El 13 de diciembre, la Fundación Holandesa de Protección de Datos (SDBN) presentó una demanda colectiva contra Adobe por recopilar ilegalmente datos personales a través de su plataforma Adobe Experience Cloud, utilizarlos para crear perfiles personales y compartirlos con anunciantes. En otras palabras, la SDBN afirma que Adobe está espiando y creando perfiles ilegales a través de sus herramientas de tecnología publicitaria.
Al igual que la demanda pendiente de la SDBN contra X (antes Twitter), esta demanda se centra en problemas de privacidad generalizados en el entorno de la tecnología publicitaria y merece la pena seguirla de cerca. He aquí de qué se trata
¿Qué está en juego?
Este caso podría costarle a Adobe enormes daños y perjuicios porque la empresa ha estado elaborando perfiles de millones de ciudadanos holandeses. Pero el dinero es fácilmente el aspecto menos importante del caso.
Si nos fijamos en el panorama general, los problemas señalados por la SBDN son simplemente los bien conocidos problemas de la publicidad basada en el rastreo, y Adobe está en buena compañía. Si la SDBN consigue sentar un precedente contra Adobe (o X), otros peces gordos como Google y Meta podrían ser los siguientes en la lista y arriesgar mucho dinero también.
En resumidas cuentas, el caso no es realmente sobre Adobe. Se trata de un modelo de negocio. Un modelo extendido, inmoral, peligroso y basado en la vigilancia invasiva a escala mundial.
Nunca ha habido un momento mejor para cuestionar tanto la ética como la legalidad del modelo de negocio de la tecnología publicitaria. Meta está cambiando su política de privacidad por tercera vez en un año en otra ronda de su juego del gato y el ratón con el GDPR, y se enfrenta a otro desafío legal de noyb. Al mismo tiempo, una coalición de defensores de la privacidad está cuestionando la legalidad del sistema de pujas en tiempo real que impulsa el entorno de la publicidad en línea en el sonado caso de IAB Europe.
En este escenario ya precario, un precedente holandés contra la publicidad basada en la vigilancia podría tener un impacto perturbador (léase: bueno) en el ecosistema de la tecnología publicitaria.
¿Qué hizo Adobe (supuestamente) mal?
Adobe Experience Cloud es una suite de marketing online muy utilizada que incluye servicios como Adobe Analytics, Adobe Experience Manager y Adobe Campaign. En otras palabras, la Nube es un conjunto de herramientas de software como servicio que intercambian información y publican anuncios basándose en los datos de los visitantes.
Aunque la demanda en sí no está disponible públicamente en este momento, el sitio web de la SDBN contiene un esquema general de las reclamaciones. La SDBN afirma que Adobe ha estado recopilando ilegalmente datos personales a través de cookies (lo que implícitamente señala a Adobe Analytics y al SDK de Acrobat como culpables) y ha estado compartiendo datos personales con terceros en el entorno de la tecnología publicitaria.
Hay mucho que desentrañar, así que vayamos por partes.
Analítica de Adobe
Adobe Analytics es una herramienta de análisis web profesional, cara y basada en cookies. Las organizaciones pueden utilizar Adobe Analytics para realizar un seguimiento de los visitantes y conocer mejor sus intereses. Esto les permite utilizar otras herramientas de Adobe Experience Cloud para vender espacios publicitarios a los numerosos socios publicitarios de Adobe.
En otras palabras, Adobe Analytics es el equivalente de Adobe a Google Analytics. Desempeña un papel crucial en el entorno de tecnología publicitaria de Adobe porque es de donde proceden los datos, junto con el SDK de Adobe (véase más abajo).
La SDBN afirma que Adobe Analytics recopila datos ilegalmente colocando cookies sin el consentimiento del usuario. En otras palabras, hay algo que no funciona en las ventanas emergentes de cookies que los sitios web están legalmente obligados a mostrar antes de colocar cookies de marketing en el navegador del visitante.
Esto puede ocurrir por varias razones. Las herramientas basadas en cookies como Adobe Analytics y Google Analytics sólo deberían colocar cookies con consentimiento. Pero las empresas a menudo configuran estas herramientas de forma incorrecta, intencionadamente o por descuido. Como resultado, muchos sitios web no muestran una ventana emergente de cookies o colocan cookies incluso para los usuarios que las rechazaron.
La SDBN también afirma que los sitios web a menudo no proporcionan información suficientemente precisa sobre lo que ocurre con los datos personales recogidos a través de las cookies. Facilitar esta información es un requisito para recabar un consentimiento válido con arreglo al RGPD.
