یک تجارت تبلیغاتی متعلق به مایکروسافت هدف شکایتی است که توسط گروه اروپایی حامی حریم خصوصی، noyb حمایت می‌شود - یک سازمان غیرانتفاعی که در مورد اعتصابات علیه غول‌های فناوری ناقض حفاظت از داده‌ها بسیار بالاتر از وزن خود است.

برای آخرین اقدام خود، noyb از یک فرد ناشناس در ایتالیا حمایت می کند تا شکایتی علیه Xandr به مرجع حفاظت از داده این کشور ارائه کند. این شکایت بر اساس مقررات عمومی حفاظت از داده های اتحادیه اروپا (GDPR) ثبت شده است - به این معنی که اگر غالب شود، می تواند منجر به جریمه تا 4٪ از گردش مالی جهانی سالانه مایکروسافت در نهاد مادر Xandr شود.

زاندر متهم به عدم شفافیت و نقض حقوق دسترسی به داده ها برای افرادی در بلوک است که اطلاعات آنها برای ایجاد نمایه هایی پردازش می شود که برای تبلیغات هدفمند خرد استفاده می شود که از طریق مزایده های تبلیغاتی برنامه ای فروخته می شود. این شکایت همچنین ادعا می کند که شرکت adtech از اطلاعات نادرست در مورد افراد استفاده می کند.

به طور خاص، noyb ادعا می کند که Xandr مواد 5 (1) (c) و (d) را نقض می کند. 12 (2); 15 و 17 GDPR.

این شکایت از مقام حفاظت از داده‌ها می‌خواهد که تحلیل کند و در صورت تأیید نقض، به Xandr دستور دهد که مطابقت داشته باشد. noyb همچنین پیشنهاد می کند که باید تا 4٪ از درآمد سالانه را برای والدین Xandr جریمه کند (نکته: درآمد کل سال مایکروسافت برای سال 2023 نزدیک به 212 میلیارد دلار بود).

کسب ریسک نظارتی؟

مایکروسافت در اواخر سال 2021 از «پلتفرم فناوری مبتنی بر داده» که Xandr نامیده می‌شد، برای گسترش تجارت تبلیغات دیجیتال خود استفاده کرد، اگرچه Xandr استقلال ساختاری خود را حفظ کرد و به عنوان یک نهاد جداگانه عمل می‌کند. در بیانیه مطبوعاتی مایکروسافت در آن زمان از این خرید که «راه‌حل‌های رسانه‌ای خرده‌فروشی» خود را تقویت می‌کرد و همچنین از «تقویت درآمدزایی برای ناشران از طریق دسترسی بزرگ‌تر به داده‌های شخص اول و ارائه بازاریابی قیفی کامل» صحبت می‌ کرد. به چشم انداز افزایش ریسک نظارتی ناشی از خرید اشاره ای ن کرد.

با توجه به شکایت مورد حمایت noyb، مشکل این است که Xandr به هر گونه درخواست دسترسی به داده از سوی افرادی که می خواهند اطلاعات شخصی آنها حذف یا اصلاح شود، پاسخ نمی دهد. این شکایت به یک صفحه وب "پنهان" پیوند می خورد که در آن می گوید Xandr معیارهای دسترسی به داده ها را منتشر می کند. طبق این صفحه، بین 1 ژانویه 2022 تا 31 دسامبر 2022، شرکت 1294 درخواست دسترسی و 600 درخواست حذف دریافت کرد - اما هر یک را رد کرد.

یک یادداشت توضیحی در صفحه وب او میگوید : «درخواست‌های دسترسی و حذف زمانی رد می‌شوند که ما نتوانیم هویت و صلاحیت درخواست‌کننده را تأیید کنیم. به دلیل ماهیت نام مستعار داده‌هایی که Xandr در پلتفرم خود جمع‌آوری می‌کند، ما نمی‌توانیم هویت مصرف‌کنندگانی را که درخواست‌های دسترسی و حذف را انجام داده‌اند تأیید کنیم، در صورتی که این درخواست‌ها به شناسه‌های دیگری مرتبط نیستند، و پس ما چنین درخواست‌هایی را رد کردیم.

