Nuevo TCF 2.2. Cambios relevantes para empresas

Hace menos de dos meses, se anunciaba el lanzamiento de la nueva versión del Transparency and Consent Framework (“TCF”), la versión 2.2, que incluía una serie de cambios relevantes destinados a mejorar la transparencia de la instalación de cookies y uso de datos de los interesados y, sobre todo, a empezar a implementar las mejoras exigidas por la Autoridad de Control belga en la sanción recibida por la IAB en 2022.

El principal punto de todos ellos es la eliminación de la base jurídica del interés legítimo para algunas de las finalidades que se pueden informar y aceptar a través de las Consent Management Platform (“CMP”) las plataformas de recogida de consentimiento para instalación de cookies que se pueden encontrar en la mayoría de las páginas web y que son necesarias para participar en el TCF. Las finalidades que han visto eliminado el interés legítimo como opción, han sido las siguientes:

·   Finalidad 3: Que autoriza la creación de anuncios personalizados

·   Finalidad 4: Que autoriza a la selección de dichos anuncios personalizados

·   Finalidad 5: Que permite la creación de un perfil de usuario para la personalización de contenidos

·   Finalidad 6:  Que permite la selección de contenidos personalizados basándose en el perfil anterior.

De esta forma, la IAB afronta la sanción por el uso del interés legítimo como base de legitimación, siendo este considerado inválido por dicha autoridad por predominar los intereses de los usuarios. De esta forma, se ve reforzada la idea de que el interés legítimo no es válido para elementos relacionados con la publicidad, fuera del envío de emails comerciales de productos similares que usuario ha contratado a un responsable, y que sigue siendo objeto de sanciones y debates, como puede verse en la sanción impuesta por la Autoridad de Control Noruega a Meta, de prohibición temporal de la actividad de publicidad programática, por falta de una base de legitimación válida.

El segundo punto versa sobre la información facilitada a los interesados, que fue considerada insuficiente por la Autoridad de Control Belga, por no cumplir con el deber de transparencia hacia los interesados debido a que no se informaba de las categorías de datos recogidos y a que la información era muy genérica, hecho que dificulta que el consentimiento pueda considerarse “informado”. Para afrontar este punto, la IAB establecer tres frentes de actuación principales:

1. La mejora, y detalle, de la información proporcionada a los usuarios, para lo cual se han modificado los nombres y las descripciones de distintos fines cuya autorización para el tratamiento (ya sea mediante consentimiento o mediante la no oposición al interés legítimo) se solicita a través de los CMPS y las funciones realizadas.

Para ello, se intenta eliminar textos legales farragosos e incomprensibles, para sustituirse por descripciones de fácil uso y, en algunos casos, por elementos visuales que faciliten la comprensión.

Para afrontar este punto, es muy interesante que los publishers y la propia IAB tengan en cuenta el recientemente aprobado Estándar ISO 24495 sobre el lenguaje claro cuyo objetivo es, precisamente fomentar el entendimiento de los textos redactados por los usuarios finales carentes de conocimientos especializados en el sector que los redacta (siendo este el sector legal o cualquier otro)

2. Exigir a los Vendors, empresas que normalmente no tiene acceso directo a los usuarios finales de los editores (servidores de anuncios, proveedores de medición, agencias de publicidad, DSP, SSP, etc.), que faciliten información sobre los tratamientos que van a realizar, de forma que esta información se pueda transmitir a los usuarios finales para mayor transparencia. Entre estas informaciones adicionales que se deben proporcionar, se encuentran:

·   Las categorías de datos recogidos

·   Los periodos de conservación en función de la finalidad

·   Y lo que, a nuestro criterio, es más importante, el interés legítimo perseguido por la entidad que avala el uso de este interés en las finalidades que lo permitan.

Dada la dificultad para justificar el interés legítimo en todo lo referente a la publicidad digital y al uso de cookies no técnicas, puede ser muy complicado para una empresa dar una explicación que sea válida a nivel legal para el uso de dicho interés como base de legitimación, lo que va a obligar a muchas empresas a limitarse el uso del consentimiento o asumir la posible sanción derivada de este uso injustificado que, recordemos, es una sanción considerada muy grave conforme a los criterios establecidos en el Reglamento General de Protección de Datos (“RGPD”).

3. La obligación de los CMPs de mostrar, en la primera capa, el número total de Vendors para los cuales se van a pedir los consentimientos mediante su sistema, de forma que el usuario se haga una idea de la cantidad de empresas que van a poder tratar sus datos con base en sus respuestas recogidas en dicha interfaz. Esto puede suponer un problema si los CMPs no implementan un sistema de actualización automática, ya que puede suponer que la información proporcionada esté “desactualizada” y, por tanto, se incumplan los requisitos de transparencia del RGPD.

El tercer punto es relativo al consentimiento, o más concretamente, a la retirada del mismo, ya que se exige que los Publishers y Vendors garanticen que los usuarios pueden volver a acceder al CMP en cualquier momento para retirar el consentimiento previamente otorgado de forma que se respeten, realmente, las preferencias y derechos de los usuarios, otro punto de la sanción de la Autoridad de Control Belga que debía afrontarse. Esto, que ya existe en algunos CMPs y páginas webs, puede exigir altos niveles de desarrollo a estas compañías, si bien no es el punto de mayor impacto de todos los contenidos en esta nueva versión.

Por último, también se ha anunciado que la IAB Europe aumentará el volumen de auditorías proactivas a CMP y Vendors seleccionados de forma aleatoria y con carácter mensual, además de poner a disposición de los interesados un formulario específico para presentar una queja, todo ello con la intención de afrontar la sanción recibida en lo relativo a la falta de control de la información que fluye por el bidstream bajo su control.

Por lo tanto, está claro que, mediante esta nueva versión, la IAB ha procurado implementar el plan de acción exigido por la Autoridad de Control Belga para solucionar, o al menor reducir, el impacto del incumplimiento detectado por dicha autoridad de la normativa RGPD, si bien en la mayoría de los casos lo ha hecho trasladando la responsabilidad a CMPs, Publishers y Vendors.

Queda pendiente, por supuesto, ver cómo afronta la IAB la decisión de la autoridad mencionada de considerarlos corresponsables del tratamiento junto a los CMPs debido al control que la IAB posee sobre que consentimientos o interés legítimos son aplicables o no, y que se ve reforzado por su decisión sobre los intereses legítimos no aplicables recogidos en el punto primero.

Enrique Extremera Maestro, Head of Privacy, Legal Army

Read more

Related posts that might interest you

All our news