Iubenda logo
Genera tus documentos

Documentación

Tabla de contenidos

Preguntas frecuentes sobre la decisión de la APD belga en relación con IAB

En estas preguntas frecuentes

Sobre la sentencia

  • Principales conclusiones de la sentencia
  • Medidas impuestas por la sentencia

¿El TCF ahora es ilegal?

  • Riesgo de incumplimiento
  • Interés legítimo

¿Qué tengo que hacer?

  • Recomendaciones para nuestros clientes
  • ¿Qué será lo siguiente?

Sobre la sentencia

El 2 de febrero de 2022, la Autoridad de Protección de Datos de Bélgica (APD) emitió una decisión sobre IAB Europe y el Marco de Transparencia y Consentimiento (TCF).

Primero, hagamos un rápido resumen: ¿Quién es IAB y qué es el TCF?

  • IAB Europe es la asociación a nivel europeo para el ecosistema de publicidad y marketing digital. Su finalidad es liderar la representación política y alentar la colaboración de la industria para establecer marcos, estándares y programas para ayudar a las empresas a tener éxito en el mercado europeo.
  • El TCF es un estándar voluntario de código abierto lanzado en abril de 2018 por IAB Europe para ayudar a las empresas en el ecosistema de publicidad digital en sus intentos de cumplir con las regulaciones de privacidad y protección de datos de la UE. En otras palabras, el TCF proporciona un proceso estándar para obtener el consentimiento del usuario de manera conforme al RGPD y señalar esas preferencias de consentimiento en toda la cadena de suministro de publicidad (puedes leer las políticas del marco aquí).

La APD consideró que algunas funciones del TCF no cumplían con el RGPD y dictaminó que:

1) La cadena TC son datos personales

Las cadenas TC son las señales digitales creadas por las plataformas de gestión de consentimiento (CMP). Estas señales permiten a los editores (quienes monetizan el contenido de su sitio web/app) captar las elecciones de los interesados sobre el tratamiento de sus datos personales para publicidad digital, contenido y medición. Los proveedores pueden recibir estas señales directamente de las CMP o de otros participantes del TCF para verificar que hayan obtenido el consentimiento o el interés legítimo para una finalidad concreta.

2) IAB Europe es el responsable del tratamiento de datos de la cadena TC y, por consiguiente,
3) IAB no ha establecido una base jurídica para tratar la cadena TC

Como resultado de los hallazgos, se han impuesto varias medidas.

Que impactan el TCF

  • Prohibir el uso del interés legítimo como base jurídica para el tratamiento de datos.
  • Requerir que las CMP adopten un enfoque aún más armonizado y compatible con el RGPD sobre la divulgación de información a los usuarios.
  • Asegurar el “cumplimiento del TCF con las obligaciones de integridad y seguridad”.
Que impactan IAB
  • Una multa de 250.000,00 euros.
  • Establecer una base jurídica para tratar la cadena TC.
  • Eliminar los datos personales recopilados en calidad de responsable del tratamiento de la cadena TC establecida en el contexto de alcance global.

    ¿Qué es el alcance global?

    La política del TCF anteriormente permitía que las bases jurídicas en el marco se establecieran con “alcance global”, lo que significaba que una base jurídica, por ejemplo, el consentimiento, podría ser aplicable no solo al sitio web donde se obtuvo, sino a todos los demás sitios web que también implementaban preferencias de alcance global. Incluso si el consentimiento, en este ejemplo, no se obtuvo directamente en los otros sitios web.

    La desaprobación del soporte de alcance global se anunció el 22 de junio de 2021, debido al uso general insignificante del alcance global por parte de los editores, y la indicación por parte de varias autoridades de protección de datos de que los usuarios deben estar claramente informados de las propiedades digitales donde se aplican sus opciones, por ejemplo, proporcionándoles una lista de dominios.

  • IAB debe mantener un registro de las actividades de tratamiento, llevar a cabo una evaluación de impacto relativa a la protección de datos y designar un DPD.

¿La APD belga ha declarado ilegal el TCF?

No. La sentencia de la APD no ha prohibido el TCF, ni sugiere que el ecosistema de publicidad digital no deba emplear avisos de consentimiento para cumplir con los requisitos legales bajo el marco de protección de datos de la UE.

En cambio, la APD ha pedido a IAB Europe que proponga medidas correctivas, incluida la entrega de una funcionalidad de cumplimiento adicional.

¿El riesgo de incumplimiento es mayor utilizando el TCF?

En principio no, teniendo en consideración lo siguiente:

  • La decisión en sí no concluye que el uso de la cadena TC o el TCF en general sea ilegal;
  • La decisión no concluyó que los proveedores, editores o CMP que se adhieren al TCF recopilen automáticamente datos personales incumpliendo el RGPD. En otras palabras, cualquier hallazgo de infracción por parte de un editor, proveedor o CMP deberá surgir de una investigación específica que tenga en cuenta su especificidad y todos los hechos relevantes;
  • La decisión es administrativa y está sujeta a apelación.

