IAB Europe a fost amendat de DPA belgian pentru încălcări ale GDPR

Ce este IAB Europe?

IAB (Interactive Advertising Bureau) Europe este o asociație de marketing și publicitate digitală formată din IAB-uri naționale, companii media, firme de tehnologie și agenții de marketing și publicitate. Misiunea lor este de a promova colaborarea între politicieni și industria de publicitate și marketing, pentru a crea standarde și practici la nivelul întregii industrii care să ajute la dezvoltarea afacerilor în întreaga Europă.

Ce este Cadrul pentru transparență și consimțământ (TCF)?

Una dintre cele mai mari realizări ale acestora a fost crearea și punerea în aplicare a TCF. Aceștia îl descriu ca fiind "singura soluție de consimțământ GDPR construită de industrie pentru industrie, creând o abordare cu adevărat standard pentru industrie".

Practic, TCF creează un mediu în care proprietarii de site-uri web pot informa vizitatorii cu privire la ce tipuri de date cu caracter personal sunt colectate, cum vor fi prelucrate și utilizate datele și ce alte părți terțe au acces la acestea. De asemenea, TCF oferă profesioniștilor un limbaj comun pe care să îl folosească atunci când furnizează informații despre consimțământul informat cu privire la colectarea datelor cu caracter personal.

Scopul a fost acela de a contribui la asigurarea faptului că toți cei implicați în procesul de marketing și publicitate digitală respectă GDPR și ePrivacy atunci când prelucrează date cu caracter personal sau stochează informații pe dispozitive prin utilizarea de cookie-uri, ID-uri și alte tehnologii de urmărire.

Acest lucru a fost deosebit de important pentru companiile care utilizează protocolul OpenRTB - unul dintre cele mai utilizate protocoale de licitație în timp real, important pentru agenții de publicitate care licitează pentru spații publicitare pe site-uri web. Utilizatorii obișnuiți nu sunt adesea conștienți de aceste protocoale și algoritmi, care îi vizează și controlează procesele din spatele scenei, dar sunt familiarizați cu pop-up-urile. Aceste pop-up-uri sau bannere - de obicei gestionate de platforme de gestionare a consimțământului (CMP) - permit utilizatorilor să își dea consimțământul pentru colectarea și utilizarea datelor lor personale. TCF ajută la captarea, prin intermediul CMP, a preferințelor utilizatorilor.

Ulterior, preferințele sunt stocate într-un șir TC care poate fi partajat cu alte organizații din sistemul OpenTRB. Acest șir, împreună cu cookie-urile, sunt legate de adresa IP a unui utilizator - ceea ce îl face identificabil.

Cazul împotriva IAB Europe

Începând cu 2019, DPA din Belgia a primit numeroase plângeri împotriva IAB Europe, specifice TCF și modului în care acesta încalcă GDPR. Chiar săptămâna aceasta, au încheiat cazul și au fost de acord cu argumentele din plângeri.

Pe baza utilizării TCF, DPA a declarat că IAB Europe "acționează ca un operator de date în ceea ce privește înregistrarea semnalului de consimțământ, a obiecțiilor și a preferințelor utilizatorilor individuali prin intermediul unui șir unic de transparență și consimțământ (TC), care este legat de un utilizator identificabil". Acest lucru înseamnă că sunt obligați să respecte GDPR și sunt responsabili pentru orice încălcări. Ei au continuat să enumere diverse încălcări ale GDPR:

• Legalitate: IAB Europe nu a stabilit un temei juridic pentru prelucrarea TC String.
• Transparență: Informațiile furnizate de CMP sunt prea generice și vagi, ceea ce face dificil pentru utilizatori să aibă control asupra datelor lor personale.
• Responsabilitate și securitate: Nu există măsuri organizatorice sau tehnice în conformitate cu protecția datelor prin concepție și implicit.
• Alte obligații: IAB Europe nu a numit un DPO, nu a realizat o DPIA (evaluarea impactului asupra protecției datelor) și nu a păstrat un jurnal al activităților de prelucrare.

Pe baza acestor constatări, autoritatea belgiană de protecție a datelor a aplicat o amendă de 250.000 de euro IAB Europe, acordându-i totodată două luni pentru a crea un plan de acțiune pentru remedierea acestor încălcări și șase luni pentru punerea în aplicare a acestuia. DPA a declarat, de asemenea, că IAB Europe trebuie să șteargă fără întârziere toate datele utilizatorilor care au fost prelucrate în prezent în cadrul actualului sistem TCF.

IAB Europe intenționează să facă apel la această decizie, declarând revistei Forbes: "Respingem constatarea că suntem un operator de date în contextul TCF. Considerăm că această constatare este greșită din punct de vedere juridic și va avea consecințe negative majore neintenționate care vor depăși cu mult industria publicității digitale. Luăm în considerare toate opțiunile în ceea ce privește o contestație legală".

Impactul deciziei DPA belgiene

La fel ca și în cazul deciziei DPA austriece împotriva Google Analytics, recenta decizie belgiană, va avea efecte de anvergură în întreaga Europă și în SUA.

După cum a declarat Hielke Hijmans, președintele Camerei de litigii a APD din BE, cu privire la această decizie: "Prelucrarea datelor cu caracter personal (de exemplu, captarea preferințelor utilizatorilor) în temeiul versiunii actuale a TCF este incompatibilă cu RGPD, din cauza unei încălcări inerente a principiului echității și legalității. Oamenii sunt invitați să își dea consimțământul, în timp ce cei mai mulți dintre ei nu știu că profilurile lor sunt vândute de un număr mare de ori pe zi pentru a-i expune la anunțuri personalizate. Deși se referă la TCF, și nu la întregul sistem de oferte în timp real, decizia noastră de astăzi va avea un impact major asupra protecției datelor personale ale utilizatorilor de internet. Ordinea trebuie restabilită în sistemul TCF, astfel încât utilizatorii să poată redobândi controlul asupra datelor lor."

Pe baza mecanismului de ghișeu unic, această decizie din Belgia este imediat aplicabilă în întreaga UE. În prezent, aproximativ 80% din internetul european se bazează pe TCF, potrivit Consiliului irlandez pentru libertăți civile. Decizia de a sancționa IAB Europe și de a limita utilizarea TCF, împreună cu cerința de a șterge toate datele actuale, va avea un impact asupra editorilor, a agenților de publicitate, a companiilor de tehnologie și a marilor companii de tehnologie, precum Google și Amazon.

Mulți agenți de publicitate caută o cale de urmat, dar pentru editori și proprietarii de site-uri web următorii pași ar putea fi implementarea unor opțiuni fără cookieless care să nu mai urmărească adresele IP, să nu mai stocheze date pe dispozitivele utilizatorilor și să nu mai solicite preferințe de consimțământ prin intermediul CMP.

La Visitor Analytics, noi construim totul cu o mentalitate care acordă prioritate confidențialității, ceea ce înseamnă că produsul nostru este conform cu GDPR/CCPA și poate funcționa fără a necesita cookie-uri, bannere de consimțământ sau stocarea de date.