Open in app

Sign in

Write

Sign in

MarTech, AdTech, analytics y testing en un mundo post-GDPR

Sergio Maldonado
PrivacyCloudES
Published in
11 min readApr 16, 2018

Un tema recurrente en el reciente IAPP Global Privacy Summit (Washington DC, marzo 2018) ha sido la forma en que el Reglamento General de Protección de Datos (“GDPR”) viene a acabar con el famoso “faldón de cookies” al redefinir el concepto de consentimiento que la Directiva de Protección de Datos en comunicaciones electrónicas (“ePrivacyD”) delegaba en la Directiva de Protección de Datos (Ley Orgánica de Protección de Datos en España).

Concretamente, el artículo 5.3 de la ePrivacyD, que en España vio la luz en el 22.2 de la Ley de Servicios de la Sociedad de la Información (“LSSI”), redirige a la ley que ahora viene a ser reemplazada en lo relativo a la definición del consentimiento (artículo 4.11 GDPR) exigido de forma previa al uso de cookies: prestado libremente, específico, informado, no ambiguo y mediante una clara acción afirmativa.

Este nuevo listón deja sin fundamento al consentimiento implícito que ha venido a aceptarse para cumplir con dicho artículo 5.3/22.2. Lo cual requiere asomarse de nuevo a la fotografía completa de lo que se quiere proteger y la manera en que impacta en las expectativas del usuario.

Para empezar, siempre consideré tremendamente desafortunado que, habiendo dejado claro tanto el Grupo de Trabajo del Artículo 29 (“WP29”) como diversas agencias nacionales (ICO británica, AEPD española, CNIL francesa) que era conveniente distinguir entre diferentes tipos de cookies no exentas (con una barrera clara entre aquellas cuyo uso se limita a la medición agregada de audiencias para la optimización de procesos, y aquellas destinadas al seguimiento del usuario y la definición de perfiles individuales), al final se adoptara una solución que las volcaba todas a un cajón de sastre. Realmente hay casuísticas muy diferenciadas que quedaron subsumidas en la solución del “faldón” en detrimento del usuario y sus expectativas, y en detrimento de quienes no desarrollaban actividades intrusivas.

Cuando podríamos haber tenido un Internet mayormente limpio y experiencias móviles sin fricción, hemos terminado empercudiendo todo tipo de interfaces con molestas “preguntas” (¿alguien ha podido alguna vez denegar el consentimiento?) y, peor aún, un territorio comanche para el embutido indiscriminado de cookies destinadas a alimentar un oscuro mercadillo de datos que el titular no alcanzará nunca a comprender. Justos han pagado por pecadores, y el usuario se ha quedado peor que estaba.

Ahora se nos presenta una oportunidad de hacer las cosas bien, aprovechando lo mucho que el GDPR facilita la distinción.

El Reglamento en el horizonte

Como constará a muchos, llevamos muchos meses esperando como agua de mayo por un Reglamento de protección de datos en las comunicaciones electrónicas (“ePrivacyR”) que al sustituir al ePrivacyD alineará lo arriba expuesto con los principios del GDPR.

Como también es bien sabido, el ePrivacyR se ha quedado atascado en la cocina y no tiene visos de salir hasta el 2019 (plan original: entrada en vigor simultánea al GDPR, el 25 de mayo de 2018). En cualquier caso es útil asomarse a la manera en que el legislador ha entendido la naturaleza del problema, porque da buenas pistas de cara a su interpretación.

Dejando a un lado la opción ya codificada de utilizar las opciones de instalación de un navegador como mecanismo de ejercicio de consentimiento (reflejada en el art. 9.2 pero poco útil en el corto plazo dados los plazos habituales de reemplazo de la base instalada de versiones “legacy” de navegadores), destacaría dos menciones:

  • El artículo 8.1 d) del borrador más reciente incluye ya una excepción (con respecto al requisito de consentimiento previo al uso de cookies) para la “medición de audiencias”.
  • La Comisión Europea dejó clara su intención en la nota de prensa que acompañó al lanzamiento de su primer borrador: Simplificación de las normas sobre las “cookies”: Se racionalizará la denominada “disposición sobre cookies”, que ha dado lugar a un exceso de solicitudes de autorización a los usuarios de internet. […] Dejará de ser necesario el consentimiento del usuario en el caso de las “cookies” instaladas en un sitio web visitado que efectúen el recuento del número de visitantes a dicho sitio.

Pero claro, una cosa es anhelar lo que se nos ofrece, y otra lidiar con el descuadre actual.

