IAB EUROPE sancionada: El TCF no cumple con el RGPD
El pasado 2 de febrero, la autoridad de control de Bélgica (en adelante, “DPA de Bélgica”) publicó una resolución declarando el incumplimiento del RGPD del “Trasparency and Consent Framework” (en adelante, “TCF”) promovido por IAB EUROPE. Por medio de esta resolución, la entidad fue sancionada con una multa de 250.000 euros y la obligación a presentar un plan de acción correctivo en el plazo de dos meses; plan de acción cuyo periodo máximo de implantación no podrá superar los seis meses desde la validación del mismo por la DPA de Bélgica.
El TCF, se trata del marco desarrollado por IAB EUROPA para ayudar a las empresas de publicidad a cumplir con el RGPD y la Directiva e-Privacy, estableciendo las directrices que han de seguir los diferentes actores involucrados respecto a la información que otorgar a los usuarios, y la forma de obtención de los correspondientes consentimientos.
A través del este marco se simplifica la gestión de las preferencias de los usuarios, mediante la utilización de banners de consentimiento o consent mangement platforms (ej.: banner de cookies al acceder por primera vez a una web), los cuales registran la cadena de consentimiento del usuario (en adelante “TC string”) y la comparten con los demás actores intervinientes (en adelante, “adtechvendors”) en el sistema puja en tiempo real, “OpenRTB”.
A lo largo de las siguientes líneas profundizaremos en los argumentos esgrimidos por la DPA de Bélgica, el papel de los actores de la industria de la publicidad programática dentro de este marco y en la situación actual existente.
Introducción: Actores dentro del TCF
Antes de analizar los argumentos de la DPA de Bélgica, es necesario identificar las tres partes intervinientes dentro del marco desarrollado por IAB Europe:
- Publishers: parte formada por aquellas compañías que disponen de espacios publicitarios en su sitio web o aplicación, y a través de un CMP recogen el consentimiento de los usuarios.
- Adtech vendors: parte formada por aquellas compañías que reciben los datos de los publishers y tienen como objetivo rellenar aquellos espacios publicitarios vacíos de la web del publisher. Dentro de este grupo podemos distinguir:
- -Sell-side Platforms (en adelante “SSPs”): proporcionan el inventario disponible de sus publishers a los distintos ad exchanges del mercado y a otros DSP.
- -Advertisers/anunciantes: compañías que quieren mostrar sus productos de manera selectiva a los usuarios de la web o app.
- -Demand-Side Platforms (en adelante, “DSPs”) permiten a los anunciantes y a las agencias de medios optimizar su compra de espacio publicitario y a través de estas, los anuncios son ofrecidos.
- -Ad exchanges. Ponen en contacto los SSPs con los DSPs.
- -Data management Platforms (en adelante, “DMPs”): permiten a los anunciantes enriquecer los datos sobre sus usuarios con los datos que puede obtener de una DMP central y así poder crear perfiles detallados de consumidor con el objetivo de optimizar las campañas.
- Consent Management Platforms (en adelante, “CMPs”): su función es almacenar las preferencias de los usuarios a través de la TC Strings y compartir la misma con los adtech vendors; los cuales a través de éstas pueden verificar si tienen base de legitimación para el tratamiento de datos.
Argumentos de la DPA de Bélgica
- Tratamiento de datos en el contexto del TCF
En primer lugar, la DPA confirma la existencia de tratamiento de datos personales por parte de IAB Europe, rechazando el argumento otorgado por la entidad, según la cúal la TC String no contiene ningún dato personal.
Tal y como explica la DPA, la identificación del usuario es posible tanto para los CMPs; los cuales en un primer momento tratan la dirección IP y la pueden combinar con la TC String, como para los adtech vendors; los cuales realizan una singularización, leyendo la señal almacenada en la TC String con el objeto de conocer si un usuario específico ha dado su consentimiento.
Por ello la DPA concluye que "las preferencias de los usuarios en una TC String sí constituyen datos personales, ya que estas preferencias se refieren a una persona física singularizada e identificable".
En línea con lo anterior, la DPA señala que se está realizando un tratamiento de datos. La DPA entiende que a través del marco del TCF se está realizando “la recogida, tratamiento, almacenamiento y posterior puesta en común de las preferencias de los usuarios con otras partes”.
- Responsabilidad de IAB Europe
A continuación, la DPA, declara que IAB Europe ha de ser considerada responsable de tratamiento ya que posee una influencia decisiva en la finalidad y los medios de tratamiento al imponer los parámetros obligatorios que rigen la participación en el TCF.
Para la DPA de Bélgica, IAB Europe ha establecido la finalidad de la TC String y de los tratamientos realizados a través de esta, tal y como se desprende de sus políticas publicadas.
Por otro lado, a través de sus políticas también determina los medios aplicables a los tratamientos realizados de la TC String. En concreto, se señala que IAB Europe: define cómo los CMPs pueden recoger los consentimientos, desarrolla las especificaciones técnicas de la API con la que los adtech vendors pueden acceder a las preferencias de los usuarios, determina la ubicación y el método de almacenamiento para las cookies de consentimiento, gestiona las listas de CMPs registrados y adtech vendors, y por último, determina el criterio a seguir por las organizaciones participantes respecto al periodo de retención de la TC String,
- Corresponsabilidad de IAB Europe y los actores intervinientes en el TCF
En siguiente apartado, la DPA examina la relación entre IAB Europe y los distintos actores intervinientes en el TCF, confirmando la corresponsabilidad de las partes.
