Falha no código PubMatic coloca publishers em risco ao violar regras de privacidade
As empresas de AdTech gerem biliões de ofertas de anúncios de milhares de publishers em questão de milissegundos. Em geral, esses processos automáticos ocorrem normalmente, mas às vezes pode haver erros que reduzem a privacidade. Quando isso acontece, torna-se um problema em relação ao cumprimento das leis de proteção de dados, como o GDPR.
Foi o que aconteceu recentemente com s PubMatic, cuja tecnologia, agora implantada em quase 2.500 sites em todo o mundo, foi configurada esta semana de forma a colocar profissionais de marketing e publishers em risco de violar o GDPR.
A Sincera, startup especializada em coletar e fornecer dados de telemetria de media para o ecossistema de tecnologia de anúncios, percebeu essa falha que o AdExchanger reporta. De acordo com este meio, a PubMatic afirma que o problema se deve, pelo menos em parte, a um erro no código do Prebid.
Ou seja, uma configuração padrão no Identity Hub, a ferramenta de gestão de identidades baseada em pré-oferta da PubMatic, era tão baixa que ignorava as cadeias de caracteres de consentimento dos utilizadores. Por outro lado, observou-se que a ferramenta introduziu Identity Hub ID's nas solicitações de bid de outros SSPs dentro do wrapper principal de um publisher (que geralmente é baseado em Prebid).
Um porta-voz da PubMatic disse ao AdExchanger que a empresa "nunca ignora o consentimento do utilizador", adere aos sinais de consentimento que recebe e apenas "transmite sinais inalterados" para seus parceiros em todas as transações em que se envolvem. Mas a questão não é que o Identity Hub ignora propositadamente o consentimento do utilizador, mas que estava a dar às plataformas de gestão de consentimento e aos utilizadores tempo suficiente para interagir com o mecanismo.
O tempo limite padrão do Prebid para chamar uma CMP é de 10.000 milissegundos (ou 10 segundos). No Identity Hub, o tempo limite era regularmente definido como 1 milissegundo ou 50 milissegundos, ou seja, apenas 0,001 ou 0,005 segundos. Embora haja um módulo de consentimento, o Identity Hub não esperou o suficiente para registrar a interação.
O objetivo do Identity Hub é tornar mais fácil para os publishers trabalharem com qualquer provedor de identidade que escolherem dentro de um serviço gerido, o que significa que muitos publishers provavelmente nunca se preocupam em alterar as configurações padrão. A PubMatic disse ao AdExchanger que, "por uma abundância de cautela" para com os seus clientes publishers, "está tomar uma medida proativa de redefinir o tempo limite de consentimento para padrão" para que as consultas de consentimento tenham mais tempo para obter uma resposta.
Desde então, forçou a redefinição do temporizador de consentimento no Identity Hub para entre 497 e 500 milissegundos (cerca de meio segundo), o que ainda é muito menos do que o padrão do Prebid. O tempo médio de consentimento dos 1.600 principais publishers por tráfego no ecossistema Prebid, excluindo o Identity Hub, é de aproximadamente 7,7 segundos.
Porque é que isto foi um problema?
Ao carregar uma página da Web na Europa, os publishers precisam verificar se há consentimento antes de chamar a API de um provedor de identidade com tokens de consentimento. Mas um limite de tempo de espera de consentimento tão baixo torna isso impossível. Como tal, o Identity Hub frequentemente marcava as suas solicitações aos provedores de identidade como "GDPR = 0", o que presumivelmente significava que não acreditava que a lei era aplicável naquele caso. Se um provedor de identidade tomar isso pelo valor nominal, isso acabaria gerando IDs não consensuais, mas, felizmente, a maioria dos provedores de identidade verifica se há um opt-in antes de enriquecer uma solicitação de oferta.
Ian Meyers, cofundador da Sincera, afirmou: "É um bom alerta para os provedores de tecnologia de anúncios. Temos de saber quem está à sua frente, e você também não pode presumir que tem consentimento sem verificar"
No setor de AdTech, existem inúmeras transferências que ocorrem em milissegundos ao longo da cadeia de suprimentos para apoiar a publicidade direcionada. Se a Internet é uma série de pipes (tubos), ad tech é uma série de associações extremamente interconectadas através de um labirinto de tubos programáticos codependentes. Em regiões como a Europa, onde é ilegal ignorar os pedidos de consentimento, os publishers que não têm uma ideia clara do que seus provedores de tecnologia de anúncios estão a fazer, correm alto risco de serem aplicados.
"Entenda o que está a implementar e faça perguntas, muitas perguntas, sobre como funciona", disse Meyers. "Se há algo a tirar de tudo isso, é que pode haver uma grande diferença entre pensar que uma solução é segura para a privacidade e realmente saber o que você está a fazer no seu site."
Fonte: AdExchanger