Η εταιρεία adtech Xandr που ανήκει στη Microsoft είναι στο επίκεντρο μιας καταγγελίας που υποστηρίζεται από την ευρωπαϊκή ομάδα υπεράσπισης της ιδιωτικής ζωής, τη noyb — μια μη κερδοσκοπική οργάνωση που έχει κάνει όνομα με τις δράσεις της εναντίον τεχνολογικών γιγάντων που παραβιάζουν τον κανονισμό προστασίας δεδομένων.
Δείτε επίσης: Microsoft: Ορθογραφικός έλεγχος και αυτόματη διόρθωση έρχονται στο Notepad
Στην πιο πρόσφατη κίνησή της, η noyb στηρίζει ένα ανώνυμο άτομο στην Ιταλία για να υποβάλει καταγγελία κατά της Xandr στην αρμόδια αρχή προστασίας δεδομένων της χώρας. Η καταγγελία υποβλήθηκε βάσει του Γενικού Κανονισμού Προστασίας Δεδομένων (GDPR) της Ευρωπαϊκής Ένωσης, που σημαίνει ότι, αν επικρατήσει, θα μπορούσε να οδηγήσει σε πρόστιμα έως και 4% του παγκόσμιου ετήσιου κύκλου εργασιών της Microsoft, της μητρικής εταιρείας της Xandr.
Η Xandr κατηγορείται για έλλειψη διαφάνειας και παραβίαση των δικαιωμάτων πρόσβασης των ατόμων σε δεδομένα, των οποίων οι πληροφορίες επεξεργάζονται για τη δημιουργία προφίλ που χρησιμοποιούνται για μικροστοχευμένες διαφημίσεις μέσω προγραμματισμένων δημοπρασιών. Η καταγγελία ισχυρίζεται επίσης ότι η εταιρεία adtech χρησιμοποιεί ανακριβείς πληροφορίες για τα άτομα.
Η καταγγελία ζητά από την αρχή προστασίας δεδομένων να διερευνήσει και, αν επιβεβαιωθούν οι παραβιάσεις, να διατάξει την Xandr να συμμορφωθεί. Η noyb προτείνει επίσης την επιβολή προστίμου έως και 4% των ετήσιων εσόδων της μητρικής της Xandr (σημείωση: τα ετήσια έσοδα της Microsoft για το 2023 ανήλθαν σε περίπου 212 δισεκατομμύρια δολάρια).
Διαχείριση κινδύνου
Η Microsoft ξεκίνησε από την «τεχνολογική πλατφόρμα με δυνατότητα δεδομένων», όπως αποκαλούσε την Xandr, στα τέλη του 2021, με στόχο να επεκτείνει τις δραστηριότητές της στην ψηφιακή διαφήμιση. Παρά την εξαγορά της, η Xandr διατήρησε την αυτονομία της και λειτουργεί ως ξεχωριστή οντότητα. Στο δελτίο τύπου της Microsoft εκείνης της περιόδου, αναφερόταν ότι η εξαγορά ενίσχυε τις «λύσεις πολυμέσων λιανικής» και προσέφερε «ενισχυμένη δημιουργία εσόδων για τους εκδότες μέσω μεγαλύτερης πρόσβασης σε δεδομένα πρώτου μέρους και μιας ολοκληρωμένης προσέγγισης στο μάρκετινγκ». Ωστόσο, δεν υπήρξε αναφορά στην πιθανή αύξηση του κινδύνου που θα μπορούσε να προκύψει από την εξαγορά.
Το πρόβλημα, σύμφωνα με την καταγγελία, είναι ότι η Xandr αποτυγχάνει να ανταποκριθεί στα αιτήματα πρόσβασης σε δεδομένα από άτομα που επιθυμούν να διαγράψουν ή να διορθώσουν τα προσωπικά τους στοιχεία. Η καταγγελία αναφέρεται σε μια “κρυφή” ιστοσελίδα, όπου η Xandr δημοσιεύει στατιστικά στοιχεία πρόσβασης. Σύμφωνα με αυτή τη σελίδα, από την 1η Ιανουαρίου 2022 έως την 31η Δεκεμβρίου 2022, η εταιρεία έλαβε 1.294 αιτήματα πρόσβασης και 600 αιτήματα διαγραφής, αλλά τα απέρριψε όλα.
