Luz verde a la súper cookie europea

El pasado 10 de febrero, la Comisión Europea ha dado luz verde para la constitución en Europa de una joint-venture, formada por Deutsche Telekom (Alemania), Orange (Francia), Telefónica (España) y Vodafone (Reino Unido). El objetivo es la centralización de servicios de rastreo de navegación y apps —ad-tracking—, para el marketing de empresas a consumidores finales en dispositivos móviles. Lo que las operadoras denominan de momento TrustPid y, en términos más amigables, se conoce como la súper cookie de operadora. Término que, por otro lado, las partes implicadas intentan desterrar a toda costa del imaginario colectivo, pero que, por comodidad, usaremos exhaustivamente en esta reflexión.

TrustPid, el nombre técnico para una súper cookie

El origen de esta iniciativa se encuentra en la intención y necesidad de regular y controlar el mercado publicitario online en la zona euro. Como contraposición a la posición dominante que tienen fundamentalmente Google, Facebook y Amazon a nivel mundial.

Se estima que en el 2022 el mercado de la publicidad online supuso 185.000 millones de dólares.

Para ello, Vodafone UK junto a Deutsch Telekom, han venido efectuando una prueba piloto en Alemania que ha culminado con la aprobación de la normativa europea que permite de facto la centralización del control del seguimiento de la navegación de los usuarios en sus teléfonos móviles, incluyendo web y apps.

Al contrario de lo que ocurre con las cookies convencionales, sobre las que el usuario tiene el control y la gestión granular en su navegador local,

Aún cuando todos solemos hacer clic sobre «Aceptar todas» o «Denegar todas», la legislación europea obliga a que el usuario pueda seleccionar qué aspectos de su navegación son rastreables en un dominio web.

el procedimiento que implementarán las operadoras será delegado, recayendo sobre ellas el control de gestión del seguimiento de la navegación. En concreto, las empresas que deseen habilitar el servicio con el consorcio TrustPid,

no olvidemos que este es un servicio de las operadoras, por lo que es presumible que tendrá un coste para el contratante y un beneficio para el oferente

recibirán información pseudo-anónima en tiempo real de la navegación de los usuarios a través de unos identificadores aleatorios (tokens) relacionados con la dirección IP fija del terminal, número de teléfono móvil y la web que el usuario esté visitando.

Ya que esta súper cookie se implementa a nivel de la red de la operadora móvil, su gestión ha de hacerse en un portal centralizado. A día de hoy, ese portal es TrustPid. No podremos hacer nada en nuestros navegadores para evitar que nuestra información de navegación sea compartida si lo hemos autorizado.

De manera muy simplificada, cuando un usuario visite por primera vez con su teléfono móvil una web o use una app que haya recurrido al servicio de TrustPid, ocurrirá que:

1. La operadora del servicio móvil del usuario generará —siempre que el usuario dé su consentimiento— un token aleatorio ligado a la dirección IP del teléfono del usuario, su número móvil y la web que esté visitando. Obsérvense aquí dos aspectos importantes:

  • El servicio sólo aplica a redes móviles. De momento no se menciona nada relacionado a las redes fijas de fibra y/o ADSL desplegadas en Europa. El motivo seguramente sea la imposibilidad de trazar unívocamente los equipos dentro de un domicilio, puesto que todos comparten una misma dirección IP. Y si bien podría optarse por usar la dirección MAC de cada dispositivo detrás del router, este es siempre un terreno pantanoso en términos del Reglamento Europeo de Protección de Datos.
  • Las operadoras necesitan asignar direcciones IP fijas públicas en los terminales móviles. Y dada la limitación en cuanto a direcciones disponibles en el estándar IPv4, necesitan a hacer un despliegue masivo de IPv6 en sus redes de telefonía móvil. Es interesante observar que esto coincide en el tiempo con el anuncio del despliegue de IPv6 en redes móviles que se ha producido este año, por ejemplo en España.

2. Este token, en caso de que el usuario haya permitido previamente o permita en el momento su uso, será transmitido a la empresa que ofrece el servicio web, para poder hacer seguimiento del tráfico del usuario y ofrecer, de acuerdo al portal de TrustPid, una experiencia personalizada al usuario. Incluyendo publicidad y recomendaciones personalizadas de productos en sus sitios web, apps y servicios.

