Verificaciones de privacidad en el Centro de Datos de Anuncios

La privacidad del usuario final es la base de todo lo que hace el Centro de Datos de Anuncios; es el fundamento sobre el que se construye nuestra plataforma. Para ayudar a mantener esa privacidad y ayudar a nuestros clientes con el cumplimiento de reglamentaciones, imponemos ciertas verificaciones y restricciones, diseñadas para evitar la transmisión de datos sobre usuarios individuales1 en los datos que obtienes de la plataforma.

A continuación, se incluye una descripción general de las funciones de privacidad del Centro de Datos de Anuncios, con más detalles en las siguientes secciones:

  • Las verificaciones estáticas examinan las sentencias de tus consultas para buscar inquietudes sobre la privacidad obvias e inmediatas.
  • Los presupuestos de acceso a los datos limitan la cantidad total de veces que puedes acceder a un dato determinado.
  • Las verificaciones de agregación garantizan que cada fila contenga una cantidad suficiente de usuarios para proteger la privacidad del usuario final.
  • Las verificaciones de diferencias (o "verificaciones de diff") comparan conjuntos de resultados para evitar que recopiles información sobre usuarios individuales comparando datos de varios conjuntos de usuarios.
  • La inyección de ruido es una alternativa a las verificaciones de diferencias. Agregar ruido aleatorio a una cláusula SELECT de agregación de una consulta protege la privacidad del usuario y, al mismo tiempo, proporciona resultados razonablemente precisos, lo que elimina la necesidad de realizar verificaciones de diferencias y reduce el umbral de agregación requerido para el resultado.

Cuando un resultado no pase las verificaciones de privacidad, el Centro de Datos de Anuncios mostrará o devolverá un mensaje de privacidad informándote que se filtró una fila. Puede ser cualquier cosa, desde una sola fila hasta un conjunto de resultados completo. Para asegurarte de que los totales de tus informes sigan siendo precisos, usa un resumen de filas filtradas para contar los datos de las filas descartadas2.

Verificaciones estáticas

Las verificaciones estáticas examinan las instrucciones de tus consultas para buscar inquietudes sobre la privacidad obvias e inmediatas, como exportar identificadores de usuario, cualquier función de identificadores de usuario o usar funciones no permitidas en campos que contienen datos a nivel del usuario. Para evitar errores de consulta debido a las verificaciones estáticas, revisa las prácticas recomendadas y comprende qué funciones están permitidas.

Presupuesto de acceso a los datos

Tu presupuesto de acceso a los datos limita la cantidad total de veces que puedes acceder a un dato determinado. Se notificará a los usuarios que se acerquen al final de su presupuesto con un mensaje de privacidad de tipo DATA_ACCESS_BUDGET_IS_NEARLY_EXHAUSTED. Puedes supervisar el presupuesto con el punto de entrada del presupuesto de acceso a los datos o observando las notificaciones de presupuesto en la IU.

Requisitos de agregación

En el centro de las verificaciones de privacidad del Centro de Datos de Anuncios se encuentra el umbral de agregación de usuarios. Para la mayoría de las consultas, solo puedes recibir datos de informes sobre 50 usuarios o más. Sin embargo, las consultas que solo acceden a clics y conversiones se pueden usar para generar informes sobre 10 usuarios o más.

Práctica recomendada: Configura un resumen de filas filtradas para generar informes sobre los datos que se omitieron. Esto ayuda a mantener una línea de base coherente en tus informes.

En el siguiente ejemplo, la fila que contiene la campaña 125 se filtraría de los resultados finales, ya que agrega resultados de 48 usuarios, lo que está por debajo del mínimo de 50 usuarios.

ID de la campaña Usuarios Impresiones
123 314 928
124 2718 5772
125 48 353

Modos de privacidad

El Centro de Datos de Anuncios ofrece dos modos de privacidad: verificaciones de diferencias y inyección de ruido. En las siguientes secciones, se describen y comparan estos modos.

