Comprender la decisión de la DPA belga sobre la IAB y el TCF (febrero de 2022)

Contexto y decisión

Acciones inmediatas recomendadas

Preguntas frecuentes


Contexto y decisión

La Autoridad Belga de Protección de Datos  (la "DPA") multó a IAB Europe con 250,000 euros el miércoles 2 de febrero de 2022 y dictaminó que esta asociación es un controlador de datos de la información del consentimiento almacenada por CMPs y compartida con proveedores de adtech a través de el Marco de Transparencia y Consentimiento (el “TCF”)

Como la IAB Europe no se consideraba responsable del tratamiento en el contexto del TCF, la DPA descubrió que no cumplía con todas las obligaciones que se aplican a los responsables del tratamiento de los datos (como designar un OPD, mantener un registro de procesamiento de datos, etc.) . Cabe señalar que la IAB Europe sigue rechazando la conclusión de ser responsable del control de los datos y aún puede apelar la decisión.

La IAB Europe dispone de un mes para impugnar la decisión, dos meses para proporcionar su plan de acción a la DPA para solucionar los problemas planteados por la autoridad y seis meses para cumplir con dicho plan de acción a partir de la fecha en que la DPA acuerda el contenido de tal plan de acción.

¿Significa esta decisión que los editores y proveedores deberían dejar de depender del TCF? Creemos que esto constituiría un resultado terrible para todos, pero más importante aún para los usuarios. Y ciertamente no es la intención de la DPA. Por lo que la DPA le dio a la IAB Europe seis meses para elaborar un plan de acción para solucionar los problemas señalados en la decisión. Nosotros, trabajaremos de la mano con el IAB Europe y la DPA para resolver los problemas señalados por la DPA.

Mientras tanto, hemos elaborado una lista de recomendaciones concretas que nuestros clientes pueden implementar de inmediato para afrontar algunos de los desafíos planteados por esta decisión.

Acciones inmediatas recomendadas

Esta sección presenta nuestras mejores recomendaciones para adaptar sus avisos de consentimiento y su uso del TCF a la decisión de la DPA en este momento. La situación evolucionará con el tiempo y adaptaremos nuestras recomendaciones a medida que recopilemos más información.

Recomendación 1 - Solicite el consentimiento de todos los propósitos y proveedores del TCF a través de las restricciones de los editores

La DPA indica que el interés legítimo no es una base legal aceptable a los efectos del TCF:

"La Sala de lo Contencioso determina que el interés legítimo de las organizaciones participantes no puede considerarse un fundamento legal adecuado para las actividades de procesamiento que ocurren bajo OpenRTB, en función de las preferencias y elecciones de los usuarios capturadas bajo TCF". (párrafo 461)

Recomendamos agregar restricciones de editor y requerir solo el consentimiento como base legal para todos los proveedores y todos los propósitos del TCF. Consulte nuestra guía para configurar restricciones de editores en sus avisos de consentimiento.

Recomendación 2 - Evalúe y limite la cantidad de proveedores para los que está recopilando consentimiento

La DPA indica que un alto número de proveedores en un aviso de consentimiento y en el ecosistema adtech impide el consentimiento informado de los usuarios:

“La Sala de lo Contencioso destaca que la gran cantidad de terceros, es decir, los proveedores de adtech que potencialmente recibirán y procesarán los datos personales de los usuarios contenidos en la solicitud de oferta, con base en las preferencias que han presentado, no es compatible con la condición de un consentimiento suficientemente informado, ni con el deber de transparencia más amplio establecido en el RGPD" (párrafo 472)

Recomendamos limitar la cantidad de proveedores agregados a sus avisos de consentimiento y que operan en sus páginas web y aplicaciones móviles. Su lista de proveedores debe ser exhaustiva (es decir, deben incluirse todos los proveedores que alguna vez procesaron los datos personales de sus usuarios) y debe reflejar un alto nivel de control de su cadena de suministro y de cómo se recopilan y procesan los datos personales. En particular, recomendamos identificar claramente las transferencias internacionales de datos que también están bajo el foco de las Autoridades Europeas de Protección de Datos (y son mencionadas por la DPA en su decisión, aunque identificadas como fuera del alcance de esta decisión).

La DPA no ha indicado explícitamente la cantidad de proveedores aceptables y es probable que dependa de su negocio, sus restricciones de monetización y cómo opera, por lo que no podemos hacer una recomendación única para todos.

Si necesita ayuda para establecer su lista de proveedores y evaluar qué proveedores son los más importantes para su negocio, nuestros compañeros de Agnostik pueden evaluar su configuración actual y la contribución de cada proveedor a sus ingresos para que pueda tomar decisiones informadas. A lo largo de los años, Agnostik ha desarrollado una experiencia única en la evaluación de la identidad y el comportamiento de los proveedores.
También puede comunicarse con su Customer Success Manager para obtener ayuda sobre el tema.