El SDK de Acrobat
Adobe Analytics no es la única fuente de datos personales para Adobe Cloud Experience: Adobe también recopila datos personales con el SDK de Acrobat y los introduce en sus herramientas de tecnología publicitaria.
Los kits de desarrollo de software (SDK) son paquetes de código precompilado que se ponen a disposición de terceros desarrolladores y que suelen contener rastreadores. Con un SDK, un desarrollador externo obtiene una caja de herramientas muy útil para desarrollar su aplicación de forma gratuita y descarga el coste a los usuarios, que ven recogidos sus datos personales, a menudo sin su consentimiento. Estos datos se utilizan -lo ha adivinado- para publicidad y a menudo se añaden a los extensos perfiles que mantienen las empresas de tecnología publicitaria.
En otras palabras, los SDK son una trampa: una herramienta genial y gratuita para los desarrolladores que pagas con tus datos.
El rastreo móvil es un problema enorme que no recibe la atención que merece, por lo que nos alegra ver otra acción de la SDBN relacionada con los SDKs generalizados.
Perfiles y datos compartidos
La SDBN afirma que Adobe comparte datos personales con terceros. No es ninguna sorpresa: se trata de algo habitual en la tecnología publicitaria debido a la naturaleza del sistema de pujas en tiempo real (RTB).
Ya hemos escrito sobre los RTB, así que aquí está la versión resumida. Herramientas como Abode Analytics y Google Analytics recopilan sus datos a través de sitios web y los añaden a un perfil personal. Este perfil permite a las empresas saber qué le interesa a usted y cómo orientar mejor los anuncios. Cada vez que visita un sitio web, este perfil se comparte en el entorno de la tecnología publicitaria para que las empresas puedan pujar por un espacio publicitario específico. Durante la puja, los perfiles se comparten con los anunciantes para que sepan cuánto vale ese visitante para ellos en términos monetarios, y qué anuncios deben servir para un mejor retorno de la inversión.
Este sistema es un desastre. Los datos se comparten con cientos de partes por cada puja, y empresas como Adobe y Google no tienen absolutamente ningún control sobre los datos una vez compartidos. La tecnología publicitaria es una jungla de vigilancia de la que pueden abusar delincuentes, empresas de vigilancia, gobiernos extranjeros y cualquiera que se moleste en crear una empresa y unirse a la fiesta.
Como orgullosos desarrolladores de una herramienta de análisis web sin seguimiento, somos un poco parciales en lo que respecta a la tecnología publicitaria. Pero no hace falta que se fíe de nuestra palabra. Dos informes recientes del Consejo Irlandés para las Libertades Civiles (una prestigiosa ONG de derechos civiles) demuestran que la publicidad en línea no es más que un basurero de la privacidad que puede poner en peligro incluso al personal gubernamental y militar.
En resumen: sí, Adobe comparte sus datos con un montón de socios. Con toda probabilidad, bastantes de ellos no son de fiar. Esto es muy malo y nada sorprendente.
¿Cómo se desarrollará todo esto?
Echemos un vistazo a la posición de Adobe. En sus comunicados de prensa e intercambios anteriores con la SDBN, Adobe afirmó que ninguna de las supuestas infracciones es culpa suya. La empresa sostiene que el cumplimiento es responsabilidad exclusiva del cliente: Adobe vende el servicio, proporciona documentación legal y se da por satisfecha.
¿Tiene razón Adobe? ¿Hasta qué punto el GDPR permite a Adobe descargar sus obligaciones de cumplimiento a sus clientes?
La ley no es blanca o negra en este caso, pero existe un precedente interesante sobre esta cuestión que afecta a la multinacional de la publicidad Criteo. En ese caso, el organismo francés de control de la privacidad (CNIL) dictaminó que una organización tan importante como Criteo no puede descargar por completo la recogida y documentación del consentimiento en sus clientes. Por el contrario, tiene la obligación de implicarse más en el cumplimiento y debe tomar medidas para garantizar que trabaja con un consentimiento real y válido.
La CNIL es una autoridad influyente, y el sonado precedente sentado contra Criteo podría ser justo lo que la SDBN necesita para inclinar la balanza a su favor. Por otra parte, los tribunales neerlandeses no están vinculados a las decisiones de la CNIL y podrían adoptar una postura diferente sobre la asignación de las obligaciones de cumplimiento.
Reflexiones finales
Como ya se habrá dado cuenta, no nos gusta el rastreo. Creemos que es irresponsable, peligroso y poco ético. Por eso creamos Simple Analytics, para proporcionar a nuestros clientes toda la información que necesitan, sin recopilar datos personales del usuario final. Si esto le suena, ¡no dude en darnos una vuelta!