¿Ya no es posible basarse en el interés legítimo?

Si bien aún puede parecer poco claro, IAB considera que la prohibición de la APD sobre el interés legítimo solo se aplica a aquellos casos vinculados a fines publicitarios y de elaboración de perfiles personalizados y no a una prohibición general sobre el interés legítimo para todos los fines respaldados por el TCF.

Ten en cuenta que otras APD nacionales, como el Garante italiano, ya han excluido el uso del interés legítimo como base jurídica válida (puedes leer más información sobre este tema aquí).

¿Qué tengo que hacer hasta que se tome una decisión final?

Por el momento, parece que no se puede hacer mucho más que esperar a ver cómo se desarrolla el proceso de apelación, junto con los requisitos futuros del TCF.

Nota

Como se trata de un asunto legal en curso, la elección de qué hacer es algo que cada empresa tendrá que decidir por sí misma.

Estas preguntas frecuentes no se pueden considerar asesoramiento legal y solo pretenden ser un resumen conveniente de la sentencia. Por lo tanto, si crees que puedes estar corriendo riesgos, considera buscar la ayuda de un asesor legal.

Sin embargo, a la luz de la sentencia, las empresas que utilizan el TCF deben estar preparadas para realizar cambios sustanciales (mejoras) y puede que quieran crear planes y estrategias de mitigación en caso de que se puedan presentar diversas situaciones.

Recomendaciones para nuestros clientes

Mientras esperamos una decisión final, recomendamos a los clientes de iubenda que hagan lo siguiente.

Cómo hacerlo utilizando Privacy Controls and Cookie Solution de iubenda

1) En la sección TCF de IAB del configurador de Privacy Controls and Cookie Solution de iubenda, haz clic en “Modificar”.

2) Después, selecciona la opción “Restringir finalidades”.
3) Luego, selecciona “Solo consentimiento” para las finalidades activas.

Se recomienda solamente mostrar los proveedores del TCF con los que realmente trabajas en lugar de la lista completa de proveedores del TCF. Los proveedores pronto deberán proporcionar información adicional dentro de la Lista Global de Proveedores (GVL por sus siglas en inglés), lo que facilitará a los editores decidir con qué proveedores trabajar.

Cómo hacerlo utilizando Privacy Controls and Cookie Solution de iubenda

1) En la sección TCF de IAB del configurador de Privacy Controls and Cookie Solution de iubenda, haz clic en “Modificar”.
2) Selecciona “Permitir solamente a los proveedores que figuran en tu política de privacidad y cookies”.

Cómo hacerlo utilizando Privacy Controls and Cookie Solution de iubenda

  • Nos estamos ocupando de esto por ti. Actualmente, estamos añadiendo la divulgación relevante al panel de preferencias relacionadas con el TCF.

Cómo hacerlo utilizando Privacy Controls and Cookie Solution de iubenda

1) En el configurador de Privacy Controls and Cookie Solution de iubenda, selecciona la sección del RGPD dentro de Ajustes de conformidad y haz clic en “Modificar”.

2) Haz clic en Configuración manual.
3) Luego selecciona “Mencionar expresamente el derecho a revocar el consentimiento”.
4) En “Estilo y texto” en el configurador de Privacy Controls and Cookie Solution de iubenda, puedes añadir/modificar el widget de privacidad. El widget de privacidad permitirá a tus usuarios acceder y modificar sus preferencias de privacidad fácilmente, ya sea a través de un botón en cada página o un enlace de tu elección. También te proporcionaremos un texto personalizado adicional que se puede añadir al texto de tu banner para mencionar las consecuencias de negar el consentimiento.

Una vez que hayas hecho todo lo anterior, podrías considerar obtener el consentimiento de tus usuarios.

¿Qué será lo siguiente?

En cuanto al tiempo y al procedimiento, la APD espera que IAB Europe presente un Plan de Acción en un plazo de dos meses a partir de la publicación de la decisión. Una vez que la Autoridad de Protección de Datos de Bélgica valide el plan de acción, las medidas de cumplimiento deben completarse en un plazo máximo de seis meses.

IAB confía en que el Plan de Acción y la próxima conversación con la APD pueda ser una oportunidad. Es posible que la implementación de las recomendaciones de la APD en esta situación resulte en una nueva versión del TCF que esté más alineada con las expectativas de la APD, calificándolo como un candidato potencial para un Código de Conducta, con la APD como la principal autoridad de control.

IAB Europe ha anunciado que apelará parte de la decisión ante el Tribunal de Bélgica (Belgian Market Court).

¿Aún tienes preguntas?

Participa en uno de nuestros webinars gratuitos Envíanos un correo electrónico Chat en vivo