Google acusado de eludir el RGPD en el contexto de RTB
El 4 de septiembre de 2019, Brave, la empresa detrás del navegador del mismo nombre, acusa a Google de una gigantesca filtración de datos personales a través de su Ad Exchange llamado Authorized Buyers (antes Google AdX). Brave logra una notable repercusión mediática, con una amplia cobertura de las acusaciones por parte del Financial Times (cf. Google acusado de proporcionar en secreto datos personales a anunciantes y Cómo Google envía sus datos a los anunciantes). El detalle de estas acusaciones forma parte de una denuncia investigada por la CNIL irlandesa, que acusa a Google de eludir el RGPD.
Es positivo ver que los problemas causados por el RTB son denunciados por los grandes medios de comunicación, porque la adtech es un campo extremadamente complejo, comprendido solo por unos pocos iniciados. Por desgracia, la acusación contiene numerosos errores, por lo que Google la descalifica fácilmente.
Los errores de Brave por una mala comprensión del RTB
Analicemos el comunicado en detalle: comienza con una cifra fantasiosa presentada por Johnny Ryan (Brave's Chief Policy & Industry Relations Officer):
El sistema de anuncios “DoubleClick/Authorized Buyers” de Google está activo en más de 8,4 millones de sitios web.
Esta cifra se basa en el análisis de un sitio de terceros que contabiliza el número de sitios web que llaman a un rastreador de Doubleclick (empresa de publicidad propiedad de Google). Sin embargo, estos rastreadores no solo se utilizan para Google Authorized Buyers, el Ad Exchange de Google (dirigido a grandes sitios profesionales), sino también para otras herramientas como la plataforma de compra RTB (DSP) de Google (llamada DV360), Google Analytics o Google AdSense. El número de clientes de Authorized Buyers no se conoce públicamente, pero es considerablemente menor.
El comunicado de prensa continúa con una inexactitud:
Google pretende evitar que muchas empresas que utilizan su sistema de anuncios de oferta en tiempo real (RTB), que reciben datos confidenciales sobre los visitantes del sitio web, combinen sus perfiles sobre esos visitantes.
La documentación de Google es sensiblemente diferente:
Google prohíbe que varios compradores unan los datos que reciben del Servicio de coincidencia de cookies.
Google prohíbe, pues, a sus socios combinar sus datos, pero no pretende impedírselo técnicamente (aquí tocamos un problema intrínseco del RTB: un AdExchange no puede controlar cómo gestionarán las plataformas de compra asociadas los datos personales que se les transmiten).
El comunicado cree luego revelar que Google habría incumplido una promesa anterior, al haber anunciado en octubre de 2019 el fin del intercambio de identificadores seudónimos en RTB:
También anunció que había dejado de compartir identificadores seudónimos que podrían ayudar a estas empresas a identificar más fácilmente a un individuo, aparentemente en respuesta a la llegada del GDPR.
Sin embargo, el anuncio de Google no decía que se dejara de enviar identificadores seudónimos en las solicitudes RTB (las solicitudes que Google envía en tiempo real a las plataformas de compra cuando navegas por la web), sino que se eliminaban esos identificadores seudónimos de los archivos consolidados que se envían a posteriori a las plataformas de compra (“Data Transfer files”):
Eliminamos los ID de cookies cifrados y los nombres de listas (si se usan) del archivo de transferencia de datos para todas las solicitudes de ofertas globales para compradores autorizados.
Estos archivos, que normalmente se intercambian a diario, contienen información adicional como el ganador de la subasta, el precio de venta efectivo de la oportunidad publicitaria, etc.
La acusación
La nueva evidencia de Brave revela que Google permitió que no solo una parte adicional, sino muchas, coincidieran con los identificadores de Google.
Brave parece descubrir aquí cómo funciona el RTB, pese a que Google y los numerosos actores del sector lo tienen bien documentado desde hace muchos años.
La evidencia revela además que Google permitió que varias partes hicieran coincidir sus identificadores del interesado entre sí.
Aquí llegamos a la novedad revelada por Brave. ¿De qué se trata?
Todas las empresas a las que Google invita a acceder a una página Push reciben el mismo identificador para la persona a la que se perfila. Este identificador "google_push" les permite cruzar sus perfiles de la persona y luego pueden intercambiar datos de perfil entre sí.
Por lo tanto, Google enviaría el mismo identificador personal (google_push) a todas las plataformas de compras, lo que permitiría a estas plataformas de compras intercambiar entre sí la información que respectivamente poseen sobre los usuarios.
Un intercambio de identificadores personales inherente al RTB
Aquí es importante hacer una pausa: para que el RTB funcione, el Ad Exchange (la plataforma de venta, también llamada SSP) sincroniza sus identificadores de usuario con sus plataformas de compra asociadas. El problema señalado por Brave es generalizado e inherente al RTB. Para paliar este problema, Google envía identificadores de usuario distintos para cada plataforma de compra (que yo sepa, los demás SSP no toman estas precauciones):
Para los compradores, Google identifica a los usuarios mediante un ID de usuario de Google específico del comprador que consiste en una versión cifrada de la cookie de doubleclick.net, derivada de esa cookie, pero no igual a ella.
Así, desde que existe el RTB, las plataformas de compra pueden entrar en connivencia e intercambiar sus propios datos personales para enriquecer sus bases de datos. Esto requiere celebrar acuerdos con competidores y asumir un enorme riesgo legal, pero en teoría es posible.
¿Una elusión del RGPD por parte de Google?
Entonces, ¿qué es ese identificador personal “google_push” que Google envía a sus plataformas de compra asociadas? Brave indica que se trata de una elusión introducida por Google en reacción al RGPD.
Por lo tanto, las Push Pages parecen ser una solución alternativa a las políticas establecidas por Google sobre cómo debería operar RTB según el GDPR.
Es también el argumento que retoma Zach Edwards, el investigador al que Brave encargó la investigación.
![]()
Una simple búsqueda en la ayuda en línea de Google Authorized Buyers indica que el parámetro google_push ya existía en abril de 2013, lo que echa por tierra el argumento de la elusión (el RGPD entró en aplicación el 25 de mayo de 2018):
A partir de mediados de abril, comenzaremos a asignar un valor de cadena segura para URL al parámetro google_push en nuestras solicitudes de coincidencia de píxeles y esperaremos que se devuelva esa misma cadena segura para URL en el parámetro google_push que tú configuró. Este cambio nos ayudará con nuestros esfuerzos de solución de problemas de latencia y mejorará nuestra eficiencia de coincidencia de píxeles.
Así pues, Google utiliza el parámetro google_push para diagnosticar problemas de latencia, y no para rastrear a los usuarios.
¿Este "identificador personal" permite a los compradores compartir información del usuario?
También aquí podemos fijarnos en la comunicación de Zach Edwards:
![]()
Resulta, pues, que este "identificador personal" no es personal (inútil, ya que el objetivo de Google es medir la latencia: es un identificador que cambia con cada carga de página). Pero, en teoría, los DSP asociados de Google que han competido por una misma oportunidad publicitaria sí pueden compartir sus logs para enriquecer la información que poseen sobre los usuarios.
Conclusiones
Si el problema identificado por Zach Edwards es real, es una lástima que Brave haya cometido tantos errores y haya atribuido a Google una intención deshonesta con este parámetro google_push. Sería más pertinente ampliar la crítica al mecanismo del RTB, probablemente incompatible con el RGPD (véase al respecto la investigación en curso de la CNIL inglesa).