Прошел год с тех пор, как вступило в силу Общее постановление о защите данных (GDPR) Европы, и в настоящее время противозаконная реклама сталкивается с жалобами на неприкосновенность частной жизни еще на четырех рынках Европейского союза. Это увеличивает число семи рынков, на которых властям по защите данных настоятельно рекомендуется исследовать основную функцию поведенческой рекламы.
Последние жалобы GDPR, направленные на систему торгов в реальном времени (RTB), были поданы в Бельгии, Люксембурге, Нидерландах и Испании.
Во всех жалобах утверждается, что RTB влечет за собой «широкомасштабные и системные» нарушения европейского режима защиты данных, поскольку персональная дата, собираемая для профилирования пользователей Интернета в целях таргетирования рекламы, широко транслируется участникам торгов в рекламной цепочке. Жалобы имеют значение для ключевых игроков adtech, Google и Бюро интернет-рекламы, которые устанавливают стандарты RTB, используемые другими в конвейере онлайн-рекламы.
Мы связались с Google и IAB Europe, чтобы прокомментировать последние жалобы. (Первоначальное ответное заявление последней на жалобу можно найти здесь, за стеной для файлов cookie.)
Первые жалобы RTB были поданы в Великобритании и Ирландии прошлой осенью доктором Джонни Райаном из частного браузера Brave; Джим Киллок, директор Группы открытых прав; и Майкл Вейл, исследователь данных и политики в Университетском колледже Лондона.
Третья жалоба поступила в польский DPA в январе, поданная неправительственной организацией по борьбе с надзором, Фондом Panoptykon.
Последние четыре жалобы были поданы в Испании Джеммой Гэлдон Клавелл (Фонд Eticas) и Диего Фанжул (Финч); Дэвид Кортевег («Биты свободы») в Нидерландах; Jef Ausloos (Университет Амстердама) и Pierre Dewitte (Университет Лювена) в Бельгии; и Хосе Бело (Exigo Luxembourg).
Ранее в этом году адвокат, работавший с заявителями, сказал, что они ожидают «каскада жалоб» по всей Европе — и «полностью ожидают, что ответные меры в рамках всего ЕС» дадут, что рассматриваемое adtech применяется в масштабах всего региона.
Комментируя в своем заявлении, Гэлдон Кавелл, генеральный директор Eticas, сказал: «Мы надеемся, что эта жалоба направит убедительное послание в Google и тем, кто использует решения Ad Tech на своих веб-сайтах и в своих продуктах. Защита данных является юридическим требованием, которое должно быть преобразовано в практические и технические спецификации ».
«Ошибка», обнародованная на прошлой неделе Twitter, иллюстрирует потенциальные риски для конфиденциальности в отношении adtech, поскольку социальная сетевая платформа показала, что она непреднамеренно поделилась данными о местоположении некоторых пользователей iOS с партнером по рекламе в процессе RTB. (Менее ясно, кому еще «доверенный рекламный партнер» Twitter мог передавать информацию о людях?)
Основным аргументом, лежащим в основе жалоб, является то, что обработка данных RTB небезопасна — учитывая, что конструкция системы влечет за собой передачу (что может быть чувствительным и интимным) личных данных пользователей Интернета всем видам третьих сторон для того, чтобы генерировать ставки для рекламного пространства.
Принимая во внимание, что GDPR предъявляет требования к обработке персональных данных «таким образом, который обеспечивает надлежащую безопасность персональных данных». Так что, найдите разъединение.
Последние жалобы RTB утверждают, что личные данные передаются через запросы ставок «сотни миллиардов раз» в день, которые описываются как «самая массовая утечка персональных данных, зарегистрированных на сегодняшний день».
В то время как жалобы сосредоточены на рисках безопасности, связанных с утечкой adtech по умолчанию, такая длинная цепь третьих сторон, передаваемых людям, также поднимает множество вопросов по поводу обоснованности любых заявленных «согласий» на передачу данных пользователей Интернета по сети. рекламная сеть. (Связано: решение французской CNIL прошлой осенью против небольшого местного игрока adtech, которое, по его мнению, незаконно обрабатывало личные данные, полученные через RTB.)
На этой неделе исполнится год с момента вступления в силу GDPR в ЕС. И справедливо сказать, что жалобы на неприкосновенность частной жизни накапливались, в то время как принудительные меры — такие как штраф Google в 57 миллионов долларов от французского CNIL, связанного с согласием Android — остаются гораздо реже.
Одна из сложностей, связанных с жалобами RTB, заключается в том, что рассматриваемые технологические системы применяются как за пределами ЕС, так и с участием нескольких организаций (Google и IAB). Это означает, что несколько сторожевых псов о конфиденциальности должны работать вместе, чтобы определить, кто из них юридически компетентен для рассмотрения связанных жалоб, которые касаются граждан ЕС в разных странах.
Кто руководит, может зависеть от того, где у организации есть основное представительство в ЕС и / или кто является контролером данных. Если это не будет четко установлено, возможно, что различные национальные действия могут исходить из жалоб, учитывая трансграничный характер adtech — как, например, в решении CNIL против Android . (Хотя Google изменил политику по состоянию на 22 января, перенеся свою правовую базу для правоохранительных органов ЕС в Google Ирландия, которая, по-видимому, должна направлять весь риск GDPR через Ирландский ЦОД.)
Между тем, у IAB Europe есть офис в Бельгии, но не ясно, является ли это контроллером данных в этом случае. Ausloos сообщает нам, что бельгийский DPA уже заявил о своей компетентности в отношении жалобы, поданной против IAB Фондом Panoptykon, при этом отмечая еще одну возможность — что IAB утверждает, что контроллером данных является IAB Tech Lab, базирующаяся в Нью-Йорке, — «в этом случае любой DPA в ЕС будет компетентным ».
Veale также говорит, что разные DPA могут утверждать, что разные части IAB находятся в их юрисдикции. «Мы не знаем, как на самом деле работает структура IAB, она очень непрозрачна», — говорит он.
Ирландский DPC, который Google стремился назначить ведущим наблюдателем для своего европейского бизнеса, заявил, что в 2019 году он уделит первостепенное внимание рекламному сектору, сославшись на жалобы RTB в своем годовом отчете в начале этого года, где он предупредил отрасль: «защита персональных данных является необходимым условием для обработки любых персональных данных в этой экосистеме, и в конечном итоге сектор должен соответствовать стандартам, установленным GDPR».
Пока нет обновленной информации о том, как британская ICO решает жалобу RTB, поданную в Великобритании, — но Veale отмечает, что сегодня им позвонили. (И мы обратились в ICO за комментариями.)
Пока что одни и те же жалобы RTB не были поданы во Франции и Германии — юрисдикциях с наблюдателями за конфиденциальностью, которые могут иметь репутацию одного из самых мощных действий по обеспечению защиты данных в Европе.
Несмотря на то, что недавно избранный новый президент бельгийского DPA издает громкие шумы по поводу принудительного исполнения GDPR, по словам Ауслооса, который цитирует свою речь после выборов, говоря, что «время сидеть сложа руки и расслабиться» прошло. Они удостоверились, что ссылаются на эти комментарии в жалобе RTB, добавляет он.
Вейл предлагает, что самым большим препятствием для разрешения жалоб RTB является то, что все различные сторожевые псы ЕС «нуждаются в видении того, как выглядит мир после того, как они предпримут данное действие».
Тем временем жалобы adtech продолжают накапливаться.