پس به نظر می رسد Xandr ادعا می کند که مجبور نیست از حقوق دسترسی به داده های GDPR پیروی کند زیرا اطلاعاتی که در مورد افراد نگهداری می کند نام مستعار است.

با این حال، این شکایت استدلال می‌کند که برای شرکتی که کل تجارتش وابسته به پروفایل افراد برای سود تبلیغاتی هدفمند است، ادعا می‌کند که نمی‌تواند افرادی را که اطلاعات آنها را در اختیار دارد شناسایی کند.

ماسیمیلیانو گلمی، وکیل حفاظت از داده‌ها در noyb در بیانیه‌ای اظهار داشت: «بدیهی است که کسب‌وکار Xandr مبتنی بر نگهداری داده‌های میلیون‌ها اروپایی و هدف قرار دادن آنها است. با این حال، این شرکت اعتراف می کند که نرخ پاسخ 0٪ به درخواست های دسترسی و پاک کردن دارد. شگفت آور است که Xandr حتی علناً نشان می دهد که چگونه GDPR را نقض می کند.

شایان ذکر است که GDPR دیدگاه گسترده‌ای در مورد اینکه چه چیزی داده‌های شخصی را تشکیل می‌دهد دارد و داده‌هایی که تحت نام مستعار قرار گرفته‌اند، داده‌های شخصی باقی می‌مانند - به این معنی که کسانی که چنین اطلاعاتی را در اختیار دارند باید از الزامات قانونی اتحادیه اروپا مانند ارائه حقوق دسترسی به داده‌ها پیروی کنند.

دستورالعمل‌های مربوط به حقوق دسترسی به موضوع داده‌ها که توسط هیئت حفاظت از داده‌های اروپا (EDPB) در سال گذشته تصویب شد، شامل یک مثال گویا از حوزه تبلیغات هدفمند کوچک است که در آن هیئت مدیره اشاره می‌کند که یک شرکت adtech باید بتواند فردی را که درخواست می‌کند «دقیق شناسایی» کند. دسترسی به داده‌های شخصی آن‌ها از همان تجهیزات پایانه‌ای که به نمایه تبلیغاتی آن‌ها مرتبط است (یعنی از طریق کوکی‌هایی که روی آن گذاشته شده است) زیرا «یک پیوند بین داده‌های پردازش‌شده و موضوع داده‌ها را می‌توان یافت».

اگر فردی داده‌های خود را به روش دیگری، مثلاً از طریق ایمیل، درخواست کند، راهنمای EDPB پیشنهاد می‌کند که شرکت adtech باید اطلاعات بیشتری را از آن‌ها درخواست کند تا نمایه تبلیغاتی مربوطه را شناسایی کند و درخواست دسترسی به داده‌ها را برآورده کند. به طور خاص راهنما می گوید که یک فرد باید شناسه کوکی ذخیره شده در تجهیزات پایانه خود را ارائه دهد.

مشخص نیست زاندر چه اقداماتی را برای شناسایی نمایه‌های تبلیغاتی افرادی که درخواست دسترسی یا حذف داده‌هایشان را دارند انجام داده است.

در بازگشت به شکایت، تحقیقات noyb همچنین سطوح بالایی از عدم دقت را در اطلاعاتی که Xandr در مورد افراد نگه می‌دارد کشف کرد - که ممکن است سوالات جداگانه‌ای را برای مشتریانش در مورد کیفیت خدمات هدف‌یابی تبلیغات ایجاد کند. اما از آنجایی که GDPR به افراد حق تصحیح داده های نادرست نگهداری شده در مورد آنها را می دهد، اهمیت قانونی نیز دارد.

