Poco menos de un mes Facebook activó la disponibilidad global de una herramienta que permite a los usuarios echar un vistazo al mundo turbio del seguimiento en el que se basa su negocio para perfilar a los usuarios de la web en general para fines de orientación publicitaria.
Facebook no va audazmente a la luz del día transparente, sino que ofrece lo que el grupo de defensa de los derechos de privacidad Privacy International ha denominado “un pequeño yeso en un problema mucho más amplio”.
El problema al que se refiere es la falta de consentimiento activo e informado para la vigilancia masiva de usuarios de Internet a través de tecnologías de seguimiento de fondo integradas en aplicaciones y sitios web, incluso cuando las personas navegan fuera del propio jardín de contenido de Facebook.
La plataforma social dominante también solo ofrece esta función a raíz del escándalo de uso indebido de datos de Cambridge Analytica 2018, cuando Mark Zuckerberg se enfrentó a preguntas incómodas en el Congreso sobre el alcance del seguimiento web general de Facebook. Desde entonces, los formuladores de políticas de todo el mundo han marcado el escrutinio de cómo funciona su negocio, y se han dado cuenta de que existe una preocupante falta de transparencia en y alrededor de adtech en general y en Facebook específicamente.
Los píxeles de seguimiento y los complementos sociales de Facebook, también conocidos como los botones de compartir / me gusta que activan la web convencional, han creado una vasta infraestructura de seguimiento que informa silenciosamente al gigante tecnológico de la actividad de los usuarios de Internet, incluso cuando una persona no ha interactuado con ninguna marca de Facebook botones.
Facebook afirma que esto es solo “cómo funciona la web”. Y otros gigantes tecnológicos están igualmente involucrados en el seguimiento de los usuarios de Internet (especialmente Google). Pero como plataforma con más de 2.2 billones de usuarios, Facebook ha logrado una gran cantidad de rivales cuando se trata de recolectar datos de las personas y construir una base de datos global de perfiles de personas.
También se posiciona como un jugador dominante en un ecosistema adtech, lo que significa que es el que está siendo alimentado con información por corredores de datos y editores que implementan tecnología de seguimiento para tratar de sobrevivir en un sistema tan sesgado.
Mientras tanto, la opacidad del seguimiento en línea significa que el usuario promedio de Internet no sabe que Facebook puede seguir lo que está navegando en Internet. Las cuestiones de consentimiento son muy importantes.
Facebook también puede rastrear el uso de aplicaciones de terceros por parte de las personas si una persona elige una opción de inicio de sesión de Facebook que la empresa alienta a los desarrolladores a implementar en sus aplicaciones, una vez más, la zanahoria es poder ofrecer una opción de menor fricción en lugar de requerir que los usuarios creen otra Credencial de inicio de sesión.
El precio de esta “conveniencia” es la privacidad de los datos y del usuario, ya que el inicio de sesión de Facebook le da al gigante tecnológico una ventana al uso de aplicaciones de terceros.
La compañía también ha utilizado una aplicación VPN que compró e identificó como una herramienta de seguridad para recopilar datos sobre el uso de aplicaciones de terceros, aunque recientemente se retiró de la aplicación Onavo después de una reacción pública (aunque eso no impidió que ejecutara un programa de seguimiento similar dirigido a adolescentes).
El seguimiento en segundo plano es la forma en que funcionan los anuncios espeluznantes de Facebook (prefiere llamar a tales anuncios dirigidos por comportamiento “relevantes”) y cómo han funcionado durante años
Sin embargo, solo en los últimos meses se ha ofrecido a los usuarios un vistazo a esta red de informadores en línea, al proporcionar información limitada sobre las entidades que transmiten datos de seguimiento a Facebook, así como algunos controles limitados.
Desde “Borrar historial” hasta “Actividad fuera de Facebook”
Originalmente informada en mayo de 2018, en el meollo del escándalo de Cambridge Analytica, como una opción de ‘Borrar historial’, a esto se le ha dado el nombre de ‘Actividad fuera de Facebook’, una etiqueta tan desangrada y carente de ‘llamado a la acción’ que el promedio de Facebook usuario, si se toparan con él enterrado profundamente en menús de configuración desagradables, lo más probable es que se mueva más allá de sentirse movido para llevar a cabo una purga de privacidad.
(Para el registro, puede acceder a la configuración aquí, pero debe iniciar sesión en Facebook para hacerlo).
El otro problema es que la herramienta de Facebook en realidad no le permite purgar su historial de navegación, simplemente lo desvincula de su ID de Facebook. No hay ninguna opción para borrar realmente su historial de navegación a través de su botón. Otra razón para el cambio de nombre. Entonces, no, Facebook no ha creado un “botón” de historial claro.
“Si bien acogemos con beneplácito el esfuerzo para ofrecer más transparencia a los usuarios al mostrarles a las empresas de las cuales Facebook está recibiendo datos personales, la herramienta ofrece pocas formas para que los usuarios tomen alguna medida”, dijo Privacy International esta semana, criticando a Facebook por “no decirle todo”.
Como dice el refrán, un poco de conocimiento puede ser algo peligroso. Entonces, un poco de transparencia implica, bueno, cualquier cosa menos claridad. Y Privacy International resume la herramienta Actividad fuera de Facebook con un oxímoron apto, describiéndolo como “una nueva ventana a la opacidad”.
