Działacze na rzecz ochrony prywatności złożyli formalne skargi do brytyjskich i francuskich organów regulacyjnych ds. danych przeciwko firmie LiveRamp zajmującej się reklamą internetową i pośrednictwem w przekazywaniu danych, twierdząc, iż jej „profilowanie naruszające prywatność” łamie europejskie przepisy dotyczące ochrony danych.
Open Rights Group (ORG) – która pod koniec lutego 2024 r. złożyła dwie osobne skargi do brytyjskiego Biura Komisarza ds. Informacji (ICO) i francuskiej Komisji Nationale de l’informatique et des libertés (CNIL) – twierdzi, iż szeroko zakrojona działalność LiveRamp w zakresie przetwarzania danych mogą być niezgodne z prawem ze względu na brak jasnej podstawy prawnej i znaczącej przejrzystości dla osób, których dane dotyczą.
Inne kwestie związane z ochroną danych wymienione w skardze obejmują „masowe gromadzenie i przetwarzanie danych osobowych” przez LiveRamp, co według ORG jest „nieproporcjonalne do jej celów”; ponowne wykorzystanie danych osobowych zebranych w innych kontekstach; oraz bezpieczeństwo wrażliwych danych osobowych. ORG twierdzi, iż problemy z przetwarzaniem danych przez LiveRamp mogą dotknąć miliony ludzi w Wielkiej Brytanii.
„System Liveramp jest inwazyjny i pozwala reklamodawcom powiązać rzeczywisty adres i imię i nazwisko użytkownika z jego nawykami przeglądania. To jest niedopuszczalne” – powiedział dyrektor wykonawczy ORG Jim Killock.
„Branża adtech gwałtownie się rozwija, ponieważ organy regulacyjne w innych krajach ograniczają profilowanie i nadmierne udostępnianie danych. Te nowe i niebezpieczne technologie mają na celu obejście zmian ograniczających użycie śledzących plików cookie i sprawienie, aby reklamy online były bardziej, a nie mniej, inwazyjne.
„Mamy nadzieję, iż zarówno [UK] ICO i CNIL we Francji potraktują te kwestie bardzo poważnie i zbadają je. W Wielkiej Brytanii przez cały czas pozostają nierozwiązane kwestie wynikające z poprzednich skarg. Europa robi powolne, ale zdecydowane postępy w walce z natrętną technologią reklamową”.
Computer Weekly skontaktował się z LiveRamp w sprawie skargi ORG, ale do czasu publikacji nie otrzymał żadnej odpowiedzi.
Chociaż zwykle oczekuje się, iż osoby składające skargę poruszą tę kwestię z administratorem danych (w tym przypadku LiveRamp) przed złożeniem skargi do ICO, ORG stwierdziła, iż uważa, iż byłoby to „wyraźnie daremne” ze względu na to, jak „nielegalne przetwarzanie trafia do serca modelu biznesowego LiveRamp”.
Dodał, iż nie ma perspektyw, aby LiveRamp zapewniła zgodność z przepisami po nieformalnej skardze złożonej przez osobę, której dane dotyczą, oraz iż powszechny charakter „niezgodnego z prawem przetwarzania” wymaga zamiast tego działań regulacyjnych.
ORG dodała ponadto, iż chociaż skarga nie ma na celu kompleksowej analizy prawnej przetwarzania przez LiveRamp, skala i nieprzejrzystość jej działań „sprawia, iż pełne zbadanie i analiza prawna skargi przez pojedynczego skarżącego jest nierealistyczne”, co jej zdaniem wymaga dochodzenia ICO .
ORG dodało, iż podstawą reklamy internetowej jest technologia reklamowa kapitalizm nadzoru i może mieć poważne konsekwencje dla osób fizycznych, w tym korzystanie z profili reklamowych online kieruj reklamy do problematycznych hazardzistów lub osób z dodatkami; wykluczać mniejszości rasowe z ogłoszeń mieszkaniowych i pracy; I śledzić kobiety, które skorzystały z prawa do aborcji.