Διαβάστε ακόμα: Ανίχνευση και ανάλυση κακόβουλων scripts
Ένα σημείωμα στην ιστοσελίδα αναφέρει: «Απορρίπτουμε τα αιτήματα πρόσβασης και διαγραφής όταν δεν μπορούμε να επαληθεύσουμε την ταυτότητα και τη δικαιοδοσία του αιτούντος. Λόγω της φύσης των δεδομένων (τα οποία) που συλλέγει η Xandr στην πλατφόρμα της, δεν είναι δυνατόν να επαληθεύσουμε την ταυτότητα των καταναλωτών που υποβάλλουν αιτήματα πρόσβασης και διαγραφής, εκτός εάν αυτά τα αιτήματα συνδέονται με άλλα αναγνωριστικά. Ως εκ τούτου, απορρίπτουμε τέτοια αιτήματα».
Έτσι, η Xand φαίνεται να ισχυρίζεται ότι δεν χρειάζεται να συμμορφώνεται με τα δικαιώματα πρόσβασης στα δεδομένα του GDPR, επειδή οι πληροφορίες που διατηρεί για τα άτομα είναι ψευδώνυμα.
Ωστόσο, η καταγγελία υποστηρίζει ότι είναι αναξιόπιστο για μια εταιρεία που βασίζει ολόκληρη την επιχείρησή της στη δημιουργία προφίλ ατόμων για στοχευμένα διαφημιστικά κέρδη να ισχυρίζεται ότι δεν μπορεί να προσδιορίσει τα άτομα των οποίων κατέχει τις πληροφορίες.
Σχολιάζοντας μια δήλωση, ο Massimiliano Gelmi, δικηγόρος προστασίας δεδομένων στο noyb, ανέφερε: «Η επιχείρηση του Xandr βασίζεται στη διατήρηση δεδομένων για εκατομμύρια Ευρωπαίους και στη στόχευσή τους. Παρ’ όλα αυτά, η εταιρεία παραδέχεται ότι έχει ποσοστό απόκρισης 0% σε αιτήματα πρόσβασης και διαγραφής. Είναι εντυπωσιακό πως ο Xandr δείχνει δημόσια πώς παραβιάζει τον GDPR».
Αξίζει να σημειωθεί ότι ο GDPR έχει μια ευρεία αντίληψη για το τι θεωρείται προσωπικά δεδομένα. Ακόμα και τα δεδομένα που έχουν υποστεί ψευδωνυμοποίηση παραμένουν προσωπικά δεδομένα. Αυτό σημαίνει ότι όσοι κατέχουν τέτοιου είδους πληροφορίες πρέπει να συμμορφώνονται με τις πανευρωπαϊκές νομικές απαιτήσεις, όπως η παροχή δικαιωμάτων πρόσβασης στα δεδομένα.
Οι κατευθυντήριες γραμμές για τα δικαιώματα πρόσβασης των υποκειμένων των δεδομένων, που εγκρίθηκαν από το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων (EDPB) πέρυσι, περιλαμβάνουν ένα χαρακτηριστικό παράδειγμα από τον τομέα της “μικροστοχευμένης διαφήμισης”. Στο παράδειγμα αυτό, το Συμβούλιο επισημαίνει ότι μια adtech εταιρεία θα πρέπει να μπορεί να «ταυτοποιήσει με ακρίβεια» ένα άτομο που ζητά πρόσβαση στα προσωπικά του δεδομένα, χρησιμοποιώντας τον ίδιο τερματικό εξοπλισμό που συνδέεται με το διαφημιστικό του προφίλ (δηλαδή μέσω των cookies που έχουν απορριφθεί εκεί). Αυτό είναι εφικτό επειδή «μπορεί να εντοπιστεί μια σύνδεση μεταξύ των δεδομένων που υποβάλλονται σε επεξεργασία και του υποκειμένου των δεδομένων».
