¿Qué significa cuando una empresa dice: «No vendemos sus datos»?



Es probable que ya se haya encontrado con esta afirmación de los gigantes de la tecnología: «No vendemos sus datos personales».

Empresas de Facebook para Google para Gorjeo repetir versiones de esta declaración en sus políticas de privacidad, declaraciones públicas y testimonio en el congreso. Y cuando se toma muy literalmente, la promesa es cierta: a pesar de recopilar una gran cantidad de datos personales sobre sus usuarios y convertir esos datos en miles de millones de dólares en ganancias, estos gigantes tecnológicos no venden directamente la información de sus usuarios de la misma manera. Los corredores de datos venden datos directamente en grandes cantidades a los anunciantes..

Pero las renuncias también son una distracción de todas las otras formas en que los gigantes tecnológicos usan los datos personales con fines de lucro y, en el proceso, ponen en riesgo la privacidad de los usuarios, dicen los expertos.

Legisladores, organizaciones de vigilancia, y defensores de la privacidad Todos han señalado formas en las que los anunciantes aún pueden pagar por el acceso a datos de empresas como Facebook, Google y Twitter sin comprarlos directamente. (El portavoz de Facebook, Emil Vázquez, se negó a comentar y la portavoz de Twitter, Laura Pacas, nos remitió a la política de privacidad de Twitter. Google no respondió a las solicitudes de comentarios).

Y centrarse en el término «vender» es esencialmente un juego de manos de los gigantes tecnológicos, dijo Ari Ezra Waldman, profesor de derecho e informática en la Northeastern University.

«[Their] decir que no venden datos a terceros es como una empresa de yogur que dice que no contienen gluten. El yogur es naturalmente libre de gluten ”, dijo Waldman. «Es una desviación de todas las otras formas que pueden ser más sutiles, pero aún así son invasiones profundas y profundas de la privacidad».

Esas otras formas incluyen todo, desde datos recopilados de flujos de ofertas en tiempo real (más sobre eso más adelante), hasta anuncios dirigidos que dirigen el tráfico a sitios web que recopilan datos, hasta empresas que utilizan los datos internamente.

¿Cómo están en riesgo mis datos si no se venden?

Aunque empresas como Facebook y Google no venden directamente sus datos, los utilizan para publicidad dirigida, lo que crea muchas oportunidades para que los anunciantes paguen y obtengan su información personal a cambio.

La forma más sencilla es a través de un anuncio que se vincula a un sitio web con sus propios rastreadores incrustados, que pueden recopilar información sobre los visitantes, incluida su dirección IP y sus ID de dispositivo.

Las empresas de publicidad se apresuran a señalar que venden anuncios, no datos, pero no revelan que al hacer clic en estos anuncios, a menudo, un sitio web recopila datos personales. En otras palabras, puede regalar fácilmente su información a empresas que hayan pagado para que le muestren un anuncio.

Si el anuncio está dirigido a un determinado grupo demográfico, los anunciantes también podrían inferir información personal sobre los visitantes que provenían de ese anuncio, dijo Bennett Cyphers, tecnólogo de la Electronic Frontier Foundation.

Por ejemplo, si hay un anuncio dirigido a mujeres embarazadas en Facebook, el anunciante puede inferir que todos los que provienen de ese enlace son alguien que Facebook cree que está esperando un hijo. Una vez que una persona hace clic en ese enlace, el sitio web podría recopilar ID de dispositivo y una dirección IP, que se puede utilizar para identificar a una persona. La información personal como «padre expectante» podría asociarse con esa dirección IP.

«Puedes decir: ‘Oye, Google, quiero una lista de personas de entre 18 y 35 años que vieron el Super Bowl el año pasado’. No te darán esa lista, pero te permitirán publicar anuncios para todas esas personas, «Dijo Cyphers. “Algunas de esas personas harán clic en esos anuncios, y es bastante fácil averiguar quiénes son esas personas. Puedes comprar datos, en cierto sentido, de esa manera «.

