Tu ubicación geográfica, tu estado civil o si tienes hijos son solo algunos de los datos personales recopilados a través las ‘cookies’ por empresas de publicidad programática como Google Ads o Microsoft Advertising.
Nuestro equipaje (los datos que viajan cuando aceptamos las cookies) viene determinado por el tipo de cookies que recopila cada socio. Algo que sólo podemos saber si estos tienen el sello IAB TCF.
Este distintivo indica que la empresa se adhiere al TCF, el marco de transparencia y consentimiento creado por IAB Europe (Asociación Europea de Publicidad Interactiva) del que ya hablamos en este artículo. Este marco tiene en cuenta los requisitos legales del Reglamento General de Protección de Datos (RGPD) y la Directiva 2002/58/CE sobre privacidad y comunicaciones electrónicas. Por ello, si una empresa decide adherirse al TCF estará obligada a detallar qué tipo de datos recopila.
El experto en protección de datos consultado para este análisis aclara que el TCF establece un marco estandarizado, pero si luego un agente no lo cumple la responsabilidad no es de IAB, sino que recaerá en la agencia de datos que corresponda.
De los 1.062 socios que nos encontramos en nuestra primera batida sobre los 10 medios más leídos de España, 805 siguen el TCF, pero otros 257 no lo hacen. Esto significa que en febrero de 2024, un total de 257 empresas podían recopilar nuestras cookies sin especificarnos con qué finalidad lo hacían o durante cuánto tiempo. Entre ellas, dos con sede en Rusia: Mail.Ru (socio de 20 Minutos) y Target RTB (socio de 20 Minutos y de La Vanguardia).
Por otro lado, todas las compañías que se repiten en los 10 medios analizados tienen el sello TCF. De estas 328 empresas, sabemos que la gran mayoría recopila direcciones IP. Ese dato puede revelar la ubicación general de un usuario. Un gran número de ellas, 231, también recogen «datos de localización geográfica no precisa», es decir, la región o ciudad en la que nos encontramos, y 86 obtienen cookies de «localización geográfica precisa», nuestra ubicación exacta.
Analizando las webs de estos socios, nos encontramos que, por ejemplo, ADventori recopila cookies de localización geográfica no precisa y hace campañas publicitarias basadas en la geolocalización. Por su parte, Adxperience obtiene datos de localización geográfica precisa y segmenta a su audiencia a través de sus coordenadas GPS.
Sabemos, por tanto, que hay empresas de publicidad programática que saben la ubicación de nuestro dispositivo y, en función de estos datos, nos lanzan unos anuncios concretos. ¿Recuerdan aquella escena de Minority Report en la que los carteles publicitarios hablaban a los peatones?
Los socios también recopilan otros datos que les sirven para identificar a un único individuo entre varias sesiones y vincularlo a su dispositivo. Otro tipo de cookies les permite segmentar audiencias. Esto es clave porque permite clasificar esos millones de usuarios en categorías a las que dirigir la publicidad. De los 328 socios repetidos en los 10 diarios digitales más leídos, 143 obtienen cookies de «inferencias o segmentación de audiencia».
Categorizando nuestra vida
Llegados a este punto, hay que citar a Google. Google Advertising Products está presente en nueve medios y Google Analytics Products en siete. El primero sigue el marco de IAB, el otro no. Las bases de datos de Advertising y Analytics, como ellos mismos afirman, tienen el mismo origen: Google Ads. Como Google Ads sí sigue el marco de IAB, sabemos que recopilan cookies de «inferencias o segmentación de audiencias». Y no queda ninguna duda cuando se accede a sus servicios de publicidad. Google Ads crea segmentos de audiencia con la actividad que recopila de los usuarios cuando estos usan productos de Google y sitios webs de terceros.
Las clasificaciones pueden variar desde lo más común, sus intereses y aficiones, hasta eventos importantes de su vida. Segmentos muy específicos al alcance de cualquier empresa, entidad o administración pública que quiera realizar una campaña de marketing. En total, 41 categorías y 926 subcategorías. Audiencias clasificadas en características tan específicas como la preferencia de una persona por salir de noche, su interés por las noticias de política, su situación sentimental, que esté pensando en comprar lencería, que quiera viajar Granada, si tiene hijos de entre 13 y 17 años o que viva de alquiler, por nombrar solo unas cuantas. Datos que, además, se actualizan cada semana.
¿Sería entonces descabellado pensar que Google podría saber que, entre la semana pasada y ésta, mi estado civil pasó de estar en una relación a soltera y, por ello, mostrarme anuncios acordes a un proceso de ruptura? ¿O, si me gustase leer noticias económicas y educar a mis hijos en casa, me serviría anuncios de un determinado candidato político que apostase por políticas liberales y denostara la educación pública?
«Esos perfiles pueden llegar a unos niveles de conocimiento sobre una persona incluso superiores a los que esa persona tiene de sí mismo», comenta Samuel Parra. Este abogado especializado en derecho tecnológico añade como ejemplo que, «hace unos años, se demostró que Facebook sabía cuándo una persona iba a serle infiel a su pareja (antes de que la infidelidad fuera siquiera una idea en su cabeza) o incluso cuándo iba a terminar su relación».
Al menos, Google se jacta de que «nunca utilizará información sensible (como la salud, la raza, la religión o la orientación sexual) para personalizar los anuncios que ven los usuarios». Microsoft no puede decir lo mismo.
Microsoft Advertising se repite en los 10 diarios y sigue el marco TCF. Por ello, sabemos que recopila cookies que incluyen datos sobre la orientación sexual o la salud para clasificar su audiencia, que consta de 686 millones de usuarios en todo el mundo. Sobre los datos que recoge Bing Ads, que también pertenece a Microsoft y aparece en la lista de 20 Minutos, La Vanguardia y El Mundo, no sabemos nada porque no tiene el sello TCF.
Acceder a este tipo de datos «es especialmente preocupante en regiones donde las orientaciones sexuales no tradicionales pueden acarrear graves repercusiones. En poder de los ciberdelincuentes, las cookies activas pueden aprovecharse para acceder a cuentas personales, crear perfiles detallados de individuos y lanzar ciberataques dirigidos tanto a personas como a sus lugares de trabajo», alerta Adrianus Warmenhoven, de la empresa NordVPN.