PROGRAMMATIC SPAIN

View Original

#5: A hostias por el consent: El TCF de la IAB en entredicho

Al más puro estilo de las películas de Bud Spencer, hemos sido testigos de otra escena de una película de mamporrazos alrededor de la figura del consent en el mundo Adtech. La Autoridad de Protección de Datos de Bélgica (APD-GBA) después de realizar una investigación a la IAB y a su Transparency & Consent Framework (TCF) ha encontrado lo que considera, tal cual y sin medias tintas, infracciones graves.

La investigación concluyo que el TCF propuesto por la IAB permite intercambiar datos confidenciales sobre usuarios, incluso cuando éstos no lo han autorizado. Así mismo, también afirma que los controles que se proporcionan son más que insuficientes para el procesamiento de datos personales que se desprenden del Real Time Bidding (RTB). ¡Ojo! Ya que la agencia belga incluso llega a señalar que TCF permite a los players de la industria procesar datos extremadamente sensibles como información de salud, afiliación política o orientación sexual.

Así que el tortazo al ecosistema publicitario digital que opera en Europa puede ser de proporciones bíblicas, debido a que el framework TCF ha tenido bastante adopción en la industria Adtech.

El Transparency and Consent Framework (TCF) nació un mes después de que naciera GDPR (mayo de 2018) y fue impulsado por la Interactive Advertising Bureau (IAB) de Europa con la finalidad de crear un marco que cumpliera las regulaciones. De hecho, este estándar se revisó en 2019 siguiendo reglas muy estrictas de cara al consentimiento del usuario. Fruto de ello, Google (el BIG player de la industria publicitaria online), adoptó este TCF 2.0 en agosto del presente año.

En contra, a la hostia mencionada de la Data Protection Authority (DPA) de Bélgica, la IAB ha contestado con una caricia, al menos en opinión de un servidor. En un comunicado ha expresado que el informe de la DPA belga es solo preliminar y no tiene efecto vinculante. Además, dice que TCF es un framework voluntario que espera ayudar a las empresas del ecosistema de publicidad en el propósito de garantizar el cumplimiento de las regulaciones de la Unión Europea.

En otras palabras, bajo mi punto de vista, la defensa de la IAB no está al nivel de la acusación, porque no debate los temas de fondos de los problemas expuestos por la agencia belga sobre TCF. En su lugar, IAB Europe ha tratado de refutar el argumento de la DPA de que es legalmente responsable de cualquier deficiencia en TCF (os lo dejo en el idioma de Shakespeare para no desvirtuar el sentido con una mala traducción):

“If upheld, the [DPA’s} interpretation would have a chilling effect on the development of open-source compliance standards that serve to support industry players and protect consumers.”

Muchos pensaréis que esto es una cuestión solo de una agencia belga que ha hecho una interpretación muy particular y tremendista. ¡Pues no amig@s mí@s!. Las hostias llevan tiempo sobrevolando alrededor de las reglas del consent del ecosistema publicitario.

Como prueba, un botón con forma de trébol. En septiembre de este año, la Irish Council of Civil Liberties (ICCL) publicó un informe donde manifestaba que las empresas de publicidad que cumplen TCF habían realizado campañas dirigidas a personas de colectivos LGBT durante las elecciones al parlamento de Polonia en 2019.

¿Cómo funciona el TCF?

El framework impulsado por la IAB, se ha desarrollado como una iniciativa open-source y no-comercial, con el objetivo de estandarizar el proceso de recogida del consentimiento del usuario y luego transmitir la información -ese consentimiento- a lo largo del ecosistema de publicidad.

Como base de ese marco, la IAB mantiene y proporciona algo parecido a dos whitelist de proveedores autorizados dentro del framework:

  • Una con los actores que venden publicidad, registrados en la Global Vendor List (GVL).

  • Y otra lista, con los Consent Management Providers, para que los editores -publishers.

Una vez que un publisher implanta una de las soluciones de esas whitelists, cuando un usuario entre por primera vez en el website verá como se abre una ventana modal o un mensaje visible en otro lugar de la página que informará sobre qué datos se recopilan, cómo se se utilizan dichos datos y quién los utilizará. Asimismo, este mensaje o ventana también solicita el consentimiento para cada propósito y cada proveedor. Una vez que se otorga el consentimiento, éste se almacena como 1st Party Cookies y un proveedor de la lista mencionada podría dirigir anuncios al usuario.

(Ejemplo de consent de TCF 2.0 del CMP OneTrust)

Después de que el usuario haya realizado su selección de consentimientos, el publisher podrá compartir los datos de ese usuario con los proveedores de tecnología seleccionados que están en la lista que maneja la IAB.

Utilizando un dibujo de los colegas de Clearcode podemos verlo más concretamente. Imaginemos que el usuario permite que las plataformas de color azul recopilen y utilicen sus datos. Mientras que para las plataformas de color anaranjado, que también estaban en Global Vendor List, no da su consentimiento. Por último, las plataformas en rojo que aparecen no están en la lista de proveedores de la IAB y, de ese modo, no pueden recopilar los datos del usuario.

FUENTE: How the IAB’s GDPR Transparency and Consent Framework Works From a Technical Perspective (TCF 1.0 and TCF 2.0). Clearcode

El movimiento se demuestra andando

Por lo que, una cosa está clara, tanto el ICCL como los hallazgos de la DPA de Bélgica, plantean preguntas lo suficientemente contundentes sobre el consentimiento del usuario en la industria Adtech, al menos en el escenario regulado en Europa, como para que la respuesta tenga como mínimo la misma contundencia. Y que mejor que esa respuesta venga en forma de movimientos proactivos de la industria.

El bloqueo de cookies de terceros, los próximos cambios en el IDFA de Apple y las regulaciones de privacidad como GDPR y CCPA son señales más que suficientes para que toda la industria repiense en cómo han de ser las relaciones con las audiencias -usuarios- y las estrategias de 1st Party Data.

A medida que las personas que navegan en Internet tienen más conciencia y sensibilidad acerca de la privacidad (solo tenéis que ver el éxito de los documentales que se pueden ver en plataformas como Netflix), al mismo tiempo que comprenden mejor el sistema de la publicidad online, el ecosistema debe plantearse preguntas cómo: ¿Por qué alguien querría compartir sus datos contigo? ¿Qué estoy ofreciendo a cambio? ¿Cómo puedo promover el registro o la suscripción?