Xandr, propiedad de Microsoft, acusada de vulnerar la privacidad en la UE

Xandr, empresa AdTech propiedad de Microsoft, se encuentra en el centro de una denuncia respaldada por Noyb, el grupo europeo de defensa de la privacidad liderado por Max Schrems y conocido por sus acciones contra los gigantes tecnológicos que infringen la protección de datos.

En su denuncia, Noyb representa a un ciudadano anónimo de origen italiano que solicitó a Xandr datos, tanto de acceso como de eliminación, sin obtener resultado alguno. Noyb también cita en la denuncia a una empresa llamada emetriq (propiedad de una empresa de telecomunicaciones alemana) que otorga licencias sobre los datos de Xandr.

La denuncia, presentada bajo el amparo de GDPR de la Unión Europea, podría suponer multas de hasta el 4% de los ingresos anuales de la entidad matriz de Xandr, Microsoft, si se confirma su validez.

Falta de transparencia y fallos en los derechos de acceso

Xandr está acusada de tener fallos en transparencia y de violar los derechos de acceso a los datos de usuarios en la UE, cuya información se procesa para crear perfiles utilizados en publicidad microsegmentada vendida a través de subastas programáticas. La denuncia también alega que la empresa utiliza información inexacta sobre los usuarios.

Específicamente, Noyb alega que Xandr infringe los Artículos 5(1)(c) y (d); 12(2); 15 y 17 del GDPR. La denuncia solicita a la autoridad de protección de datos que investigue y, si se confirman las infracciones, ordene a Xandr que cumpla con la normativa. Noyb también sugiere que se imponga una multa de hasta el 4% de los ingresos anuales de la empresa matriz de Xandr. En 2023 los ingresos de Microsoft alcanzaron casi los 212.000 millones de dólares.

Riesgos regulatorios tras la adquisición

Microsoft adquirió Xandr a finales de 2021 para expandir su negocio de publicidad digital, aunque Xandr mantiene su autonomía estructural y opera como una entidad separada. En el comunicado de prensa de la adquisición, Microsoft mencionó la mejora de sus "soluciones en Retail Media" y la "mejora en monetización para los publishers", pero no mencionó el aumento de los riesgos regulatorios derivados de la adquisición.

Según la denuncia de Noyb, el problema radica en que Xandr no responde a las solicitudes de acceso a la data de los usuarios que desean eliminar o corregir su información personal. La denuncia vincula a una página web "oculta" donde Xandr publica métricas de acceso a data. Según esta página, entre el 1 de enero de 2022 y el 31 de diciembre de 2022, la empresa recibió 1.294 solicitudes de acceso y 600 solicitudes de eliminación, pero negó todas.

Datos inexactos y la responsabilidad de Xandr

La denuncia también revela altos niveles de inexactitud en la información que Xandr posee sobre las personas, lo cual puede plantear preguntas sobre la calidad de sus servicios de targeting publicitario. Además, tiene un interés legal dado que el GDPR otorga a las personas el derecho a la rectificación de datos incorrectos. Por ejemplo, la investigación de noyb encontró que la base de datos de Xandr contiene información contradictoria sobre una persona, como diferentes géneros, rangos de edad, niveles de ingresos y estados de empleo simultáneamente. Esta inconsistencia plantea dudas sobre la precisión del targeting publicitario de Xandr.

"El negocio de Xandr se basa en mantener la data de millones de europeos y segmentarlos. Sin embargo, la empresa admite que tiene una tasa de respuesta del 0% a las solicitudes de acceso y borrado. Es asombroso que Xandr ilustre públicamente cómo infringe el GDPR", comenta Massimiliano Gelmi, abogado especializado en Data Protection en Noyb.

GDPR adopta una visión amplia de lo que constituye los datos personales, y los que han sido pseudonimizados siguen considerándose 'datos personales'. Esto significa que quienes poseen dicha información deben cumplir con los requisitos legales de la UE, como proporcionar derechos de acceso a esos datos.

Según informa Techcrunch, la estructura corporativa de Xandr, establecida en EE.UU., sugiere que podría enfrentarse a más denuncias en otros estados miembros de la UE donde ha procesado datos locales, aumentando aún más el riesgo regulatorio. Microsoft ha sido contactada para dar respuesta a la denuncia, pero aún no ha hecho un comentario público. La situación sigue evolucionando, y noyb continúa resaltando la importancia de la protección de los datos en la era digital.