Para ello se basa en el concepto de decisiones convergentes desarrollado por el Comité Europeo de Protección de Datos (en adelante, “EPDB”), para explicar aquellos casos de corresponsabilidad en los cuales, un tratamiento no sería posible sin la realización del tratamiento de la otra parte involucrada; estando por ello ambos tratamientos estrechamente vinculados.
La DPA considera que las políticas de IAB Europe en conexión con los medios y fines de cada actor participante (publishers, adtech vendors y CMPs) han de ser consideradas decisiones convergentes y, por lo tanto, existe una corresponsabilidad entre IAB Europe y las demás organizaciones participantes en su ecosistema.
No obstante, la DPA establece algunas matizaciones al respecto:
- -Si los CMPs aplican las políticas del TCF, existe corresponsabilidad en la cesión de datos a los adtech vendrors, ya que IAB decide los destinatarios de los datos.
- -Si los CMPs no siguen las políticas del TCF, los CMPs han de ser considerados como únicos responsables respecto a la cesión realizada.
- -Si los CMPs establecen la lista de destinatarios siguiendo las instrucciones de los publishers, los publisher serán responsables de la cesión de datos.
- Infracciones cometidas
La DPA estipula que IAB Europe ha infringido los siguientes artículos:
- Falta de legitimación en el tratamiento de datos (arts. 5.1.a y 6 RGPD): La DPA indica que IAB Europe actualmente carece de legitimación para el tratamiento de las preferencias de los usuarios a través del Tc String, ya que:
- -El consentimiento no es otorgado de forma específica, informada y granular.
- -El interés legítimo de los participantes no es aplicable por predominar los intereses de los usuarios.
- No cumplir con el deber de transparencia hacia los interesados (arts. 12,13 y 14 RGPD): Según la DPA no se cumple con este deber inherente de todo responsable porque:
- -No se informa de las categorías de datos recogidos.
- -La información otorgada es muy genérica, hecho que dificulta que el consentimiento sea conforme al RGPD.
- No cumplir con el principio de protección de datos desde el diseño y por defecto, ni con la correspondiente aplicación de medidas (arts. 24, 25, 5.1 f. y 32 RGPD):
- -La DPA expresa que en el actual sistema de TCF, los adtech vendors reciben una señal de consentimiento sin ninguna medida técnica u organizativa que garantice su validez. En este sentido destaca que la integridad de la TC String se encuentra en riesgo, ya que es posible que los CMPs falsifiquen la señal.
- No elaborar un Registro de Actividades de Tratamiento (art. 30 RGPD).
En el curso de la investigación IAB Europe aportó un resumen de las actividades llevadas a cabo, no conteniendo ninguna actividad de tratamiento relacionada con el TCF. En este sentido, la DPA considera que al menos debía haberse incluido una actividad que recogiera el “acceso a las señales de consentimiento, oposición y preferencias de los usuarios”.
- No haber nombrado un Delegado de Protección de Datos (en adelante, DPO) (art. 37 RGPD):
La DPA sostiene que debido a que el TCF supone llevar a cabo “una observación regular y sistemática de usuarios identificables”, IAB Europe tenía obligación de nombrar DPO.
- No haber realizado una Evaluación de Impacto (art. 37 RGPD):
La DPA señala que, “debido a la gran cantidad de interesados en juego, el número de organizaciones que participan en el TCF, y el impacto que supone el tratamiento a gran escala en el contexto del OpenRTB” debía haberse realizado una evaluación de impacto.
- Sanción y situación actual
Por todo lo anteriormente expuesto, IAB Europe es sancionada con una multa de 250 euros y la obligación aplicar medidas correctivas en un plazo de seis meses, desde la aprobación de su plan de acción por la DPA.; plan de acción que debe ser presentado en el plazo de dos meses desde la resolución.
En mi humilde opinión, esta resolución resulta transgresora, por los efectos que puede acarrear para la industria de la publicidad programática. Especialmente me gustaría destacar dos aspectos:
- -La confirmación de corresponsabilidad entre las partes.
- -La necesidad de ser capaces de demostrar un consentimiento en los términos del RGPD.
Respecto al primer punto, hemos de tener en cuenta que el RGPD obliga a que el acuerdo de corresponsabilidad “defina las funciones y relaciones respectivas de los corresponsables en relación con los interesados”. En este sentido, debido a la multiplicidad de actores intervinientes y a la dificultad de definir el alcance de sus obligaciones, puede resultar una ardua tarea su regulación como sujetos participantes del TCF (en sus diferentes posiciones: publisher, adtech vendor y CMP).
Respecto al segundo, esta resolución puede suponer un cambio respecto a la forma de obtención del consentimiento a través de los CMPs, el cual deberá obtenerse de forma granular y supondrá que no sean válidas las fórmulas consistentes en aceptar o rechazar todas las cookies del sitio o aplicación web.
Por todo ello, sería aconsejable esperar a la actualización por parte de IAB Europe de las Políticas del TCF, ya que, tal y como indica la DPA de Bélgica, IAB Europe tiene un papel primordial en la configuración de este marco, habiendo establecido la finalidad y medios de los tratamientos llevados a cabo por la utilización de la TC String.
Carlos Cuesta Hernández, Senior Privacy Counsel, Legal Army