شركة Adtech Xandr المملوكة لشركة Microsoft متهمة بانتهاكات الخصوصية في الاتحاد الأوروبي
تعد إحدى شركات التكنولوجيا الإعلانية المملوكة لشركة Microsoft هدفًا لشكوى مدعومة من مجموعة الدفاع عن الخصوصية الأوروبية، noyb – وهي منظمة غير ربحية تتفوق كثيرًا على ثقلها عندما يتعلق الأمر بتوجيه ضربات ضد عمالقة التكنولوجيا الذين ينتهكون حماية البيانات.
في الإجراء الأخير الذي اتخذته، تدعم noyb شخصًا لم يذكر اسمه في إيطاليا لتقديم شكوى ضد Xandr لدى هيئة حماية البيانات في البلاد. تم تقديم الشكوى بموجب اللائحة العامة لحماية البيانات (GDPR) للاتحاد الأوروبي – مما يعني، إذا سادت، فقد تؤدي إلى غرامات تصل إلى 4٪ من إجمالي مبيعات Microsoft السنوية العالمية للكيان الأم Xandr.
Xandr متهم بإخفاقات الشفافية وانتهاكات حقوق الوصول إلى البيانات للأشخاص في الكتلة الذين تتم معالجة معلوماتهم لإنشاء ملفات تعريف تُستخدم للإعلانات ذات الاستهداف الدقيق التي يتم بيعها من خلال مزادات الإعلانات الآلية. وتزعم الشكوى أيضًا أن شركة adtech تستخدم معلومات غير دقيقة عن الأشخاص.
على وجه التحديد، يزعم نويب أن Xandr ينتهك المادتين 5 (1) (ج) و (د)؛ 12(2); 15 و17 من اللائحة العامة لحماية البيانات.
تطلب الشكوى من هيئة حماية البيانات التحقيق، وإذا تم تأكيد الانتهاكات، أن تأمر Xandr بالامتثال. يقترح noyb أيضًا أنه يجب فرض غرامة تصل إلى 4٪ من الإيرادات السنوية على الشركة الأم لـ Xandr (ملاحظة: كانت إيرادات Microsoft للعام بأكمله لعام 2023 قريبة من 212 مليار دولار).
الحصول على المخاطر التنظيمية؟
اختارت مايكروسوفت “منصة التكنولوجيا المدعومة بالبيانات”، كما أطلقت عليها Xandr، في نهاية عام 2021، لتوسيع أعمالها الإعلانية الرقمية، على الرغم من احتفاظ Xandr باستقلالها الهيكلي وتعمل ككيان منفصل. تحدث بيان صحفي لشركة Microsoft في ذلك الوقت عن عملية الاستحواذ التي تعزز “حلول وسائط البيع بالتجزئة”، بالإضافة إلى الترويج “لتعزيز تحقيق الدخل للناشرين من خلال وصول أكبر إلى بيانات الطرف الأول وعرض تسويق مسار التحويل الكامل”. ولم يذكر احتمال زيادة المخاطر التنظيمية الناجمة عن عملية الاستحواذ.
المشكلة، وفقًا للشكوى المدعومة من noyb، هي أن Xandr فشل في الاستجابة لأي طلبات للوصول إلى البيانات من الأفراد الذين يريدون حذف معلوماتهم الشخصية أو تصحيحها. ترتبط الشكوى بصفحة ويب “مخفية” حيث تقول إن Xandr ينشر مقاييس الوصول إلى البيانات. وفقًا لهذه الصفحة، بين 1 يناير 2022 و31 ديسمبر 2022، تلقت الشركة 1294 طلب وصول و600 طلب حذف – لكنها رفضت كل طلب.
تنص ملاحظة توضيحية على صفحة الويب على ما يلي: “يتم رفض طلبات الوصول والحذف عندما لا نتمكن من التحقق من هوية مقدم الطلب واختصاصه القضائي. نظرًا لطبيعة الأسماء المستعارة للبيانات التي يجمعها Xandr على منصته، لا يمكننا التحقق من هوية المستهلكين الذين قدموا طلبات الوصول والحذف عندما لا تكون هذه الطلبات مرتبطة بأي معرفات أخرى، وبالتالي رفضنا مثل هذه الطلبات.
