Este es un ‘caso’ que puede parecer trivial, pero que afecta indirectamente a cientos de miles de sitios en Francia y millones de anuncios. El Marco de Transparencia y Consentimiento, más conocido como TCF, fruto de IAB Europe y sus socios, se ha considerado contrario al RGPD. La organización de los jugadores de publicidad en línea fue multada en febrero, ahora en disputa.
El IAB estaba a la espera de una condena
Sin embargo, este estándar rige el funcionamiento de muchas plataformas de recopilación de consentimiento (CMP). Una vez obtenido el consentimiento, TCF permite la activación de sistemas de subastas publicitarias entre anunciantes para presentar anuncios dirigidos. En julio de 2020, se lanzó una nueva versión, TCF V2, más estricta, pero aún no lo suficientemente estricta.
Sendinblue anuncia la adquisición de Meetfox
En funcionamiento desde 2018, IAB Europe anuncia el 5 de noviembre de 2021 que espera que este estándar sea declarado culpable de incumplimiento del RGPD por parte de la CNIL belga, la APD. El demandante, aunque irlandés, acusó al IAB de haber diseñado » ventanas emergentes engañosas de «consentimiento» que aparecen en casi todos los sitios web y aplicaciones europeos (más del 80 %) «.
Diversas observaciones de profesionales evocarán una adaptación del TCF al RGPD ligeramente negocio profesional «. Adaptación asumida por el IAB, que no obstante se comprometió a corregir las diversas violaciones » dentro de los seis meses siguientes a la publicación de la decisión final «.
La primera decisión judicial caerá dos meses después. La Autoridad de Protección de Datos de Bélgica condenará a IAB Europe a una multa de 250.000 euros. Una condena que la organización ha recurrido. » La ejecución inmediata de la decisión privaría a un recurso de su pertinencia y eficacia, y tendría consecuencias irreversibles y graves para nuestra organización.”, dijo Townsend Feehan, CEO de IAB Europe, en un comunicado.
El comienzo de un largo proceso.
De hecho, además de la multa, el DPA considera que el IAB es responsable del procesamiento de «TC Strings» y que estos son datos personales. Las cadenas de TC son señales recopiladas por los CMP para recopilar datos, que luego utilizan los anunciantes para mostrar sus anuncios dirigidos.
Este estado de los datos personales complica enormemente la tarea de la IAB, que luego debería garantizar una gran cantidad de buenas prácticas para todos los CMP, editores de sitios y anunciantes. » El DPA parece no considerar el consentimiento o la ejecución de un contrato como una base legal adecuada para el procesamiento de datos de TC Strings por parte de IAB Europe. ” lamenta la organización en un informe (pdf).
» Eliminar los motivos por los que la DPA considera que IAB Europe es un controlador de datos reduciría el TCF a un simple estándar de código abierto sin políticas aplicables. Paradójicamente, esto haría ineficaz el objetivo de protección del consumidor que subyace en la jurisdicción de la DPA, y la razón aparente por la que existen los procedimientos contra IAB Europe. No creemos que ese sea el propósito de la ley, ni que los estándares de autorregulación deban debilitarse por mala interpretación de la ley. Por eso impugnamos esta decisión.”, concluye el IAB en su comunicado.
Entendamos que más allá de la multa, lo que está en juego en la alineación de TCF con el RGPD según la decisión de la DPA es significativo. Tamaño que también debe ser equivalente a la duración del procedimiento y los intercambios APD-IAB.