Εάν ένα άτομο ζητήσει τα δεδομένα του με εναλλακτικό τρόπο, όπως μέσω email, η καθοδήγηση της EDPB προτείνει ότι η εταιρεία adtech θα πρέπει να ζητήσει πρόσθετες πληροφορίες για να προσδιορίσει το σχετικό διαφημιστικό προφίλ και να εκπληρώσει το αίτημα πρόσβασης στα δεδομένα. Συγκεκριμένα, η καθοδήγηση αναφέρει ότι το άτομο πρέπει να παράσχει το αναγνωριστικό cookie που είναι αποθηκευμένο στον τερματικό του εξοπλισμό.
Δεν είναι σαφές ποιες ενέργειες έλαβε η Xandr για να ταυτοποιήσει τα διαφημιστικά προφίλ των ατόμων που ζητούν πρόσβαση ή διαγραφή των δεδομένων τους.
Δείτε περισσότερα: Vinted: Πρόστιμο € 2,3 εκατ. για παραβίαση GDPR
Επιστρέφοντας στην καταγγελία, η έρευνα της noyb αποκάλυψε επίσης αυτό που φαίνεται να είναι υψηλά επίπεδα ανακρίβειας στις πληροφορίες που διατηρεί η Xandr για τα άτομα — γεγονός που μπορεί να εγείρει ξεχωριστά ερωτήματα για τους πελάτες της σχετικά με την ποιότητα των υπηρεσιών στόχευσης διαφημίσεων. Αλλά έχει επίσης νομική σημασία, δεδομένου ότι ο GDPR παρέχει στα άτομα το δικαίωμα να διορθώνουν τα λανθασμένα δεδομένα που διατηρούνται για αυτά.
Τα άτομα της ΕΕ μπορούν να βασίζονται στον GDPR για άλλα δικαιώματα, συμπεριλαμβανομένης της δυνατότητας να ζητούν αντίγραφο των δεδομένων τους. Και πάλι, ο noyb ισχυρίζεται ότι αυτός είναι ένας άλλος τομέας όπου ο Xandr δεν συμμορφώνεται. Δεν μπόρεσε να λάβει αντίγραφο των δεδομένων του καταγγέλλοντος από την ίδια την Xand, αλλά χρησιμοποίησε ένα αίτημα πρόσβασης σε έναν από τους προμηθευτές της μεσολαβητής δεδομένων.
«Χάρη σε ένα αίτημα πρόσβασης με τον μεσίτη δεδομένων — και τον προμηθευτή Xandr Microsoft — emetriq, γνωρίζουμε ότι τουλάχιστον μέρος της βάσης δεδομένων του Xandr αποτελείται από εξωφρενικά ανακριβή και αντιφατικά προσωπικά δεδομένα για άτομα», γράφει σε δελτίο τύπου. «Σύμφωνα με το emetriq, το άτομο που έκανε την καταγγελία είναι άνδρας και γυναίκα, έχει εκτιμώμενη ηλικία μεταξύ 16-19, 20-29, 30-39, 40-49, 50-59 και 60+. Έχει επίσης εισόδημα μεταξύ 500-1.500 ευρώ, 1.500-2.500 ευρώ και 2.500-4.000 ευρώ. Επιπλέον, το ίδιο άτομο αναζητά εργασία, απασχολείται, φοιτητής, μαθητής και εργάζεται σε εταιρεία. Αυτή η εταιρεία, με τη σειρά της, απασχολεί 1-10, 1.000+ και 1.100-5.000 άτομα ταυτόχρονα. “
«Είναι δύσκολο να φανταστεί κανείς πώς αυτές οι κατηγορίες δεδομένων μπορούν να χρησιμοποιηθούν για ακριβή στόχευση διαφημίσεων», προσθέτει ο noyb. «Αν και η emetriq δεν είναι η μόνη εταιρεία μεσίτης δεδομένων που παρέχει δεδομένα στην Xandr, πρέπει να υποτεθεί ότι αυτές οι πληροφορίες χρησιμοποιούνται για στόχευση διαφημίσεων».