3. En ningún caso, tal y como se establece en los términos de privacidad de TrustPid, estos tokens podrán cruzarse. Esto es, una empresa no podrá tener constancia de la navegación que un usuario hubiese realizado en otra empresa, puesto que sus tokens no pueden ser relacionados. No obstante, según los términos legales recogidos en el portal de privacidad, estos tokens sí podrán ser usados por empresas terceras actuando en nombre de la empresa a la que hemos autorizado la súper cookie.

¿Se puede usar mi token sin mi autorización?

Rotundamente no. El mecanismo fundamental de protección es, en este caso, que las operadoras por defecto no pueden dar nuestro token sin nuestro consentimiento. Aunque está por ver la implementación definitiva en cada país, la idea base es que nosotros podremos permitir o denegar durante 90 días que un sitio web rastree nuestra navegación mediante la súper cookie de la operadora y, pasados esos 90 días, se revocará automáticamente el permiso.

Además, a través del portal de TrustPid en cualquier momento podremos ver en qué sitios hemos autorizado el uso de una súper cookie y revocarla. Incluso anular completamente el permiso de uso para cualquier sitio web.

Y, lo más importante, el servicio en global nunca puede ser activado por defecto por la operadora, debemos autorizarlo activamente.

¿Y qué saldrá de todo esto?

Aunque adivinar el futuro siempre entraña riesgos, lo cierto es que la idea detrás del uso de un mecanismo centralizado regulado y auditable para el rastreo de la publicidad online parece tener cierto sentido, pero no es más verdad que se ciernen sobre ella algunas incertidumbres:

Por un lado, diferentes organizaciones han mostrado ante la Comisión Europea sus dudas sobre la intrusión en la privacidad de los usuarios que este mecanismo presenta.

No hay que olvidar que el RGPD es probablemente la norma más garante sobre los derechos de privacidad que hay a nivel mundial. Y no deja de ser paradójico que empresas privadas sean las responsables de que los teléfonos móviles de los usuarios vayan a ser tokenizados por las mismas empresas que tienen sus datos.

Merece la pena recordar que desde hace ya muchos años, en Europa está prohibida la venta de teléfonos móviles anónimos.

Por otro, ¿evitará TrustPid que Google, Facebook o Amazon renuncien al control publicitario de la navegación del usuario.

Es algo que está por ver. Si estas empresas asumiesen la eliminación de sus cookies convencionales y la adopción del nuevo mecanismo, los usuarios saldrían ganando, puesto que tendrían un único punto de control sobre los permisos otorgados a terceros. Pero, en caso de no ser así, lo que al final tendremos es un solape de cookies y súper cookies que, indudablemente, hará aún más compleja la gestión de nuestra privacidad.

Al ser un mecanismo sólo aplicable a redes móviles, implicará que cualquier acceso que hagamos desde una red fija no pueda estar dentro de este escenario.

Ante lo cual, las empresas que quieran trazar nuestra navegación necesitarán sí o sí recurrir a TrustPid más cookies convencionales. Lo que, volviendo al punto anterior, hará que la implementación del mecanismo sea cuando menos redundante.

Y por último, pero no menos importante: nuestras preferencias de privacidad pasarán de nuestro navegador a la nube de una empresa conjunta paneuropea.

Aún cuando los controles de seguridad y privacidad sobre estas empresas son realmente estrictos, es cierto que todos recibimos en nuestros teléfonos llamadas de empresas a las que se les ha vendido nuestro número. Muchas veces con nuestro consentimiento, con un simple «sí» en un cuestionario o una llamada. Nada impedirá que nuestra súper cookie no tenga un valor de mercado equivalente a nuestro número de teléfono. Y no olvidemos que, en las condiciones legales de uso, se permite que terceros, en nombre la empresa a la que hemos otorgado permiso de uso, utilicen la súper cookie. Lo que fácilmente puede adivinarse como la puerta de entrada a un uso no autorizado de la navegación.

Por último: ¿ya funciona?

Oficialmente sólo en Alemania, pero desde Esferize te animamos a que deshabilites en tu móvil la red Wi-Fi (recuerda que esto es aplicable sólo para redes móviles), te conectes a TrustPid y hagas clic sobre «Manage Preferences». ¡Ahí podrás comprobar si tu operadora ya ha tokenizado tu móvil!