No final da semana passada, descobriu-se que o Google pretende ignorar uma chamada do World Wide Web Consortium (W3C) – o órgão internacional que trabalha para orientar o desenvolvimento de padrões da web – para repensar a API de tópicos: um componente-chave de segmentação de anúncios do Google a chamada proposta de sandbox de privacidade para desenvolver a pilha adtech que o Chrome suporta para publicidade direcionada.
Os tópicos referem-se a um componente de segmentação de anúncios da proposta Sandbox que se baseia no rastreamento dos interesses dos usuários da web por meio de seus navegadores.
O Grupo de Arquitetura Técnica do W3C (TAG) levantou uma série de preocupações após uma solicitação do Google em março passado para uma “revisão antecipada de design” da API de tópicos – escrevendo na semana passada que sua “visão inicial” é a API de tópicos proposta pelo Google falha em proteger os usuários de “rastreamento e criação de perfil indesejados” e mantém o status quo de “vigilância inadequada na web”.
“Não queremos que isso prossiga”, acrescentou Amy Guy, comentando em nome do TAG.
A opinião do TAG não é a primeira avaliação pessimista de Topics. Desenvolvedores de mecanismos de navegador WebKit e Mozilla também recentemente rejeitou a abordagem do Google – com o primeiro alerta contra deficiências de privacidade preexistentes na web sendo usado como “desculpas para deficiências de privacidade em novas especificações e propostas” e o último considerando os tópicos “mais propensos a reduzir a utilidade do informações para os anunciantes do que fornece proteção significativa para a privacidade.”
E o risco de fragmentação da experiência do usuário da web se houver apenas suporte limitado entre os navegadores para tópicos – o que pode levar à implementação de sites que buscam bloquear visitantes que usam navegadores não Chromium – é outra das preocupações sinalizadas pelo TAG.
Apesar da crescente oposição do mundo da infraestrutura da web à abordagem do Google, o regulador de privacidade do Reino Unido – um importante órgão de supervisão neste contexto como o Information Commission’s Office (ICO) está ativamente envolvido na avaliação da conformidade do Sandbox com a lei de proteção de dados após uma grande intervenção antitruste pela Autoridade de Mercados e Concorrência do Reino Unido (CMA), que juntou – parece contente em aguardar e deixar o Google prosseguir com uma proposta de que especialistas técnicos no W3C estão alertando sobre os riscos de perpetuar o tipo de invasões de privacidade (e agências de usuários e falhas de transparência) que atolaram o setor de adtech em problemas regulatórios (e de reputação) por anos.
Questionado sobre se tem alguma preocupação sobre as implicações de Tópicos para a privacidade, inclusive à luz da avaliação do TAG, o ICO levou vários dias para considerar a questão antes de recusar comentários.
O regulador nos disse que continua a se envolver com o Google e com o CMA – como parte de seu papel nos compromissos assumidos pelo Google no ano passado com o órgão regulador da concorrência. O porta-voz da ICO também apontou para um opinião de 2021publicado pelo antigo comissário de informações do Reino Unido sobre o tópico (ha!) da publicidade on-line em evolução – que estabelece uma série de “princípios” e “recomendações” para o setor de adtech, incluindo a estipulação de que os usuários tenham a opção de receber anúncios sem qualquer rastreamento, perfil ou processamento de dados pessoais – e que o porta-voz disse que estabelece suas “expectativas gerais” em relação a tais propostas agora.
Mas uma resposta mais abrangente do ICO a uma crítica detalhada dos tópicos pelo W3C TAG não havia.
Um porta-voz do Google, por sua vez, confirmou que informou o regulador sobre os tópicos. E respondendo a perguntas sobre as preocupações do TAG, a empresa também nos disse:
Embora apreciemos a contribuição do TAG, discordamos de sua caracterização de que o Topics mantém o status quo. O Google está comprometido com os Tópicos, pois é uma melhoria significativa de privacidade em relação aos cookies de terceiros, e estamos avançando.
Os tópicos oferecem suporte a anúncios baseados em interesses que mantêm a web gratuita e aberta e melhoram significativamente a privacidade em comparação com cookies de terceiros. A remoção de cookies de terceiros sem alternativas viáveis prejudica os editores e pode levar a abordagens piores, como rastreamento oculto. Muitas empresas estão testando ativamente as APIs Topics e Sandbox, e estamos comprometidos em fornecer as ferramentas para aumentar a privacidade e oferecer suporte à web.