Luego está la forma complicada pero mucho más común en la que los anunciantes pueden pagar por los datos sin que se consideren una venta, a través de un proceso conocido como «ofertas en tiempo real».

A menudo, cuando aparece un anuncio en su pantalla, no estaba esperando a que apareciera. Las subastas digitales se llevan a cabo en milisegundos antes de que se carguen los anuncios, donde los sitios web venden propiedades en pantalla al mejor postor en un proceso automatizado.

La visita a una página inicia un proceso de licitación en el que a cientos de anunciantes se les envían simultáneamente datos como una dirección IP, una identificación de dispositivo, los intereses del visitante, los datos demográficos y la ubicación. Los anunciantes utilizan estos datos para determinar cuánto les gustaría pagar para mostrar un anuncio a ese visitante, pero incluso si no hacen la oferta ganadora, ya han capturado lo que puede ser mucha información personal.

Con los anuncios de Google, por ejemplo, Google Ad Exchange envía datos asociados a su cuenta de Google durante este proceso de subasta de anuncios, que puede incluir información como su edad, ubicación e intereses.

Los anunciantes no pagan por esos datos, per se; están pagando por el derecho a mostrar un anuncio en una página que visitaste. Pero aún obtienen los datos como parte del proceso de licitación, y algunos anunciantes compilan esa información y la venden, dijeron los defensores de la privacidad.

En mayo, un grupo de usuarios de Google presentó una demanda colectiva contra Google en el Tribunal de Distrito de EE. UU. para el Distrito Norte de California, alegando que la compañía está violando sus reclamos de no vender información personal al operar su servicio de licitación en tiempo real.

La demanda argumenta que aunque Google no estaba entregando directamente sus datos personales a cambio de dinero, sus servicios publicitarios permitieron que cientos de terceros básicamente pagaran y obtuvieran acceso a información sobre millones de personas. El caso está en curso.

«Nunca vendemos la información personal de las personas y tenemos políticas estrictas que prohíben específicamente los anuncios personalizados basados ​​en categorías sensibles», dijo el portavoz de Google, José Castañeda, al San Francisco Chronicle en mayo.

Las licitaciones en tiempo real también han atraído el escrutinio de los legisladores y las organizaciones de vigilancia por sus implicaciones en la privacidad.

En enero, Simon McDougall, comisionado adjunto de la Oficina del Comisionado de Información del Reino Unido, anunció en un comunicado que la agencia continuaba su investigación de las licitaciones en tiempo real (RTB), que si no se divulgan adecuadamente, pueden violar el Reglamento General de Protección de Datos de la Unión Europea.

«El complejo sistema de RTB puede utilizar los datos personales confidenciales de las personas para publicar anuncios y requiere el consentimiento explícito de las personas, lo que no está sucediendo en este momento», dijo McDougall. «Compartir los datos de las personas con potencialmente cientos de empresas, sin evaluar y abordar adecuadamente el riesgo de estas contrapartes, también plantea interrogantes sobre la seguridad y retención de estos datos».

Y en abril, un grupo bipartidista de senadores estadounidenses envió una carta a las empresas de tecnología publicitaria involucradas en licitaciones en tiempo real, incluido Google. Su principal preocupación: las empresas extranjeras y los gobiernos que potencialmente capturan cantidades masivas de datos personales sobre los estadounidenses.

«Pocos estadounidenses se dan cuenta de que algunos participantes de la subasta están desviando y almacenando datos ‘bidstream’ para compilar expedientes exhaustivos sobre ellos», decía la carta. «A su vez, estos expedientes se venden abiertamente a cualquier persona que tenga una tarjeta de crédito, incluidos fondos de cobertura, campañas políticas e incluso gobiernos».

El 4 de mayo, Google respondió a la carta, diciéndoles a los legisladores que no comparte información de identificación personal en las solicitudes de licitación y no comparte información demográfica durante el proceso.

«Nunca vendemos la información personal de las personas y todos los compradores de anuncios que utilizan nuestros sistemas están sujetos a estrictas políticas y estándares, incluidas las restricciones sobre el uso y la retención de la información que reciben», dijo Mark Isakowitz, vicepresidente de asuntos gubernamentales y políticas públicas de Google, en la carta.

