Confiant detecta irregularidades en la gestión del consentimiento de usuarios por parte de Marfeel
La compañía de ciberseguridad Confiant ha apuntado a Marfeel por prácticas sospechosas en torno a la aceptación de cookies de terceros por parte de usuarios. Según su análisis sobre el código de un medio, la empresa española habría desarrollado una cadena de consentimiento alternativa al TCF v2.0 instaurado por IAB Europa a pesar de que no actúa como gestor de esos permisos.
Confiant considera que en la práctica habría estado haciendo que el usuario aceptara de forma genérica todo lo que se le proponía, en el contexto de su interés en la agrupación de ofertas de distintos SSP para que los medios con los que trabaja obtengan el mejor precio. Y por ello cree que Marfeel habría alterado de forma inadecuada la cadena de aceptación / rechazo de cookies hasta el punto de violar la normativa de privacidad de IAB.
Como proveedor en el aspecto publicitario, la empresa española debe actuar según las preferencias indicadas por el usuario sobre el banner que se le presenta y que quedan registradas por el gestor de consentimientos (CMP), que en este caso era Admiral. El hecho de que Marfeel haya creado su propia cadena en ese proceso permitía que, en ausencia de una disponible, utilizara esa de forma predeterminada con todos los aspectos de seguimiento validados.
La compañía de ciberseguridad alertó a IAB Europa sobre que el proveedor español estaba pasando una cadena de consentimiento sin actuar como gestor del mismo.
Confiant puntualiza que esa compañía está registrada como CMP, pero también como proveedor en la lista de IAB Europa. En este último caso opera con dos registros diferentes porque tiene dos productos distintos. Uno de ellos estaría exento de consentimiento porque funciona como herramienta de medición de audiencia cuyo papel es imprescindible para brindar un servicio. En cada uno de los escaneos realizados Confiant había detectado que estaba enviando su propia cadena de consentimiento en el proceso, al margen de de que existiera otra disponible, sin que necesariamente la reemplazara.
Todo eso hacía que Marfeel estuviera usando su propio identificador de CMP sin que estuviera actuando como tal y sin que operase en base al acuerdo inequívoco del usuario en ser rastreado. Y además infringiría la política de proveedores de IAB Europa en la medida en que lanzaba una señal no elaborada por el CMP en funciones, lo que además exponía a los SSP que la recibían a posibles responsabilidades. Especialmente si luego hacían llegar ese consentimiento a terceros.
Marfeel se exponía a ser eliminado de la lista de proveedores si IAB Europa le apercibiera en hasta tres ocasiones por una infracción de este tipo sin que hubiera resuelto la incidencia en 28 días naturales después de cada aviso. El organismo fue sido alertado por Confiant de estas circunstancias e indicó que se pondría en contacto con la empresa española, que a partir del 12 de diciembre de 2021 dejó de pasar de manera predeterminada su cadena de consentimiento. Lo que sí seguía presente en el código de etiqueta de los anuncios de Marfeel eran las cadenas referentes a privacidad para EEUU, aparentemente por acuerdo con IAB.
Según los datos de Confiant, esta práctica de Marfeel se remonta al menos a octubre de 2021. La compañía de ciberseguridad considera que es posible que hubiera continuado indefinidamente si no la hubiera detectado e informado sobre ella.
Por su parte, la empresa española ha respondido a estas acusaciones indicando que la incidencia que describe se debía a una implementación incompleta que estaba supeditada a condiciones técnicas del gestor de anuncios, que en ese momento no tenía un elemento clave todavía disponible. Marfeel decidió usar mientras tanto una cadena de consentimiento por defecto que cuya propiedad era reconocible y la mantuvo por error más tiempo del previsto, porque por una falta de sincronización interna no recibió la notificación de que el entorno técnico ya estaba plenamente funcional.
Marfeel indica que hizo saber a IAB estas circunstancias el 6 de diciembre de 2021 y que una semana después el organismo era conocedor de que el problema había sido resuelto.