Komentując skargę, rzecznik ICO powiedział: „Możemy potwierdzić, iż kierujemy zapytania do LiveRamp UK po audycie firmy w ramach naszej pracy dotyczącej sektora adtech. Chociaż jesteśmy świadomi raportu zleconego przez Open Rights Group i jesteśmy w kontakcie z obiema stronami, na tym etapie nie możemy komentować dalej”.
Model biznesowy LiveRamp
Po dochodzeniu w sprawie przetwarzania LiveRamp, które zostało przeprowadzone wraz z niezależnymi badaczami z Cracked Labs, ORG stwierdziło, iż działalność firmy obejmuje „utrzymywanie rozległych baz danych zawierających dane osobowe”, w tym adresy pocztowe, numery telefonów, adresy e-mail i identyfikatory plików cookie.
„LiveRamp rozpoznaje powiązania między tymi informacjami, łącząc je z pseudonimowymi identyfikatorami, dzięki czemu dzięki tylko jednej informacji – na przykład identyfikatora urządzenia lub adresu e-mail – można uzyskać kompleksowy profil identyfikujący osobę fizyczną” – napisano w raporcie ORG. skargi, dodając, iż firma następnie sprzedaje te dane szerokiemu gronu podmiotów działających w Internecie, które mogą monitorować poszczególne osoby podczas ich przeglądania.
„W ten sposób przetwarzanie LiveRamp odgrywa główną rolę w dzisiejszym ekosystemie nadzoru marketingowego, ponieważ ułatwia korzystanie z technologii reklamowych i reklamy behawioralnej bez potrzeby stosowania plików cookie stron trzecich. LiveRamp umożliwia także brokerom danych sprzedaż danych osobowych milionów ludzi nabywcom danych, którzy następnie mogą przekazywać dane innym firmom, a wszystko to przy jednoczesnym zapewnieniu, iż podmioty komercyjne w łańcuchu mówią o tych samych osobach”.
ORG dodało, iż złożoność i nieprzejrzystość przetwarzania LiveRamp oznacza, iż jest on trudny do zrozumienia dla zwykłych konsumentów, a ponadto pozwala na śledzenie ludzi i wpływanie na nich w spersonalizowany sposób, choćby bez ich wiedzy.
„Istotnie, choćby jeżeli dana osoba korzysta z zachowań związanych z przeglądaniem, które według niej chronią ją przed śledzeniem – np. nie loguje się na stronach internetowych lub podaje tylko częściowe informacje adresowe – może być monitorowana i profilowana w sposób, jakiego by się nie spodziewała, dzięki przetwarzaniu LiveRamp ”- napisano.
W swojej skardze ORG wyraźnie stwierdziła również, iż LiveRamp oferuje niespójne informacje na temat zgodnych z prawem podstaw przetwarzania w różnych jurysdykcjach, zauważając, iż jej francuska polityka prywatności sugeruje, iż opiera się na zgodzie użytkownika, podczas gdy brytyjska polityka prywatności sugeruje, iż opiera się głównie na swoich „uzasadnionych interesach”. ‘.
Jednakże w każdym przypadku ORG twierdzi, iż przetwarzanie będzie prawdopodobnie niezgodne z prawem. W przypadku „uzasadnionych interesów” ORG stwierdziła, iż jej „czysto komercyjne” interesy należy wyważyć z inwazyjnością przetwarzania, „które szczegółowo śledzi zachowania ludzi w Internecie i poza nim (takie jak zmiany adresu fizycznego) i w niewidoczny sposób ujawnia ich dane osobowe dla setek klientów”.
W przypadku polegania na zgodzie ORG dodała, iż zgoda nie jest „dobrowolna, konkretna, świadoma i jednoznaczna”, jak wymaga tego brytyjskie ogólne rozporządzenie o ochronie danych (RODO): „W szczególności dzieje się tak dlatego, iż złożoność i skala działań LiveRamp przetwarzanie oznacza, iż osoby, których dane dotyczą, nie mogą go adekwatnie zrozumieć.”
