EPIC se equivoca en los hechos básicos sobre los datos que se utilizan en el programa de Google.
En un momento en que las empresas tienen un acceso cada vez mayor a los datos de los consumidores de un número cada vez mayor de fuentes, la privacidad es más importante que nunca. Pero también es importante que los defensores de la privacidad comprendan lo que está sucediendo antes de presentar una queja formal a los organismos reguladores.
El Centro de Información de Privacidad Electrónica (EPIC) ha presentado una queja con la FTC sobre Google Medición de ventas en tienda programa. El grupo argumenta que:
Google ha recopilado miles de millones de transacciones con tarjetas de crédito, que contienen información personal del cliente, de compañías de tarjetas de crédito, corredores de datos y otros, y ha vinculado esos registros con las actividades de los usuarios de Internet, incluidas las búsquedas de productos y las búsquedas de ubicación. Estos datos revelan información confidencial sobre las compras de los consumidores, la salud y la vida privada.
Afirma que Google está utilizando un «algoritmo secreto y patentado para garantizar la privacidad del consumidor» y que la empresa utiliza «un mecanismo de ‘exclusión’ opaco y engañoso». Sostiene además que se trata de “prácticas comerciales desleales y engañosas” y confieren jurisdicción a la FTC. En consecuencia, solicita una orden judicial contra estas prácticas.
Store Sales Measurement comenzó a probarse en 2014 y se implementó en EE. UU. a principios de este año. A diferencia de la declaración de la denuncia de EPIC, Google no recibe ni tiene acceso a los datos de transacciones de tarjetas de crédito personales.
Lo que Google obtiene es información agregada y anónima de las empresas de tarjetas de crédito; no ve compras específicas y no puede identificar a personas. Google tampoco sabe qué se compró; recibe información de que entre X usuarios expuestos a una campaña publicitaria digital, un subconjunto de esa audiencia compró algo en la tienda del anunciante. Esa información (de forma agregada) se comunica al anunciante para evaluar la eficacia de la campaña.
Además, los datos están encriptados y, según Google, no se pueden utilizar para identificar a personas. Google me dijo a través de un portavoz que «no comparte ninguna información de identificación personal con los anunciantes o socios de este producto».
Google no es el único en este campo: se presentó Facebook medición de ventas offline a través de Custom Audiences en 2013. Otras empresas, como Oracle y 4Info, pueden realizar tipos similares de seguimiento fuera de línea relacionado con las ventas.
El proceso de exclusión voluntaria de Google está disponible en Mi actividad de Google–> Controles de actividad. Los usuarios pueden optar por no participar desmarcando la casilla a continuación.
Google no ha hecho un buen trabajo publicitando esta opción de exclusión, ni es intuitiva. Claramente, ese proceso se puede mejorar drásticamente.
EPIC tiene razón al impulsar una mayor transparencia en torno a la privacidad y el uso de los datos del consumidor. Sin embargo, en este caso, se equivocan en algunos hechos básicos.
Del mismo modo, Google, Facebook y otros pueden hacer un mejor trabajo al educar a los consumidores sobre cómo se utilizan sus datos y los tipos de controles que se pueden ejercer sobre esos datos. Ambas empresas durante los últimos años han intentado hacer esto con resultados mixtos.
La mayoría de los consumidores no tienen una idea clara de cómo se utilizan sus datos digitales entre bastidores. Pero en el caso de la medición de ventas en la tienda de Google, no se está haciendo un mal uso.
Posdata: los Foro sobre el futuro de la privacidadEl fundador de Jules Polonetsky proporcionó el siguiente comentario sobre este asunto en respuesta a una solicitud por correo electrónico de mí:
No es de extrañar que los informes que utilizan datos de tarjetas de crédito sean controvertidos, pero es encomiable que Google haya logrado hacerlo mediante el uso de cifrado homomórfico, donde los informes se pueden ejecutar con datos que están completamente encriptados y no es necesario compartir datos personales. Si esta tecnología puede ser avanzada, es un paso hacia el santo grial de poder obtener conocimientos de conjuntos de datos compartiendo información personal. Cuando se aclare el polvo, los investigadores de la privacidad probablemente verán un gran valor en la tecnología de mejora de la privacidad utilizada aquí.