Saltar al contenido

Implicaciones de protección de datos en el uso de identificadores únicos

Según la entidad que gestione las cookies, éstas pueden ser propias (también llamadas cookies de primera parte) o de terceros. Las cookies de terceros son aquellas en las que los datos se obtienen y procesan por una entidad distinta del editor/titular de la web en la que se encuentra el usuario. Generalmente se sirven desde el servidor de un tercero, pero no siempre (por ejemplo, las de Google Analytics, según la configuración, se pueden servir también desde el dominio del editor), así que lo relevante es quien explota los datos.

Así que son cookies propias aquellas en las que el editor es responsable del tratamiento (decide los fines y medios técnicos implicados en el uso de los datos), sin perjuicio de que pueda existir un proveedor tecnológico que tenga acceso y procese los datos obtenidos por cuenta e interés del editor (perfilado y segmentación, generación de audiencias, gestión de inventarios publicitarios, análisis y medición…), que actuaría (siempre que no use los datos en provecho propio) como encargado del tratamiento. En las cookies de terceros, el responsable del tratamiento es ese tercero que obtiene y explota los datos, de modo que el editor no asume ningún rol a efectos de protección de datos, aunque sí tiene la responsabilidad, conforme al art. 22.2 la Ley de Servicios de la Sociedad de la Información, de que se informe en el sitio web acerca de la identidad, fines del tratamiento y demás aspectos que exige el art. 13 del RGPD, en relación al tratamiento de los datos de sus usuarios por parte del tercero, así como de verificar que se ha prestado el consentimiento (cuando sea exigible).

Con la desaparición progresiva de las cookies de terceros, el sector se está focalizando en el uso de identificadores únicos generados a partir de información de registro u obtenida de forma directa de los usuarios del sitio web, que tendrían la consideración de datos de primera parte. Y, en particular, utilizando identificadores generados a partir de datos persistentes, generalmente direcciones de correo electrónico o números de teléfono o fingerprinting (individualizar a un usuario a través de la captación de datos del navegador, extensiones y agente de usuario, sistema operativo, procesador, resolución de pantalla, u otros, de modo que lo hacen único, véase el interesante estudio de la AEPD al respecto). La industria clasifica los primeros como identificadores deterministas (con origen en datos personales puros) y los segundos como identificadores probabilísticos (a partir del conjunto de información del dispositivo se infiere que es el mismo usuario, así que también son datos personales).

El uso de IDs únicos permite, además de tener más atrapado al usuario (no se cambia de email, de teléfono o de dispositivo todos los días), acciones mutidominio y multidispositivo, y se considera más respetuoso con la normativa sobre protección de datos porque hay un procedimiento de anonimización de los datos, que se incorporan a cohortes, y en general se aplican sobre entornos más cerrados y controlados. En mi opinión, las exigencias de protección de datos son incluso más complejas que con las cookies, pero es que además la mayoría requieren el uso de cookies igualmente, así que el abandono de las de tercera parte es más una cuestión de estrategia de negocio de los grandes operadores del mercado que para el cumplimiento normativo.

Me estoy refiriendo a Utiq, LiveRamp, Zeotap, Criteo y muchísimos otros. No todos funcionan igual, así que el análisis deberá ajustarse en cada caso.

En todo caso, a efectos prácticos creo que las cuestiones que más preocupan a los editores son las siguientes:

Cuándo y cómo solicitar el consentimiento del usuario

Me refiero aquí sólo al consentimiento para generar el ID a partir del dato persistente. Es decir, a un tratamiento de datos (hasheado del email, por ejemplo) que es previo a cualquier acción de marketing o publicitaria.

Por exigencia legal, en caso de usuarios registrados el consentimiento se debería prestar en el momento de registro, o antes de empezar el tratamiento. Además, debe ser un consentimiento libre y desglosado de la gestión del perfil y servicios asociados (eso no requiere consentimiento, pero en todo caso lo que quiero decir es que el usuario tiene que marcar la aceptación de ese tratamiento separadamente, no es válido imponerlo como aceptación de los términos del servicio o de la política de privacidad). El mayor problema será para usuarios ya registrados, pues serán mucho más reacios a aceptar esto ya que no les reporta ninguna ventaja.