Bieżące problemy z reklamą w Internecie
ORG złożyło już wcześniej skargę w sprawie powszechnej niezgodności z prawem praktyk w zakresie ochrony danych w całym sektorze reklamy internetowej w 2018 r.
W 2019 roku ICO opublikowało raport pt Zaktualizuj raport do AdTech i licytacji w czasie rzeczywistymw którym stwierdzono, iż firmy zajmujące się reklamą internetową nie przestrzegały prawa w kluczowych obszarach, takich jak legalność przetwarzania danych, przejrzystość, wykorzystywanie danych wrażliwych, wymogi w zakresie odpowiedzialności oraz zapewnianie odpowiedniego poziomu bezpieczeństwa w całym łańcuchu dostaw.
„Tworzenie i udostępnianie profili danych osobowych o ludziach na skalę, którą widzieliśmy, wydaje się nieproporcjonalne, natrętne i niesprawiedliwe, szczególnie gdy ludzie często nie są świadomi, iż coś takiego się dzieje” – napisało ICO. „Podkreślamy, iż jedna wizyta w witrynie internetowej, powodująca aukcję wśród reklamodawców, może spowodować, iż dane osobowe danej osoby zobaczą setki organizacji, co sugeruje, iż zasady ochrony danych nie zostały w wystarczającym stopniu uwzględnione”.
Chociaż ICO zamknęło skargę ORG w sierpniu 2020 r., grupa ds. ochrony prywatności odwołała się od tej decyzji, utrzymując, iż podniesione kwestie nie zostały w pełni rozwiązane. W 2021 roku ORG przegrał apelację do Trybunału Informacyjnego o ponowne rozpatrzenie skargi.
Organizacja ORG stwierdziła, iż do chwili obecnej ICO nie podjęła żadnych działań regulacyjnych przeciwko naruszeniom ochrony danych w przestrzeni reklamowej online, które zostały ujawnione w wyniku złożonej przez nią skargi lub raportu z aktualizacji ICO.
Dodała, iż różni się to od sytuacji innych europejskich organów ochrony danych, które tak mają orzekł w sprawie niezgodności z prawem banerów zawierających pliki cookie i są aktywnie sprzeciwiać się przetwarzaniu danych osobowych przez Meta do reklamy behawioralnej.
„Wszędzie kwestionuje się niewłaściwy model biznesowy technologii reklamowej, ale Wielka Brytania pozostaje w tyle. Nowa skarga została wniesiona po części dlatego, iż merytoryczne kwestie podniesione w ICO w 2018 r. przez cały czas nie zostały rozwiązane” – stwierdziła ORG.
W swojej ostatniej skardze ORG stwierdziła, iż chociaż LiveRamp monitoruje setki milionów osób na całym świecie, jej fizyczna obecność w Wielkiej Brytanii w połączeniu z faktem, iż przetwarza dane osobowe milionów osób w Wielkiej Brytanii oznacza, iż kwestia leży w gestii ICO .
Computer Weekly skontaktował się z ICO w sprawie twierdzeń ORG dotyczących bierności organów regulacyjnych. Rzecznik powiedział, iż priorytetem dla organu regulacyjnego jest przywrócenie równowagi sił między społeczeństwem z jednej strony a reklamodawcami i agregatorami internetowymi z drugiej oraz iż ICO będzie w dalszym ciągu naciskać na większą przejrzystość i odpowiedzialność w ekosystemie adtech.
„Na przykład w listopadzie [2023], ostrzegliśmy 100 najpopularniejszych witryn internetowych w Wielkiej Brytanii, iż grozi im podjęcie działań egzekucyjnych, jeżeli przycisk „odrzuć wszystko” w przypadku reklamowych plików cookie nie będzie tak widoczny jak przycisk „zaakceptuj wszystko” – przy dotychczasowym wskaźniku zgodności wynoszącym 80% i większej liczbie działań mających na celu podążać. Daliśmy jasno do zrozumienia, iż w razie potrzeby podejmiemy zdecydowane działania, aby chronić społeczeństwo”.
