Un fallo emitido ayer por el tribunal supremo de la Unión Europea podría tener implicaciones importantes para las plataformas en línea que utilizan el seguimiento y la elaboración de perfiles en segundo plano para dirigirse a los usuarios con anuncios conductuales o para alimentar motores de recomendación diseñados para mostrar el llamado contenido ‘personalizado’.
Los impactos podrían ser aún más amplios: los expertos en leyes de privacidad sugieren que la sentencia podría aumentar el riesgo legal para una variedad de otras formas de procesamiento en línea, desde aplicaciones de citas hasta seguimiento de ubicación y más. Aunque sugieren nuevas referencias legales, también es probable que los operadores busquen desentrañar lo que podrían ser dificultades prácticas complejas que surjan de la sentencia.
La remisión al Tribunal de Justicia de la UE (TJUE) se refiere a un caso lituano relativo a la legislación nacional anticorrupción. Pero es probable que el impacto de la sentencia se sienta en toda la región, ya que cristaliza cómo se debe interpretar el Reglamento General de Protección de Datos (GDPR) del bloque, que establece el marco legal para el procesamiento de datos personales, cuando se trata de operaciones de datos en las que los datos confidenciales se pueden hacer inferencias sobre los individuos.
Los observadores de la privacidad se apresuraron a prestar atención, y predicen impactos de seguimiento sustanciales para la aplicación, ya que la guía del TJUE esencialmente instruye a la red de agencias de protección de datos de la región para evitar una interpretación demasiado estrecha de lo que constituye información confidencial, lo que implica que la privacidad más estricta del bloque las protecciones serán más difíciles de eludir para las plataformas.
En un correo electrónico a Tecno, la Dra. Gabriela Zanfir-Fortuna, vicepresidenta de privacidad global del grupo de expertos con sede en Washington, Future of Privacy Forum, resume la «interpretación vinculante» del TJUE como una confirmación de que los datos que son capaces de revelar la orientación sexual de una persona física “mediante una operación intelectual de comparación o deducción” son de hecho datos sensibles protegidos por el artículo 9 del RGPD.
La parte relevante de la remisión del caso al TJUE se refería a si la publicación del nombre del cónyuge o pareja constituía un tratamiento de datos sensibles porque podía revelar la orientación sexual. El tribunal decidió que sí. Y, por implicación, que la misma regla se aplica a las inferencias conectadas a otros tipos de datos de categorías especiales.
“Creo que esto podría tener amplias implicaciones en el futuro, en todos los contextos donde se aplica el Artículo 9, incluida la publicidad en línea, las aplicaciones de citas, los datos de ubicación que indican los lugares de culto o las clínicas visitadas, las opciones de alimentos para los viajes en avión y otros”, predijo Zanfir-Fortuna. , agregando: “También plantea enormes complejidades y dificultades prácticas para catalogar datos y construir diferentes pistas de cumplimiento, y espero que la pregunta vuelva al TJUE en un caso más complejo”.
Como señaló en su tuit, una interpretación igualmente no restringida del procesamiento de datos de categoría especial recientemente puso a la aplicación de conexión gay Grindr en problemas con la agencia de protección de datos de Noruega, lo que llevó a una multa de 10 millones de euros, o alrededor del 10 % de su anual. ingresos, el año pasado.
GDPR permite multas que pueden escalar hasta el 4% de la facturación anual global (o hasta 20 millones de euros, lo que sea mayor). Por lo tanto, cualquier plataforma de Big Tech que no cumpla con este (ahora) requisito firme de obtener un consentimiento explícito si hace inferencias sensibles sobre los usuarios podría enfrentar multas que son órdenes de magnitud mayores que las de Grindr.
Seguimiento de anuncios en el marco
Al analizar la importancia de la sentencia del TJUE, el Dr. Lukasz Olejnik, consultor independiente e investigador de seguridad y privacidad con sede en Europa, fue inequívoco al predecir impactos graves, especialmente para la tecnología publicitaria.
