Acusan a Xandr, empresa de tecnología publicitaria de Microsoft, de violar la privacidad en la UE.

Un negocio de tecnología publicitaria propiedad de Microsoft es el objetivo de una queja respaldada por el grupo europeo de defensa de la privacidad, noyb, una organización sin fines de lucro que se destaca en la lucha contra gigantes tecnológicos infringidores de la protección de datos. En esta ocasión, noyb está apoyando a un individuo no identificado en Italia para presentar una queja contra Xandr ante la autoridad de protección de datos del país. La queja ha sido presentada bajo el Reglamento General de Protección de Datos (GDPR) de la Unión Europea, lo que significa que, si tiene éxito, podría resultar en multas de hasta el 4% de los beneficios anuales globales de Microsoft, empresa matriz de Xandr. Xandr está acusada de fallos en transparencia e infracciones de los derechos de acceso a los datos de las personas en la UE cuya información se procesa para crear perfiles utilizados en publicidad microsegmentada vendida a través de subastas publicitarias programáticas. La queja también sostiene que la empresa de tecnología publicitaria utiliza información inexacta sobre las personas. Específicamente, noyb alega que Xandr está violando los Artículos 5(1)(c) y (d); 12(2); 15 y 17 del GDPR. La queja pide a la autoridad de protección de datos investigar y, si se confirman las infracciones, ordenar a Xandr que cumpla. noyb también sugiere imponer una multa de hasta el 4% de los ingresos anuales a la empresa matriz de Xandr (NB: los ingresos anuales de Microsoft para 2023 rozaron los $212 mil millones). ¿Adquiriendo riesgo regulatorio? Microsoft adquirió la "plataforma tecnológica habilitada para datos", como llamó a Xandr, a fines de 2021, para expandir su negocio de publicidad digital, aunque Xandr mantuvo su autonomía estructural y opera como una entidad separada. En la nota de prensa de Microsoft en ese momento se hablaba de que la adquisición mejoraría sus "soluciones de medios minoristas", además de destacar "una monetización fortalecida para los editores a través de un acceso más amplio a los datos de primera mano y una oferta completa de marketing de embudo". No se mencionaba la posibilidad de un aumento en el riesgo regulatorio como consecuencia de la adquisición. El problema, según la queja respaldada por noyb, es que Xandr no responde a ninguna solicitud de acceso a datos de individuos que desean eliminar o corregir su información personal. La queja enlaza a una página web "oculta" donde Xandr publica métricas de acceso a datos. Según esta página, entre el 1 de enero de 2022 y el 31 de diciembre de 2022, la empresa recibió 1,294 solicitudes de acceso y 600 solicitudes de eliminación, pero denegó todas y cada una de ellas. Una nota explicativa en la página web afirma: "Las solicitudes de acceso y eliminación se deniegan cuando no podemos verificar la identidad y jurisdicción del solicitante. Debido a la naturaleza seudónima de los datos que Xandr recopila en su Plataforma, no podemos verificar la identidad de los consumidores que realizaron solicitudes de acceso y eliminación cuando dichas solicitudes no están vinculadas a otros identificadores, y por lo tanto denegamos dichas solicitudes". Así que Xandr parece argumentar que no tiene que cumplir con los derechos de acceso a datos del GDPR porque la información que tiene sobre los individuos es seudónima. Sin embargo, la queja argumenta que no es creíble que una empresa cuyo negocio entero depende de perfilar a individuos para obtener beneficios de publicidad dirigida pueda afirmar que no puede identificar a las personas cuya información posee. Comentando en una declaración, Massimiliano Gelmi, abogado de protección de datos de noyb, dijo: "El negocio de Xandr se basa claramente en mantener datos sobre millones de europeos y dirigirse a ellos. Aun así, la empresa admite que tiene una tasa de respuesta del 0% a las solicitudes de acceso y eliminación. Es sorprendente que Xandr incluso ilustre públicamente cómo incumple el GDPR". Cabe destacar que el GDPR tiene una visión amplia de lo que constituye datos personales y los datos que han sido seudonimizados siguen siendo datos personales, lo que significa que aquellos que poseen esa información deben cumplir con los requisitos legales de la UE, como proporcionar derechos de acceso a datos. Las directrices sobre los derechos de acceso a datos adoptadas por la Junta Europea de Protección de Datos (EDPB) el año pasado incluyen un ejemplo ilustrativo en el ámbito de la publicidad microsegmentada en el que la Junta