Los vendors AdTech no son los únicos responsables de la identidad de los usuarios
La industria de la publicidad ha recibido su regalo de Navidad: para los que no lo sabíais o no habéis tenido el tiempo para leerlo, TechCrunch publicó la semana pasada un estudio realizado por Adalytics sobre como, a día de hoy, se resuelve el problema de la identificación de los usuarios en la industria de internet.
La lectura es para expertos en tecnología porque, si bien la primera parte está llena de juicios de valor sobre el ecosistema, comprensibles por parte de todos los lectores, la demostración sin embargo es para adultos de las tecnologías.
A raíz de este estudio TechCrunch ha compartido su opinión, y como no nos queremos quedar cortos, nosotros también vamos a dar nuestra visión, pero si bien es cierto que en ambos artículos los vendors AdTech acaban en la hoguera, creo que hay que ser sinceros con lo que realmente está sucediendo en la industria y no matar al blanco fácil. Dicho esto, pasamos a ver que es lo que dice el articulo.
Empezamos por el titulo que nos llama a la atención:
Adtech vendors still tracking EU users who deny consent via IAB’s TCF, study suggests
¡Un momento! ¿quién ha dicho que los vendors AdTech están obligados a trabajar con el TC string? ¿Acaso hay algo o alguien que les indica que esto es obligatorio? Desde luego el titulo huele a: “otro articulo para meterse con todos los vendors AdTech de esta industria” y de paso, también dar una colleja a IAB Europe. No quiero ser malpensado así que vamos a leer todo el articulo.
Lo primero interesante que se lee son los cuatro mandamientos:
Many major ad tech vendors continue to track and profile EU users, even when an EU user has explicitly objected
The TCF strings that were designed by IAB Europe do not appear to be honored or parsed correctly by many ad tech vendors
Some ad tech vendors may not be able demonstrate they obtained user data with user consent, which may expose them to contractual compliance, investor/shareholder disclosure, and regulatory risks
In many instances, it is impossible for users to support media creators by allowing “basic ads” whilst disallowing tracking and behavioral profiling to protect their own privacy
Veamos comentarios varios sobre estos 4 puntos:
El primer punto: aunque puede que sea así, nunca puede ser 100% responsabilidad del vendor AdTech; también será responsable el site de lo que lanza desde su pagina, ¿no? El Publisher deberá disponer de un gobierno del dato, del dato el Publisher para saber que es lo que hace cualquier tecnología que se ejecuta en su pagina, ¿o solo se responsabiliza del contenido que se puede leer?
El segundo punto: el TCF, por desgracia, no es un estándar obligatorio definido por W3C y que todos los actores en internet tienen que acatar. Hay empresas que no lo usan o que están en proceso de adopción por lo que son libres de no contar con él en llamadas a la API. Un ejemplo clarísimo son los e-commerce, no tienen publicidad, no necesitan TCF, su abogado les dice que con el CMP versión base, el que no se paga, ¡van que chutan! Así que… deben tener el TCF porque, en caso contrario, no pueden hacer ni siquiera retargeting.
El tercer punto: sobre esto podríamos hablar años y no llegar a ninguna conclusión, ¿qué debe hacer un vendor AdTech para demostrar que si tiene el consentimiento? ¿Guardar el consent string en su sistema? ¿Está resuelto el problema de cómo auditamos esto dentro de la industria y es un proceso estándar? ¿O vale el proceso que use el que más artículos escriba sobre esto? Parece que la culpa es del los AdTech por no acatar un CLARISIMO reglamento de accountability que algún inexistente órgano internacional que regula todo, ha escrito. Bueno, esto no existe… aaaaahhhhh
El cuarto punto: esto es un problema de user experience relativo al Publisher y no al AdTech. No podemos obligar al vendor AdTech a verificar esto entre otras cosas porque no es escalable. Hay vendors AdTech de esta industria que tienen departamento de ética que hacen revisión al iniciar la relación con un Publisher de determinados parámetros, pero como lo continúan verificando, ¿cuál es la manera de hacer esto de manera escalable y segura? No la hay.
