Gorjeo ha revelado más errores relacionados con la forma en que utiliza los datos personales para la orientación de anuncios, lo que significa que puede haber compartido datos de usuarios con socios publicitarios incluso cuando un usuario le había dicho expresamente que no lo hiciera.
En mayo, la red social revelado un error que, en determinadas condiciones, daba como resultado que los datos de ubicación de una cuenta se compartieran con un socio publicitario de Twitter, durante las subastas de ofertas en tiempo real (RTB).
en un entrada en el blog en su Centro de ayuda sobre los últimos "problemas" que Twitter dice que encontró "recientemente", admite haber encontrado dos problemas con las opciones de configuración de anuncios de los usuarios que significan que "pueden no haber funcionado según lo previsto".
Afirma que ambos problemas se solucionaron el 5 de agosto. Aunque no especifica cuándo se dio cuenta de que estaba procesando datos de usuarios sin su consentimiento.
El primer error se relaciona con el seguimiento de las conversiones de anuncios. Esto significa que si un usuario de Twitter hizo clic o vio un anuncio para una aplicación móvil en la plataforma y posteriormente interactuó con la aplicación móvil, Twitter dice que "puede haber compartido ciertos datos (por ejemplo, código de país; si participó en el anuncio y cuándo; información sobre el anuncio, etc.) "con su anuncio medición y socios publicitarios, independientemente de si el usuario había aceptado que sus datos personales se pudieran compartir de esta manera.
Sugiere que esta fuga de datos ha estado ocurriendo desde mayo de 2018, que también es el día en que entró en vigencia el marco de privacidad actualizado de Europa, GDPR. El reglamento exige la divulgación de violaciones de datos (lo que explica por qué está escuchando todos estos problemas de Twitter), y significa que mucho depende de cómo "recientemente" Twitter encontró estos últimos errores. Porque GDPR también incluye un régimen de multas de gran tamaño por violaciones confirmadas de protección de datos.
Aunque aún está por verse si la tecnología de publicidad de Twitter ahora repetidamente atraerá atención regulatoria …
Twitter especifica que no comparte los nombres de los usuarios, los identificadores de Twitter, el correo electrónico o el número de teléfono con los socios publicitarios. Sin embargo, comparte el identificador de dispositivo móvil de un usuario, que GDPR trata como datos personales, ya que actúa como un identificador único. Al usar este identificador, Twitter y los socios publicitarios de Twitter pueden trabajar juntos para vincular un identificador de dispositivo a otros datos personales vinculados a la identidad que poseen colectivamente sobre el mismo usuario para rastrear su uso de Internet en general, lo que permite la creación de perfiles de usuario y la orientación de anuncios espeluznante tener lugar en el fondo.
El segundo problema que Twitter revela en la publicación del blog también se relaciona con el seguimiento de la navegación web más amplia de los usuarios para mostrarles anuncios dirigidos.
Aquí Twitter admite que, desde septiembre de 2018, puede haber servido anuncios dirigidos que usaban inferencias hechas sobre los intereses del usuario basadas en el seguimiento de su uso más amplio de Internet, incluso cuando el usuario no había dado permiso para ser rastreado.
Esto suena como otra violación de GDPR, dado que en los casos en que el usuario no consintió en ser rastreado por anuncios dirigidos a Twitter carecería de una base legal para procesar sus datos personales. Pero está diciendo que lo procesó de todos modos, aunque, afirma accidentalmente.
Este tipo de orientación de anuncios espeluznante, basada en las llamadas 'inferencias', es posible porque Twitter asocia los dispositivos que usa (incluidos los dispositivos móviles y los navegadores) cuando inicia sesión en su servicio con su cuenta de Twitter, y luego recibe información vinculados a estos mismos identificadores de dispositivo (direcciones IP y potencialmente huellas digitales del navegador) de sus socios publicitarios, probablemente recopilados a través de cookies de seguimiento (incluidos los complementos sociales de Twitter) que se almacenan en toda la Internet con el fin de rastrear lo que se ve en línea
Estas cookies publicitarias de terceros vinculan los datos de navegación de las personas (que se convierten en intereses inferidos) con identificadores únicos de dispositivo / navegador (vinculados a las personas) para permitir que la industria adtech (plataformas, corredores de datos, intercambios de anuncios, etc.) rastree a los usuarios web en toda la web y publicar anuncios “relevantes” (también conocidos como espeluznantes).