“Esta herramienta ilustra cuán imposible es para los usuarios evitar que los datos externos se compartan con Facebook”, escribe, advirtiendo con énfasis: “Sin información significativa sobre qué datos se recopilan y comparten, y cuáles son las formas en que el usuario puede darse de baja de dicha colección, La actividad fuera de Facebook es solo otra visión incompleta de las prácticas opacas de Facebook cuando se trata de rastrear usuarios y consolidar sus perfiles.. “
Señala, por ejemplo, que la información proporcionada aquí se limita a un “nombre simple”, evitando así que el usuario “ejerza su derecho a buscar más información sobre cómo se recopilaron estos datos”, que los usuarios de la UE al menos tienen derecho a .
“Como usuarios tenemos derecho a conocer el nombre / datos de contacto de las empresas que afirman haber interactuado con nosotros. Si lo único que vemos, por ejemplo, es el nombre aleatorio de un artista que nunca habíamos escuchado antes (historia real), ¿cómo se supone que debemos saber si es su sello discográfico, agente, compañía de marketing o incluso a quienes se dirigen personalmente? nosotros con anuncios? agrega.
Otra crítica es que Facebook solo proporciona información limitada sobre cada transferencia de datos, con Privacy International señalando que algunos eventos están marcados “bajo una etiqueta críptica PERSONALIZADA”; y que Facebook no proporciona “ninguna información sobre cómo el anunciante recopiló los datos (SDK de Facebook, píxeles de seguimiento, botón Me gusta …) y en qué dispositivo, dejando a los usuarios en la oscuridad con respecto a las circunstancias en las que se realizó esta recopilación de datos”.
“¿Facebook realmente muestra todo lo que procesan / almacenan sobre esos eventos en el registro / exportación?” consulta al investigador de privacidad Wolfie Christl, quien rastrea las técnicas de seguimiento de la industria adtech. “Tienen que hacerlo, porque de lo contrario no cumplen con su SAR [Subject Access Request] obligaciones [under EU law]. “
Christl señala que Facebook hace que los usuarios salten a través de un aro de “descarga” adicional para ver datos sobre eventos rastreados, e incluso entonces, como señala Privacy International, solo da una visión limitada de lo que realmente se ha rastreado …
“Por ejemplo, ¿por qué Facebook no enumera los sitios / URL específicos visitados? ¿Infieren datos de los dominios, p. categorías? Si es así, ¿por qué esto no está en los registros? Christl pregunta.
Nos comunicamos con Facebook con una serie de preguntas, que incluyen por qué no proporciona más detalles de forma predeterminada. Respondió con esta declaración atribuida al portavoz:
Ofrecemos una variedad de herramientas para ayudar a las personas a acceder a su información de Facebook, y hemos diseñado estas herramientas para cumplir con las leyes relevantes, incluido el RGPD. No estamos de acuerdo con esto. [Privacy International] reclamaciones del artículo y agradecería la oportunidad de discutirlas con Privacy International.
Facebook también dijo que continúa desarrollando la información que muestra a través de la herramienta Actividad fuera de Facebook, y dijo que agradece sus comentarios al respecto.
También le preguntamos sobre las bases legales que utiliza para procesar la información de las personas obtenida a través de sus píxeles de seguimiento y complementos sociales. No proporcionó una respuesta a esas preguntas.
Seis nombres, muchas preguntas …
Cuando la compañía lanzó la herramienta Actividad fuera de Facebook, una encuesta instantánea de colegas disponibles de TechCrunch mostró resultados muy diversos para nuestros respectivos registros (que también pueden no mostrar la actividad más reciente, según otras advertencias de Facebook), que van desde un colega que tenía un ojo -Riego 1.117 entidades (probablemente debido a hacer muchas pruebas de aplicaciones); a varios con varios / unos cientos cada uno; a una pareja en las decenas medias.
En mi caso solo tenía seis. Pero desde mi punto de vista, como ciudadano de la UE con un conjunto de derechos relacionados con la privacidad y la protección de datos; y como alguien que tiene como objetivo practicar una buena higiene de la privacidad en línea, incluido tener un enfoque muy restringido para usar Facebook (nunca usar su aplicación móvil, por ejemplo), todavía eran seis demasiado. Quería descubrir cómo estas entidades habían eludido mis intentos de no ser rastreado.
Y en el caso del primero en la lista, quién demonios era …
Resulta que Cloudfront es un subdominio de Amazon Web Services Content Delivery Network. Pero tuve que buscar en línea para descubrir que el propietario de ese dominio en particular es (ahora) una compañía llamada Nativo.
La lista de Facebook solo proporciona información muy básica. También hice clic para desvincular la primera entidad, ya que inmediatamente se veía tan extraña, y descubrí que al hacer eso, Facebook borró todas las entradas, lo que significaba que no podía retener el acceso a la poca información adicional que había proporcionado sobre las respectivas transferencias de datos.
Sin inmutarse, me propuse contactar a cada una de las seis compañías directamente con preguntas, preguntando qué datos míos habían transferido a Facebook y qué base legal creían que tenían para procesar mi información.
(En un nivel práctico, seis nombres parecían un tamaño de muestra que al menos podría intentar hacer un seguimiento manual, pero recuerde que era la excepción de TechCrunch; imagínese tratando de solicitar datos a 1.117 empresas, o 450 o incluso 57, que fueron las longitudes de listas de algunos de mis colegas).
Este proceso tomó alrededor de un mes y mucho de ida y vuelta / persecución. Probablemente solo produjo tanta información como lo hizo porque estaba preguntando como periodista; un usuario promedio de Internet puede haber tenido más dificultades para llamar la atención sobre sus preguntas, aunque, de conformidad con la legislación de la UE, los ciudadanos tienen derecho a solicitar una copia de los datos personales que tienen en su poder.
Eventualmente, pude obtener la confirmación de que los píxeles de seguimiento y los botones para compartir de Facebook habían estado involucrados en que mis datos se pasaran a Facebook en ciertos casos. Aun así, me quedo en la oscuridad sobre muchas cosas. Tal como exactamente qué datos personales recibió Facebook.
