Cuando libre competencia y privacidad se tocan: Google y su reciente acuerdo con la CMA | CeCo Newsletter

Cuando libre competencia y privacidad se tocan: Google y su reciente acuerdo con la CMA

11.05.2022
Tiempo de lectura: 12 min.
Claves
  • En febrero pasado la CMA resolvió aceptar los compromisos ofrecidos por Google en el contexto de su investigación con respecto al proyectado cambio de política de privacidad de Google Chrome. El proyecto de Google supone la eliminación de cookies de terceros y su reemplazo por las herramientas desarrolladas al alero de la “Caja de Arena de Privacidad de Google” (“Google Privacy Sandbox”).
  • La investigación de la autoridad británica había sido iniciada a principios de 2021, luego que de un grupo periódicos y compañías digitales denunciara los planes de Google por sus efectos negativos para la competencia. La CMA ya se encontraba monitoreando las propuestas de Google en conjunto con otras agencias sectoriales.
  • Los compromisos finalmente aceptados corresponden al segundo paquete de propuestas formuladas por Google en noviembre de 2021, que recogen observaciones formuladas por terceros con respecto al primer pliego de compromisos (junio de 2021). El acuerdo final refleja un enfoque adaptativo y flexible para resolver riesgos anticompetitivos, tanto por parte de la agencia como por parte de la propia firma investigada.
Keys
  • On 11 February 2022, the CMA decided to accept commitments from Google in relation to its proposals to remove third party cookies on Chrome and replace them for Google’s Privacy Sandbox tools.
  • The Competition and Markets Authority investigation was opened in January 2021, after Marketers for an Open Web Limited (a group of newspaper publishers and technology companies) alleged that, through the proposals, Google was abusing its dominant position. The CMA was already monitoring Google’s proposals in coordination with other specialised agencies (the Information Commissioner’s Office and Ofcom).
  • The commitments accepted constitute to the second package proposed by Google in November 2021. Among others, these commitments address observations made by third parties to the first set of assurances originally offered by Google. The final agreement reflects an adaptive and flexible approach to resolving anticompetitive concerns, both by the agency and by the investigated firm.

El avisaje en línea juega un rol preponderante en el desarrollo de los mercados digitales. Y el mismo representa, en sus propios términos, un mercado gigantesco a nivel global. Sólo en Estados Unidos, se estima que el gasto en avisaje digital podría superar los trecientos mil millones de dólares este año (es decir, una cifra superior al producto interno bruto de Chile). A nivel mundial, esa cifra debiera elevarse por sobre los setecientos mil millones.

El peso de grandes plataformas en la oferta de avisaje digital resulta incuestionable. En su estudio de mercado de 2020, la CMA estimó que Google capturaba más del 90% del mercado de avisaje digital “de búsqueda” en Reino Unido (un mercado de aproximadamente 7.300 millones de libras). El mismo estudio concluyó que Facebook representaba más del 50% del avisaje digital de exhibición (“display”), mercado de aproximadamente £5.500 millones. No es de extrañar que, en este contexto, las autoridades de competencia examinen de cerca las actividades de los principales actores, particularmente cuando ellas pueden tener efectos relevantes para la dinámica de competencia del mercado.

Cookies y cookies de terceros: Entre el avisaje dirigido y las amenazas a la a privacidad

Los cookies de Internet, incluidos los cookies de terceros, tienen larga data y se remontan, al menos, a mediados de la década de los 90’. La historia cuenta que Louis Montulli, entonces un ingeniero de veintitrés años, desarrolló para Netscape (en aquel momento el navegador más popular), el concepto. El desafío era la elaboración de una herramienta que permitiera que los sitios web que operan bajo el estándar abierto HTTP desarrollaran una suerte de “memoria” para recordar usuarios individuales. Poder recordar, por ejemplo, el “carro de compras” digital del usuario que no finalizó una transacción; ofrecer directamente el producto que este suele comprar o cotizar; recordar sus datos de acceso para facilitar el ingreso y la autenticación para la próxima visita; o, simplemente, proveer otro tipo de contenidos personalizados. Todas esas funciones dependen de web cookies. Y todas ellas resultan aspectos básicos de la experiencia de los usuarios de Internet hoy.