Além disso, o diretor sênior de gerenciamento de produtos do Google, Victor Wong, foi ao Twitter na sexta-feira (após reportagem de imprensa sobre as implicações das preocupações do TAG) para twittar uma versão encadeada de sentimentos na declaração (na qual Wong também afirma que os usuários podem “controlar facilmente quais tópicos são compartilhados ou desativá-los”) – terminando com a estipulação de que a gigante adtech está “100% comprometida com essas APIs como blocos de construção para uma internet mais privada.”
Portanto, TL;DR, o Google não é para ativar os tópicos.
Ele anunciou esse componente do Sandbox há um ano – substituindo uma proposta anterior de segmentação de anúncios baseada em interesses muito criticada, chamada FLoCs (também conhecida como Aprendizagem Federada de Coortes), que propunha agrupar usuários com interesses comparáveis em grupos segmentáveis.
FLoCs foi logo atacado como uma ideia terrível – com os críticos argumentando que isso poderia ampliar os problemas adtech existentes, como discriminação e direcionamento predatório. Portanto, o Google pode não ter tido muita escolha em eliminar os FLoCs – mas isso forneceu uma maneira de transformar uma dor de cabeça de relações públicas sobre seu alegado projeto de evolução de anúncios pró-privacidade em uma vitória rápida, fazendo com que a empresa parecesse receptiva.
O fato é que o empilhamento rápido de críticas aos Tópicos também não parece bom para as reivindicações do Google de adtech “avançada” que oferece uma “internet mais privada”.
Sob a proposta do Topics, o Chrome (ou um navegador baseado em cromo) rastreia a atividade na web dos usuários e atribui interesses a eles com base no que eles visualizam on-line, que podem ser compartilhados com entidades que chamam a API de tópicos para segmentá-los com anúncios.
Existem alguns limites – como quantos tópicos podem ser atribuídos, quantos são compartilhados, por quanto tempo os tópicos são armazenados e assim por diante – mas, fundamentalmente, a proposta implica que a atividade do usuário na web seja observada por seu navegador, que então compartilha trechos da taxonomia de interesses são inferidos com sites que solicitam os dados.
Isso não é 100% claro para (e controlável por) o usuário da web, como argumenta a avaliação do TAG:
A API de tópicos proposta coloca o navegador em posição de compartilhar informações sobre o usuário, derivadas de seu histórico de navegação, com qualquer site que possa chamar a API. Isso é feito de forma que o usuário não tenha controle refinado sobre o que é revelado, em que contexto ou para quais partes. Também parece provável que um usuário tenha dificuldade para entender o que está acontecendo; os dados são coletados e enviados nos bastidores, de forma bastante opaca. Isso vai contra o princípio da melhorando o controle do usuárioe acreditamos não ser um comportamento apropriado para qualquer software que pretenda ser um agente de um usuário da web.
…
Dar ao usuário da web acesso às configurações do navegador para configurar quais tópicos podem ser observados e enviados, e de/para quais partes, seria uma adição necessária a uma API como esta e ajudaria a restaurar a agência do usuário, mas é de forma alguma suficiente. As pessoas podem se tornar vulneráveis de maneiras inesperadas e sem aviso prévio. Não se pode esperar que as pessoas tenham um entendimento completo de todos os tópicos possíveis da taxonomia no que se refere às suas circunstâncias pessoais, nem dos efeitos imediatos ou indiretos do compartilhamento desses dados com sites e anunciantes, e nem se pode esperar que continuem revisar as configurações do navegador conforme suas circunstâncias pessoais ou globais mudam.
Há também o risco de sites que chamam a API serem capazes de “enriquecer” os dados de interesse por usuário coletados por Topics usando outras formas de rastreamento – como impressão digital de dispositivos – e, assim, retirar a privacidade dos usuários da web da mesma forma. maneira corrosiva e antiusuário da Web que o rastreamento e a criação de perfil sempre fazem.