En un caso, una empresa que cotiza en bolsa me dijo que no sabe qué datos se comparten, solo Facebook lo sabe porque ha implementado el “código de propiedad” de la empresa. (Inserte su propio “WTAF” allí).
El lado legal de estas transferencias también sigue siendo muy opaco. Desde mi punto de vista, no consentiría intencionalmente ninguno de estos rastreos, pero en algunos casos las entidades involucradas afirman que (mi) consentimiento fue (de alguna manera) obtenido (o implícito).
En otros casos, dijeron que se basan en una base legal en la legislación de la UE que se conoce como “intereses legítimos”. Sin embargo, esto requiere que se realice una prueba de equilibrio para garantizar que el uso comercial no tenga un impacto desproporcionado en los derechos individuales.
No pude determinar si alguna vez se realizaron tales pruebas.
Mientras tanto, como Facebook también está utilizando la información de seguimiento de sus píxeles y complementos sociales (y aparentemente un uso más granular, ya que algunas entidades afirman que solo obtienen datos agregados, no individuales), Christl sugiere que es poco probable que una prueba de equilibrio sea fácil para pasar por esa pequeña pequeña razón ‘gigante de la plataforma’.
En particular, señala que los términos de la Herramienta de negocios de Facebook establecen que hace uso de los llamados “datos de eventos” para “personalizar características y contenido y para mejorar y asegurar los productos de Facebook”, incluso para “anuncios y recomendaciones”; para fines de I + D; y “para mantener la integridad y mejorar los Productos de la Compañía de Facebook”.
En una sección de sus términos legales que cubre el uso de sus píxeles y SDK, Facebook también responsabiliza a las entidades que implementan sus tecnologías de rastreo para obtener el consentimiento de los usuarios antes de hacerlo en jurisdicciones relevantes que “requieren consentimiento informado” para rastrear cookies y similares. – dando el ejemplo de la UE.
“Debe asegurarse, de manera verificable, de que un usuario final brinde el consentimiento necesario antes de usar las Herramientas comerciales de Facebook para permitirnos almacenar y acceder a cookies u otra información en el dispositivo del usuario final”, escribe Facebook, señalando a los usuarios sus herramientas. a su Guía de Consentimiento de Cookies para Sitios y Aplicaciones para “sugerencias sobre la implementación de mecanismos de consentimiento”.
Christl señala la contradicción entre Facebook al afirmar que los usuarios de su tecnología de seguimiento necesitan obtener el consentimiento previo frente a las afirmaciones que algunas de estas entidades me dieron de que no lo hacen porque dependen de “intereses legítimos”.
“El uso de LI como base legal es incluso controvertido si utiliza una empresa de análisis de datos que procesa de manera confiable los datos personales estrictamente en su nombre”, argumenta. “Supongo que los abogados de la industria intentan argumentar a favor de una aplicación más amplia de LI, pero en el caso de las herramientas comerciales de FB no creo que la prueba de equilibrio (un negocio legitima los intereses versus el impacto en los derechos y libertades de los interesados ) trabajará a favor de LI “.
Esas entidades que dependen de intereses legítimos como base legal para el seguimiento aún tendrían que ofrecer un mecanismo en el que los usuarios puedan objetar el procesamiento, y no pude ver de inmediato ese mecanismo en los casos en cuestión.
Una cosa es clara como el cristal: Facebook en sí mismo no proporciona un mecanismo para que los usuarios se opongan a su procesamiento de datos de seguimiento ni se excluyan de los anuncios dirigidos. Esa sigue siendo una queja de larga data contra su negocio en la UE que los reguladores de protección de datos aún están investigando.
Una cosa más: los usuarios que no son de Facebook continúan sin tener forma de saber qué datos de ellos se rastrean y transfieren a Facebook. Solo los usuarios de Facebook tienen acceso a la herramienta Actividad fuera de Facebook, por ejemplo. Los no usuarios ni siquiera pueden acceder a una lista.
Facebook ha defendido su práctica de rastrear a los no usuarios en Internet según sea necesario para “fines de seguridad” no especificados. Es un argumento inherentemente desproporcionado, por supuesto. La práctica también permanece bajo desafío legal en la UE.
Seguimiento de los rastreadores
SimpleReach (también conocido como d8rk54i4mohrb.cloudfront.net)
¿Qué es? Una plataforma de análisis con sede en California (ahora propiedad de Nativo) utilizada por editores y comercializadores de contenido para medir qué tan bien se desempeña su contenido / anuncios nativos en las redes sociales. El producto comenzó a principios de los años noventa como una herramienta simple para que los editores recomendaran contenido similar al final de los artículos antes de que la startup girara, con el objetivo de convertirse en ‘el PageRank de las redes sociales’, ofreciendo herramientas de análisis para que los editores rastreen la participación en torno al contenido en tiempo real. -tiempo en la web social (conexión a las API de la plataforma). También creó modelos estadísticos para predecir qué piezas de contenido serán las más sociales y dónde, generando una puntuación patentada por artículo. SimpleReach fue adquirido por Nativo el año pasado para complementar las herramientas de análisis que este último ya ofrecía para rastrear contenido en el sitio del editor / marca.
¿Por qué apareció en su lista de actividades fuera de Facebook? Dado que es un producto b2b, no tiene una marca de consumo visible propia. Y, que yo sepa, nunca he visitado su propio sitio web antes de investigar por qué apareció en mi lista de actividades fuera de Facebook. Claramente, sin embargo, debo haber visitado un sitio (o sitios) que están usando sus herramientas de seguimiento / análisis. Por supuesto, un usuario de Internet no tiene una forma obvia de saber esto, a menos que esté utilizando activamente herramientas para monitorear qué rastreadores los rastrean.