La respuesta de Montulli (quien se convertiría, a poco de formular la solución, en ingeniero fundador de Netscape) fue la creación de pequeños bloques de datos creados por el servidor web a medida que el usuario navega en un determinado sitio, y que se almacenan en el dispositivo del usuario a través del navegador. Tal como el mensaje puesto al interior de una galleta de la fortuna, un web cookie llega al usuario en el marco de su propia interacción con el sitio y permite modelar, en forma personalizada, sus futuras interacciones con él.

Según su función, se distinguen típicamente al menos dos tipos de web cookies. En primer lugar, cookies de autenticación (authentication cookies), que son aquellos que permiten a un determinado sitio validar la identidad del usuario y permitirle acceder a sus cuentas sin necesidad de una nueva validación manual (por ejemplo, reescribiendo el nombre de usuario y contraseña). En segundo término, los cookies de seguimiento (tracking cookies), que permiten compilar datos de navegación del usuario (por ejemplo, las páginas que visitan, los botones que aprietan en un determinado sitio, etc.)

Los cookies de esta última clase pueden ser del mismo sitio web(same-site) o de terceros (third-party). Son estos últimos los que han generado históricamente más discusión, fundamentalmente por potenciales vulneraciones de privacidad. En efecto, a través de ellos un tercer sitio (al que el usuario, eventualmente, nunca ingresó) puede conocer el historial de navegación de una persona. Así puede suceder, por ejemplo, con cookies de publicidad. Si al visitar distintos sitios web un determinado usuario se expone a cookies del mismo tercero avisador (por ejemplo, porque en los diversos sitios que visita hay banners publicitarios de ese sitio), ese tercero tendrá conocimiento de la navegación del usuario.

Por cierto, dicha información es de alto valor -entre otros, para efectos publicitarios-. Ella permite ofrecer avisaje dirigido con especial sensibilidad a las preferencias del usuario y al mejor momento para dirigir el mensaje (gatillándolo, por ejemplo, en el instante en que el usuario está más propenso a realizar una compra).

La respuesta de Google: Google Privacy Sandbox

En la significativamente distinta realidad de 1995, Netscape optó por aceptar los cookies de terceros por defecto. Pero con el correr de los años y el crecimiento explosivo de los mercados digitales, los riesgos de vulneración de privacidad asociados a cookies de terceros se convirtieron en una preocupación creciente de legisladores y reguladores. El cambio más notorio vino tal vez en 2009, cuando la Unión Europea aprobó una nueva regulación (que entró en vigencia en 2011) que exige el consentimiento expreso del usuario para que un determinado sitio pueda utilizar y almacenar cookies no esenciales en su dispositivo.

Poco tiempo después, algunos navegadores adoptaron por iniciativa propia medidas más drásticas. Hoy en día, la configuración por defecto de Safari (el navegador de Apple) es deshabilitar las cookies de terceros. Firefox hace algo similar desde hace algunos años con los cookies de terceros de seguimiento.

Pero Google Chrome (por lejos, hoy, el navegador más popular), no ha seguido esta última tendencia. La respuesta de Google fue dar impulso a un proyecto abierto y colaborativo, iniciado en 2019, para estudiar y crear nuevos estándares para que los sitios web pudieran acceder a información de usuarios sin comprometer su privacidad: el Google Privacy Sandbox.

Conforme a Google, estos nuevos estándares mitigarían los riesgos de privacidad que hoy se generan con las cookies (en particular las cookies de terceros), excluyendo, entre otros, la posibilidad de generar huellas digitales de dispositivo (device fingerprinting), que es un peligro real en la actualidad. La solución de Google, no obstante, mantendría la posibilidad de realizar un avisaje direccionado efectivo y una experiencia de usuario personalizada.