Σχολιάζοντας περαιτέρω, ο Gelmi έγραψε επίσης: «Φαίνεται ότι μέρη της διαφημιστικής βιομηχανίας δεν ενδιαφέρονται πραγματικά να παρέχουν στους διαφημιστές ακριβείς πληροφορίες. Αντίθετα, το σύνολο δεδομένων περιέχει μια χαοτική ποικιλία αντικρουόμενων πληροφοριών. Αυτό μπορεί να ωφελήσει δυνητικά εταιρείες όπως η Xand, καθώς μπορούν να πουλήσουν τον ίδιο χρήστη με νέους και ηλικιωμένους σε διαφορετικούς επιχειρηματικούς εταίρους».
Η Microsoft απάντησε στην καταγγελία
Ένας εκπρόσωπος της noyb μας είπε ότι δεν αναμένει ότι η καταγγελία θα παραπεμφθεί από την Ιταλία στις ιρλανδικές αρχές προστασίας δεδομένων, στο πλαίσιο της διαδικασίας one-stop-shop του GDPR, καθώς η Xandr είναι εγκατεστημένη στις ΗΠΑ. Αυτή η εταιρική δομή υποδηλώνει ότι η adtech εταιρεία θα μπορούσε να αποτελέσει στόχο επιπλέον καταγγελιών σε άλλα κράτη μέλη της ΕΕ, όπου έχουν επεξεργασθεί τα δεδομένα των ντόπιων κατοίκων, αυξάνοντας περαιτέρω τον ρυθμιστικό κίνδυνο.
Η καταγγελία που υποστηρίζεται από τη noyb υπογραμμίζει προηγούμενη έρευνα, η οποία έδειξε ότι η Xandr συλλέγει εξαιρετικά ευαίσθητες πληροφορίες ατόμων για σκοπούς δημιουργίας προφίλ διαφημίσεων. Αυτές οι πληροφορίες περιλαμβάνουν δεδομένα σχετικά με τη σεξουαλική ζωή ή τον σεξουαλικό προσανατολισμό, θρησκευτικές πεποιθήσεις και πολιτικές απόψεις. Ο GDPR θέτει ιδιαίτερα υψηλά πρότυπα — ρητής συναίνεσης — για τη νομική επεξεργασία ευαίσθητων κατηγοριών δεδομένων.
Διαβάστε επίσης: ΕΕ: Πρόστιμο στη Microsoft για παραβίαση αντιμονοπωλιακών νόμων;
Δεν είναι ξεκάθαρο πώς η Xandr της Microsoft, θα είχε εξασφαλίσει τη συναίνεση από τα άτομα των οποίων τα δεδομένα διατηρεί. Ωστόσο, οι επισκέπτες ιστοσελίδων μπορούν να αποτελέσουν μια πηγή πληροφοριών, καθώς η παρακολούθηση για διαφημιστικούς σκοπούς μπορεί να ενεργοποιηθεί από χρήστες που έχουν πρόσβαση στο περιεχόμενο των εκδοτών. Στην ΕΕ, οι εν λόγω ιστοσελίδες οφείλουν να ζητούν τη συναίνεση των επισκεπτών για παρακολούθηση, όμως οι τυπικοί μηχανισμοί του κλάδου για τη λήψη αυτής της συναίνεσης συχνά κατηγορούνται για παραβίαση του GDPR.
Πηγή: techcrunch