«Esta es la interpretación única, más importante e inequívoca de GDPR hasta ahora», nos dijo. “Es una declaración sólida como una roca que los datos inferidos son, de hecho, [personal] datos. Y que los datos protegidos/sensibles inferidos, son datos protegidos/sensibles, en línea con el artículo 9 del RGPD.”
“Esta sentencia acelerará la evolución de los ecosistemas de anuncios digitales, hacia soluciones donde la privacidad se considere seriamente”, sugirió también. “En cierto sentido, respalda el enfoque de Apple, y aparentemente donde Google quiere hacer la transición de la industria publicitaria. [to, i.e. with its Privacy Sandbox proposal].”
Desde mayo de 2018, el RGPD ha establecido reglas estrictas en todo el bloque para el procesamiento de datos personales de la llamada «categoría especial», como información de salud, orientación sexual, afiliación política, afiliación sindical, etc., pero ha habido cierto debate (y variación). en la interpretación entre DPA) sobre cómo se aplica realmente la ley paneuropea a las operaciones de procesamiento de datos donde pueden surgir inferencias sensibles.
Esto es importante porque las grandes plataformas, durante muchos años, han podido mantener suficientes datos de comportamiento de las personas para, esencialmente, eludir una interpretación más estrecha de las restricciones de procesamiento de datos de categoría especial al identificar (y sustituir) proxies por información confidencial.
Por lo tanto, algunas plataformas pueden afirmar (o lo hacen) que técnicamente no están procesando datos de categoría especial, mientras triangulan y conectan tanta otra información personal que el efecto corrosivo y el impacto en los derechos individuales son los mismos. (También es importante recordar que las inferencias confidenciales sobre las personas no tienen que ser correctas para cumplir con los requisitos de procesamiento de categorías especiales del RGPD; lo que cuenta es el procesamiento de datos, no la validez o no de las conclusiones confidenciales alcanzadas; de hecho, las inferencias confidenciales incorrectas pueden ser terrible también para los derechos individuales).
Esto podría implicar que las plataformas financiadas con anuncios utilicen un proxy cultural o de otro tipo para datos confidenciales para orientar la publicidad basada en intereses o para recomendar contenido similar con el que creen que el usuario también interactuará. Los ejemplos de inferencias podrían incluir usar el hecho de que a una persona le ha gustado la página de Fox News para inferir que tiene opiniones políticas de derecha; o vincular la membresía de un grupo de estudio bíblico en línea para tener creencias cristianas; o la compra de un cochecito y una cuna, o una visita a cierto tipo de tienda, para deducir un embarazo; o inferir que un usuario de la aplicación Grindr es gay o queer.
Para los motores de recomendación, los algoritmos pueden funcionar al rastrear los hábitos de visualización y agrupar a los usuarios en función de estos patrones de actividad e interés en un intento por maximizar el compromiso con su plataforma. Por lo tanto, una plataforma de big data como las IA de YouTube puede llenar una barra lateral fija de otros videos que lo incitan a seguir haciendo clic. O selecciona automáticamente algo ‘personalizado’ para reproducir una vez que el video que realmente elegiste ver llega a su fin. Pero, de nuevo, parece probable que este tipo de seguimiento del comportamiento se cruce con los intereses protegidos y, por lo tanto, como subraya la normativa del TJUE, implique el tratamiento de datos sensibles.
Facebook, por su parte, se ha enfrentado durante mucho tiempo al escrutinio regional por permitir que los anunciantes se dirijan a los usuarios en función de intereses relacionados con categorías delicadas como creencias políticas, sexualidad y religión sin pedir su consentimiento explícito, que es la prohibición del RGPD para el procesamiento (legal) de datos confidenciales.