¿El problema? Desde una perspectiva de privacidad, la iniciativa de Google parece meritoria. Pero desde una perspectiva de libre competencia, el potencial reforzamiento de su posición de dominancia en el mercado del avisaje online es también fuente de preocupación. Algunos temen, por ejemplo, que el reemplazo de cookies de terceros por las nuevas herramientas de Google (que se implementarían a nivel de Google Chrome y los sistemas Android) fortalezca aún más el poder de Google para ofrecer avisaje personalizado, en detrimento de lo que otros publicadores de contenidos pueden también proveer en la actualidad mediante cookies de terceros.

Google originalmente había anunciado el fin de los cookies de terceros para 2022, pero cuestionamientos a sus propuestas previas de reemplazo (algunas, motivadas también en la privacidad de los usuarios) motivaron posponer la eliminación hasta fines del próximo año.

Las preocupaciones de la CMA

La CMA inició su investigación en enero de 2021, enfatizando desde el principio que mantenía una “mirada abierta” acerca de los efectos que los planes de Google para la competencia.  Mas, avanzada la investigación, la CMA expresó la preocupación de que, “de implementarse sin escrutinio y supervisión, las propuesta de Google probablemente conducirían a un abuso de posición dominante”.

Específicamente (según se consignaran en el documento que contiene los compromisos finales), la CMA formuló tres inquietudes con respecto a las propuestas del Google Privacy Sandbox: que éstas pudieran (i) distorsionar la competencia en el mercado de provisión de espacios de avisaje y, en el mercado de provisión de servicios tecnológicos, por la vía de restringir las funcionalidades asociadas al seguimiento de usuarios por parte de terceros, pero manteniendo esas funcionalidades para Google; (ii) distorsionar la competencia por la vía de la autopreferencia de los propios servicios y productos de avisaje de Google y su inventario de avisajes; y (iii) denegar a los usuarios de Google Chrome espacios de decisión sustancial acerca de cómo sus datos personales serían usados para los propósitos de direccionamiento o entrega de avisaje.

Los compromisos de Google

Los compromisos finales de Google fueron presentados en noviembre del año pasado y aceptados por la CMA en febrero del presente año. Ellos corresponden a un segunda versión del pliego original, que recoge observaciones formuladas por terceros durante un proceso de consulta pública.

Los compromisos aceptados por la CMA suponen, en primer lugar, una obligación amplia de desarrollar las propuestas de la Google Privacy Sandbox sobre la base de cinco criterios rectores: (i) impacto en la privacidad de los usuarios; (ii) impacto en la competencia en el mercado de avisaje digital, particularmente en atención al riesgo de distorsionar la competencia entre Google y otros participantes del mercado; (iii) impacto en quienes publican contenido digital, así como en avisadores; (iv) impacto en la experiencia de los usuarios, incluida la transparencia acerca del uso de sus datos personales; y (v) factibilidad técnica de las medidas.

En segundo término, los compromisos suponen el involucramiento de la CMA y la ICO (Information Commission Office, la agencia encargada de velar por la privacidad de datos de los usuarios en Reino Unido) en el desarrollo y pruebas de las propuestas de la Google Privacy Sandbox. Lo anterior, a efectos de verificar oportunamente que ellas cumplan con el objetivo buscado de proteger tanto la competencia como la privacidad de los usuarios.

A este respecto, Google se comprometió a desarrollar un diálogo “abierto, constructivo y continuo” para el desarrollo de sus propuestas, sosteniendo reuniones mensuales con la CMA hasta hacer operativa la remoción de los cookies de terceros. Las medidas que en definitiva se implementen serán previamente testeadas en un proceso abierto de consulta con terceras partes que guardan interés (se fijó, para ello, un itinerario general). Google se comprometió, además, a resolver con celeridad las potenciales aprensiones que la CMA formule durante este proceso. La obligación más fuerte en la materia probablemente sea la de no implementar la remoción de los cookies de terceros sino hasta sesenta días (ampliables hasta 120 días) luego de informar a la CMA de su intención de hacerlo. Durante ese período, la CMA puede hacer presente que existen aprensiones no satisfechas sobre los efectos de las nuevas medidas, obligándose Google a buscar soluciones de buena fe. Si Google y la CMA no resuelven sus diferencias en ese plazo, la autoridad puede eventualmente reabrir su investigación y adoptar, si el caso lo amerita, una decisión sobre la compatibilidad de las medidas implementadas por Google con la libre competencia.