El GDPR como estrella polar

Algo que se ha antojado en algunos círculos es: ¿Qué haríamos con las cookies (e instrumentos análogos: fingerprinting, etc.) si solo tuviéramos que usar el GDPR?

Aunque se trata de un mero pasatiempo mental, porque ePrivacyD es al fin y al cabo la “lex specialis” y primará en su aplicación, también considero útil verificar que las propósitos que tenemos en mente están alineados con la normativa de base. Las cookies son, al fin y al cabo, una pequeña parte de la estrategia completa.

¿Podríamos aplicar la base jurídica del interés legítimo (art. 6.1f GDPR) al escenario de medición estadística inherente al servicio solicitado por el individuo? Creo que sí. De hecho:

  1. Superaría el test de necesidad: no se puede evaluar el funcionamiento apropiado del servicio, en lo que respecta a su consumo, de otra manera
  2. Superaría los tests de naturaleza (creo que cualquier persona puede asumir que todo sistema tiene sus métricas de funcionamiento y optimización), impacto y garantías al individuo.

El hecho de que la respuesta a ambas sería radicalmente distinta en el caso de conformado de perfiles individuales (a efectos de racionalización de inversiones, atribución multicanal, etc.) deja aún más patente la necesidad de un tratamiento diferenciado.

Realidad práctica pre-GDPR y directrices oficiales

Volviendo a la realidad actual, no estaría mal tampoco revisar la experiencia vivida hasta la fecha en la gestión de las agencias nacionales de protección de datos han hecho del particular problema.

Dejando a un lado anécdotas y menciones esporádicas, creo que las directrices publicadas por la CNIL francesa son la mejor guía disponible para delimitar esa línea en la arena entre “cookies de optimización” (analytics, testing) y “cookies de perfilado de audiencias” (atribución, enriquecimiento, visión 360 grados del cliente). Creo que no hay nada parecido en España pero agradecería el vínculo si se me ha pasado su equivalente.

Aquí las condiciones que la CNIL exige para quien quiera evitar el “faldón” de cookies aduciendo el primero de ambos propósitos (obviando por ahora la infeliz referencia a dos concretas herramientas que permitirían cumplir los requisitos, casualmente de origen francés):

  1. La web facilita una información clara y completa
  2. Se facilita el acceso a un mecanismo de oposición (“opt-out”) de forma sencilla y compatible con cualquier dispositivo o navegador
  3. Los datos recabados no se pueden enriquecer (ej: en CRM o con datos recabados en otras webs)
  4. La cookie servida está únicamente al servicio de la obtención de estadísticas anónimas
  5. La cookie no permite seguir al usuario en webs de terceros (es de primera parte)
  6. La dirección IP puede usarse para obtener el origen/ubicación del usuario hasta el nivel de población, y sus dos últimos dígitos deben suprimirse a continuación, en el registro
  7. La cookie expirará en un plazo máximo de trece meses desde la primera visita.

Pudiendo ser más o menos caprichosas (¿13 meses?), al menos son exactamente lo que cualquier gestor de marketing o pequeña empresa necesita para poder cubrir sus necesidades con confianza o al menos poner en la balanza los pros y contras de superar estos umbrales.

Pero claro, la última versión de estas condiciones data de diciembre de 2017. ¿Sobrevivirán al GDPR?

La orquesta completa: GDPR + ePrivacyD + ePrivacyR

Como expuesto al principio, el GDPR hiere de muerte a las diferentes Guías de Cookies y usos habituales construidos en torno al dichoso faldón:

  • Se acabó preguntar después de haber ya servido las cookies: pudiendo resultar cómico, esto es lo que hacen ahora la casi totalidad de las webs
  • Será necesario un mecanismo de prueba para demostrar que ha habido tal consentimiento (en la forma de repositorio de consentimientos)
  • Deberá ofrecerse una opción real, pudiendo ser tan posible un “No” como un “Sí”
  • El consentimiento deberá ser granular y específico

Estas condiciones no dependen de la entrada en vigor del ePrivacyR por venir impuestas desde la normativa de base, una vez más. Contamos además ya con una interpretación más aterrizada (si bien puramente orientativa) desde la publicación, esta misma mañana, de las directrices del WP29 aplicables al consentimiento.

