El Marco de Transparencia y Consentimiento de IAB Europe, muy analizado, fue diseñado para ayudar a las empresas a respetar la privacidad de las personas y cumplir con la ley europea de privacidad, el Reglamento General de Protección de Datos. Pero a principios de este año, la empresa de monitoreo de seguridad publicitaria Confiant detectó una empresa de tecnología publicitaria que explotaba el marco para recopilar información sobre potencialmente millones de personas en los EE. UU.
“Lo que hace que este caso sea especialmente extraño es que se estaba llevando a cabo en los Estados Unidos, que no es una jurisdicción del RGPD. Y TCF es un marco para el cumplimiento de GDPR”, dijo Kaileigh McCrea, ingeniera de privacidad en Confiant.
McCrae se negó a nombrar a la empresa detrás del exploit, que Confiant ha denominado “Voldrakus”, más allá de describirla como una pequeña empresa de tecnología publicitaria con sede en Europa del Este. Sin embargo, detalló la mecánica del exploit y explicó cómo los datos recopilados por la empresa, incluidas las geolocalizaciones de los dispositivos, los niveles de batería y los movimientos, podrían usarse para atacar a las personas que trabajan en edificios corporativos y oficinas gubernamentales con información errónea y malware.
Sin embargo, los riesgos se extienden más allá de este exploit específico. Voldrakus brinda un ejemplo de cómo se puede cooptar un marco de privacidad y, como resultado, poner a otras empresas en riesgo de violar las leyes de privacidad.
“La marca es responsable de cualquier tipo de tecnología de seguimiento que se encuentre en su sitio”, dijo Daniel Goldberg, socio y presidente del grupo de privacidad y seguridad de datos del bufete de abogados Frankfurt Kurnit Klein & Selz. Agregó: “La marca es el guardián. Por lo tanto, Voldrakus de una forma u otra puede obtener datos del sitio y, por lo tanto, según la ley, técnicamente hablando, la marca podría ser responsable de los datos que se recopilan y pasan a Voldrakus”.
Para obtener más información sobre el exploit Voldrakus, vea el video a continuación.
Con información de Digiday
Leer la nota Completa > Cómo una empresa de tecnología publicitaria cooptó el marco de transparencia y consentimiento de IAB Europe para recopilar datos de huellas dactilares