señala que una empresa de tecnología publicitaria debería poder "identificar con precisión" a un individuo que solicita acceso a sus datos personales desde el mismo equipo terminal vinculado a su perfil publicitario (es decir, a través de cookies asociadas) ya que "se puede encontrar un vínculo entre los datos procesados ​​y el sujeto de los datos". Si un individuo solicita sus datos de otra manera, como por correo electrónico, la guía de la EDPB sugiere que la empresa de tecnología publicitaria debería solicitar información adicional para identificar el perfil publicitario relevante y cumplir con la solicitud de acceso a datos. Específicamente, la guía indica que un individuo tendría que proporcionar el identificador de cookie almacenado en su equipo terminal. No está claro qué medidas tomó Xandr para identificar los perfiles publicitarios de las personas que solicitaron acceso o eliminación de sus datos. Volviendo a la queja, la investigación de noyb también descubrió lo que parece ser altos niveles de inexactitud en la información que Xandr tiene sobre individuos, lo que puede plantear preguntas separadas para sus clientes sobre la calidad de sus servicios de segmentación publicitaria. Pero también tiene importancia legal dado que el GDPR garantiza a los individuos el derecho a rectificar datos incorrectos sobre ellos. Las personas de la UE también pueden confiar en el GDPR para otros derechos, incluida la capacidad de solicitar una copia de sus datos. Nuevamente, noyb alega que esta es otra área en la que Xandr no cumple. No pudo obtener una copia de los datos del demandante directamente de Xandr, sino que utilizó una solicitud de acceso sujeta a uno de sus proveedores de datos. "Gracias a una solicitud de acceso con el proveedor de datos - y proveedor de Xandr - emetriq, sabemos que al menos parte de la base de datos de Xandr consiste en información personal extremadamente inexacta y contradictoria sobre las personas", escribe en un comunicado de prensa. "Según emetriq, el demandante es tanto hombre como mujer, tiene una edad estimada entre 16-19, 20-29, 30-39, 40-49, 50-59 y 60+. El demandante también tiene un ingreso entre €500-€1,500, €1,500-€2,500 y €2,500-€4,000. Además, la misma persona está buscando trabajo, está empleada, es estudiante, alumno y trabaja en una empresa. Esa empresa, a su vez, emplea de 1 a 10, más de 1,000 y de 1,100 a 5,000 personas al mismo tiempo." "Es difícil imaginar cómo estas categorías de datos pueden usarse para una segmentación publicitaria precisa", añade noyb. "Aunque emetriq no es el único proveedor de datos que suministra datos a Xandr, se debe asumir que esta información se utiliza para la segmentación publicitaria." Comentando más a fondo, Gelmi también escribió: "Parece que partes de la industria publicitaria realmente no se preocupan por proporcionar a los anunciantes información precisa. En cambio, el conjunto de datos contiene una variedad caótica de información conflictiva. Esto potencialmente puede beneficiar a empresas como Xandr ya que pueden vender al mismo usuario como joven y viejo a diferentes socios comerciales." Se ha contactado a Microsoft para obtener una respuesta a la queja. Un portavoz de noyb nos dijo que no esperan que la queja sea remitida desde Italia a las autoridades de protección de datos irlandesas, en el marco del proceso de ventanilla única del GDPR, porque Xandr está establecida en los EE. UU. Esta estructura corporativa sugiere que la empresa de tecnología publicitaria podría ser objeto de más quejas en otros Estados miembros de la UE donde ha procesado datos de personas locales, aumentando aún más el riesgo regulatorio. La queja respaldada por noyb destaca investigaciones previas que afirmaron que Xandr recopila información altamente sensible sobre individuos con fines de perfilado publicitario, como datos sobre su vida sexual u orientación sexual, creencias religiosas y opiniones políticas. El GDPR establece un umbral particularmente alto - de consentimiento explícito - para procesar legalmente categorías sensibles de datos. No está claro cómo se habrían obtenido tales consentimientos de individuos cuyos datos posee Xandr. Sin embargo, los visitantes de sitios web pueden ser una fuente de información, ya que el rastreo para la publicidad puede activarse cuando las personas acceden al contenido de los editores. En la UE, estos sitios deben solicitar a los visitantes su permiso para el seguimiento, sin embargo, los mecanismos estándar de la industria para obtener el consentimiento de las personas también son acusados de infringir el GDPR.