Skip to main content

IAB Europa multada pela DPA belga por violações da GDPR

A última decisão de violação da GDPR vem da Bélgica, já que a DPA belga multou a IAB Europe em 250.000 euros por violações da GDPR decorrentes do seu Quadro de Transparência e Consentimento (TCF). Exploramos os antecedentes deste caso e a gama de impactos que terá nas agências de marketing e publicidade em toda a Europa.

O que é o IAB Europa?

O IAB (Interactive Advertising Bureau) Europe é uma associação de marketing e publicidade digital composta por IABs nacionais, empresas de mídia, empresas de tecnologia e agências de marketing e publicidade. A sua missão é promover a colaboração entre políticos e a indústria da publicidade e marketing, a fim de criar padrões e práticas de toda a indústria que ajudem o desenvolvimento de negócios em toda a Europa.

O que é o Quadro de Transparência e Consentimento (TCF)?

Uma das suas maiores realizações foi a criação e implementação do TCF. Eles o descrevem como "a única solução de consentimento GDPR construída pela indústria para a indústria, criando uma verdadeira abordagem padrão da indústria".

Basicamente, o TCF cria um ambiente onde os proprietários do site podem informar os visitantes sobre que tipos de dados pessoais estão sendo coletados, como os dados serão processados e utilizados, e quais outros terceiros têm acesso a eles. O TCF também dá aos profissionais uma linguagem comum a utilizar quando fornecem informações sobre o consentimento informado relativamente à recolha de dados pessoais.

O objectivo era ajudar a garantir que todos os envolvidos no processo de marketing digital e publicidade estivessem em conformidade com a GDPR e a ePrivacy ao processar dados pessoais ou armazenar informações em dispositivos através do uso de cookies, IDs e outras tecnologias de rastreamento.

Isto foi especialmente importante para empresas que utilizam o protocolo OpenRTB - um dos protocolos de licitação em tempo real mais utilizados, importante para anunciantes que licitam espaço publicitário em websites. Os utilizadores diários muitas vezes desconhecem estes protocolos e algoritmos, que os visam e controlam os processos nos bastidores, mas estão familiarizados com os pop-ups. Estes pop-ups ou banners - normalmente executados por plataformas de gestão de consentimento (CMP) - permitem aos utilizadores consentir na recolha e utilização dos seus dados pessoais. O TCF ajuda a capturar, através do CMP, as preferências dos usuários.

Posteriormente, as preferências são armazenadas em uma TC String que pode ser compartilhada com outras organizações no sistema OpenTRB. Esta string, juntamente com os cookies, são vinculados ao endereço IP de um usuário - tornando-os identificáveis.

O Caso contra o IAB Europa

Desde 2019, a DPA belga tem recebido numerosas queixas sobre o IAB Europa, específicas do TCF e sobre a forma como este viola a GDPR. Só esta semana, eles concluíram o caso e concordaram com os argumentos das reclamações.

Com base na utilização do TCF, a DPA declarou que o IAB Europe está "actuando como controlador de dados no que diz respeito ao registo do sinal de consentimento, objecções e preferências dos utilizadores individuais através de uma única Transparência e Consentimento (TC) String, que está ligada a um utilizador identificável". Isto significa que eles estão vinculados pela GDPR e são responsáveis por quaisquer violações. Eles passaram a enumerar várias violações da GDPR:

  • Licitude: O IAB Europa não estabeleceu uma base legal para o processamento da String TC.
  • Transparência: A informação fornecida pelo CMP é demasiado genérica e vaga, o que dificulta o controlo dos seus dados pessoais por parte dos utilizadores.
  • Responsabilização e segurança: Não existem medidas organizacionais ou técnicas alinhadas com a protecção de dados por desenho e por defeito.
  • Outras obrigações: O IAB Europa não tinha nomeado um RPD, não tinha concluído uma DPIA (avaliação do impacto da protecção de dados), nem tinha mantido um registo das actividades de tratamento de dados.

Com base nestas conclusões, a DPA belga multou o IAB Europe em 250.000 euros, dando-lhe ao mesmo tempo dois meses para criar um plano de acção para remediar estas infracções e seis meses para as implementar. A DPA também declarou que o IAB Europe deve, sem demora, eliminar todos os dados de utilizadores que foram actualmente processados no âmbito do actual sistema TCF.

O IAB Europe planeja recorrer desta decisão, informando a revista Forbes: "Rejeitamos a conclusão de que somos um controlador de dados no contexto do TCF. Acreditamos que esta conclusão está errada na lei e terá grandes consequências negativas involuntárias que vão muito além da indústria de publicidade digital. Estamos considerando todas as opções no que diz respeito a um desafio legal".

O impacto da decisão da DPA belga

Tal como com a decisão da DPA austríaca contra o Google Analytics, a recente decisão belga, terá efeitos de longo alcance em toda a Europa e nos EUA.

Como Hielke Hijmans, Presidente da Câmara de Litígios da BE DPA, declarou a respeito da decisão, "O processamento de dados pessoais (por exemplo, a captura das preferências dos utilizadores) sob a actual versão do TCF é incompatível com a GDPR, devido a uma violação inerente do princípio de justiça e legalidade. As pessoas são convidadas a dar o seu consentimento, enquanto a maioria delas não sabe que os seus perfis estão a ser vendidos um grande número de vezes por dia, a fim de os expor a anúncios personalizados. Embora diga respeito ao TCF, e não a todo o sistema de licitação em tempo real, a nossa decisão de hoje terá um grande impacto na protecção dos dados pessoais dos utilizadores da Internet. A encomenda deve ser restaurada no sistema TCF para que os utilizadores possam recuperar o controlo sobre os seus dados".

Com base no mecanismo de "one-stop", esta decisão na Bélgica é imediatamente aplicável em toda a UE. Actualmente, cerca de 80% da Internet na Europa depende do TCF, de acordo com o Conselho Irlandês para as Liberdades Civis. A decisão de sancionar o IAB Europa e limitar o uso do TCF, juntamente com a exigência de apagar todos os dados atuais, terá impacto sobre editores, anunciantes, empresas de tecnologia e grandes empresas de tecnologia como Google e Amazon.

Muitos anunciantes estão procurando um caminho a seguir, mas para editores e proprietários de websites os próximos passos poderiam ser implementar opções sem cooki que não rastreiam mais endereços IP, armazenam dados em dispositivos de usuários ou exigem preferências de consentimento através de CMPs.

Na Visitor Analytics, nós construímos tudo com uma mentalidade de privacidade, o que significa que nosso produto é compatível com GDPR/CCPA e capaz de funcionar sem a exigência de cookies, banners de consentimento, ou o armazenamento de dados.