GDPR adtech投诉在欧洲不断涌现

自欧洲通用数据保护条例(GDPR)生效以来已经过去了一年，而且漏报的adtech现在正面临四个欧盟市场的隐私投诉。这促使数据保护当局被要求调查行为广告的核心功能的七个市场。

针对实时招标(RTB)系统的最新GDPR投诉案件已在比利时，卢森堡，荷兰和西班牙提交。

所有的投诉都认为RTB需要“大规模和系统性”违反欧洲的数据保护制度，因为收集用于广告定位目的的互联网用户的个人日期广泛播放给广告技术链中的投标人。这些投诉对关键的广告技术公司，谷歌和互联网广告局有影响，后者设定了在线广告渠道中其他人使用的RTB标准。

我们已经与Google和IAB Europe联系，对最新的投诉发表评论。 (后者对投诉的原始回复声明可以在这里找到，在其围墙后面。)

去年秋天，私人浏览器Brave的Johnny Ryan博士在英国和爱尔兰提交了第一份RTB投诉;开放权组织主任Jim Killock;和Michael Veale，伦敦大学学院的数据和政策研究员。

第二起投诉是波兰的DPA，由反监视非政府组织Panoptykon基金会提交。

Gemma Galdon Clavell(Eticas基金会)和Diego Fanjul(Finch)在西班牙提出了最新的四起投诉;荷兰的David Korteweg(自由之巅);比利时的Jef Ausloos(阿姆斯特丹大学)和Pierre Dewitte(鲁汶大学);和Jose Belo(Exigo Luxembourg)。

今年早些时候，一位与投诉人合作的律师表示，他们预计整个欧洲都会出现“一系列投诉”，而且“完全希望欧盟范围内的监管机构能够做出反应”，认为所涉及的广告技术适用于整个地区。

Eticas首席执行官Galdon Cavell在一份声明中评论道：“我们希望此投诉向谷歌以及那些在其网站和产品中使用广告技术解决方案的人发出强烈信息。数据保护是法律要求，必须转化为实践和技术规范。“

Twitter上周披露的一个“漏洞”说明了adtech潜在的隐私风险，社交网络平台显示它在RTB流程中无意中与广告合作伙伴分享了一些iOS用户的位置数据。 (不太清楚的是Twitter的“可信赖的广告合作伙伴”还有谁将人们的信息传递给了?)

支持这些投诉的核心论点是，RTB的数据处理并不安全 – 因为系统的设计需要向各种第三方广播(可以是敏感的和亲密的)互联网用户的个人数据，以便为广告空间。

鉴于GDPR要求“以确保个人数据的适当安全性的方式”处理个人数据。所以，呃，发现断开连接。

最新的RTB投诉主张个人数据通过每天“数千亿次”的投标请求进行广播 – 它被描述为“迄今为止记录的最大量的个人数据泄露”。

虽然投诉集中在默认情况下附带的安全风险上，但是这样一长串第三方传递人们的数据也引发了许多关于将互联网用户的数据传递到adtech链上的任何声称“同意”的有效性的问题。 (相关：法国CNIL去年秋天决定针对一家当地的小型广告公司决定非法处理通过RTB获得的个人数据。)

本周将是GDPR在欧盟生效后的一年。可以说隐私投诉已经堆积如山，而执法行动 – 例如法国CNIL对谷歌的5700万美元罚款与Android同意有关 – 仍然很少见。

RTB抱怨的一个复杂性是，所讨论的技术系统既适用于欧盟边界，也涉及多个实体(Google和IAB)。这意味着多个隐私监管机构需要共同努力，以确定哪些隐私监管机构能够合法地解决与多个国家/地区的欧盟公民接触的相关投诉。

谁领导可以取决于实体在欧盟的主要地点和/或谁是数据控制者。如果没有明确确定，那么考虑到adtech的跨境性质，各种国家行动可能会从投诉中流出 – 例如CNIL对Android的决定。 (尽管谷歌自1月22日起对政策进行了更改，将其欧盟执法的法律基础转移到谷歌爱尔兰，其目的是通过爱尔兰DPC汇集所有GDPR风险。)