GDPR vs. Publicidad programática (y apps vendiendo datos): Se abre el melón
Aunque no quepa afirmar que no se veía venir, el aviso formal lanzado por la agencia francesa de protección de datos el pasado 9 de noviembre ha provocado un importante terremoto.
En la medida en que abre el melón de la imposible adecuación del mercado de compraventa de audiencias (y publicidad programática como hoy la conocemos) al RGPD/GDPR, este hito merece especial atención.
En su decisión, la CNIL (autoridad supervisora) rechaza el sistema de obtención de consentimiento distribuido por el DSP (Demand Side Platform) Vectaury entre más de treinta mil aplicaciones móviles. Este sistema (Consent Management Tool) está incorporado a un paquete de código que permite recabar la ubicación geográfica del usuario, así como su identificador único (Ad ID) a efectos de perfilado y seguimiento de audiencias.
El sistema en cuestión ofrece al usuario final tres opciones genéricas durante la instalación: aceptarlo todo, rechazarlo todo, o configurar sus preferencias.
Se considera en este sentido que el consentimiento no cumple con las condiciones del RGPD/GDPR:
- No es informado. La información facilitada es confusa y no permite de forma sencilla localizar una lista enumerando a todos los destinatarios del dato recabado
- No es específico. Solo da a los usuarios la opción de aceptar o rechazar, sin plantear de forma específica el consentimiento al procesamiento de datos de geolocalización a efectos de publicidad basada en su ubicación
- No es inequívoco. No se basa en una acción afirmativa. Los usuarios que escogen “configurar mis preferencias” son remitidos a un pop-up con opciones preseleccionadas.
Por supuesto, este anuncio habría pasado bastante más desapercibido de no ser por un importante dato: el sistema de de gestión de consentimiento en cuestión está basado en el marco definido por la IAB Europe (en su día aquí mismo analizado con altas dosis de escepticismo) para el conjunto del mercado de publicidad programática.
Pero aún hay más: en la medida en que la decisión aborda el núcleo de la nueva definición de consentimiento, en vigor desde el pasado 25 de mayo, cabe esperar un estándar idéntico para casuísticas análogas en el entorno digital, empezando por el generalizado nivel de incumplimiento colectivo con relación a cookies no analíticas.
Debe finalmente tenerse en cuenta que importa poco que esta decisión se haya tomado allén de nuestras fronteras. Es presumible que el nivel de armonización del actual marco normativo (un Reglamento de aplicación común), así como los propios esfuerzos de las agencias nacionales por avanzar de la mano en la interpretación del mismo (en el seno del Comité Europeo de Protección de Datos, agrupandolas a todas) tendrá un efecto dominó sobre el resto de países de la UE.
Creo que va llegando el momento de hacer una pausa en la rutina acelerada de la compra de medios digitales. Es muy posible que un plan B preparado a tiempo termine garantizando una alternativa legal, y a largo plazo más eficaz, a un sistema edificado bajo premisas hoy caducas.