Finalmente, Google se comprometió a restringir el traspaso de datos dentro de su ecosistema a efectos de asegurar que no adquirirá una ventaja por sobre competidores cuando los cookies de terceros sean removidos. Asimismo, los compromisos incluyen determinadas prohibiciones de autopreferencia de sus servicios de avisaje.

Un enfoque preventivo y flexible

Dos cuestiones interrelacionadas merecen destacarse en la solución alcanzada entre Google y la CMA. En primer lugar, el enfoque preventivo y, hasta cierto punto, de carácter casi regulatorio de los compromisos. En rigor, los protocolos y medidas específicas con que Google reemplazará los cookies de terceros no se encuentran todavía bien definidas. En un contexto así, sería esperable, al menos tratándose de varios otros mercados, que la autoridad de competencia esperase mayor claridad por parte de las medidas que el sujeto fiscalizado planifica implementar antes de intervenir. En este caso, no obstante, la CMA prefirió actuar preventiva antes que reactivamente. Más aún, buscó intervenir de forma particularmente temprana. La autoridad optó por participar e involucrarse en el proceso de diseño de las medidas que Google implementará, monitorear de cerca su desarrollo y hacer ver sus reparos en fases iniciales del proyecto. Este giro hacia formas de intervención preventivas se está volviendo cada vez más perceptible en la aproximación de varias agencias frente a los problemas de competencia en mercados digitales.

El segundo aspecto que llama la atención se condice precisamente con la intervención temprana de la autoridad. Se trata del enfoque flexible y, en buena parte, dialógico, para enfrentar los riesgos anticompetitivos que pudieran surgir. Varios de los compromisos asumidos en este caso son de carácter amplio o de tipo procedimental. Precisamente porque las medidas específicas que generan preocupación de la autoridad no están plenamente definidas, existe incertidumbre sobre los riesgos específicos asociados, prefiriéndose una aproximación flexible que posterga la adopción de nuevas decisiones para cuando exista tal claridad.

El impacto de estas estrategias y, a un nivel más general, de las concesiones hechas por Google a la CMA en su plan global de eliminación de cookies de terceros está aún por verse. Vale enfatizar que otras importantes autoridades de libre competencia no han intervenido aún. Pero esta situación podría cambiar relativamente pronto. En enero de este año algunos editores de medios de prensa digital alemanes dirigieron presentaciones ante la autoridad de competencia de la Unión Europea, reclamando su intervención. Y hace algunas semanas medios de prensa norteamericanos informaron que el Departamento de Justicia de ese país se ha contactado con avisadores digitales para evaluar preliminarmente los efectos de los planes de Google. Ello tiene lugar luego de que en diciembre pasado un grupo de procuradores generales (attorneys general) de trece estados (todos de gobierno Republicano, a los que se sumaron posteriormente pares de algunos estados de gobierno demócrata) demandaran a Google por los efectos anticompetitivos que tendrían sus planes en el mercado de avisaje en línea. Mucho puede pasar aún hasta finales de 2023.

 

Enlaces relacionados

Véase aquí una breve reseña de la creación de los web cookies hecha por su propio creador, Luis Montulli.

Véase aquí información general sobre la investigación desarrollada por la CMA acerca de los planes de Google de eliminar los cookies de terceros y sus principales hitos (sitio web de la CMA).

Véase aquí el documento final que contiene los compromisos de Google aprobados por la CMA (sitio web de la CMA).

Véase aquí el estudio de mercado de la CMA sobre plataformas digitales y avisaje en línea, publicado en julio de 2020.

También te puede interesar:

Mauricio Garetto B.