El GDPR, que entró en vigor en 2018, regula el tratamiento de datos personales en la Unión Europea. Impone obligaciones a las organizaciones, estén donde estén, siempre que se dirijan y/o recojan datos de personas residentes en la Unión Europea. Esta iniciativa pretende, en particular, responder a las demandas por parte los usuarios de una mayor protección de su privacidad y una mayor transparencia en el uso de sus datos.
El 2 de febrero de 2022, la Autoridad Belga de Protección de Datos (DPA) multó a la Oficina de Publicidad Interactiva (IAB) de Europa con 250.000 euros, al considerar que el Transparency & Consent Framework (TCF) era contrario a varias cláusulas del GDPR.
Aunque el TCF es utilizado por la mayoría de los actores de la cadena publicitaria, ¿podría esta sanción europea poner en tela de juicio la forma en que se recoge el consentimiento para la publicidad dirigida?
Actualización 16/02/2023: Después de que la IAB actualizara su propuesta de TCF en abril de 2022, la DPA finalmente la aprobó y les dio 6 meses para implementarla a partir del 11 de enero de 2023.
1 – ¿Qué es el TCF?
El Transparency & Consent Framework (TCF) es un estándar de consentimiento desarrollado por IAB Europe (la organización que reúne a los principales actores de la publicidad online) para ayudar a los distintos actores de la cadena publicitaria a cumplir con los requisitos del GDPR y la Directiva de ePrivacy.
Cuando un usuario visita un sitio web, aparece un banner de la Consent Management Platform (CMP), que le permite dar su consentimiento o no a la recogida y compartición de sus datos. Es en el momento de esta elección cuando entra en juego el TCF, que registra las preferencias recogidas en forma de un fichero llamado «TC String».
La IAB France define la «TC String» como: «una cadena de señales digitales que permite memorizar y transferir las elecciones de los usuarios sobre el uso de sus datos personales para fines relacionados con la publicidad, los contenidos y la medición de la audiencia».
Este archivo se comparte con todos los actores que participan en el sistema OpenRTB (Real Time Bidding), un método de venta y compra de inventario publicitario en tiempo real basado en subastas. El RTB es una de las principales herramientas de la publicidad programática.
2 – ¿De qué acusa la DPA a la IAB?
La CNIL belga considera que IAB Europe es responsable del tratamiento de «TC Strings», y le acusa en particular de:
- Ausencia de una base legal para el uso de los datos recogidos a través de este fichero;
- Falta de transparencia, en cuanto se proporciona una información demasiado genérica que no permite a los internautas comprender en qué consiste la recogida de sus datos;
- Falta de rigor en cuanto a los medios puestos en marcha para garantizar la protección de los datos: ausencia de un registro de actividades de tratamiento, ausencia de un responsable de la protección de datos (DPO), etc.
3- ¿Qué futuro tiene la publicidad? ¿Y qué consecuencias para los editores?
El DPA da dos meses a la IAB Europe para que presente un plan de acción para adecuar su norma publicitaria en los próximos seis meses. También ordena la eliminación permanente de todas las cadenas de TC y otros datos personales ya procesados bajo el TCF de todos los sistemas informáticos, archivos y bases de datos.
En un comunicado de prensa, publicado el 2 de febrero de 2022, la IAB Europe afirma que toma nota de la decisión de la autoridad belga, pero que no ha observado ninguna prohibición de su norma TCF. Aunque la organización dice estar dispuesta a colaborar con la DPA para garantizar que el TCF se mantenga y se utilice en el mercado, rechaza reconocer su papel de «gestor de datos». El 11 de febrero 2022, IAB Europe anuncia que va a recurrir la decisión de la DPA ante los tribunales belgas.
A manera de recordatorio: actualmente existen 3 contextos para la monetización de la publicidad en los medios: con consentimiento, sin consentimiento o en ausencia de decisión, en cuyo caso el editor del sitio web puede basarse en su interés legítimo para mostrar anuncios sin cookies. En Opti Digital, ofrecemos una monetización con consentimiento combinado, que respeta la elección de los usuarios y permite a los editores monetizar su sitio web con y sin el consentimiento del usuario para la publicidad dirigida.
Para Magali Quentel-Reme, directora general y cofundadora de Opti Digital: «Todavía es pronto para saberlo, pero si los editores se vieran obligados a volver a cargar el módulo CMP aunque el usuario haya ya dado anteriormente su consentimiento, podríamos ver un descenso en la tasa de consentimiento porque el usuario, por cansancio, podría decidir oponerse a todo».
Tratándose de un anuncio reciente, las consecuencias para el sector son aún difíciles de anticipar. Por ello, en Opti Digital seguiremos de cerca este tema durante las próximas semanas, en estrecho contacto con nuestros socios de CMP (lee el artículo de Sirdata tras el anuncio de la DPA). Os mantendremos informados de la situación, actualizando nuestro artículo periódicamente.
La IAB Europe organizará un chat en directo el miércoles 16 de febrero para responder a las preguntas que han surgido a partir de la decisión de la DPA. En este evento se proporcionará más información sobre los próximos pasos. Mientras tanto, en el sitio web de la organización hay una sección de preguntas frecuentes.
Si quieres hablar más sobre este tema, ponte en contacto con uno de nuestros responsables de editores.