"Como parte de un proceso que utilizamos para tratar de publicar anuncios más relevantes en Twitter y otros servicios desde septiembre de 2018, es posible que le hayamos mostrado anuncios basados en inferencias creamos sobre los dispositivos que usa, incluso si no nos dio permiso para hacerlo ", explica cómo explica Twitter este segundo" problema ".
"Los datos involucrados permanecieron en Twitter y no contenían cosas como contraseñas, cuentas de correo electrónico, etc.", agrega. Aunque el punto clave aquí es la falta de consentimiento, no donde terminaron los datos.
(Además, la actividad más amplia de navegación de Internet de los usuarios vinculada a sus dispositivos a través del seguimiento de cookies no se originó con Twitter, incluso si afirma que los archivos de vigilancia que recibió de sus socios "de confianza" permanecieron en sus servidores. Bits y fragmentos de esos datos rastreados en cualquier caso, existiría en todo el lugar).
En un explicador en su sitio web sobre "personalización basada en su identidad inferida"Twitter busca asegurar a los usuarios que no los rastreará sin su consentimiento, escribiendo:
Nos comprometemos a brindarle opciones de privacidad significativas. Puede controlar si operamos y personalizamos su experiencia en base a navegadores o dispositivos que no sean los que usa para iniciar sesión en Twitter (o si ha cerrado sesión, navegadores o dispositivos que no sean los que está usando actualmente), o direcciones de correo electrónico y números de teléfono similares a los vinculados a su cuenta de Twitter. Puede hacerlo visitando su Personalización y configuración de datos y ajustando el Personalice según su identidad inferida ajuste.
El problema en este caso es que las opciones de privacidad de los usuarios simplemente fueron anuladas. Twitter dice que no lo hizo intencionalmente. Pero de cualquier manera no es consentimiento. Ergo, una brecha.
“Sabemos que querrá saber si fue afectado personalmente y cuántas personas en total estuvieron involucradas. Todavía estamos llevando a cabo nuestra investigación para determinar quién puede haber sido afectado y si descubrimos más información que sea útil la compartiremos ”, continúa Twitter. “¿Qué hay para que hagas? Además de revisar tu ajustes, no creemos que haya nada que puedas hacer.
“Confía en nosotros para seguir sus elecciones y fallamos aquí. Lamentamos que esto haya sucedido y estamos tomando medidas para asegurarnos de no cometer un error como este nuevamente. Si tiene alguna pregunta, puede comunicarse con la Oficina de Protección de Datos de Twitter a través de este formulario ".
Si bien la empresa puede "creer" que no hay nada que los usuarios de Twitter puedan hacer, aparte de aceptar sus disculpas por arruinarlo, los usuarios europeos de Twitter que creen que procesaron sus datos sin su consentimiento tienen un curso de acción que pueden tomar: pueden quejarse su perro guardián local de protección de datos.
Alejándose, también hay importantes signos de interrogación legales que se ciernen sobre los anuncios dirigidos por comportamiento en Europa.
El regulador de privacidad del Reino Unido advirtió en junio que el perfil sistemático de los usuarios web a través de tecnologías de seguimiento invasivas, como las cookies, infringe las leyes de privacidad paneuropeas, luego de múltiples quejas presentadas en la región que argumentan que RTB infringe el GDPR.
Mientras, en mayo, el principal regulador de Google en Europa, la Comisión de Protección de Datos de Irlanda, confirmó que había abierto una investigación formal sobre el uso de datos personales en el contexto de su Ad Exchange en línea.
Entonces, el punto más amplio aquí es que todo el negocio con fugas de anuncios espeluznantes parece estar operando en tiempo prestado.