¿Qué significa «vender» datos?

Los defensores han intentado ampliar la definición de «vender» más allá de una simple transacción.

los Ley de privacidad del consumidor de California, que entró en vigor en enero de 2020, intentó proyectar una amplia red al definir «venta», más allá del simple intercambio de datos por dinero. La ley considera una venta si la información personal se vende, alquila, divulga, comparte, transfiere o comunica (ya sea oralmente o por escrito) de una empresa a otra por “contraprestación monetaria o de otro valor”.

Y las empresas que venden esos datos deben revelar que lo están haciendo y permitir que los consumidores opten por no participar.

«Escribimos la ley tratando de reflejar cómo funciona realmente la economía de datos, donde la mayoría de las veces, a menos que sea un corredor de datos, no está vendiendo la información personal de una persona», dijo Mary Stone Ross, directora de privacidad de Productos OSOM y coautor de la ley. “Pero esencialmente lo eres. Si eres una empresa de redes sociales y proporcionas publicidad y la gente te paga mucho dinero, estás vendiendo el acceso a ellos «.

Pero eso no significa que siempre sea obvio qué tipo de datos personales recopila y vende una empresa.

En Política de privacidad de T-Mobile, por ejemplo, la empresa dice que vende datos compilados de forma masiva, lo que denomina «segmentos de audiencia». La política establece que los datos del segmento de audiencia para la venta no contienen identificadores como su nombre y dirección, pero sí incluyen su ID de publicidad móvil.

ID de publicidad móvil se puede conectar fácilmente a personas a través de empresas de terceros.

Sin embargo, la política de privacidad de T-Mobile dice que la empresa «no vende información que identifique directamente a los clientes».

El portavoz de T-Mobile, Taylor Prewitt, no respondió por qué la empresa no considera que los ID de publicidad sean información personal, pero dijo que los clientes tienen derecho a optar por no vender esos datos.

Entonces, ¿qué debería buscar en una política de privacidad?

La próxima vez que consulte una política de privacidad, que pocas personas hacen realmente, no se centre únicamente en si la empresa dice que vende sus datos o no. Esa no es necesariamente la mejor manera de evaluar cómo viaja y se utiliza su información.

E incluso si una política de privacidad dice que no comparte información privada más allá de los muros de la empresa, los datos recopilados se pueden usar para fines con los que puede sentirse incómodo, como entrenar algoritmos internos y modelos de aprendizaje automático. (Ver el uso de Facebook de mil millones de fotos de Instagram, que posee, para mejorar su capacidad de reconocimiento de imágenes).

Los consumidores deberían buscar políticas de eliminación y retención en su lugar, dijo Lindsey Barrett, experta en privacidad y hasta hace poco miembro de Georgetown Law. Estas son políticas que detallan durante cuánto tiempo las empresas conservan los datos y cómo eliminarlos.

Señaló que estas declaraciones tienen mucho más peso que las empresas que prometen no vender sus datos.

«La gente no tiene una transparencia significativa sobre lo que las empresas están haciendo con sus datos y, con demasiada frecuencia, hay muy pocos límites sobre lo que pueden hacer con ellos», dijo Barrett. «El conjunto de ‘No vendemos sus datos’ no dice nada sobre lo que la empresa está haciendo a puerta cerrada».

Este artículo de Alfred Ng fue publicado originalmente en The Markup y fue reeditado bajo el Creative Commons Reconocimiento-No comercial-Sin derivados licencia.





Fuente: TNW

Compartir:

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Esta web utiliza cookies propias y de terceros para su correcto funcionamiento y para fines analíticos y para fines de afiliación y para mostrarte publicidad relacionada con sus preferencias en base a un perfil elaborado a partir de tus hábitos de navegación. Al hacer clic en el botón Aceptar, acepta el uso de estas tecnologías y el procesamiento de tus datos para estos propósitos. Ver Política de cookies
Privacidad