La autoridad belga de protección de datos APD, en un procedimiento que lleva un buen año, el 02. Febrero de 2022 tomó una decisión. El texto explicativo de aproximadamente 130 páginas muestra muchas debilidades del IAB TCF, pero también muchas oportunidades de reforma. ¿Es ahora ilegal el Marco de Transparencia y Consentimiento? ¿Qué deben tener en cuenta los editores? ¿Y cómo continúa? Nuestras preguntas frecuentes lo explican.
Actualización marzo 2024
El Tribunal de Justicia de las Comunidades Europeas dictaminó en el caso IAB TCF que la cadena TC (“Consent String”) constituye datos personales en el sentido del RGPD. Los datos contenidos en la cadena se relacionan con usuarios identificables y, por lo tanto, podrían usarse para crear perfiles de usuario e identificar usuarios. Además, IAB Europe ahora se identifica como “corresponsable del tratamiento” en el sentido del RGPD, lo que significa que comparte la responsabilidad del procesamiento de datos cuando las preferencias de consentimiento de los usuarios se registran en una cadena de TC. Esto significa que comparte con sus miembros las decisiones sobre los fines y métodos del procesamiento de datos, pero no el procesamiento de datos en sí. El papel de IAB Europe como controlador no se extiende a las actividades de procesamiento de datos después de que el consentimiento del usuario se haya almacenado en una cadena TC, a menos que se pueda demostrar que IAB Europe influye en los propósitos y medios de las actividades de procesamiento de datos posteriores.
Es importante que las empresas que participan en el TCF como editores o proveedores de tecnología publicitaria actualicen sus documentos legales de manera oportuna para mantener informados a los usuarios finales sobre estos cambios. En particular en relación con el artículo 26 del RGPD, las empresas deben informar a sus usuarios finales sobre la existencia de un acuerdo de control conjunto con IAB Europe y el proveedor del sitio web respectivo.
Actualización septiembre 2023
( Actualización del 21 de septiembre de 2023 ) El 21 de septiembre tuvo lugar una audiencia pública ante la Sala Cuarta del TJUE, durante la cual las partes involucradas también fueron interrogadas por los jueces. Dado que no habrá opinión del Abogado General, se espera que el TJUE anuncie su sentencia entre finales de 2023 y principios de 2024. Una vez publicada la sentencia, el tribunal belga (Market Court) podrá finalizar su evaluación de los argumentos expuestos en la denuncia de IAB Europe.
( Actualización de septiembre de 2023 ) El tribunal belga (Market Court) ha decidido esperar la sentencia del Tribunal de Justicia Europeo (TJCE) y suspender su evaluación del plan de acción de IAB Europa validado por la Autoridad Belga de Protección de Datos (APD). En enero de 2023, IAB Europe presentó un recurso contra la validación anticipada del plan por parte de APD. Esto demuestra que la APD actuó apresuradamente y la sentencia del TJUE influirá en si la decisión original de la APD era legal y en cómo se implementaría el plan. Esta es una buena noticia para los participantes de IAB Europe y TCF, ya que evita que se realicen cambios innecesarios sin una cuidadosa consideración. Townsend Feehan, director ejecutivo de IAB Europa, destacó que los cambios en el TCF deben realizarse con extrema precaución y de acuerdo con el procedimiento del TJCE.
Actualizado junio 2023
(actualizado en junio de 2023) Con el TCF 2.2, el IAB ha fijado el rumbo para dar los pasos mencionados en el plan de acción. Ahora se extenderá una fase de transición hasta el 30 de septiembre de 2023, durante la cual los proveedores y los sitios web podrán actualizarse al nuevo Standard . A partir de octubre de 2023 solo se aplicará el IAB TCF en la versión 2.2.