Estas directrices desmenuzan al detalle las características del consentimiento (4.11 GDPR) y sus condiciones (7 GDPR). Entre otras cosas, el consentimiento:

  • Será dado libremente si denegarlo es una opción real y no está condicionado a la prestación de un servicio o el cumplimiento de un contrato*
  • Será granular si se agrupan actividades de procesamiento que recaen bajo un mismo propósito, pero dejará de serlo cuando se agrupen múltiples propósitos sin posibilidad de discernir cuáles serán aceptados
  • Será específico cuando se separa claramente la información relativa al procesamiento de datos de la pertinente a otros propósitos
  • Será informado cuando incorpore la información mínima requerida para cada responsable: identidad, propósito, dato recabado, derecho a retirar el consentimiento, existencia de decisiones automatizadas, identificación de riesgos en la transferencia internacional de los datos.

Y con todo ello a la vista cabe revisar el puzle actual de propuestas específicas de prestador tecnológico, plataforma de agregación, agencias, medios, o anunciantes en el panorama internacional de AdTech (tecnología publicitaria) y MarTech (tecnología de marketing).

Paso a hacer un repaso rápido de las más relevantes e iré incluyendo algunos ejemplos en actualizaciones posteriores, porque su principal impacto termina midiéndose en términos de UX (experiencia de usuario):

1. Marco de trabajo de la IAB Europe: DaisyBit

Aquí se han agrupado los principales proveedores de AdTech, con lo que su impacto será fundamental sobre la protección de datos en un internet mayormente financiado con publicidad, así como nuestra experiencia cotidiana de consumo de contenidos digitales.

La IAB ha hecho un esfuerzo para propagar el consentimiento a través de la maraña de participantes en compras programáticas y a la solución no le ha faltado ingenio: consiste en aprovechar el estándar de OpenRTB (Open Real Time Bidding) para embeber en las comunicaciones entre sistemas la existencia de consentimiento al procesamiento recabada en el medio (punto de contacto directo con el usuario) y almacenada, cómo no, en otra cookie.

Digamos con ello que circula por cientos de operadores en las diferentes posiciones que abajo ilustro, y que se espera que el usuario consienta a todas las transferencias sin siquiera conocer (en el momento de consentir) qué empresas o destinatarios recibirán su dato.

Operadores y flujos de datos o cookies en AdTech

Teniendo en cuenta que una gran parte de dichos operadores aprovecharán dicho dato para enriquecer su propia propuesta de valor y determinarán de forma independiente el propósito del tratamiento (esto es, en ningún caso podrían posar como meros encargados), toda alineación con el GDPR parece pura coincidencia.

Por si el planteamiento no fuera ya suficientemente problemático, la ejecución del mismo a nivel de interfaz de usuario viene a complicarlo aún más: en vez de ofrecerse una opción clara (sí vs. no) se viene a estirar la casuística del faldón pre-GDPR con un pop-up cuya única escapatoria para quien busca conveniencia e inmediatez (el 99% de los usuarios en internet) es aceptar.

DaisyBit en términos de UX

En otras palabras, aún apreciando la granularidad que sigue en capas subyacentes (“manage your choices”), no veo la forma en que esta propuesta pueda cumplir con:

  • Art. 4.11 GDPR: el consentimiento debe ser prestado libremente, específico, informado, y no ambiguo
  • Art. 5 GDPR: el dato debe recabarse para propósitos explícitos y específicos
  • Art. 7 GDPR: el consentimiento no puede, en principio, ser condicional
  • Art. 13 GDPR: el interesado debe ser informado adecuadamente en el momento en que se recaban los datos (entre otras cosas, es imperativo que conozca identidad de cada responsable del tratamiento, los propósitos de cada procesamiento, y si el dato se transferirá fuera de la UE — cosa habitual en AdTech)

Ante lo cual cabe únicamente aducir que se trata de un “tracking wall” o una barrera que condiciona el acceso a ciertos contenidos a la aceptación de las condiciones embebidas a modo de retribución necesaria. Pero incluso en este caso parece necesario permitir una respuesta negativa (que resultaría en el abandono o bloqueo del sitio web).

Esta posibilidad se escaparía entre las rendijas del artículo 7 (he comentado la interpretación del WP29 más arriba) y se contempla de hecho en una incorporación de última hora a ePrivacyR, muy criticada entre defensores de la privacidad (exponendo 21: “el acceso a un sitio web específico puede estar condicionado a la aceptación suficientemente informada de una cookie o dispositivo similar […]”), si bien queda limitada a un “propósito legítimo” y el WP29 ya había dejado claro su criterio en la Opinión 1/2017 sobre la ePrivacyR (párrafo 20): […] debería explícitamente prohibir “tracking walls” — o la práctica mediante la cual se deniega al interesado acceso a un sitio web o servicio a menos que éste acepte ser monitorizado en otros sitios web o servicios (en la misma línea se ha pronunciado Giovanni Buttarelli, el Supervisor Europeo de Protección de Datos).