افراد اتحادیه اروپا می توانند برای سایر حقوق نیز به GDPR تکیه کنند، از جمله امکان درخواست کپی از داده های خود. باز هم، noyb ادعا می کند که این منطقه دیگری است که Xandr مطابق آن نیست. این شرکت نتوانست یک کپی از داده های شاکی را از خود Xandr دریافت کند، بلکه از درخواست دسترسی موضوعی به یکی از تامین کنندگان کارگزار داده خود استفاده کرد.

در یک بیانیه مطبوعاتی می نویسد: «به لطف درخواست دسترسی با کارگزار داده - و تامین کننده Xandr - emetriq، ما می دانیم که حداقل بخشی از پایگاه داده Xandr از داده های شخصی بسیار نادرست و متناقض در مورد افراد تشکیل شده است. طبق گزارش emetriq، شاکی هم مرد و هم زن است و دارای سن تخمینی بین 16-19، 20-29، 30-39، 40-49، 50-59 و 60+ است. شاکی همچنین درآمدی بین 500-1500 یورو، 1500-2500 یورو و 2500-4000 یورو دارد. در ضمن همین فرد جویای کار، شاغل، دانشجو، دانش آموز و در یک شرکت کار می کند. آن شرکت، به نوبه خود، 1-10، 1000+ و 1100-5000 نفر را به طور همزمان استخدام می کند. "

noyb می افزاید: «تصور این که چگونه می توان از این دسته بندی داده ها برای هدف گذاری دقیق تبلیغات استفاده کرد، سخت است. اگرچه emetriq تنها کارگزار داده ای نیست که داده ها را به Xandr ارائه می دهد، باید فرض کرد که این اطلاعات برای هدف گذاری تبلیغات استفاده می شود.

گلمی همچنین نوشت: «به نظر می‌رسد بخش‌هایی از صنعت تبلیغات واقعاً به ارائه اطلاعات دقیق به تبلیغ‌کنندگان اهمیت نمی‌دهند. درعوض، مجموعه داده حاوی انواع آشفته اطلاعات متناقض است. این به طور بالقوه می‌تواند به نفع شرکت‌هایی مانند Xandr باشد، زیرا می‌توانند همان کاربر جوان و پیر را به شرکای تجاری مختلف بفروشند.

برای پاسخ به این شکایت با مایکروسافت تماس گرفته شده است.

سخنگوی noyb به ما بيان کرد که انتظار ندارد شکایت از ایتالیا به مقامات حفاظت از داده های ایرلند ارجاع شود، تحت فرآیند یک مرحله ای GDPR، زیرا Xandr در ایالات متحده تاسیس شده است. این ساختار شرکتی نشان می‌دهد که شرکت adtech می‌تواند با شکایات بیشتری در سایر کشورهای عضو اتحادیه اروپا که داده‌های افراد محلی را پردازش کرده است، مورد هدف قرار گیرد - و بیشتر خطرات نظارتی را افزایش می‌دهد.

این شکایت با حمایت noyb نشان می‌دهد تحقیقات قبلی نشان می‌دهد که Xandr اطلاعات بسیار حساسی را در مورد افراد برای اهداف تبلیغاتی جمع‌آوری می‌کند، مانند داده‌هایی درباره زندگی جنسی یا گرایش جنسی، اعتقادات مذهبی و عقاید سیاسی. GDPR یک نوار بسیار بالا - از رضایت صریح - برای پردازش قانونی دسته‌های حساس داده‌ها تعیین می‌کند.

مشخص نیست که چگونه چنین رضایت‌هایی از افرادی که داده‌های زاندر در اختیار دارد، گرفته شده است. اما بازدیدکنندگان از وب‌سایت‌ها ممکن است یکی از منابع اطلاعاتی باشند، زیرا ردیابی تبلیغات می‌تواند توسط افرادی که به محتوای ناشران دسترسی دارند فعال شود. در اتحادیه اروپا، چنین سایت‌هایی باید از بازدیدکنندگان برای ردیابی اجازه بگیرند، با این حال مکانیسم‌های استاندارد صنعت برای کسب رضایت مردم، خود متهم به نقض GDPR هستند.

خبرکاو