Actualización enero 2023
(Actualizado en enero de 2023) El plan de acción presentado por IAB Europe fue aceptado por APD y se iniciaron nuevos pasos hacia el cumplimiento de GDPR. El IAB Europe ahora tiene 6 meses para implementar el plan de acción.
actualización de abril de 2022
(actualizado en abril de 2022) Mientras tanto, IAB Europe ha presentado una denuncia ante el tribunal responsable (Market Court) y ha impugnado el procedimiento y la decisión como tal. Al mismo tiempo, IAB Europe presentó el plan de acción solicitado. La APD examinará ahora el plan de acción; sin embargo, no se espera una decisión antes de finales de junio de 2022. Si APD acepta el plan de acción, IAB Europe debe implementarlo en un plazo de 6 meses.
Actualización de mayo de 2022
(actualización de mayo de 2022) IAB Europe retiró una solicitud de suspensión de procedimientos después de que APD confirmara el cronograma para revisar el Plan de Acción. En consecuencia, la APD no tomará una decisión sobre el plan de acción antes del 1 de septiembre de 2022. Para entonces, el tribunal belga (tribunal de mercado) también habrá decidido sobre el procedimiento y la implementación del plan de acción puede tener lugar en los siguientes 6 meses.
¿Qué sucedió?
En su informe final, la autoridad de protección de datos belga APD formuló varios problemas para IAB Europe y IAB TCF. El principal escollo es que APD ve a IAB Europe como el cliente. Además, la cadena TC generada por el TCF (la información de consentimiento) se considera información personal, que en sí misma requeriría consentimiento.
¿Qué tiene que ver Bélgica con esto?
Desde que el RGPD entró en vigor en 2018, ha habido varias quejas en varios países contra IAB Europe como organismo detrás del Standard IAB TCF y las políticas y CMP asociadas. Dado que IAB Europe tiene su sede en Bruselas, la autoridad de protección de datos belga estuvo a cargo del procedimiento (regulación de «ventanilla única» del RGPD).
¿La sentencia belga también se aplica en otros países?
Sí, todas las autoridades de protección de datos deben seguir la decisión belga y no desviarse de ella.
¿Qué dice exactamente la sentencia?
El veredicto tiene más de 120 páginas y se puede descargar aquí en formato PDF (inglés). Se vuelve «interesante» a partir de la sección 535, en la que se explican los delitos reales:
- El TCF no representa una base legal válida para el procesamiento de las decisiones de los usuarios. No se ha dado suficiente consentimiento (ver siguiente punto)
- El TCF no refleja de forma transparente la información que un usuario necesita para tomar una decisión.
- La seguridad del TCF como mecanismo no es suficiente (por ejemplo, para evitar el mal comportamiento de los CMP).
- El IAB es visto como el cliente (controlador) y los datos. Esto se traduce en ciertas obligaciones para IAB Europe, que no se han cumplido hasta la fecha; específicamente, falta una lista de procesamiento de datos.
- El IAB Europe no realizó una DPIA, aunque sería necesario hacerlo.
- IAB Europe no ha encargado un delegado de protección de datos, aunque sería necesario.
¿Cuáles son las consecuencias?
Las sanciones contra IAB Europe resultan en última instancia de los delitos (ver arriba) y son:
- (Re)diseñar el TCF de tal manera que resulte en una base legal válida.
- Los datos que IAB Europe ha recopilado hasta el momento deben eliminarse.
- La base legal «interés legítimo» ya no se puede utilizar en el TCF.
- Reorganizó el TCF para que los CMP tengan una forma «armonizada» de obtener el consentimiento de manera compatible con GDPR. La información debe presentarse de manera concisa, concreta pero comprensible.
- Se deben desarrollar mecanismos de seguridad apropiados para proteger el TCF.
- El IAB Europe debe crear un registro de tratamiento de datos.
- El IAB Europe debe realizar una DPIA.
- El IAB Europe debe nombrar un oficial de protección de datos.
Además, se requiere que IAB Europe elabore un «Plan de Acción» en un plazo de 2 meses. Esto es para mostrar los pasos que se deben tomar para que el TCF cumpla con los requisitos en el futuro. Tan pronto como el plan haya sido aceptado por la APD, el IAB tiene otros 6 meses para implementarlo en consecuencia.
