Iubenda logo
Crie Agora

Documentação

Tabela de conteúdos

Perguntas frequentes sobre a decisão da APD belga sobre o IAB

Nesta FAQ

Sobre a decisão

  • Principais conclusões da decisão
  • Medidas impostas pela decisão

O TCF agora é ilegal?

  • Risco de não conformidade
  • Interesse legítimo

O que eu preciso fazer?

  • Recomendações para os nossos clientes
  • O que vem a seguir?

Sobre a decisão

Em 2 de fevereiro de 2022, a Autoridade de Proteção de Dados da Bélgica (APD) emitiu uma decisão sobre o IAB Europe e o Transparency and Consent Framework (TCF).

Primeiro, vamos fazer uma rápida recapitulação; quem é o IAB e o que é o TCF? 

  • A IAB Europe é a associação de nível europeu para o ecossistema de marketing e publicidade digital. Seu objetivo é liderar a representação política e incentivar a colaboração do setor para estabelecer estruturas, padrões e programas do setor para ajudar as empresas a ter sucesso no mercado europeu.
  • O TCF é um padrão voluntário de código aberto lançado em abril de 2018 pelo IAB Europe para ajudar as empresas no ecossistema de publicidade digital em suas tentativas de cumprir os regulamentos de privacidade e proteção de dados da UE. Em outras palavras, o TCF fornece um processo padrão para obter o consentimento do usuário do GDPR e sinalizar essas preferências de consentimento em toda a cadeia de suprimentos de publicidade (Você pode ler as políticas de estrutura aqui)

A APD considerou que alguns recursos do TCF não estavam em conformidade com o GDPR e decidiu que:

1) O TC String são dados pessoais
 
TC Strings são os sinais digitais criados pelas Plataformas de Gerenciamento de Consentimento (CMPs). Esses sinais permitem que os editores (pessoas que monetizam o conteúdo em seu site/aplicativo) capturem as escolhas dos titulares dos dados sobre o processamento de seus dados pessoais para publicidade digital, conteúdo e medição. Os fornecedores podem receber esses sinais diretamente de CMPs ou de outros participantes do TCF para verificar se obtiveram consentimento ou interesse legítimo para uma finalidade específica.
 
2) IAB Europa é um controlador de dados para o TC String e, portanto,
3) O IAB não estabeleceu uma base legal para o processamento do TC String

Como resultado das constatações, vários remédios foram impostos.
 
Impactando o TCF

  • Proibir o uso de interesses legítimos como base legal para o processamento.
  • Exija que os CMPs adotem uma abordagem ainda mais harmonizada e compatível com GDPR na divulgação de informações aos usuários.
  • Garantir a “conformidade do TCF com as obrigações de integridade e segurança“.
Impacto no IAB
  • Multa de EUR 250.000,00
  • Estabeleça uma base legal para o processamento da String TC
  • Excluir dados pessoais coletados na qualidade de controlador da TC String estabelecida no contexto de escopo global
     
    Qual é o escopo global?
     
    A Política TCF anteriormente permitia que as bases legais no Framework fossem estabelecidas com “âmbito global”, o que significava que uma base legal, por exemplo, consentimento, poderia ser aplicável não apenas ao site onde foi obtido, mas a todos os outros sites que também implementar preferências de escopo global. Mesmo que o consentimento, neste exemplo, não tenha sido obtido diretamente nos outros sites.
     
    A suspensão do suporte de escopo global foi anunciada em 22 de junho de 2021, devido ao uso geral insignificante do escopo global pelos editores e à indicação de várias autoridades de proteção de dados de que os usuários devem ser claramente informados sobre as propriedades digitais onde suas escolhas se aplicam, por exemplo, por sendo fornecido com uma lista de domínios.
     
  • O IAB deve manter um registro de atividades de processamento, realizar uma avaliação do impacto da proteção de dados e designar um DPO.

A APD belga declarou ilegal o TCF?

Não. A decisão da APD não proibiu o TCF, nem sugere que o ecossistema de publicidade digital não deve empregar solicitações de consentimento para cumprir os requisitos legais da estrutura de proteção de dados da UE.

Em vez disso, a APD pediu ao IAB Europe que propusesse medidas corretivas, incluindo o fornecimento de funcionalidades adicionais de conformidade. 

Meu risco de não conformidade é maior usando o TCF? 

Em princípio não, levando em consideração o seguinte:

  • A decisão em si não conclui que o uso de TC Strings ou o TCF de forma mais ampla seja ilegal;
  • A decisão não concluiu que fornecedores, editores ou CMPs que aderem ao TCF coletam automaticamente dados pessoais em violação ao GDPR. Em outras palavras, qualquer descoberta de violação por um editor, fornecedor ou CMP precisará surgir de uma investigação dedicada, levando em consideração sua especificidade e todos os fatos relevantes;
  • A decisão é administrativa e está sujeita a recurso.