En otra peculiaridad, ni las marcas de SimpleReach (ni Nativo) aparecieron en mi lista de actividades fuera de Facebook. Más bien un el nombre de dominio estaba en la lista, d8rk54i4mohrb.cloudfront.net, que a primera vista parecía extraño / alarmante.
Descubrí que esto es propiedad de SimpleReach mediante el uso de un servicio de análisis de seguimiento.
Una vez que supe el nombre pude conectar la entrada a Nativo, a través de informes de noticias de la adquisición, lo que me llevó a una entidad a la que podía dirigir preguntas.
¿Qué pasó cuando les preguntaste sobre esto? Hubo un poco de ida y vuelta y luego enviaron una respuesta detallada a mis preguntas en las que afirman que no comparten ningún dato con Facebook – “o realizan” actividad fuera del sitio “como se describe en la herramienta de actividad de Facebook”.
También sugirieron que su dominio había aparecido como resultado de la implementación de su código de seguimiento en un sitio web que había visitado y que también había implementado los propios rastreadores de Facebook.
“Nuestra tecnología permite a nuestros controladores de datos insertar otros píxeles o etiquetas de seguimiento, usándonos como administrador de etiquetas que entrega el código a la página. Es posible que uno de nuestros clientes haya agregado un píxel de Facebook a un artículo que visitó utilizando nuestra tecnología. Esto podría llevar a Facebook a atribuir este píxel a nuestro dominio, aunque nuestro dominio no era más que un “operador” del código “, me dijeron.
En términos de los datos que recopilan, dijeron lo siguiente: “Los únicos datos personales que recopila la etiqueta SimpleReach Analytics son su dirección IP y una identificación generada aleatoriamente. Ambos valores se procesan, anonimizan y agregan en la plataforma SimpleReach y no están disponibles para nadie más que nuestros subprocesadores que están obligados a procesar dichos datos solo en nuestro nombre. Dichos valores se eliminan permanentemente de nuestro sistema después de 3 meses. Estos valores se utilizan para dar a nuestros clientes una idea general de la cantidad de usuarios que visitaron los artículos rastreados “.
Entonces, una vez más, sugirieron que la razón por la cual su dominio apareció en mi lista de actividades fuera de Facebook es una combinación de las tecnologías de seguimiento de Nativo / SimpleReach que se implementan en un sitio donde también se incrusta el píxel de redireccionamiento de Facebook, que luego resultó en datos sobre mi actividad en línea se comparte con Facebook (que Facebook luego atribuye como proveniente del dominio de SimpleReach).
Al comentar sobre esto, Christl estuvo de acuerdo en que parece que los editores “de alguna manera adjuntan eventos de píxeles de Facebook al dominio de CloudReach de SimpleReach”.
“SimpleReach probablemente no obtiene datos de esto. Pero la pregunta es 1) es SimpleReach quizás realmente responsable (si ocurre en el contexto de su dominio); 2) La actividad fuera de Facebook es un desastre (si contiene eventos relacionados con dominios cuyos propietarios no son editores web o de aplicaciones) “.
Nativo se ofreció a determinar si tienen información personal asociada con el identificador único que han asignado a mi navegador si pudiera enviarles esta identificación. Sin embargo, no pude localizar dicha identificación (ver más abajo).
En términos de base legal para procesar mi información, la compañía me dijo: “Tenemos el derecho de procesar datos de acuerdo con las disposiciones establecidas en los diversos acuerdos de Procesador de Datos que tenemos en vigor con los Controladores de Datos”.
Nativo también sugirió que la actividad fuera del sitio en cuestión podría haber sido anterior a la compra de la tecnología SimpleReach, que ocurrió el 20 de marzo de 2019, diciendo que cualquier actividad anterior a esto significaría que mi consulta debería ser dirigida directamente con SimpleReach, Inc., que Nativo No adquirió. (Sin embargo, en este caso, la actividad registrada en la lista fue fechada después de eso).
Esto es lo que dijeron sobre todo eso:
Gracias por enviar su solicitud de acceso a datos. Entendemos que usted es residente de la Unión Europea y está presentando esta solicitud de conformidad con el Artículo 15 (1) del RGPD. El Artículo 15 (1) requiere que los “controladores de datos” respondan a las solicitudes de información de las personas sobre el procesamiento de sus datos personales. Aunque el Artículo 15 (1) no se aplica a Nativo porque no somos un controlador de datos con respecto a sus datos, hemos proporcionado información a continuación que nos ayudará a determinar los Controladores de datos apropiados, con los que puede contactar directamente.
Primero, para obtener detalles sobre nuestro papel en el procesamiento de datos personales en relación con nuestro producto SimpleReach, consulte la Política de privacidad de SimpleReach. Como la política explica con más detalle, brindamos servicios de análisis de marketing a otras empresas: nuestros clientes. Para aprovechar nuestros servicios, nuestros clientes instalan nuestra tecnología en sus sitios web, lo que nos permite recopilar cierta información sobre las visitas individuales a los sitios web de nuestros clientes. Analizamos la información personal que obtenemos solo bajo la dirección de nuestro cliente, y solo en nombre de ese cliente.