E, embora o Google tenha dito que categorias “sensíveis” – como raça ou gênero – não podem ser transformadas em interesses segmentáveis por meio do processamento de tópicos, isso não impede que os anunciantes identifiquem categorias proxy que poderiam usar para segmentar características protegidas, como aconteceu com o rastreamento existente. ferramentas de segmentação de anúncios baseadas (veja, por exemplo, segmentação de anúncios por “afinidade étnica” no Facebook – que levou a alertas em 2016 sobre o potencial de anúncios discriminatórios, excluindo pessoas com características protegidas de ver anúncios de emprego ou moradia).
(Novamente, o TAG detecta esse risco – apontando ainda: “[T]não há avaliação binária que possa ser feita sobre se um tópico é ‘sensível’ ou não. Isso pode variar dependendo do contexto, das circunstâncias da pessoa com quem se relaciona, bem como mudar ao longo do tempo para a mesma pessoa.”)
Um cínico pode dizer que a controvérsia sobre os FLoCs e o rápido abandono deles pelo Google forneceram à empresa uma cobertura útil para promover os tópicos como um substituto mais palatável – sem atrair o mesmo nível de escrutínio minucioso para uma proposta que, afinal, procura continuar rastreando os usuários da web – dada toda a atenção já dispensada aos FLoCs (e com algum pó regulatório gasto em considerações antitruste sobre o Privacy Sandbox).
Assim como em uma negociação, o primeiro pedido pode ser ultrajante – não porque a expectativa seja obter tudo na lista, mas como uma forma de distorcer as expectativas e obter o máximo possível mais tarde.
O plano altamente técnico do Google para construir uma nova (e afirma) pilha adtech “melhor para a privacidade” foi formalmente anunciado em 2020 – quando definiu sua estratégia para depreciar o suporte para cookies de rastreamento de terceiros no Chrome, tendo sido arrastado em ação por movimentos anti-rastreamento muito anteriores por navegadores rivais. Mas a proposta tem enfrentado críticas consideráveis de editores e profissionais de marketing devido a preocupações de que ela fortalecerá ainda mais o domínio do Google na publicidade online. Isso – por sua vez – atraiu um monte de escrutínio regulatório e fricção de vigilantes antitruste, levando a alguns atrasos no cronograma de migração original.
O Reino Unido liderou o ataque aqui, com seu CMA extraindo uma série de compromissos da gigante da tecnologia há pouco menos de um ano – sobre como desenvolveria a pilha adtech de substituição e quando poderia aplicar qualquer mudança.
Principalmente, esses compromissos visam garantir que o Google receba feedback do setor para resolver quaisquer problemas de concorrência. Mas o CMA e o ICO também anunciaram o trabalho conjunto nessa supervisão – dadas as claras implicações para a privacidade dos usuários da web de qualquer alteração na forma como a segmentação de anúncios é feita. O que significa que os reguladores da concorrência e da privacidade precisam trabalhar de mãos dadas aqui, se o usuário da web não quiser continuar sendo endurecido em nome de “anúncios relevantes”.
A questão da adtech para a ICO é, no entanto, complicada.
Isso ocorre porque – historicamente – falhou em tomar medidas de execução contra as violações sistemáticas da lei de privacidade da adtech de geração atual. Portanto, a noção da ICO é dura com o Google agora, sobre o que a empresa tem, desde o início, marcado como um avanço pró-privacidade no status quo sujo, mesmo quando o regulador permite que a adtech destruidora de privacidade continue processando usuários da web ilegalmente ‘ data – pode parecer um pouco “ass over tit”, por assim dizer.
O resultado é que o ICO está em apuros sobre o quão proativamente pode regular os detalhes da proposta Sandbox do Google. E isso, é claro, joga a favor do Google – já que o único regulador de privacidade com olhos ativamente sobre essas coisas é forçado a sentar em suas mãos (ou, na melhor das hipóteses, girar os polegares) e deixar o Google moldar a narrativa para os tópicos e ignorar as críticas informadas – então você poderia dizer que o Google está esfregando a cara do regulador em sua própria inação. Daí a conversa inabalável de “avançar” em uma “melhoria significativa da privacidade em relação aos cookies de terceiros”.
A “melhoria” é obviamente relativa. Portanto, para os usuários, a realidade é que ainda é o Google no banco do motorista quando se trata de decidir quanto ganho incremental de privacidade você obterá em seus negócios de rastreamento de pessoas como de costume. E não adianta reclamar com o ICO sobre isso.