Recomendación 3 - Presente las categorías de datos recopilados en el texto de consent notice

La DPA también establece que las categorías de datos deben comunicarse a los usuarios en el aviso del CMP:

La Sala de lo Contencioso entiende que la interfaz de usuario de los CMP no brinda una visión general de las categorías de datos recolectados, lo que imposibilita que los usuarios den su consentimiento informado”.

La DPA solo requiere una descripción general de las categorías de datos recopilados, lo que significa que no será necesario divulgar la lista completa de datos que pueden incluirse en una solicitud de oferta. La DPA probablemente se refiere a datos de comportamiento, datos contextuales, etc.

Recomendamos a nuestros editores y anunciantes que utilicen nuestro campo de formato libre en la consola para agregar las categorías de datos relevantes. Este texto se ubicará debajo de la lista de propósitos que se mostrarán en el aviso de consentimiento. Además, las categorías también se pueden mostrar en la primera capa del aviso de consentimiento a través de la inyección de CSS para que la experiencia sea más clara y consistente.

En el contexto de su acceso a nuestro sitio web, nosotros y nuestros socios podemos almacenar y acceder a información no confidencial de su dispositivo, como cookies o un identificador de dispositivo, y procesar datos personales como identificadores en línea (como direcciones IP o ID de publicidad) , datos de comportamiento (como su historial de navegación) o sus datos de geolocalización.

Recomendación 4 - Clasifique los propósitos de IAB en categorías

En su decisión, la DPA señala claramente que el TCF, en su forma actual, no se emplea paralos fines apropiados:

La Sala de lo Contencioso considera que las finalidades de tratamiento propuestas no están suficientemente descritas y, en algunos casos, son incluso engañosas”.

A partir de hoy, ofreceremos a nuestros clientes la posibilidad de utilizar su propio idioma para describir los propósitos de TCF en los que ellos (o sus socios) confían. Esto constituirá una medida temporal hasta que IAB Europe nos proporcione más información sobre lo que harán para ajustar los propósitos de TCF para abordar mejor la necesidad de equilibrar la claridad y la granularidad.

Recomendación 5 – Haga del rechazo del consentimiento algo fácil y accesible

En su decisión, la APD señala claramente que el rechazo transparente del consentimiento pone en peligro la validez del mismo. Si bien el TCF actualmente no puede garantizar la propagación en tiempo real de un retiro de consentimiento, sugerimos (i) garantizar un retiro de consentimiento fácil y directo agregando un enlace para reabrir el CMP en cada página de su sitio web o aplicación móvil y (ii) para garantizar que la configuración de su CMP sea adecuada, en particular si está utilizando un sistema de administración de etiquetas para activar etiquetas.

Recomendación 6 vuelva a mostrar el aviso de CMP a sus usuarios

Mientras se solicita a la IAB Europe que elimine toda la información de consentimiento recopilada en el contexto del alcance global, la DPA establece:

“Es responsabilidad de los CMP y los editores que implementan el TCF tomar las medidas apropiadas, de conformidad con los artículos 24 y 25 del RGPD, para garantizar que los datos personales que se hayan recopilado en incumplimiento de los artículos 5 y 6 del RGPD ya no se procesada y eliminada en consecuencia”. (párr. 535)

Esto sugiere que todas las señales de consentimiento (es decir, TC String) recopiladas antes de la decisión pueden infringir las disposiciones clave del RGPD. Es por eso que recomendamos a nuestros clientes editores que vuelvan a mostrar el aviso a sus usuarios una vez que se hayan implementado las recomendaciones mencionadas anteriormente. Esto borrará las señales de consentimiento anteriores recopiladas a través del TCF.

Preguntas frecuentes

¿Existen riesgos legales concretos al seguir utilizando un CMP integrado con el TCF?

En principio, no, primero por razones de tiempo y procedimiento, segundo por razones técnicas y legales.

En cuanto a cronogramas y procedimiento, la decisión de la DPA (i) es apelable y (ii) incluye un período de gracia, en forma de primero un período de dos meses para presentar un plan a esta organización para tener en cuenta las conclusiones de esta y en total seis meses para implementarlos. Cualquier investigación o denuncia antes de que finalicen estos procedimientos de seguimiento (recurso de casación en su caso y colaboración de la DPA) podría ser impugnada por impedir el buen curso de la justicia. Esto se debe, en particular, al hecho de que muchas otras Autoridades de Protección de Datos locales han aportado información a la DPA antes de que dicte su decisión, así como principios generales sobre los derechos de defensa.

Luego, desde una perspectiva más técnica y legal, la decisión de la DPA en sí misma no concluye que el uso de TC Strings o TCF en general sea ilegal. Si bien insinúa en su decisión que una orden para que un editor o CMP determinado elimine TC Strings si contienen "datos personales que se han recopilado en incumplimiento de los artículos 5 y 6 del RGPD", nunca concluye que los proveedores, editores o CMP recopilan automáticamente datos personales en incumplimiento del RGPD. En otras palabras, la decisión de la DPA no facilita mucho que las autoridades locales de protección de datos ataquen a proveedores, editores o CMP específicos.

