La DPA belga aprueba el Plan de Acción de IAB Europe para el TCF

La Autoridad de Protección de Datos de Bélgica ha anunciado que ha aprobado el plan de acción de IAB Europe para el Marco de Transparencia y Consentimiento (TFC), una infraestructura técnica utilizada para recabar y enviar el consentimiento de los usuarios para el uso de sus datos personales en la publicidad digital. La noticia ha sido anunciada como una victoria por IAB Europe, que afirma que la decisión es una validación de la legalidad del TCF.

La DPA concedió a IAB Europe un plazo limitado para desarrollar un plan de acción después de que el pasado mes de febrero dictaminara que el TCF no cumple el Reglamento General de Protección de Datos, la misma legislación para la que fue diseñado. En teoría, ahora que se ha aprobado el plan de acción, IAB Europe abordará las preocupaciones de la DPA, aunque las consecuencias reales no están demasiado claras.

Un campo de batalla clave

El caso de la DPA belga contra IAB Europe se ha convertido en un campo de batalla clave en el debate más amplio sobre el uso de datos personales en la publicidad. A primera vista, el caso parece muy técnico, incluso trivial. Pero el resultado final podría tener consecuencias importantes.

En esencia, el TCF está diseñado para permitir que los datos personales pasen por las tuberías de la publicidad digital de una manera que respete el GDPR. Pero algunos defensores de la privacidad han argumentado que no hay forma legítima de pasar los datos personales de los usuarios a las empresas AdTech que no tienen relaciones directas con esas personas y, por lo tanto, que no hay forma legítima de utilizar los datos personales en la publicidad basada en licitaciones en tiempo real.

También sigue en el aire si los datos del TCF deben considerarse datos personales. Aún no se han producido suficientes casos para zanjar toda la cuestión de qué es exactamente personal o no, pero "único" no ha sido la norma". Por ejemplo, las Third-Party Cookies entran en la categoría de datos personales, aunque se conecten a un dispositivo y no a una persona. (Un hogar puede compartir un ordenador portátil, por ejemplo).

IAB Europe también espera que se aclare si el interés legítimo es un mecanismo viable para recopilar datos con fines publicitarios o si los publishers deben contar con un consentimiento explícito.

El interés legítimo es una base jurídica válida para recopilar datos de los usuarios siempre que sea necesario para las operaciones del sitio o de la empresa. Piense en servicios de detección de fraudes, prevención de delitos o seguridad del sitio web. Los publishers esperan que el mantenimiento de su negocio publicitario y/o analítico pueda cumplir los requisitos. Los grupos defensores de la privacidad vieron la decisión inicial de la DPA como una validación de este punto de vista. Si el TCF -un marco utilizado por un gran número de publishers y empresas AdTech- se derrumbaba, entonces el uso de datos personales en RTB podría derrumbarse con él. Sin embargo, la DPA dio a IAB Europe un plazo para elaborar un plan de acción sobre cómo podría adaptar el TCF al GDPR, y este es el plan de acción que se ha aprobado hoy.

Fundamentalmente, IAB Europe siempre ha impugnado la decisión de la DPA como una interpretación errónea del GDPR, remitiendo el caso al Tribunal de Apelación de Bruselas. Desde entonces, este tribunal ha remitido varias cuestiones al Tribunal de Justicia de la Unión Europea (TJUE) relativas a argumentos clave en torno a la decisión original, a saber:

  • Si la TC String (una señal digital que contiene las preferencias del usuario y que se especifica como parte del TCF) debe considerarse datos personales.

  • Si IAB Europe actúa como responsable (conjunto) de la difusión de las TC Strings y de otros tratamientos de datos efectuados por los participantes en el TCF.

Si las sentencias del TJUE y del Tribunal de Apelación de Bruselas son favorables a IAB Europe, la decisión original de la DPA quedaría sin efecto.

¿Plan B asegurado?

Así pues, el plan de acción de IAB Europe, aunque significativo, parece más un plan de respaldo para el grupo comercial que otra cosa.

La organización espera que este plan de acción nunca llegue a aplicarse, ya que desea que la decisión original sea anulada por el Tribunal de Mercado. Pero si esa decisión no va en el sentido de IAB Europe, hay al menos un camino potencial para alinear el TCF con la interpretación de la DPA del GDPR.

"La validación del plan de acción de IAB Europe confirma la legalidad del TCF como un estándar que puede ayudar a los publishers digitales y sus socios a cumplir con ciertas disposiciones del GDPR y la Directiva de ePrivacy", comenta Townsend Feehan, CEO de IAB Europe. "Sin embargo, es importante tener en cuenta que la aplicación del plan de acción -que ahora se exige a IAB Europe que lleve a cabo durante un período de seis meses- implicaría cambios operativos para los participantes en el TCF que, en última instancia, podrían ser considerados inadecuados por el Tribunal Europeo."

"Si no somos responsables del tratamiento, la acción de aplicación nunca debería haber ocurrido".

El último punto de Feehan esboza la tensión sobre lo que ocurrirá a continuación. Según la decisión original de la DPA, IAB Europe está ahora obligada a completar ese plan de acción en el plazo de seis meses, introduciendo cambios significativos en el TCF. Pero IAB Europe se resiste a hacer esos cambios, dado que espera que la sentencia del tribunal de mercado los considere innecesarios.

Desde IAB Spain, Reyes Justribó, Directora General, ha emitido un comunicado en el que declaran que ''tenemos serias reservas sobre el hecho de que la APD se adelante a las respuestas del TJUE, lo que podría, como resultado, suponer cambios en el TCF que, posteriormente, fueran revocados al final del proceso de apelación ante los respectivos órganos jurisdiccionales''. Y añaden: ''A la espera del avance en los procedimientos ante el Tribunal de Mercado belga y el TJUE, IAB Europe tomará cualquier iniciativa para garantizar que cualquier desarrollo futuro del TCF sea sostenible y esté alineado con las interpretaciones del RGPD a nivel de la UE''.

Fuentes: Videoweek / Adexchanger / IAB Spain

Anterior
Anterior

¿Cómo se está utilizando ya ChatGPT en algunos sectores?

Siguiente
Siguiente

Así es como pueden dejar de perder dinero por fraude en CTV