SimpleReach es una herramienta de seguimiento de análisis (similar a Google Analytics) implementada por nuestros clientes para informarles sobre el rendimiento de su contenido publicado en la web. “D8rk54i4mohrb.cloudfront.net” es el nombre de dominio de los servidores que recopilan estas métricas. No compartimos datos con Facebook ni realizamos “actividad fuera del sitio” como se describe en la herramienta de actividad de Facebook. Nuestra tecnología permite a nuestros controladores de datos insertar otros píxeles o etiquetas de seguimiento, usándonos como administrador de etiquetas que entrega el código a la página. Es posible que uno de nuestros clientes haya agregado un píxel de Facebook a un artículo que visitó utilizando nuestra tecnología. Esto podría llevar a Facebook a atribuir este píxel a nuestro dominio, aunque nuestro dominio no era más que un “operador” del código.
La herramienta SimpleReach se implementa en artículos publicados por nuestros clientes y socios de nuestros clientes. Es posible que haya visitado una URL que contiene nuestro código de seguimiento. También es posible que la actividad fuera del sitio a la que hace referencia sea actividad de SimpleReach, Inc. antes de que Nativo compre la tecnología SimpleReach. Nativo, Inc. compró cierta tecnología de SimpleReach, Inc. el 20 de marzo de 2019, pero no adquirimos la entidad SimpleReach, Inc. en sí, que sigue siendo una entidad separada no afiliada a Nativo, Inc. Por consiguiente, cualquier actividad que ocurriera antes de marzo 20, 2019 es anterior al uso de Nativo de la tecnología SimpleReach y debe abordarse directamente con SimpleReach, Inc. Si, por ejemplo, TechCrunch era un socio editor de SimpleReach, Inc. y tenía implementado el código de seguimiento SimpleReach en los artículos de TechCrunch o en TechCrunch sitio web anterior al 20 de marzo de 2019, cualquier recopilación de datos resultante habría sido realizada por SimpleReach, Inc., no por Nativo, Inc.
Como se mencionó anteriormente, nuestro script de seguimiento recopila y envía información a nuestros servidores en función de los artículos en los que se implementa. Los únicos datos personales que recopila la etiqueta SimpleReach Analytics son su dirección IP y una identificación generada aleatoriamente. Ambos valores se procesan, anonimizan y agregan en la plataforma SimpleReach y no están disponibles para nadie más que nuestros subprocesadores que están obligados a procesar dichos datos solo en nuestro nombre. Dichos valores se eliminan permanentemente de nuestro sistema después de 3 meses. Estos valores se utilizan para dar a nuestros clientes una idea general del número de usuarios que visitaron los artículos rastreados.
No hemos compartido ni hemos compartido NINGUNA información con Facebook con respecto a la información que recopilamos de la etiqueta SimpleReach Analytics, ya sea Datos personales u otros. Sin embargo, como se mencionó anteriormente, es posible que uno de nuestros clientes haya agregado un píxel de reorientación de Facebook a un artículo que visitó utilizando nuestra tecnología. Si ese es el caso, no hubiéramos recibido ninguna información recopilada de dicho píxel o no tendríamos conocimiento de si, y en qué medida, el cliente compartió información con Facebook. Sin más información, no podemos determinar el cliente específico (si lo hay) en nombre del cual podemos haber procesado su información personal. Sin embargo, si nos envía el identificador único que le hemos asignado a su navegador … podemos determinar si tenemos información personal asociada con dicho navegador en nombre de un controlador del cliente y, si lo tenemos, podemos enviar su solicitud al controlador para responder directamente a su solicitud.
Como Procesador de datos, tenemos el derecho de procesar los datos de acuerdo con las disposiciones establecidas en los diversos acuerdos del Procesador de datos que tenemos con los Controladores de datos. Este tipo de acuerdo está diseñado para proteger a los sujetos de datos y garantizar que los procesadores de datos cumplan con los mismos estándares que tanto el GDPR como el controlador de datos han establecido. Este es el mismo tipo de acuerdo utilizado por todas las demás herramientas de seguimiento de análisis (así como muchos otros tipos de herramientas) como Google Analytics, Adobe Analytics, Chartbeat y muchos otros.
También le pedí a Nativo que confirmara si Insider.com (ver más abajo) es un cliente de Nativo / SimpleReach.
La compañía me dijo que no podía revelar esto “debido a restricciones de confidencialidad” y que solo revelar la identidad de los clientes si “lo exige la ley aplicable”.
Una vez más, dijo que si proporcioné el “identificador único” asignado a mi navegador, sería “feliz de obtener una lista de información personal que los sistemas SimpleReach / Nativo han almacenado actualmente para su identificador único (si corresponde), incluido el apropiado Datos Controladores “. (“Si tenemos algún personal datos recogido de usted en nombre de Insider.com, aparecería en la lista de DatosControladores “, sugirió.)
Verifiqué varios navegadores que utilizo en varios dispositivos, pero no pude localizar una ID adjunta a una cookie SimpleReach. Entonces también pregunté si esto podría aparecer adjunto a cualquier otra cookie.
Su respuesta:
Porque nuestro datos está seudónimo o anónimo, y no registramos ninguna otra pieza de Personal Datos sobre usted, no será posible para nosotros localizar esto datos sin el valor de la cookie. La cookie de usuario SimpleReach está, y siempre ha estado, en la cookie “__srui” bajo el dominio “.simplereach.com” o en cualquiera de sus subdominios. Si no puede ubicar una cookie de usuario SimpleReach con este nombre en su navegador, puede ser porque está utilizando un dispositivo diferente o porque ha borrado sus cookies (en cuyo caso ya no tendremos la capacidad de asignar ningún tipo de personal datos previamente hemos recopilado de usted a su navegador o dispositivo). Tenemos otras cookies (bajo los dominios postrelease.com, admin.nativo.com y cloud.nativo.com), pero esas cookies no estarían relacionadas con la aparición de SimpleReach en la lista de Actividad fuera del sitio en su cuenta de Facebook, Por su consulta original.