¿Debo deshabilitar el TCF en mi sitio web?

No lo aconsejamos. No hay nada en la decisión de la DPA que sugiera ni remotamente que las indicaciones de consentimiento son, como tales, ilegales o que no deberían ser empleadas por el ecosistema de publicidad digital para cumplir con los requisitos legales bajo el marco de protección de datos de la UE. En todo caso, la DPA parece requerir la divulgación de información adicional en las ventanas emergentes de consentimiento. Esto se debe a que la DPA considera las señales de preferencia del usuario (es decir, TC Strings bajo TCF) como datos personales que requieren el establecimiento de una base legal bajo el RGPD y también, que los usuarios no pueden esperar razonablemente que se guarden sus preferencias. Como resultado, divulgar información sobre dicha recopilación y procesamiento de datos personales adicionales (en solicitudes de consentimiento) podría ser la única forma de establecer transparencia y control del usuario sobre la creación, el almacenamiento y el procesamiento de TC Strings.

¿Se eliminará la base legal del interés legítimo del CMP de Didomi?

​​La DPA evaluó y concluyó que la confianza en el interés legítimo era inadecuada para fines que implican publicidad dirigida o elaboración de perfiles de usuarios (excluyendo fines no relacionados con el marketing, como la audiencia y la medición del rendimiento). Por lo tanto, no está claro si el requisito de que IAB Europe prohíba la confianza en los intereses legítimos como base legal para el procesamiento de datos personales por parte de los participantes del TCF se aplicará a todos los fines del TCF o únicamente a los fines relacionados con la publicidad y la elaboración de perfiles personalizados. Debido a la falta de claridad de la posición de la DPA sobre este punto, IAB Europe analizará este tema en sus conversaciones con la DPA, así como en cualquier impugnación legal, si corresponde (consulte la pregunta "¿Apelará IAB Europe ante el Tribunal del Mercado?”).

Mientras tanto, todavía puede agregar restricciones de editor para imponer el consentimiento como base legal (consulte nuestra Recomendación 2 anterior).

¿Cuáles son los impactos de la decisión de la DPA sobre Didomi como un CMP bajo el TCF?

Todavía estamos evaluando los impactos de la decisión, pero parece que la DPA adopta la postura de que los CMP son controladores conjuntos de la información de consentimiento (la TC String en este caso). Por lo tanto, los CMP deben establecer una base legal como lo haría cualquier controlador.

Didomi como posible controlador conjunto.

Queremos destacar que, de acuerdo con la DPA, los CMP podrían ser considerados controladores conjuntos de la información de consentimiento. Esto entra directamente en conflicto con lo que han dicho otras DPA. Trabajaremos con la IAB Europe y nuestros clientes para determinar el mejor procedimiento. Si concluyéramos que somos controladores conjuntos con la IAB Europe y nuestros clientes, nos aseguraremos de que se establezca una base legal adecuada.

El interés legítimo como base jurídica.

Si bien la DPA parece considerar que ni el consentimiento ni la ejecución de un contrato son base legal disponible para el procesamiento de TC String por parte de la IAB Europe, parece que el interés legítimo podría constituir una base legal adecuada: la DPA considera que capturar la aprobación y las preferencias de los usuarios para garantizar y demostrar que los usuarios han consentido válidamente o no se han opuesto a fines publicitarios puede considerarse un interés legítimo, y que la información procesada en un TC String se limita a los datos estrictamente necesarios para lograr el fin previsto. Sin embargo, señala que los usuarios deben ser informados sobre el almacenamiento de sus preferencias en forma de TC String, y se les debe proporcionar una forma de ejercer el derecho a oponerse a dicho almacenamiento o procesamiento.

¿Cuál es el cronograma?

La decisión de la DPA (i) es apelable y (ii) incluye un período de gracia, en forma de primero un período de dos meses para presentar un plan a esta organización para tener en cuenta las conclusiones de esta y en total seis meses para implementarlos.

¿Es una decisión exclusiva de Bélgica? ¿Deberían las empresas de otros países europeos aplicar también la decisión de la DPA?

Se compartió un borrador de la decisión con otras DPA. Esta recibió comentarios de dos autoridades en relación con la responsabilidad conjunta establecida por la DPA, el uso del interés legítimo para determinadas operaciones de tratamiento, el alcance de las medidas correctoras, así como la sanción administrativa prevista y la relación entre IAB Inc. e IAB Europe. Luego se compartió un borrador revisado de la decisión con las otras DPA involucradas, lo que no generó ningún comentario.

Esto indica que las otras DPA se alinearon con los hallazgos de la DPA. Como resultado, es probable que otras tengan en cuenta esta decisión para evaluar cualquier reclamo en el futuro.

Si tiene más preguntas relacionadas con esta decisión, comuníquese con su Customer Success Manager.