Usar verificaciones de diferencias

Las verificaciones de diferencias ayudan a garantizar que no se pueda identificar a los usuarios a través de la comparación de varios resultados agregados de manera suficiente de las siguientes maneras:

  • Comparan los resultados del trabajo que estás ejecutando con los anteriores.
  • Comparan filas dentro del mismo conjunto de resultados.

Los incumplimientos de las verificaciones de diferencias pueden activarse por cambios en los datos subyacentes entre dos trabajos. Cuando compara los resultados de un trabajo con los anteriores, el Centro de Datos de Anuncios busca vulnerabilidades a nivel de los usuarios individuales. Debido a esto, incluso los resultados de diferentes campañas o los resultados que informan la misma cantidad de usuarios se pueden filtrar si tienen una gran cantidad de usuarios superpuestos.

Por otro lado, dos conjuntos de resultados agregados pueden tener la misma cantidad de usuarios (parecen idénticos), pero no compartir usuarios individuales y, por lo tanto, ser seguros para la privacidad, en cuyo caso no se filtrarían.

El Centro de Datos de Anuncios usa datos de tus resultados históricos cuando considera la vulnerabilidad de un resultado nuevo. Esto significa que ejecutar la misma consulta una y otra vez crea más datos para que las verificaciones de diferencias los usen cuando consideran la vulnerabilidad de un resultado nuevo. Además, los datos subyacentes pueden cambiar, lo que genera incumplimientos de las verificaciones de privacidad en las consultas que se consideran estables.

Cuando los resultados a nivel del trabajo difieren de manera adecuada, pero una fila individual es similar a una fila de un trabajo anterior, el Centro de Datos de Anuncios filtrará la fila similar. En este ejemplo, se filtrará la fila que contiene la campaña 123 en los resultados del segundo trabajo, ya que difiere del resultado anterior en un solo usuario.

Trabajo 1
ID de la campaña Usuarios
123 400
124 569
Trabajo 2
ID de la campaña Usuarios
123 401
224 1325

Si la suma de los usuarios en todas las filas de un conjunto de resultados es similar a la de un trabajo anterior, el Centro de Datos de Anuncios filtrará todo el conjunto de resultados. En este ejemplo, se filtrarán todos los resultados del segundo trabajo.

Trabajo 1
ID de la campaña Usuarios
123 400
124 1367
Trabajo 2
ID de la campaña Usuarios
123 402
124 1367

Usar inyección de ruido

La inyección de ruido es una técnica que se usa para proteger la privacidad del usuario cuando se consulta una base de datos. Para ello, se agrega ruido aleatorio a una cláusula SELECT de agregación de una consulta. Este ruido protege la privacidad del usuario y, al mismo tiempo, proporciona resultados razonablemente precisos, lo que elimina la necesidad de realizar verificaciones de diferencias y reduce el umbral de agregación requerido para el resultado. La mayoría de las consultas existentes se pueden ejecutar en modo de ruido, con algunas limitaciones. Para obtener más información sobre el modo de ruido y cómo la inyección de ruido afecta los requisitos de privacidad, consulta Inyección de ruido.

Comparar las verificaciones de diferencias con la inyección de ruido

Datos reales
ID de la campaña Recuento de impresiones
101 35
102 63
201 142
202 21
301 56
302 99
Resultados con verificaciones de diferencias
ID de la campaña Recuento de impresiones
101 35
102 63
201 142
202 21
301 56
302 99
Resultados con inyección de ruido
ID de la campaña Recuento de impresiones
101 37.8373
102 60.9104
201 182.0955
202 26.2332
301 58.0871
302 97.5018
Ejemplo de la campaña 101 en modo de ruido
ID de la campaña Impresiones reales Ruido agregado Impresiones devueltas (ANON_COUNT)
101 35 2.8373 37.8373

Resumen de filas filtradas

Los resúmenes de filas filtradas registran los datos que se filtraron debido a las verificaciones de privacidad. Los datos de las filas filtradas se suman y se agregan a una fila de captura general. Si bien los datos filtrados no se pueden analizar más, proporcionan un resumen de la cantidad de datos que se filtraron de los resultados.