Sobre estos 4 puntos solo quiero recordar que IAB Tech Lab lleva un par de años discutiendo todas las semanas con los principales actores de la industria sobre accountability y addressability, un contenido interesante que nos viene a decir que, de entrada, la solución NO ES SENCILLA y que sobretodo, NO ES UNA SOLUCION QUE SOLO TOCA A LOS VENDORS ADTECH.
Seguimos…
El articulo habla de un test realizado con bots que han evidenciado carencias de ciertos vendors con sus API, carencias que viene bien saber porque así se pueden realizar parches, es como viene trabajando Windows con su SO, Mac con el suyo y todos los sistemas informáticos. Pero insisto sobre este punto, quien debe controlar el flujo de datos y de la información no es el vendor que la emite o por lo menos no al 100%, si alguien pone un iFrame con un site para adultos en su pagina, ¿es responsable el propietario de ese site? El caso de los Ad Tech en la mayoría de los casos se le parece mucho ya que la mayoría de las cosas se lanzan desde iFrames. Sobre el test de todos modos, nada que decir, bien montado en términos de casos de uso y de herramientas usadas, los problemas llegan a la hora de dar una conclusión sobre los datos recopilados.
The conclusion that we make in our study is that the adtech vendors have not taken the time, money and engineering labor hours to properly configure their servers and APIs,” Adalytics’ founder Krzysztof Franaszek told TechCrunch, discussing the research. “In theory, all TCF participants… should have set up their servers and APIs in a way that checks and validates the TCF strings.
Interesante conclusión, pero ahora hay que dar la opinión desde la otra cara de la moneda. TCF no es ni un estándar de la industria digital ni un protocolo de internet, ni siquiera ha conseguido poner a todos de acuerdo porque, de hecho, hay países donde se le acusa de ser “data controller”. ¿Cómo puede una empresa tecnológica cambiar su roadmap y dedicar refuerzos, ingenieros y trabajo con el único motivo de ser compliance con el TCF? ¿Quién garantiza a los vendors AdTech que ese es el camino a seguir?
¡La respuesta es NADIE!
Con la autoridad belga detrás del TCF, con todo el revuelo que está habiendo detrás de las soluciones propuestas, con la incertidumbre que hay alrededor de todo esto, yo entiendo que una empresa no quiera dedicar todos sus recursos en adaptarse a algo que puede ser en vano. Vivimos en un bloqueo debido a que la tecnología del ecosistema actual no puede garantizar cumplir con el reglamento al 100% sin perder funcionalidades (casos de uso) o sin poder garantizar un mercado competitivo sin monopolios. Hay iniciativas de industria como el TCPF (que no es el TCF) que está tratando de concienciar a todos los actores de que lo mejor es que busquemos una solución que no sea de nadie y que nos valga a todos, hay iniciativas privadas que lo están intentando también… pero la conclusión siempre es la misma, ¡se le pone debajo de la lupa y salen los campeones de las criticas, los que miran que es lo que está mal! Bienvenidos sean pero que sepan también que se agradecería un aporte de solución real porque la situación es realmente complicada y el apalancamiento sobre la industria de muchas compañías de AdTech lo demuestran. ¿Oigan podemos mirar y juzgar, nos quedan 2 años de artículos sobre la privacy que sinceramente me aburren, luego?
En fin, no es que yo sea contrario a los estudios sobre el funcionamiento del ecosistema tecnológico publicitario. Lo que digo es: bienvenido sea el examen profundo para todas las AdTech pero todo eso, cuando se sepa de manera clara que es lo que tienen que hacer para estar 100% dentro del marco legal, el articulo da por descontado que eso lo reúne el TCF y no es así porque aunque es una maravillosa iniciativa tiene sus cuentas pendientes con las autoridades de muchos países de la UE como el mismo articulo narra.
Quizás ha llegado el momento de dejar de “freir” a IAB Europe con el TCF y unir fuerzas para usarlo como punto de partida para la construcción de una solución que resuelva ya de paso el problema de la identidad de los usuarios preservando su privacidad.