¿Qué aprendiste de su inclusión en la lista de actividades fuera de Facebook? Parecía haber una correlación entre este dominio y un editor, Insider.com, que también apareció en mi lista de actividades fuera de Facebook, ya que ambos eventos registrados tienen la misma fecha; Además, Insider.com es un editor, por lo que entraría en la categoría de cliente adecuada para usar la herramienta de Nativo.
Dadas esas correlaciones, pude adivinar que Insider.com es cliente de Nativo. (Confirmé esto cuando hablé con Insider.com), por lo que la herramienta de Facebook puede filtrar inferencias relacionales relacionadas con la industria del rastreo al emerger / mapear conexiones de negocios que de otra manera no hubieran sido evidentes.
Insider.com
¿Qué es? Una empresa de medios comerciales con sede en Nueva York que posee marcas como Business Insider y Markets Insider
¿Por qué apareció en su lista de actividades fuera de Facebook? Me imagino que hice clic en un artículo sobre tecnología que apareció en mi Facebook News Feed o en otro lugar, pero cuando inicié sesión en Facebook
¿Qué pasó cuando les preguntaste sobre esto? Después de aproximadamente una semana de silencio en la radio, un empleado del departamento legal de Insider’com se comunicó para decir que podían discutir el tema en un segundo plano.
Esta persona me dijo que la información en la herramienta Actividad fuera de Facebook provino del botón de compartir de Facebook que está incrustado en todos los artículos que ejecuta en sus sitios web de medios. Confirmaron que el botón compartir puede compartir datos con Facebook independientemente de si el visitante del sitio interactúa con el botón o no.
En mi caso, ciertamente no habría interactuado con el botón de compartir de Facebook. No obstante, se pasaron datos, simplemente por el mérito de cargar la página del artículo en sí.
Insider.com dijo que el widget de botón de compartir de Facebook está integrado en sus sitios usando una configuración estándar que Facebook pretende que los editores usen. Si se hace clic en el botón compartir, la información relacionada con esa acción se compartirá con Facebook y también será recibida por Insider.com (aunque, en este escenario, dice que no obtiene información personalizada, sino que obtiene datos agregados).
Facebook también puede recopilar automáticamente otra información cuando un usuario visita una página web que incorpora sus complementos sociales.
Cuando se le preguntó si Insider.com sabe qué información recibe Facebook a través de esta ruta pasiva, la compañía me dijo que no, al notar que el complemento ejecuta el código de propiedad de Facebook.
Cuando se le preguntó cómo recaba el consentimiento de los usuarios para que sus datos se compartan pasivamente con Facebook, Insider.com dijo que su Política de privacidad estipula el consentimiento de los usuarios para compartir su información con Facebook y otros sitios de redes sociales. También dijo que usa el fundamento legal conocido como intereses legítimos para proporcionar funcionalidad y derivar análisis en artículos.
En el caso activo (de un usuario que hace clic para compartir un artículo), Insider.com dice que interpreta la acción del usuario como consentimiento.
Insider.com confirmó que usa herramientas de análisis SimpleReach / Nativo, lo que significa que los datos de los visitantes del sitio también se pasan a Nativo cuando un usuario aterriza en un artículo. Dijo que el consentimiento para este intercambio de datos está incluido dentro de su plataforma de administración de consentimiento (utiliza un CMP hecho por Forcepoint) que solicita a los visitantes del sitio que especifiquen sus opciones de cookies.
Aquí los visitantes del sitio pueden elegir que sus datos no se compartan con fines analíticos (lo cual, según Insider.com, evitaría que se transmitan los datos).
Por lo general, aplico todas las opciones de exclusión de consentimiento de cookies, cuando están disponibles, por lo que me sorprende un poco que Nativo / SimpleReach haya pasado mis datos desde una página web de Insider.com. O no hice clic en la opción de exclusión una vez o no respondí al aviso de cookies y los datos se pasaron de forma predeterminada.
También es posible que haya optado por no participar, pero los datos se pasaron de todos modos, ya que se ha realizado una investigación que ha encontrado que una proporción de las notificaciones de cookies ignoran las opciones y pasan los datos de todos modos (involuntariamente o no).
Preguntas de seguimiento que envié a Insider.com después de hablar:
1) ¿Puede confirmar si Insider ha realizado una evaluación de intereses legítimos?
2) ¿Tiene Insider un mecanismo de sitio donde los usuarios pueden oponerse a lo pasivo? datos transferir a Facebook desde los botones de compartir?
Insider.com no respondió a mis preguntas adicionales.
What did you learn from their inclusion in the Off-Facebook Activity list? That Insider.com is a customer of Nativo/SimpleReach.
Rei.com
¿Qué es? A California-based ecommerce website selling outdoor gear
Why did it appear in your Off-Facebook Activity list? I don’t recall ever visiting their site prior to looking into why it appeared in the list so I’m really not sure
What happened when you asked them about this? After saying it would investigate it followed up with a statement, rather than detailed responses to my questions, in which it claims it does not hold any personal data associated with — presumably — my TechCrunch email, since it did not ask me what data to check against.
It also appeared to be claiming that it uses Facebook tracking pixels/tags on its website, without explicitly saying as much, writing that: “Facebook may collect information about your interactions with our websites and mobile apps and reflect that information to you through their Off-Facebook Activity tool.”
It claims it has no access to this information — which it says is “pseudonymous to us” but suggested that if I have a Facebook account Facebook could link any browsing on Rei’s site to my Facebook’s identity and therefore track my activity.
The company also pointed me to a Facebook Help Center post where the company names some of the activities that might have resulted in Rei’s website sending activity data on me to Facebook (which it could then link to my Facebook ID) — although Facebook’s list is not exhaustive (included are: “viewing content”, “searching for an item”, “adding an item to a shopping cart” and “making a donation” among other activities the company tracks by having its code embedded on third parties’ sites).
