El intermediario publicitario Xandr (filial de Microsoft) recopila y comparte los datos personales de millones de europeos con fines de publicidad dirigida detallada. Esto permite a Xandr subastar espacios publicitarios a miles de anunciantes. Pero: aunque al final sólo se muestre un anuncio a los usuarios, todos los anunciantes reciben sus datos. Estos pueden incluir detalles personales sobre su salud, sexualidad u opiniones políticas. Además, a pesar de vender su servicio como "dirigido", la empresa posee información bastante aleatoria: al parecer, el demandante es a la vez hombre, mujer, empleado y desempleado. Esto podría permitir a Xandr vender espacio publicitario a múltiples empresas que creen dirigirse a un grupo específico. Aún se desconocen algunos detalles, ya que Xandr también se negó a atender la solicitud de acceso y borrado del denunciante. noyb ha presentado ahora una denuncia GDPR.
Antecedentes: publicidad dirigida. Si las empresas quieren utilizar publicidad dirigida para promocionar sus productos o servicios en línea, tienen que recurrir a las denominadas plataformas de pujas en tiempo real (RTB). Una de ellas es Xandr, filial de Microsoft, que permite a los anunciantes comprar espacios publicitarios en sitios web o aplicaciones móviles de forma totalmente automatizada. Cuando un usuario visita un sitio web, se produce una subasta algorítmica para decidir qué empresa puede mostrar un anuncio. Dado que los intereses y características de un usuario determinan en última instancia la disposición de un anunciante a insertar un anuncio, Xandr recopila y comparte una enorme cantidad de datos personales para elaborar el perfil de los usuarios y permitir la segmentación. Gran parte de esos datos los compran empresas externas como emetriq, filial de la alemana Telecom.
¿Discapacitado? ¿Embarazadas? ¿LGBT? Investigaciones anteriores han demostrado que Xandr recopila cientos de perfiles sensibles de europeos que contienen información sobre su salud, vida sexual u orientación sexual, opiniones políticas o filosóficas, creencias religiosas o situación financiera. Los segmentos específicos incluyen cosas como "french_disability", "pregnant", "lgbt", "gender_equality" y "jewishfrench".
0% de cumplimiento de las exigencias del GDPR. Según el GDPR, todo el mundo tiene derecho a acceder a su información. Sin embargo, a pesar de recopilar grandes cantidades de información detallada sobre las personas, Xandr informa de una asombrosa tasa de respuesta del 0% a las solicitudes de acceso y borrado en 2022. Xandr incluso publica estas estadísticas internas en un sitio web oculto para que todo el mundo pueda verlas. El denunciante ha experimentado este enfoque de primera mano: Cuando solicitó acceso a sus datos, Xandr alegó que no podía identificarle, y denegó su solicitud de acceso y borrado. En realidad, la empresa dispone de toda la información necesaria para identificar a personas concretas. Al fin y al cabo, su actividad principal es identificar y seleccionar a las personas.
Massimiliano Gelmi, abogado especializado en protección de datos de noyb: "El negocio de Xandr se basa evidentemente en conservar datos sobre millones de europeos y dirigirse a ellos. Aun así, la empresa admite que tiene una tasa de respuesta del 0% a las solicitudes de acceso y borrado. Es asombroso que Xandr incluso ilustre públicamente cómo incumple el GDPR."
publicidad (no) específica. Además, el GDPR exige que los datos sobre las personas sean "exactos". Sin embargo, la información disponible sugiere que el sistema de Xandr utiliza toneladas de información falsa sobre los usuarios. Incluso desde una perspectiva empresarial, Xandr parece burlarse de la idea de la publicidad dirigida. Gracias a una solicitud de acceso al corredor de datos -y proveedor de Xandr- emetriq, sabemos que al menos una parte de la base de datos de Xandr está formada por datos personales de la gente tremendamente inexactos y contradictorios: Según emetriq, el denunciante es tanto hombre como mujer, tiene una edad estimada entre 16-19, 20-29, 30-39, 40-49, 50-59 y 60+. El denunciante también tiene unos ingresos de entre 500 - 1.500 euros, 1.500 - 2.500 euros y 2.500 - 4.000 euros. Además, la misma persona busca trabajo, está empleada, es estudiante, alumna y trabaja en una empresa. Esa empresa, a su vez, emplea al mismo tiempo a 1-10, 1.000+ y 1.100-5.000 personas. Es difícil imaginar cómo pueden utilizarse estas categorías de datos para una segmentación publicitaria precisa. Aunque emetriq no es el único corredor de datos que suministra datos a Xandr, hay que suponer que esta información se utiliza para la segmentación publicitaria.
Massimiliano Gelmi, abogado especializado en protección de datos de noyb: "Parece que algunas partes de la industria publicitaria no se preocupan realmente por proporcionar a los anunciantes información precisa. En su lugar, el conjunto de datos contiene una caótica variedad de información contradictoria. Esto puede beneficiar potencialmente a empresas como Xandr, ya que pueden vender el mismo usuario como joven y viejo a diferentes socios comerciales."
Denuncia presentada en Italia. noyb ha presentado ahora una denuncia GDPR ante la autoridad italiana de protección de datos (Garante) en relación con cuestiones de transparencia, el derecho de acceso y el uso de información inexacta sobre los usuarios. En general, Xandr parece infringir el artículo 5, apartado 1, letras c) y d), el artículo 12, apartado 2, el artículo 15 y el artículo 17 del RGPD. Por lo tanto, pedimos a la autoridad que investigue las operaciones de tratamiento de Xandr y ordene a la empresa que atienda la solicitud de acceso y supresión del denunciante. Con respecto a todos los interesados afectados, también sugerimos que el Garante ordene a Xandr que ajuste sus operaciones de tratamiento a los principios de minimización y exactitud de los datos. Por último, sugerimos que la autoridad competente imponga una multa administrativa efectiva, proporcionada y disuasoria de hasta el 4% del volumen de negocios anual de Xandr.