El 24 de julio de 2024, la Comisión Federal de Comercio de Estados Unidos (FTC) publicó una declaración que impactó a muchos en la industria de la publicidad y el marketing digital. La FTC afirmó categóricamente que el hash (que las empresas suelen utilizar para ocultar datos personales) no es un método infalible para garantizar el anonimato o el cumplimiento de las normas de privacidad.

No se trata de una información nueva; las limitaciones y los posibles peligros del hash como medida de privacidad son bien conocidos. Sin embargo, la postura explícita de la FTC es una señal contundente para la industria, que podría tener consecuencias de largo alcance, especialmente con la creciente dependencia de las salas limpias de datos, las soluciones de identidad, la resolución de identidades, las tecnologías de puenteo de identidades y las redes de medios minoristas.

La declaración de la FTC puede ser encontrado aquí.

Entendiendo la posición de la FTC

El hash convierte datos personales como direcciones de correo electrónico, números de teléfono o identificaciones de usuario en cadenas de caracteres aparentemente aleatorias. Se utiliza para proteger la privacidad del usuario porque la gente cree que las cadenas hasheadas no son fácilmente reversibles, lo que dificulta que alguien pueda rastrear el hash hasta los datos originales.

La FTC dice que esta es una suposición errónea. Los hashes todavía sirven como identificadores únicos que rastrean a las personas en distintas plataformas y a lo largo del tiempo. Sin embargo, los usuarios pueden volver a ser identificados o sus datos pueden revertirse. Sin un coste o esfuerzo significativoEsto supone un riesgo importante para la privacidad y puede causar daños graves. La agencia destacó que su “personal permanecerá alerta para garantizar que las empresas cumplan la ley y tomen medidas cuando las afirmaciones sobre privacidad que hagan sean engañosas”.

Si el gobierno no considera que el hashing sea suficiente, las empresas deben seguir su ejemplo.

Implicaciones para las tecnologías de privacidad

Esto plantea preguntas esenciales sobre el uso actual y futuro de sistemas que preservan la privacidad, como salas limpias de datos, soluciones de identidad, resolución de identidad y puentes de identidad.

Estos suelen combinar múltiples puntos de datos, a veces de fuentes dispares, para establecer o verificar la identidad del usuario y dirigirse a los consumidores con precisión. Aunque están diseñados para reducir el riesgo de reidentificación y proteger los datos, exagerar sus beneficios en materia de privacidad y esperar que sirvan como una solución milagrosa para el cumplimiento de todas las normas de privacidad puede no ser suficiente.

Incluso agregar estrategias integrales que combinen encriptación, privacidad diferencial y controles de acceso robustos podría no ser suficiente para los reguladores.

9 acciones para anunciantes y marketeros

Los anunciantes y los especialistas en marketing deben adoptar prácticas más sostenibles y que respeten la privacidad. A continuación, le mostramos cómo:

1. Educar a los equipos sobre los límites del hash

Asegúrese de que los equipos comprendan que el hash no es suficiente para cumplir con las obligaciones de privacidad. Los identificadores con hash deben tratarse como datos personales y protegerse como tales. Con suerte, esto ayudará a evitar la dependencia excesiva del hash y a utilizar medidas de privacidad más integrales.

2. Prepárese para el cumplimiento normativo

Se espera un mayor escrutinio sobre las afirmaciones sobre la desidentificación de datos y requisitos de cumplimiento más estrictos. Una estrategia de privacidad integral es esencial para abordar esto. También pondrá a su organización en una mejor posición para manejar leyes o pautas más estrictas.

3. Mejorar la transparencia y priorizar el consentimiento del usuario

La transparencia es fundamental para generar y mantener la confianza de los usuarios y obtener su consentimiento informado. Debe informar a los usuarios de cómo se recopilan, utilizan y comparten sus datos. Esto debe ser un esfuerzo continuo, no una divulgación única.

Es más importante que nunca obtener el consentimiento informado de los usuarios antes de utilizar sus datos con fines publicitarios y de medición. El consentimiento afirmativo es necesario para el manejo de determinados datos personales altamente sensibles. Esto va más allá de marcar una casilla; se trata de educar a los usuarios sobre cómo se utilizarán sus datos y garantizar que puedan controlarlo.

4. Realizar la debida diligencia de terceros

Investigue a fondo a cualquier proveedor de tecnología que afirme que puede desidentificar datos personales. Comprenda los métodos utilizados para determinar si el identificador de salida es un valor único que potencialmente puede identificar y rastrear a una persona.

5. Realizar auditorías de privacidad periódicas

Las revisiones periódicas del cumplimiento de la privacidad le indicarán si algún conjunto de datos considerado no identificado puede usarse para rastrear o volver a identificar a alguien.

6. Apoye a las audiencias definidas por el vendedor de IAB Tech Lab

Seller Defined Audiences de IAB Tech Lab permite a los editores utilizar sus datos propios dentro de sus propias propiedades, siempre que se obtenga el consentimiento del usuario. Esto respeta la privacidad del usuario y permite a los editores aprovechar el valor de sus datos.

7. Vaya más allá de los datos propios y replantee la experiencia del consumidor

Evite las tácticas de respuesta directa que dependen en gran medida de datos propios e identificadores cifrados. En su lugar, concéntrese en mejorar las experiencias de los consumidores con contenido multimedia, formatos publicitarios innovadores, entretenimiento de marca, publirreportajes y patrocinios..

8. Optimice el alcance de la audiencia en las plataformas O&O utilizando salas limpias de datos para obtener información

Una supervisión gubernamental más estricta aumenta la importancia de utilizar propiedades propias y operadas (O&O) para llegar a las audiencias. Considere aprovechar las salas limpias de datos para obtener información, pero piense detenidamente en la activación de la audiencia a través de estas plataformas.

9. Abogar por un manejo de datos que priorice la privacidad

Participe en debates de la industria y defienda un enfoque que priorice la privacidad en el manejo de datos que vaya más allá del hash. Respalde los esfuerzos para crear estándares y mejores prácticas que reconozcan las limitaciones del hash y promuevan métodos de protección de datos más sólidos.

Lo que esto significa para la industria

El anuncio de la FTC es la última de muchas advertencias al respecto. Reevalúe sus prácticas de datos y sus declaraciones de privacidad. Es hora de desarrollar estrategias y adoptar enfoques más integrales que protejan genuinamente la privacidad del consumidor.

Es fundamental adoptar prácticas de manejo responsable de datos que estén en consonancia con las expectativas regulatorias y la confianza de los consumidores. La última declaración de la FTC refuerza la necesidad de una innovación continua en la forma en que se gestionan y protegen los datos. En el futuro, los métodos deben ser técnicamente sólidos y legal y éticamente sólidos.

Mientras un identificador pueda usarse para identificar y rastrear a personas a lo largo del tiempo, las empresas deben asegurarse de cumplir con todas las obligaciones de privacidad, incluidas la transparencia, el consentimiento, la elección del usuario, la responsabilidad, etc. Como industria, debemos tomar esto en serio y esforzarnos por lograr transparencia, cumplimiento y, sobre todo, confiabilidad en todas las prácticas de datos.