Filtrado de privacidad explícito

En los casos en los que necesites dividir tu consulta, pero quieras combinar los resultados agregados, puedes aplicar explícitamente verificaciones de privacidad a varias consultas más pequeñas y, luego, agregar esos resultados de forma segura para la privacidad.

Ejemplos de casos de uso:

  • Eres un anunciante que busca todas las conversiones por tipo de evento de atribución en tu cuenta de Google Ads vinculada, que incluye datos del EEE.
  • Eres un socio de medición que busca todas las conversiones por tipo de evento de atribución en tu cuenta de Google Ads vinculada.

Para obtener la suma de las conversiones de tu cuenta de Google Ads, puedes volver a escribir la consulta con una cláusula OPTIONS(privacy_checked_export=TRUE) para aplicar verificaciones de privacidad a cada servicio de Google de forma individual.

En el ejemplo de reescritura de esta sección, se hace lo siguiente:

  1. Consulta cada servicio de Google de forma individual y aplica explícitamente verificaciones de privacidad a cada conjunto de resultados intermedio.
  2. Crea una tabla temporal separada para los resultados verificados por privacidad de cada servicio de Google: YouTube, Gmail y la Red.
  3. Agrega y suma los recuentos de conversiones verificados por privacidad de las tablas temporales.
CREATE TEMP TABLE youtube_agg OPTIONS(privacy_checked_export=TRUE) AS
SELECT
 impression_data.campaign_id,
 attribution_event_type,
 COUNT(1) AS num_convs
FROM adh.google_ads_conversions_policy_isolated_youtube
WHERE impression_data.campaign_id IN UNNEST(@campaign_ids)
 AND conversion_type IN UNNEST(@conversion_type_list)
GROUP BY campaign_id, attribution_event_type;

CREATE TEMP TABLE network_agg OPTIONS(privacy_checked_export=TRUE) AS
SELECT
 impression_data.campaign_id,
 attribution_event_type,
 COUNT(1) AS num_convs
FROM adh.google_ads_conversions_policy_isolated_network
WHERE impression_data.campaign_id IN UNNEST(@campaign_ids)
 AND conversion_type IN UNNEST(@conversion_type_list)
GROUP BY campaign_id, attribution_event_type;

CREATE TEMP TABLE gmail_agg OPTIONS(privacy_checked_export=TRUE) AS
SELECT
 impression_data.campaign_id,
 attribution_event_type,
 COUNT(1) AS num_convs
FROM adh.google_ads_conversions_policy_isolated_gmail
WHERE impression_data.campaign_id IN UNNEST(@campaign_ids)
 AND conversion_type IN UNNEST(@conversion_type_list)
GROUP BY campaign_id, attribution_event_type;

SELECT
 campaign_id,
 attribution_event_type,
 SUM(num_convs) AS num_convs
FROM (
 SELECT * FROM youtube_agg
 UNION ALL
 SELECT * FROM network_agg
 UNION ALL
 SELECT * FROM gmail_agg
)
GROUP BY campaign_id, attribution_event_type

Ten en cuenta que esta consulta no usa una instrucción JOIN para combinar directamente los datos entre las tablas, sino que primero realiza la consulta para cada tabla, aplica verificaciones de privacidad a cada tabla intermedia y, luego, usa una instrucción UNION para sumar los valores verificados por privacidad.

Asesor de consultas

Si tu SQL es válido, pero puede activar problemas de privacidad, el asesor de consultas muestra sugerencias prácticas durante el proceso de desarrollo de la consulta para ayudarte a evitar resultados no deseados.

Para usar el asesor de consultas, haz lo siguiente:

  1. Además de los datos que aceptaron compartir, como en el caso de los panelistas.

  2. A menos que lo impidan las restricciones de privacidad, como cuando los usuarios de un resumen de filas filtradas no cumplen con los requisitos de agregación.