Não é mais possível contar com interesse legítimo?

Embora ainda possa parecer pouco claro, o IAB considera que a proibição do APD de interesse legítimo se aplica somente àqueles vinculados a publicidade personalizada e fins de criação de perfil e não uma proibição geral de interesse legítimo para todos os fins apoiados pelo TCF.

Lembre-se de que outras APDs nacionais, como a italiana Garante, já excluíram o uso de interesse legítimo como base legal válida (você pode ler mais sobre esse tópico aqui).

O que preciso fazer até que uma decisão final seja alcançada?  

No momento, parece haver pouco que pode ser feito além de esperar para ver como o processo de apelação pode se desenrolar, juntamente com quaisquer requisitos futuros do TCF.

Observação

Como esta é uma questão legal em andamento, a escolha do que fazer é uma que cada empresa terá que decidir por si mesma.

Esta FAQ não pode ser considerado aconselhamento jurídico e destina-se apenas a ser um resumo conveniente da decisão. Portanto, se você sentir que pode estar em risco, considere procurar assistência de seu consultor jurídico.

No entanto, à luz da decisão, as empresas que utilizam o TCF devem estar preparadas para mudanças substanciais (melhorias) decorrentes do julgamento e podem querer criar planos e estratégias de mitigação no caso de diversas situações que possam surgir.

Ações recomendadas para nossos clientes 

Enquanto aguardamos uma decisão final, recomendamos que os clientes iubenda façam o seguinte.

Como fazer isso usando a Privacy Controls and Cookie Solution iubenda

1) Na seção IAB TCF do configurador da Privacy Controls and Cookie Solution iubenda, clique em “Editar”

2) Depois disso, selecione a opção “Restringir Finalidades”
3) Em seguida, selecione “Somente consentimento” para fins ativos.

É recomendável exibir apenas os fornecedores de TCF com os quais você realmente trabalha, em vez da lista completa de fornecedores de TCF. Em breve, os fornecedores serão obrigados a fornecer informações adicionais dentro da Lista Global de Fornecedores (GVL), tornando mais fácil para os editores decidirem com quais fornecedores trabalhar.

Como eu faço isso usando a Privacy Controls and Cookie Solution da iubenda

1) Na seção IAB TCF do configurador de Privacy Controls and Cookie Solution iubenda, clique em “Editar”
2) Selecione a opção “Permitir apenas os fornecedores divulgados em sua política de privacidade e cookies”

Como fazer isso usando a Privacy Controls and Cookie Solution da iubenda

  • Estamos cuidando desse ponto para você. No momento, estamos adicionando a divulgação relevante ao painel de preferências relacionadas ao TCF.

Como eu faço isso usando a Privacy Controls and Cookie Solution da iubenda

1) No configurador da Privacy Controls and Cookie Solution iubenda, selecione a seção de conformidade com GDPR e clique em “Editar”

2) Clique em configuração manual
3) Em seguida, selecione “Mencionar explicitamente o direito de retirar o consentimento”
4) Em “Estilo e texto” no configurador da Privacy Controls and Cookie Solution iubenda, você pode adicionar/editar o widget de privacidade. O widget de privacidade permitirá que os seus usuários acessem e editem as suas preferências de privacidade facilmente, seja por meio de um botão persistente em cada página ou um link da sua escolha. Também forneceremos texto personalizado adicional que pode ser adicionado à cópia do banner para mencionar as consequências de negar o consentimento.

Depois que tudo isso for feito, você pode considerar recolher o consentimento de seus usuários.

O que vem a seguir?

Em relação ao prazo e procedimento, a APD espera que o IAB Europe apresente um Plano de Ação dentro de dois meses a partir da publicação da decisão. Depois que a Autoridade de Proteção de Dados da Bélgica validar o plano de ação, as medidas de conformidade deverão ser concluídas no prazo máximo de seis meses.

O IAB está confiante de que o Plano de Ação e o próximo diálogo com a APD são uma oportunidade. É possível que a implementação das recomendações da APD nessa situação resulte em uma nova versão do TCF mais alinhada às expectativas da APD, qualificando-a como potencial candidata a um Código de Conduta, tendo a APD como principal autoridade fiscalizadora.

O IAB Europe anunciou que recorrerá de parte da decisão ao Tribunal do Mercado Belga.

Ainda tem perguntas/dúvidas?

Participe de um de nossos webinars gratuitos Mande-nos um e-mail Chat ao vivo