Aunque el gigante tecnológico ahora conocido como Meta ha evitado la sanción directa en la UE sobre este tema hasta el momento, a pesar de ser objeto de una serie de quejas de consentimiento forzado, algunas de las cuales se remontan a la entrada en vigor del RGPD hace más de cuatro años. (Un borrador de decisión del DPA de Irlanda el otoño pasado, aparentemente aceptando la afirmación de Facebook de que puede eludir por completo los requisitos de consentimiento para procesar datos personales al estipular que los usuarios tienen un contrato con él para recibir anuncios, fue calificado como una broma por los activistas de privacidad en ese momento; el procedimiento sigue en curso, como resultado de un proceso de revisión por parte de otras autoridades de protección de datos de la UE, que, según esperan los activistas, finalmente adoptarán una visión diferente de la legalidad del modelo comercial basado en el seguimiento sin consentimiento de Meta. )
En los últimos años, a medida que aumentaba la atención regulatoria y los desafíos legales y las demandas por privacidad, Facebook/Meta realizó algunos ajustes superficiales en sus herramientas de orientación de anuncios, anunciando a fines del año pasado, por ejemplo, que ya no permitiría anunciantes para dirigirse a intereses sensibles como la salud, la orientación sexual y las creencias políticas.
Sin embargo, todavía procesa grandes cantidades de datos personales en sus diversas plataformas sociales para configurar el contenido «personalizado» que los usuarios ven en sus feeds. Y sigue rastreando y perfilando a los usuarios de la web para orientarlos con anuncios «relevantes», sin brindarles a las personas la opción de negar ese tipo de perfilado y seguimiento de comportamiento intrusivo. Por lo tanto, la empresa continúa operando un modelo comercial que se basa en extraer y explotar la información de las personas sin preguntarles si están de acuerdo con eso.
Por lo tanto, una interpretación más estricta de las leyes de privacidad de la UE existentes plantea una clara amenaza estratégica para un gigante de la tecnología publicitaria como Meta.
La matriz de YouTube, Google/Alphabet, también procesa grandes cantidades de datos personales, tanto para configurar las recomendaciones de contenido como para la segmentación de anuncios basados en el comportamiento, por lo que también podría estar en la línea de fuego si los reguladores toman la decisión del TJUE de adoptar una línea más dura en temas sensibles. inferencias A menos que pueda demostrar que solicita a los usuarios su consentimiento explícito para un procesamiento tan sensible. (Y quizás sea notable que Google modificó recientemente el diseño de su banner de consentimiento de cookies en Europa para que sea más fácil para los usuarios optar por no participar en ese tipo de seguimiento de anuncios, luego de un par de intervenciones regulatorias centradas en el seguimiento en Francia).
“Aquellas organizaciones que asumieron [that inferred protected/sensitive data, are protected/sensitive data] y preparó sus sistemas, debería estar bien. Tenían razón, y parece que están protegidos. Para otros esto [CJEU ruling] significa cambios significativos”, predijo Olejnik. “Se trata de medidas tanto técnicas como organizativas. Porque el procesamiento de tales datos está, bueno, prohibido. A menos que se implementen algunas medidas significativas. Como el consentimiento explícito. Esto en la práctica técnica puede significar un requisito para una suscripción real para el seguimiento”.
“No hay forma concebible de que el statu quo actual satisfaga las necesidades del párrafo del Artículo 9 (2) de GDPR sin hacer nada”, agregó. “Los cambios no pueden ocurrir solo en el papel. No esta vez. Los DPA acaban de recibir una munición poderosa. ¿Querrán usarlo? Tenga en cuenta que, si bien este juicio llegó esta semana, así es como el RGPD y el marco de la ley de protección de datos de la UE funcionaron desde el principio”.
La UE tiene regulaciones entrantes que reforzarán aún más la soga operativa en torno a las plataformas en línea de ‘Big Tech’ más poderosas, y más reglas para las llamadas plataformas en línea muy grandes (VLOP), como la Ley de Mercados Digitales (DMA) y la Ley de Servicios Digitales. (DSA), respectivamente, entrarán en vigor el próximo año, con el objetivo de nivelar el campo de juego competitivo en torno a Big Tech; y aumentar la responsabilidad de la plataforma para los consumidores en línea en general.
El DSA incluso incluye una disposición de que los VLOP que usan algoritmos para determinar el contenido que ven los usuarios (también conocidos como «sistemas de recomendación») tendrán que proporcionar al menos una opción que sea no basado en perfiles — por lo que ya existe un requisito explícito para un subconjunto de plataformas más grandes para brindar a los usuarios una forma de rechazar el seguimiento del comportamiento que se avecina en el horizonte en el…