لذا يبدو أن شركة Xandr تدعي أنها غير ملزمة بالامتثال لحقوق الوصول إلى البيانات الخاصة باللائحة العامة لحماية البيانات لأن المعلومات التي تحتفظ بها عن الأفراد هي أسماء مستعارة.
ومع ذلك، تقول الشكوى إنه ليس من المصداقية أن تدعي شركة تعتمد أعمالها بالكامل على تصنيف الأفراد لتحقيق أرباح إعلانية مستهدفة أنها لا تستطيع تحديد الأشخاص الذين تحتفظ بمعلوماتهم.
وتعليقًا على ذلك، قال ماسيميليانو جيلمي، محامي حماية البيانات في noyb: “من الواضح أن عمل Xandr يعتمد على الاحتفاظ ببيانات ملايين الأوروبيين واستهدافهم. ومع ذلك، تعترف الشركة بأن معدل الاستجابة لديها يبلغ 0% لطلبات الوصول والمسح. ومن المثير للدهشة أن Xandr يوضح علنًا كيف ينتهك اللائحة العامة لحماية البيانات.
تجدر الإشارة إلى أن اللائحة العامة لحماية البيانات تأخذ نظرة موسعة على ما يشكل البيانات الشخصية والبيانات التي خضعت لأسماء مستعارة تظل بيانات شخصية – مما يعني أن أولئك الذين يحتفظون بهذه المعلومات يجب أن يلتزموا بالمتطلبات القانونية لعموم الاتحاد الأوروبي مثل توفير حقوق الوصول إلى البيانات.
تشتمل المبادئ التوجيهية بشأن حقوق الوصول إلى البيانات التي اعتمدها المجلس الأوروبي لحماية البيانات (EDPB) العام الماضي على مثال توضيحي من مجال الإعلانات ذات الاستهداف الدقيق والتي يشير فيها المجلس إلى أن شركة الإعلان يجب أن تكون قادرة على “التعرف بدقة” على الفرد الذي يطلب الوصول إلى بياناتهم الشخصية من نفس المعدات الطرفية المرتبطة بملفهم الإعلاني (أي من خلال ملفات تعريف الارتباط المسقطة عليها) حيث “يمكن العثور على رابط بين البيانات التي تمت معالجتها وموضوع البيانات”.
إذا طلب أحد الأفراد بياناته بطريقة أخرى، عبر البريد الإلكتروني على سبيل المثال، فإن إرشادات EDPB تقترح على شركة التكنولوجيا الإعلانية أن تطلب معلومات إضافية منه من أجل تحديد الملف الإعلاني ذي الصلة وتلبية طلب الوصول إلى البيانات الخاص به. تنص الإرشادات على وجه التحديد على أن الفرد سيحتاج إلى تقديم معرف ملف تعريف الارتباط المخزن في أجهزته الطرفية.
ليس من الواضح ما هي الخطوات التي اتخذها Xandr لتحديد الملفات الشخصية الإعلانية للأشخاص الذين يطلبون الوصول إلى بياناتهم أو حذفها.
وبالعودة إلى الشكوى، اكتشف بحث noyb أيضًا ما يبدو أنه مستويات عالية من عدم الدقة في المعلومات التي يحملها Xandr عن الأفراد – مما قد يثير أسئلة منفصلة لعملائه حول جودة خدمات استهداف الإعلانات. ولكن لها أيضًا أهمية قانونية نظرًا لأن اللائحة العامة لحماية البيانات تمنح الأفراد الحق في تصحيح البيانات غير الصحيحة الموجودة عنهم.
ويمكن لمواطني الاتحاد الأوروبي الاعتماد على اللائحة العامة لحماية البيانات للحصول على حقوق أخرى أيضًا، بما في ذلك القدرة على طلب نسخة من بياناتهم. مرة أخرى، يزعم noyb أن هذه منطقة أخرى لا يلتزم فيها Xandr. ولم تتمكن من الحصول على نسخة من بيانات صاحب الشكوى من Xandr نفسها، بل استخدمت طلب وصول إلى أحد موردي وسطاء البيانات التابعين لها.