Here’s Rei’s statement in full:
Thank you for your patience as we looked into your questions. We have checked our systems and determined that REI does not maintain any personal data associated with you based on the information you provided. Note, however, that Facebook may collect information about your interactions with our websites and mobile apps and reflect that information to you through their Off-Facebook Activity tool. The information that Facebook collects in this manner is pseudonymous to us — meaning we cannot identify you using the information and we do not maintain the information in a manner that is linked to your name or other identifying information. However, if you have a Facebook account, Facebook may be able to match this activity to your Facebook account via a unique identifier unavailable to REI. (Funnily enough, while researching this I found TechCrunch in MY list of Off-Facebook activity!)
For a complete list of activities that could have resulted in REI sharing pseudonymous information about you with Facebook, this Facebook Help Center article may be useful. For a detailed description of the ways in which we may collect and share customer information, the purposes for which we may process your data, and rights available to EEA residents, please refer to our Privacy Policy. For information about how REI uses cookies, please refer to our Cookie Policy.
As a follow up question I asked Rei to tell me which Facebook tools it uses, pointing out that: “Given that, just because you aren’t (as I understand it) directly using my datos yourself that does not mean you are not responsible for my datos being transferred to Facebook. “
The company did not respond to that point.
I also previously asked Rei.com to confirm whether it has any datos sharing arrangements with the publisher of Rock & Ice magazine (see below). And, if so, to confirm the processes involved in datos being shared. Again, I got no response to that.
What did you learn from their inclusion in the Off-Facebook Activity list? Given that Rei.com appeared alongside Rock & Ice on the list — both displaying the same date and just one activity apiece — I surmised they have some kind of data-sharing arrangement. They are also both outdoors brands so there would be obvious commercial ‘synergies’ to underpin such an arrangement.
That said, neither would confirm a business relationship to me. But Facebook’s list heavily implies there is some background data-sharing going on
Rock & Ice magazine
¿Qué es? A climbing magazine produced by a California-based publisher, Big Stone Publishing
Why did it appear in your Off-Facebook Activity list? I imagine I clicked on a link to a climbing-related article in my Facebook feed or else visited Rock & Ice’s website while I was logged into Facebook in the same browser session
What happened when you asked them about this? After ignoring my initial email query I subsequently received a brief response from the publisher after I followed up — which read:
The Rock and Ice website is opt in, where you have to agree to terms of use to access the website. I don’t know what private data you are saying Rock and Ice shared, so I can’t speak to that. The site terms are here. As stated in the terms you can opt out.
Following up, I asked about the provision in the Rock & Ice website’s cookie notice which states: “By continuing to use our site, you agree to our cookies” — asking whether it’s passing data without waiting for the user to signal their consent.
(Relevant: In October Europe’s top court issued a ruling that active consent is necessary for tracking cookies, so you can’t drop cookies prior to a user giving consent for you to do so.)
The publisher responded:
You have to opt in and agree to the terms to use the website. You may opt out of cookies, which is covered in the terms. If you do not want the benefits of these advertising cookies, you may be able to opt-out by visiting: http://www.networkadvertising.org/optout_nonppii.asp.
If you don’t want any cookies, you can find extensions such as Ghostery or the browser itself to stop and refuse cookies. By doing so though some websites might not work properly.
I followed up again to point out that I’m not asking about the options to opt in or opt out but, rather, the behavior of the website if the visitor does not provide a consent response yet continues browsing — asking for confirmation Rock & Ice’s site interprets this state as consent and therefore sends data.
The publisher stopped responding at that point.
Earlier I had asked it to confirm whether its website shares visitor data with Rei.com? (As noted above, the two appeared with the same date on the list which suggests data may be being passed between them.) I did not get a respond to that question either.
What did you learn from their inclusion in the Off-Facebook Activity list? That the magazine appears to have a data-sharing arrangement with outdoor retailer Rei.com, given how the pair appeared at the same point in my list. However neither would confirm this when I asked
MatterHackers
¿Qué es? A California-based retailer focused on 3D printing and digital manufacturing
Why did it appear in your Off-Facebook Activity list? I honestly have no idea. I have never to my knowledge visited their site prior to investigating why they should appear on my Off Site Activity list.
I remain pretty interested to know how/why they managed to track me. I can only surmise I clicked on some technology-related content in my Facebook feed, either intentionally or by accident.
What happened when you asked them about this? They first asked me for confirmation that they were on my list. After I had sent a screenshot, they followed up to say they would investigate. I pushed again after hearing nothing for several weeks. At this point they asked for additional information from the Off-Facebook Activity tool — namely more granular metrics, such as a time and date per event and some label information — to help with tracking down this particular data-exchange.
I had previously provided them with the date (as it appears in the screenshot) but it’s possible to download additional an additional level of information about data transfers which includes per event time/date-stamps and labels/tags, such as “VIEW_CONTENT” .
However, as noted above, I had previously selected and deleted one item off of my Off-Facebook Activity list, after which Facebook’s platform had immediately erased all entries and associated metrics. There was no obvious way I could recover access to that information.
“Without this information I would speculate that you viewed an article or product on our site — we publish a lot of ‘How To’ content related to 3D printing and other digital manufacturing technologies — this information could have then been captured by Facebook via Adroll for ad retargeting purposes,” a MatterHackers spokesman told me. “Operationally, we have no other data sharing mechanism with Facebook.”
Subsequently, the company confirmed it implements Facebook’s tracking pixel on every page of its website.