2. Soluciones de prestador AdTech o MarTech actuando como responsable independiente del tratamiento

Con independencia de los cambios que vaya sufriendo el DaisyBit o el éxito que pueda tener, cada uno de los prestadores en la cadena de custodia de datos personales ha ido definiendo su posición y estrategia de cara al cumplimiento de ePrivacyD/GDPR. Un escenario que parece repetirse es aquel en virtud del cual el intermediario tecnológico se erige en responsable del tratamiento no dependiente de aquellos responsables con los que el usuario final tiene una relación directa (y aquel no).

En estos casos el prestador está empujando hacia el medio (o el anunciante) la obligación contractual de recabar el consentimiento en su nombre. Aunque el ejemplo más discutido en semanas recientes es el de Google (para servicios en los que no es encargado del tratamiento), la fórmula se ha repetido con otros intermediarios a cuyos Delegados de Protección de Datos o responsables legales he tenido acceso.

Este tipo de consentimiento vendrá naturalmente acompañado por los propios esfuerzos de medios y anunciantes para dotar de fundamento jurídico a sus actividades particulares de procesamiento, ya de por sí complejas en un mercado muy acostumbrado a delegar en agencias de medios la gestión de “huellas” y cookies de terceros.

Escenario común de flujo de datos seudonimizados a que se enfrentan anunciantes y medios

En cualquier caso, a la vista de las soluciones técnicas que comienzan a propagarse, sí que podría contar con todas las garantías. Cosa distinta es que el usuario encuentre una razón de peso para aceptar expresa (escenario habitual) o explícitamente (datos en categorías especiales, etc.) una vez se le haya presentado una verdadera elección.

Dicho lo cual, el problema de esta fórmula de cara a intermediarios sigue estando ahí y ya ha sido analizado en bastante detalle por Johnny Ryan, de PageFair, pudiendo reducirse a que el prestador de AdTech tendrá complicado demostrar que ha hecho lo necesario para recabar el consentimiento por depender enteramente de los esfuerzos de un tercero.

Conclusión

Resulta con ello paradójico, ante el panorama que se presenta, recordar la intención declarada de la Comisión Europea (arriba citada) al publicar su primera versión del ePrivacyR. A menos que lleguemos a aceptar que realmente hay espacio para cumplir dicho propósito.

Se nos ofrece en definitiva una oportunidad, y podrían suceder dos cosas:

  1. Se traza la muy discutida línea en la arena: Si la medición o el testing suceden en agregado, o la publicidad digital no requiere datos personales, podremos recuperar contenidos sin intrusiones o pop-ups; Si por otro lado se aspira a una fotografía granular del individuo para su seguimiento, enriquecimiento, intercambio, o monetización, hará falta consentimiento y este mayor conocimiento tendrá su coste en UX.
  2. Terminamos con la misma tabla rasa, si bien elevando el mínimo común denominador para obligar al usuario a responder afirmativamente a un todavía más infernal “pop-up” al lado del cual todo faldón habrá sido una broma.

De triunfar el primer escenario (y tengo positiva esperanza de que así sea esta vez) se nos ofrecen:

Dos posibilidades en medición y testing:

  1. Emplear datos muy detallados de una muestra pequeña de la audiencia (dispuesta a compartirlos), o bien:
  2. Emplear datos muy superfluos (agregados) de toda la audiencia.

Dos posibilidades en generación de demanda/publicidad:

  1. Publicidad muy segmentada para una muestra pequeña de la audiencia (dispuesta a aceptar compartir sus datos con todos los actores implicados y bajo los condicionantes expuestos)
  2. Publicidad contextual, apoyada en criterios de búsqueda, o apoyada en afinidades.

El hecho de que Google acabe de anunciar la disponibilidad de anuncios “no personalizados”, al tiempo que Facebook cerraba el programa de Partner Categories (enriquecimiento de audiencias con datos externos), resulta más que ilustrativo de lo que puede depararnos el futuro inmediato.

Gdpr
Martech
Adtech
Analytics
España

--

--

Sergio Maldonado
PrivacyCloudES

Written by Sergio Maldonado

149 Followers
Editor for

Dual-admitted lawyer. LLM (IT & Internet law). Author. Founder: PrivacyCloud, Sweetspot, Divisadero/Merkle. IE Business School. CIPP/E/US, CIPT, FIP. Surfer.

Help

Status

About

Careers

Press

Blog

Privacy

Terms

Text to speech

Teams