Mi planteamiento aquí es que este tratamiento no requiere consentimiento, sino que puede ampararse en el interés legítimo. Insisto, me estoy refiriendo únicamente a la generación del ID único, sin que se haga nada más. Ese interés legítimo sería precisamente garantizar el anonimato y privacidad del usuario en posteriores acciones de marketing. Que exista un perfilado y segmentación posterior no debe confundir, ya que los tratamientos deben ser desglosados y analizados separadamente, y determinar para cada uno de ellos los datos y operaciones de tratamiento, finalidades, agentes implicados y roles, plazos de conservación, y base de legitimación. El considerando 47 del RGPD y antes el Dictamen 6/2014 del Grupo de trabajo del Artículo 29 (ahora Comité Europeo de Protección de Datos), precisamente reconoce la prospección comercial y otras formas de comercialización o publicidad como posibles conforme al interés legítimo, sin perjuicio de que haya que solicitar consentimiento expreso para publicidad comportamental o programática, pero eso será más adelante. En la guía de ISMS Forum sobre interés legítimo también se contemplan, como ejemplos de tratamientos posibles con arreglo al interés legítimo, la anonimización de datos para la creación de modelos analíticos y/o de solvencia o la creación de modelos analíticos de comportamiento comercial, incluso el perfilado básico para acciones de marketing, así que no veo problema para que esa conversión en un ID único no pueda justificarse por esa vía (eso sí, hay que hacer un análisis por escrito).

Por tanto, no se solicitaría el consentimiento para la generación del ID, sino posteriormente cuando queramos activarlo, que es cuando se utilizarán cookies, si es necesario almacenarlo en el dispositivo del usuario (no siempre será así, pensemos por ejemplo en la solución ATS Direct de LiveRamp), y para lanzar acciones de marketing, publicitarias o de recomendación de contenidos, tratamientos que ya estarán configurados a través del gestor de consentimientos (la mayoría de estos proveedores son vendors adheridos al Transparency and Consent Framework de IAB).

Los plazos de conservación son orientativos, para aclarar que para cada tratamiento hay que ajustar dichos plazos en función de lo que resulte necesario.

Que no haya que pedir consentimiento en este punto no excluye la obligación de informar sobre el tratamiento de ese dato y de la posibilidad de oponerse al mismo en la política de privacidad o en las condiciones de registro.

En caso de utilizar técnicas de fingerprinting el problema es que realmente el usuario difícilmente puede bloquearlo (incluso con plugins que eviten la ejecución de JavaScript o Flash), lo cual nos lleva también al interés legítimo, y a tener como única opción informarlo en la primera capa de cookies (aunque no las utilice). Esto quizá necesita más desarrollo, así que lo dejo para otro momento.

Agentes y roles implicados

En el cuadro anterior no he añadido los roles de cada parte por simplificarlo, ya que realmente habría que separar si se trata de acciones de publicidad directa, programática, recomendación de contenidos, campañas de suscripción o de marketing puro, funcionalidades o servicios específicos, y los roles son distintos.

El caso de Utiq es específico porque, de forma muy simplificada, hay un primer filtro que implica determinar si el usuario es cliente de las operadoras que están dentro de la red de Utiq (Deutsche Telekom, Orange, Telefónica y Vodafone), lo que se verifica por medio de la dirección IP. Según Utiq, en este punto hay corresponsabilidad entre el editor y Utiq, lo cual me genera dudas, pero una vez comprobado lo anterior (aquí no interviene el editor), se generan los identificadores adtechpass (por el lado del editor) y martechpass (por el lado de los anunciantes), donde las partes (editor y anunciantes) actúan como corresponsables cada uno respectivamente con Utiq.

En todo caso, parece claro que en el proceso de generación del ID único el proveedor genera el ID por cuenta e interés del editor, en una relación responsable-encargado. A partir de ahí hay dos escenarios:

– Si se trata de IDs universales (UID, SharedID, ID5), con los que el lado de la oferta y el de la demanda pueden interactuar sin intermediarios, el papel del proveedor del ID termina ahí.

– Si se trata de IDs “privados” (LiveRamp, Zeotap, Epsilon), en el sentido de que para que el sistema funcione es imprescindible la intervención del proveedor, que pone en contacto y controla quiénes configuran la oferta y la demanda de publicidad, entiendo que existe una relación de corresponsabilidad entre el proveedor y el editor, por un lado, y el proveedor y el anunciante, por otro. Al margen de las relaciones entre editor y anunciantes. Por tanto, habría que firmar un acuerdo de corresponsabilidad en el que se deslinden las operaciones y responsabilidades de cada parte en esa actuación que es en interés de ambas partes.

Obviamente hay otros procesos (la obtención de datos de navegación, la generación de audiencias mediante un perfilado/segmentación), ajenos a lo anterior y en los que el proveedor de IDs no interviene, pero si la activación de las campañas requiere que éste conecte a ambas partes, al menos en ese punto son corresponsables.

En las Directrices 7/2020 del Comité Europeo de Protección de Datos sobre los conceptos de responsable y encargado del tratamiento se establece que puede haber corresponsabilidad tanto en el marco de decisiones conjuntas como mediante decisiones convergentes (complementarias), siempre que ambas partes participen en los objetivos y medios de las operación de tratamiento, aunque sea de modo desigual, pero de modo que sea imposible el tratamiento sin la intervención de éstas. En la línea de las consideraciones del caso Fashion ID (asunto C-40/17 del TJUE).

Imagen de portada by rawpixel.com on Freepik

Publicado enGeneralPrivacidad y Protección de Datos

Sé el primero en comentar

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *