Saltar al contenido principal

IAB Europe es multada por la DPA belga por violaciones del GDPR

La última decisión de violación del RGPD procede de Bélgica, ya que la DPA belga ha multado a IAB Europe con 250.000 euros por violaciones del RGPD derivadas de su Marco de Transparencia y Consentimiento (TCF). Analizamos los antecedentes de este caso y las repercusiones que tendrá en las agencias de marketing y publicidad de toda Europa.

¿Qué es IAB Europe?

IAB (Interactive Advertising Bureau) Europe es una asociación de marketing y publicidad digital formada por IABs nacionales, empresas de medios de comunicación, empresas tecnológicas y agencias de marketing y publicidad. Su misión es promover la colaboración entre los políticos y la industria de la publicidad y el marketing, con el fin de crear normas y prácticas para toda la industria que ayuden al desarrollo del negocio en toda Europa.

¿Qué es el Marco de Transparencia y Consentimiento (TCF)?

Uno de sus mayores logros fue la creación y puesta en marcha del TCF. Lo describen como "la única solución de consentimiento del GDPR construida por la industria para la industria, creando un verdadero enfoque estándar de la industria".

Básicamente, el TCF crea un entorno en el que los propietarios de sitios web pueden informar a los visitantes sobre los tipos de datos personales que se recopilan, cómo se procesarán y utilizarán los datos y qué otros terceros tienen acceso a ellos. El TCF también ofrece a los profesionales un lenguaje común que pueden utilizar para informar sobre el consentimiento informado en relación con la recogida de datos personales.

El objetivo era ayudar a garantizar que todos los que participan en el proceso de marketing y publicidad digital cumplan con el RGPD y la ePrivacy al procesar datos personales o almacenar información en dispositivos mediante el uso de cookies, ID y otras tecnologías de seguimiento.

Esto ha sido especialmente importante para las empresas que utilizan el protocolo OpenRTB, uno de los protocolos de puja en tiempo real más utilizados, importante para los anunciantes que pujan por espacios publicitarios en los sitios web. Los usuarios cotidianos no suelen ser conscientes de estos protocolos y algoritmos, que los dirigen y controlan los procesos entre bastidores, pero están familiarizados con las ventanas emergentes. Estas ventanas emergentes o banners -generalmente gestionados por plataformas de gestión del consentimiento (CMP)- permiten a los usuarios dar su consentimiento a la recogida y uso de sus datos personales. El TCF ayuda a captar, a través de la CMP, las preferencias de los usuarios.

Posteriormente, las preferencias se almacenan en una cadena de TCF que puede compartirse con otras organizaciones en el sistema OpenTRB. Esta cadena, junto con las cookies, está vinculada a la dirección IP de un usuario, lo que lo hace identificable.

El caso contra IAB Europe

Desde 2019, la DPA belga ha recibido numerosas quejas sobre IAB Europe, específicamente sobre el TCF y cómo viola el GDPR. Justo esta semana, concluyeron el caso y estuvieron de acuerdo con los argumentos de las quejas.

Basándose en el uso del TCF, la DPA declaró que IAB Europe está "actuando como controlador de datos con respecto al registro de la señal de consentimiento, las objeciones y las preferencias de los usuarios individuales por medio de una Cadena de Transparencia y Consentimiento (TC) única, que está vinculada a un usuario identificable". Esto significa que están obligados por el GDPR y son responsables de cualquier violación. A continuación, enumeran varias infracciones del GDPR:

  • Legalidad: IAB Europe no estableció una base legal para el procesamiento de la Cadena TC.
  • Transparencia: La información proporcionada por el CMP es demasiado genérica y vaga, lo que dificulta que los usuarios tengan el control de sus datos personales.
  • Responsabilidad y seguridad: No existen medidas organizativas ni técnicas acordes con la protección de datos por diseño y por defecto.
  • Otras obligaciones: IAB Europe no había designado a un RPD, ni completado una EIPD (evaluación de impacto de la protección de datos), ni mantenido un registro de las actividades de tratamiento.

Sobre la base de estas conclusiones, la DPA belga ha impuesto a IAB Europe una multa de 250.000 euros, al tiempo que le ha dado un plazo de dos meses para elaborar un plan de acción para subsanar estas infracciones y de seis meses para aplicarlo. La DPA también ha declarado que IAB Europe debe eliminar sin demora todos los datos de los usuarios que se hayan procesado con el actual sistema TCF.

IAB Europe planea apelar esta decisión, diciendo a la revista Forbes: "Rechazamos la conclusión de que somos un controlador de datos en el contexto del TCF. Creemos que esta conclusión es errónea desde el punto de vista jurídico y tendrá importantes consecuencias negativas no deseadas que irán más allá del sector de la publicidad digital. Estamos considerando todas las opciones con respecto a un desafío legal".

El impacto de la decisión de la DPA belga

Al igual que la decisión de la DPA austriaca contra Google Analytics, la reciente decisión belga tendrá efectos de gran alcance en toda Europa y Estados Unidos.

Como declaró Hielke Hijmans, Presidente de la Sala de Litigios de la DPA de Bélgica, en relación con la decisión, "el tratamiento de datos personales (por ejemplo, la captación de las preferencias de los usuarios) con arreglo a la versión actual de la TCF es incompatible con el GDPR, debido a una infracción inherente del principio de equidad y legalidad. Se invita a las personas a dar su consentimiento, mientras que la mayoría de ellas no saben que sus perfiles se venden un gran número de veces al día para exponerlos a anuncios personalizados. Aunque se refiere al TCF, y no a todo el sistema de ofertas en tiempo real, nuestra decisión de hoy tendrá una gran repercusión en la protección de los datos personales de los internautas. Hay que restablecer el orden en el sistema del TCF para que los usuarios puedan recuperar el control sobre sus datos".

Basada en el mecanismo de ventanilla única, esta decisión en Bélgica es inmediatamente ejecutable en toda la UE. Actualmente, alrededor del 80% de la Internet europea depende del TCF, según el Consejo Irlandés para las Libertades Civiles. La decisión de sancionar a IAB Europe y limitar el uso del TCF, junto con la exigencia de eliminar todos los datos actuales, repercutirá en editores, anunciantes, empresas tecnológicas y grandes empresas tecnológicas como Google y Amazon.

Muchos anunciantes están buscando una manera de avanzar, pero para los editores y propietarios de sitios web los próximos pasos podrían ser la implementación de opciones sin cookies que ya no rastreen las direcciones IP, almacenen datos en los dispositivos de los usuarios o requieran preferencias de consentimiento a través de los CMP.

En Visitor Analytics, construimos todo con una mentalidad de privacidad en primer lugar, lo que significa que nuestro producto cumple con el GDPR/CCPA y es capaz de funcionar sin el requisito de cookies, banners de consentimiento o el almacenamiento de datos.