“بفضل طلب الوصول المقدم من وسيط البيانات – ومورد Xandr – emetriq، نعلم أن جزءًا على الأقل من قاعدة بيانات Xandr يتكون من بيانات شخصية غير دقيقة ومتناقضة إلى حد كبير حول الأشخاص”، كما جاء في بيان صحفي. “وفقًا لـ metriq، فإن صاحب الشكوى ذكر وأنثى على حد سواء، وتتراوح أعماره بين 16-19، و20-29، و30-39، و40-49، و50-59، و60+. ويتراوح دخل صاحب الشكوى أيضًا بين 500 يورو و1500 يورو، و1500 يورو و2500 يورو و2500 يورو و4000 يورو. علاوة على ذلك، نفس الشخص يبحث عن عمل، موظف، طالب، تلميذ، ويعمل في شركة. توظف هذه الشركة بدورها ما بين 1 إلى 10، وأكثر من 1000، و1100 إلى 5000 شخص في نفس الوقت. “
ويضيف نويب: “من الصعب أن نتخيل كيف يمكن استخدام فئات البيانات هذه لاستهداف الإعلانات بشكل دقيق”. “على الرغم من أن emetriq ليس وسيط البيانات الوحيد الذي يزود Xandr بالبيانات، إلا أنه يجب افتراض أن هذه المعلومات تُستخدم لاستهداف الإعلانات.”
وتعليقًا على ذلك، كتب جيلمي أيضًا: “يبدو أن أجزاء من صناعة الإعلان لا تهتم حقًا بتزويد المعلنين بمعلومات دقيقة. وبدلاً من ذلك، تحتوي مجموعة البيانات على مجموعة متنوعة من المعلومات المتضاربة. يمكن أن يفيد هذا شركات مثل Xandr حيث يمكنها بيع نفس المستخدم سواء كان صغيرًا أو كبيرًا لشركاء أعمال مختلفين.
تم الاتصال بشركة Microsoft للرد على الشكوى.
أخبرنا متحدث باسم noyb أنه لا يتوقع إحالة الشكوى من إيطاليا إلى سلطات حماية البيانات الأيرلندية، بموجب عملية الشباك الواحد الخاصة باللائحة العامة لحماية البيانات، نظرًا لأن شركة Xandr تأسست في الولايات المتحدة. يشير هذا الهيكل المؤسسي إلى أنه يمكن استهداف شركة التكنولوجيا الإعلانية بمزيد من الشكاوى في الدول الأعضاء الأخرى في الاتحاد الأوروبي حيث قامت بمعالجة بيانات السكان المحليين – مما يزيد من المخاطر التنظيمية.
تسلط الشكوى المدعومة من noyb الضوء على الأبحاث السابقة التي قالت إنها أظهرت أن Xandr يجمع معلومات حساسة للغاية عن الأفراد لأغراض ملفات تعريف الإعلانات، مثل البيانات المتعلقة بحياتهم الجنسية أو ميولهم الجنسية والمعتقدات الدينية والآراء السياسية. يضع القانون العام لحماية البيانات (GDPR) معيارًا مرتفعًا بشكل خاص – للموافقة الصريحة – لمعالجة الفئات الحساسة من البيانات بشكل قانوني.
ليس من الواضح كيف تم الحصول على هذه الموافقات من الأفراد الذين يحتفظ Xandr ببياناتهم. لكن قد يكون زوار مواقع الويب أحد مصادر المعلومات حيث يمكن تشغيل تتبع الإعلانات من خلال وصول الأشخاص إلى محتوى الناشرين. في الاتحاد الأوروبي، يجب أن تطلب هذه المواقع من الزائرين الإذن بالتتبع، إلا أن الآليات القياسية الصناعية للحصول على موافقة الأشخاص متهمة بانتهاك اللائحة العامة لحماية البيانات.