Ο διαμεσολαβητής διαφημίσεων Xandr (θυγατρική της Microsoft) συλλέγει και μοιράζεται τα προσωπικά δεδομένα εκατομμυρίων Ευρωπαίων για λεπτομερή στοχευμένη διαφήμιση. Αυτό επιτρέπει στον Xand να δημοπρατήσει διαφημιστικό χώρο σε χιλιάδες διαφημιστές. Αλλά: αν και μόνο μία διαφήμιση εμφανίζεται τελικά στους χρήστες, όλοι οι διαφημιστές λαμβάνουν τα δεδομένα τους. Αυτό μπορεί να περιλαμβάνει προσωπικά στοιχεία που αφορούν την υγεία, τη σεξουαλικότητα ή τις πολιτικές απόψεις τους. Επίσης, παρά το γεγονός ότι πούλησε την υπηρεσία της ως «στοχευμένη», η εταιρεία κατέχει μάλλον τυχαίες πληροφορίες: ο καταγγέλλων προφανώς είναι και άνδρας, γυναίκα, εργαζόμενος και άνεργος. Αυτό θα μπορούσε να επιτρέψει στην Xand να πουλά διαφημιστικό χώρο σε πολλές εταιρείες που πιστεύουν ότι στοχεύουν μια συγκεκριμένη ομάδα. Ορισμένες λεπτομέρειες είναι ακόμα άγνωστες, καθώς ο Xandr αρνήθηκε επίσης να συμμορφωθεί με το αίτημα πρόσβασης και διαγραφής του καταγγέλλοντα. Η noyb έχει πλέον υποβάλει καταγγελία GDPR.
Ιστορικό: στοχευμένη διαφήμιση. Εάν οι εταιρείες θέλουν να χρησιμοποιήσουν στοχευμένη διαφήμιση για την προώθηση των προϊόντων ή των υπηρεσιών τους στο διαδίκτυο, πρέπει να περάσουν από τις λεγόμενες πλατφόρμες υποβολής προσφορών σε πραγματικό χρόνο (RTB). Μια τέτοια πλατφόρμα διευθύνεται από τη θυγατρική της Microsoft Xandr, η οποία επιτρέπει στους διαφημιστές να αγοράζουν διαφημιστικό χώρο σε ιστότοπους ή σε εφαρμογές για κινητά με πλήρως αυτοματοποιημένο τρόπο. Όταν ένας χρήστης επισκέπτεται έναν ιστότοπο, πραγματοποιείται μια αλγοριθμική δημοπρασία προκειμένου να αποφασιστεί ποια εταιρεία μπορεί να εμφανίσει μια διαφήμιση. Επειδή τα ενδιαφέροντα και τα χαρακτηριστικά ενός χρήστη καθορίζουν τελικά την προθυμία ενός διαφημιζόμενου να τοποθετήσει μια διαφήμιση, το Xandr συλλέγει και μοιράζεται έναν τεράστιο όγκο προσωπικών δεδομένων προκειμένου να δημιουργήσει το προφίλ των χρηστών και να επιτρέψει τη στόχευση. Πολλά από αυτά τα δεδομένα αγοράζονται από εξωτερικά μέρη όπως η emetriq, θυγατρική της German Telecom .
Αναπηρία; Εγκυος; LGBT; Προηγούμενη έρευνα είχε δείξει ότι ο Xandr συλλέγει εκατοντάδες ευαίσθητα προφίλ Ευρωπαίων που περιέχουν πληροφορίες σχετικά με την υγεία, τη σεξουαλική ζωή ή τον σεξουαλικό τους προσανατολισμό, πολιτικές ή φιλοσοφικές απόψεις, θρησκευτικές πεποιθήσεις ή οικονομική κατάσταση. Τα συγκεκριμένα τμήματα περιλαμβάνουν πράγματα όπως "γαλλικά_αναπηρία", "έγκυος", "lgbt", "ισότητα_φύλου" και "εβραϊκή γαλλική γλώσσα".
0% συμμόρφωση με τα αιτήματα GDPR. Σύμφωνα με τον GDPR, ο καθένας έχει δικαίωμα πρόσβασης στις πληροφορίες του. Ωστόσο, παρά τη συλλογή τεράστιων ποσοτήτων λεπτομερών πληροφοριών για τους ανθρώπους, ο Xandr αναφέρει ένα εκπληκτικό ποσοστό απόκρισης 0% σε αιτήματα πρόσβασης και διαγραφής το 2022. Ο Xandr δημοσιεύει ακόμη και αυτά τα εσωτερικά στατιστικά στοιχεία σε έναν κρυφό ιστότοπο για να τον δουν όλοι. Ο καταγγέλλων αντιμετώπισε αυτήν την προσέγγιση από πρώτο χέρι: Όταν ζήτησε πρόσβαση στα δεδομένα του, ο Xandr ισχυρίστηκε ότι δεν μπορούσε να τον αναγνωρίσει - και αρνήθηκε το αίτημά του για πρόσβαση και διαγραφή. Στην πραγματικότητα, η εταιρεία διαθέτει όλες τις απαραίτητες πληροφορίες για να ξεχωρίσει συγκεκριμένα υποκείμενα δεδομένων. Ο εντοπισμός και η στόχευση ατόμων είναι τελικά η βασική τους δραστηριότητα.
