interés sin ánimo de lucro que aboga contra las restricciones de los walled gardens digitales, concluye que las condiciones de servicio del Sandbox pueden ser “injustas e ilegales”. Concretamente, dice que pueden ser “onerosas, discriminatorias y unilaterales”.

La investigación, elaborada por el asesor jurídico de MOW Preiskel & Co, concluye que si la tecnología Privacy Sandbox falla, las empresas que utilizan las herramientas deben absorber el impacto financiero, mientras que Google no asume ningún riesgo. Preiskel & Co sugiere que las condiciones de servicio de Sandbox difieren de los acuerdos de servicio tradicionales del sector publicitario en este sentido. En general, los proveedores de servicios asumen cierta responsabilidad por los fallos del servicio; en el caso de Privacy Sandbox, la responsabilidad recae en los clientes.

Tim Cowen, presidente del departamento antimonopolio de Preiskel & Co, afirma en un comunicado que estas condiciones “han sido impuestas a capricho de un monopolista en un mercado con pocas opciones para aceptarlas e imponen importantes obligaciones a los usuarios sin la correspondiente responsabilidad de Google”.

Esto supondrá una señal de alarma para los profesionales de la publicidad y el AdTech, sobre todo teniendo en cuenta que Sandbox no es inmune a los contratiempos. Tal y como apunta el citado medio, las funciones publicitarias de Sandbox de Chrome sufrieron una interrupción de varias horas el 22 de mayo que afectó a diversas API, como las de Attribution Reporting, Protected Audience, Private Aggregation, Shared Storage y Topics. Esta desactivación temporal de Sandbox provocó importantes pérdidas de ingresos.

Paul Bannister, director de estrategia de Raptive, escribió en LinkedIn tras la interrupción: “Que todo el sistema no esté disponible durante una gran parte del día podría ser catastrófico para muchos publishers y anunciantes”.

La respuesta de Google

Google, por su parte, rechaza niega que las condiciones de servicio de Sandbox sean significativamente diferentes a otras normas que rigen el uso de APIs en la Open web. “El acceso a las API web no depende de la aceptación de unas condiciones de servicio o de la firma de un contrato con el fabricante del navegador del usuario. Esto es fundamental para que la web funcione: cuando un usuario accede a un sitio, este debe funcionar independientemente de los acuerdos comerciales preexistentes entre el navegador y el sitio”, declaró el lunes a The Drum Scott Westover, responsable de comunicación política de Google.

“Las API de Privacy Sandbox no son propiedad de Google. Igual que las cookies de terceros hoy en día (y cientos de otras tecnologías de plataformas de la Open web) están disponibles para que los navegadores las implementen y para que los desarrolladores las utilicen, libres de cualquier contrato comercial”, añade. “La llegada de nuevas APIs adicionales a Privacy Sandbox en el futuro “no debería cambiar las relaciones comerciales subyacentes en la publicidad online”.

Google también defiende que cumple los acuerdos de procesamiento y privacidad de los datos, ante la acusación de MOW incumplir la normativa GDPR.

El acuerdo señala que, según el ICO (Oficina del Comisario de Información del Reino Unido), Privacy Sandbox genera datos personales de los usuarios, lo que, en virtud del Reglamento General de Protección de Datos (RGPD) de la UE, requiere el establecimiento de un acuerdo de controlador de datos. Sin embargo, el informe indica que las condiciones de servicio de Google Privacy Sandbox no prevén tal acuerdo. Si Google incumple normativas como GDPR u otra legislación sobre privacidad, podría enfrentarse a graves repercusiones legales.

“Nuestro análisis sugiere que las condiciones del servicio Privacy Sandbox de Google serían consideradas injustas e ilegales si se impugnan ante un tribunal”, afirma Cowen, de Preiskel & Co. “Parecen ignorar los fundamentos de la ley de privacidad”, dicen desde la asociación.

El mes pasado, Google fue objeto de otra denuncia relativa a las prácticas de privacidad de Sandbox: la organización sin ánimo de lucro Noyb (None of Your Business), dirigida por el activista Max Schrems, presentó una denuncia ante la autoridad austriaca de protección de datos alegando que Privacy Sandbox permite a Google rastrear a los usuarios dentro del navegador, a pesar de promocionarse como una alternativa segura a las cookies.

Noyb sostiene que incluso este tipo de rastreo interno requiere el consentimiento del usuario conforme a la ley, pero alega que Google a menudo obtiene el “consentimiento” mediante métodos engañosos, presentando el opt-in como una función de privacidad de los anuncios.

Por último, el informe de Preiskel & Co también indica que la posición dominante de Google en el mercado obliga a las empresas a aceptar las condiciones de Sandbox sin consultarlas ni negociarlas. Google puede cambiar unilateralmente estas condiciones, por lo que, según la legislación, podría estar cometiendo actos ilegales.