¡Estar al día!
Suscríbete al boletín¿Todos los CMP son ilegales ahora?
no Un CMP como el de consentmanager es generalmente independiente de esto; después de todo, un operador de sitio web puede configurar el CMP para que cumpla con las normas o desactivar completamente el TCF en el CMP.
¿Es ilegal el TCF ahora?
no La forma actual se considera insuficiente. El IAB Europe ahora tiene la tarea de iniciar las medidas apropiadas y hacer que el TCF sea compatible nuevamente.
¿Que sigue?
El IAB Europe ahora tiene 2 meses para desarrollar medidas y/o presentar una objeción. Se supone que sucederán ambas cosas: ciertamente habrá una objeción a los componentes individuales de la decisión; al mismo tiempo, veremos cómo se puede poner el TCF sobre una base segura. En particular, el objetivo aquí es convertir el TCF en un Código de Conducta (CoC). El IAB ha estado trabajando en esto durante mucho tiempo. Un CoC tendría más ventajas y mayor seguridad jurídica.
¿A quién afecta la sentencia?
En primer lugar, solo afecta directamente a IAB Europe. Indirectamente, afecta a los CMP, proveedores y editores en el mediano plazo, a más tardar cuando se deben establecer nuevos propósitos y bases legales en la capa de consentimiento o cambia la infraestructura técnica.
¿Cómo debo reaccionar ahora?
Como con todo. no está mal mirar de cerca y esperar a ver cómo se comportan los actores.
Como recomendación general, se puede deducir que el «interés legítimo» no se considera base jurídica suficiente para la publicidad en línea – esto ya se había anunciado con anterioridad y en otras sentencias. Si utiliza herramientas de marketing en su sitio web, debe verificar si requieren consentimiento.
En general, recomendamos usar el TCF solo cuando sea realmente necesario. Este podría no ser el caso para la mayoría de los sitios web de comercio electrónico, por ejemplo. Al mismo tiempo, la mayoría de los sitios de noticias seguirán dependiendo del TCF. Aquí recomendamos revisar cuidadosamente los textos de descripción y las listas de proveedores y, si es necesario, proporcionar descripciones más precisas e información adicional.
Ist Ihre Webseite konform? Finden Sie es heraus mit unserer Checkliste
¿Tengo que borrar todos mis datos ahora?
no La sentencia belga solo afecta a IAB Europe por el momento. Indirectamente, sin embargo, se puede suponer que un «TCF CMP puro» también está sujeto a las condiciones de la sentencia y, por lo tanto, no ha obtenido legalmente la aprobación.
¿Están en peligro los sitios web que utilizan el TCF?
no Por un lado, los actores inicialmente esperarán; esto también se aplica a las otras autoridades de protección de datos en otros países. Mientras el procedimiento aún esté «pendiente», no tiene ningún sentido utilizar el procedimiento como base para advertencias o nuevos procedimientos.
Por otro lado, aún no está claro si el TCF en sí puede usarse de manera compatible bajo ciertas condiciones. Aquí también queda por ver y, si es necesario, vigilar el desarrollo del TCF.
¿Qué hace consentmanager por mí? ¿Qué tengo que hacer?
Como miembro de IAB Europa y en varias asociaciones regionales y otros grupos, consentmanager participa activamente en las consultas y decisiones dentro de la IAB. En este sentido, consentmanager podrá implementar rápidamente todas las medidas necesarias para poder proteger a sus clientes legal o técnicamente.
Como cliente consentmanager , no es necesario que haga nada específico al principio (consulte las excepciones más arriba). Todos los ajustes técnicos y de procedimiento que requiere un «nuevo» TCF pueden ser realizados internamente por nosotros; no hay necesidad de intercambiar códigos ahora.
¿No ves tu pregunta?
No dude en contactarnos directamente.