Massimiliano Gelmi, δικηγόρος προστασίας δεδομένων στο noyb : «Η επιχείρηση του Xandr βασίζεται προφανώς στο να διατηρεί δεδομένα για εκατομμύρια Ευρωπαίους και να τους στοχεύει. Ωστόσο, η εταιρεία παραδέχεται ότι έχει ποσοστό απόκρισης 0% σε αιτήματα πρόσβασης και διαγραφής. Είναι εκπληκτικό το γεγονός ότι ο Xandr δείχνει ακόμη και δημόσια πώς παραβιάζει τον GDPR».
(μη)στοχευμένη διαφήμιση. Επιπλέον, ο GDPR απαιτεί τα δεδομένα για τα άτομα να είναι «ακριβή». Ωστόσο, οι διαθέσιμες πληροφορίες υποδηλώνουν ότι το σύστημα του Xand χρησιμοποιεί τόνους ψευδών πληροφοριών σχετικά με τους χρήστες. Ακόμη και από επιχειρηματική σκοπιά, ο Xandr φαίνεται να κοροϊδεύει την ιδέα της στοχευμένης διαφήμισης. Χάρη σε ένα αίτημα πρόσβασης με τον μεσίτη δεδομένων – και τον προμηθευτή Xandr – emetriq, γνωρίζουμε ότι τουλάχιστον μέρος της βάσης δεδομένων του Xand αποτελείται από εξαιρετικά ανακριβή και αντιφατικά προσωπικά δεδομένα για άτομα: Σύμφωνα με το emetriq, ο καταγγέλλων είναι άνδρας και γυναίκα, έχει εκτιμώμενη ηλικία μεταξύ 16-19, 20-29, 30-39, 40-49, 50-59 και 60+. Ο καταγγέλλων έχει επίσης εισόδημα μεταξύ 500 - 1.500 ευρώ, 1.500 - 2.500 ευρώ και 2.500 - 4.000 ευρώ. Επιπλέον, το ίδιο άτομο αναζητά εργασία, απασχολείται, φοιτητής, μαθητής και εργάζεται σε εταιρεία. Αυτή η εταιρεία, με τη σειρά της, απασχολεί 1-10, 1.000+ και 1.100-5.000 άτομα ταυτόχρονα. Είναι δύσκολο να φανταστεί κανείς πώς μπορούν να χρησιμοποιηθούν αυτές οι κατηγορίες δεδομένων για ακριβή στόχευση διαφημίσεων. Παρόλο που η emetriq δεν είναι ο μόνος μεσίτης δεδομένων που παρέχει δεδομένα στην Xandr, πρέπει να υποτεθεί ότι αυτές οι πληροφορίες χρησιμοποιούνται για στόχευση διαφημίσεων.
Massimiliano Gelmi, δικηγόρος προστασίας δεδομένων στο noyb : «Φαίνεται ότι μέρη της διαφημιστικής βιομηχανίας δεν ενδιαφέρονται πραγματικά για την παροχή ακριβών πληροφοριών στους διαφημιστές. Αντίθετα, το σύνολο δεδομένων περιέχει μια χαοτική ποικιλία αντικρουόμενων πληροφοριών. Αυτό μπορεί ενδεχομένως να ωφελήσει εταιρείες όπως η Xand, καθώς μπορούν να πουλήσουν τον ίδιο χρήστη με νέους και ηλικιωμένους σε διαφορετικούς επιχειρηματικούς εταίρους».
Καταγγελία που υποβλήθηκε στην Ιταλία. Η noyb έχει πλέον καταθέσει καταγγελία GDPR στην ιταλική αρχή προστασίας δεδομένων (Garante) σχετικά με θέματα διαφάνειας, το δικαίωμα πρόσβασης και τη χρήση ανακριβών πληροφοριών σχετικά με τους χρήστες. Συνολικά, η Xand φαίνεται ότι παραβιάζει το άρθρο 5 παράγραφος 1 στοιχεία γ) και δ), το άρθρο 12 παράγραφος 2, το άρθρο 15 και το άρθρο 17 του GDPR. Ως εκ τούτου, ζητάμε από την αρχή να διερευνήσει τις διαδικασίες επεξεργασίας της Xand και να διατάξει την εταιρεία να συμμορφωθεί με το αίτημα του καταγγέλλοντα για πρόσβαση και διαγραφή. Όσον αφορά όλα τα επηρεαζόμενα υποκείμενα των δεδομένων, προτείνουμε επίσης η Garante να διατάξει την Xandr να ευθυγραμμίσει τις λειτουργίες επεξεργασίας της με τις αρχές της ελαχιστοποίησης και της ακρίβειας των δεδομένων. Τέλος, προτείνουμε στην αρμόδια αρχή να επιβάλει αποτελεσματικό, αναλογικό και αποτρεπτικό διοικητικό πρόστιμο έως και 4% του ετήσιου κύκλου εργασιών της Xand.