Of the pixel Facebook writes that it enables website owners to track “conversions” (i.e. website actions); create custom audiences which segment site visitors by criteria that Facebook can identify and match across its user-base, allowing for the site owner to target ads via Facebook’s platform at non-customers with a similar profile/criteria to existing customers that are browsing its site; and for creating dynamic ads where a template ad gets populated with product content based on tracking data for that particular visitor.
Regarding the legal base for the data sharing, MatterHackers had this to say: “MatterHackers is not an EU entity, nor do we conduct business in the EU and so have not undertaken GDPR compliance measures. CCPA [California’s Consumer Privacy Act] will likely apply to our business as of 2021 and we have begun the process of ensuring that our website will be in compliance with those regulations as of January 1st.”
I pointed out that GDPR is extraterritorial in scope — and can apply to non-EU based entities, such as if they’re monitoring individuals in the EU (as in this case).
Also likely relevant: A ruling last year by Europe’s top court found sites that embed third party plug-ins such as Facebook’s like button are jointly responsible for the initial data processing — and must either obtain informed consent from site visitors prior to data being transferred to Facebook, or be able to demonstrate a legitimate interest legal basis for processing this data.
Nonetheless it’s still not clear what legal base the company is relying on for implementing the tracking pixel and passing data on EU Facebook users.
When asked about this MatterHacker COO, Kevin Pope, told me:
While we appreciate the sentiment of GDPR, in this case the EU lacks the legal standing to pursue an enforcement action. I’m sure you can appreciate the potential negative consequences if any arbitrary country (or jurisdiction) were able to enforce legal penalties against any website simply for having visitors from that country. Techcrunch would have been fined to oblivion many times over by China or even Thailand (for covering the King in a negative light). In this way, the attempted overreach of the GDPR’s language sets a dangerous precedent.
To provide a little more detail – MatterHackers, at the time of your visit, wouldn’t have known that you were from the EU until we cross-referenced your session with Facebook, who does know. At that point you would have been filtered from any advertising by us. MatterHackers makes money when our (U.S.) customers buy 3D printers or materials and then succeed at using them (hence the how-to articles), we don’t make any money selling advertising or data.
Given that Facebook does legally exist in the EU and does have direct revenues from EU advertisers, it’s entirely appropriate that Facebook should comply with EU regulations. As a global solution, I believe more privacy settings options should be available to its users. However, given Facebook’s business model, I wouldn’t expect anything other than continued deflection (note the careful wording on their tool) and avoidance from them on this issue.
What did you learn from their inclusion in the Off-Facebook Activity List? I found out that an ecommerce company I had never heard of had been tracking me
Wallapop
¿Qué es? A Barcelona-based peer-to-peer marketplace app that lets people list secondhand stuff for sale and/or to search for things to buy in their proximity. Users can meet in person to carry out a transaction paying in cash or there can be an option to pay via the platform and have an item posted
Why did it appear in your Off-Facebook Activity list? This was the only digital activity that appeared in the list that was something I could explain — figuring out I must have used a Facebook sign-in option when using the Wallapop app to buy/sell. I wouldn’t normally use Facebook sign-in but for trust-based marketplaces there may be user benefits to leveraging network effects.
What happened when you asked them about this? After my query was booted around a bit a PR company that works with Wallapop responded asking to talk through what information I was trying to ascertain.
After we chatted they sent this response — attributed to sources from Wallapop:
Same as it happens with other apps, wallapop can appear on our users’ Facebook Off Site Activity page if they have interacted in any way with the platform while they were logged in their Facebook accounts. Some interaction examples include logging in via Facebook, visiting our website or having both apps opened and logged.
As other apps do, wallapop only shares activity events with Facebook to optimize users’ ad experience. This includes if a user is registered in wallapop, if they have uploaded an item or if they have started a conversation. Under no circumstance wallapop shares with Facebook our users’ personal data (including sex, name, email address or telephone number).
At wallapop, we are thoroughly committed with the security of our community and we do a safe treatment of the data they choose to share with us, in compliance with EU’s General Data Protection Regulation. Under no circumstance these data are shared with third parties without explicit authorization.
I followed up to ask for further details about these “activity events” — asking whether, for instance, Wallapop shares messaging content with Facebook as well as letting the social network know which items a user is chatting about.
“Under no circumstance the content of our users’ messages is shared with Facebook,” the spokesperson told me. “What is shared is limited to the fact that a conversation has been initiated with another user in relation to a specific item, this is, activity events. Under no circumstance we would share our users’ personal information either.”
Of course the point is Facebook is able to link all app activity with the user ID it already has — so every piece of activity data being shared is personal data.
I also asked what legal base Wallapop relies on to share activity data with Facebook. They said the legal basis is “explicit consent given by users” at the point of signing up to use the app.
“Wallapop collects explicit consent from our users and at any time they can exercise their rights to their data, which include the modification of consent given in the first place,” they said.
“Users give their explicit consent by clicking in the corresponding box when they register in the app, where they also get the chance to opt out and not do it. If later on they want to change the consent they gave in first instance, they also have that option through the app. All the information is clearly available on our Privacy Policy, which is GDPR compliant.”
“At wallapop we take our community’s privacy and security very seriously and we follow recommendations from the Spanish Data Protection Agency,” it added
What did you learn from their inclusion in the Off-Facebook Activity list? Not much more than I would have already guessed — i.e. that using a Facebook sign-in option in a third party app grants the social media giant a high degree of visibility into your activity within another service.
In this case the Wallapop app registered the most activity events of all six of the listed apps, displaying 13 vs only one apiece for the others — so it gave a bit of a suggestive glimpse into the volume of third party app data that can be passed if you opt to open a Facebook login wormhole into a separate service.