La autoridad de protección de datos de Bélgica ha dictaminado recientemente que el Marco de Transparencia y Consentimiento (TCF) de IAB Europe incumple el RGPD. ¿Significa que es el fin del TCF? En este post hablaremos de lo que puede ocurrir con el marco de gestión del consentimiento de IAB Europe y cómo los editores pueden seguir cumpliendo con el RGPD.

Índice

¿Qué es el TCF?

Tras la aplicación del RGPD —un conjunto de normas que concilian la protección de datos de las personas en Europa— en 2018, IAB Europe creó un marco que podría utilizarse como estándar para obtener el consentimiento de los usuarios y compartirlo con el resto de la cadena de suministro de forma sencilla. Esta herramienta es el «Marco de transparencia y consentimiento» y permite que los editores informen a sus usuarios de qué datos se recopilan, qué proveedores los usarán y por qué. Desde ese momento, la herramienta se ha mejorado y enriquecido, con una nueva versión llamada TCF v2.0, que ya vimos en este post.

Las acusaciones contra el TCF

Aunque se creó con buenas intenciones, el TCF y su cumplimiento real del RGPD han estado bajo la lupa de numerosas autoridades nacionales europeas, que han ido reforzando cada vez más sus directrices sobre la obtención de consentimiento. Por ejemplo, en Italia en julio de 2021, la autoridad local anunció nuevas directrices para las cookies y otras tecnologías de seguimiento. Los editores dispusieron de seis meses para adaptar sus banners de cookies a esta nueva normativa, ofreciendo a los usuarios opciones más obvias para no dar el consentimiento al uso de datos (más información en este post). En el mismo periodo, la autoridad de protección de datos de Francia multó a Google y Facebook con 210 millones de euros y les obligó a cambiar su política de consentimiento para que rechazar las cookies fuera tan sencillo e inmediato como aceptarlas.

En medio de esta atención general de los países europeos a la privacidad de los datos, a principios de febrero de 2022 la autoridad de protección de datos (DPA) de Bélgica, junto con otras 27 autoridades europeas, alegó que el TCF, tal como está ahora, no cumple con el RGPD. En particular, la DPA afirmó que «el enfoque adoptado hasta la fecha no cumple con las condiciones de transparencia y equidad requeridas por el RGDP. De hecho, algunas de las finalidades de tratamiento declaradas se expresan de forma demasiado genérica para que los interesados estén debidamente informados sobre el alcance y la naturaleza exactos del tratamiento de sus datos personales». En otras palabras, el TCF no expresa con un nivel adecuado de claridad y sencillez por qué se utilizan los datos, de modo que los usuarios no están perfectamente informados de a qué dan su consentimiento.

Otra cuestión es la del interés legítimo. Según la autoridad belga, el TCF se aprovecha de la opción de «interés legítimo» del RGPD para recopilar y compartir identificaciones basadas en el consentimiento también para fines que en realidad no pertenecen a la categoría de «interés legítimo», como ofrecer anuncios personalizados.

Por último, pero no por ello menos importante, encontramos la cuestión de los controles. La autoridad belga declaró que IAB Europe tiene la función de controlador de datos para el TCF. Como tal, es responsable de llevar a cabo controles estrictos en las múltiples plataformas de gestión del consentimiento (CMP) que emplean su marco, con el fin de garantizar que los datos no se recopilan ni se utilizan de forma indebida. Este es un papel que IAB siempre ha negado tener.

¿Qué pasará ahora?

A raíz de estas acusaciones (puede leer el documento completo de la DPA belga aquí), IAB Europe ha sido condenada a pagar una multa de 250 000 euros, a nombrar un responsable de protección de datos y a suprimir todos los datos personales recopilados con el marco. Además, tiene que hacer cambios en el TCF para que cumpla con el RGPD. IAB Europe dispone de seis meses (a partir de la sentencia del 2 de febrero) para hacer frente a estas obligaciones y debe presentar un plan de acción en dos meses. Sin embargo, IAB Europe ha decidido recurrir las decisiones de la DPA belga, lo que ha llevado a una suspensión temporal de dichas solicitudes hasta el fin del procedimiento de recurso.

¿Es el fin del marco de transparencia y consentimiento (TCF)? ¿Qué implica esto para los editores?

El hecho de que el TCF sea la herramienta más utilizada para la gestión del consentimiento (la emplea el 80 % de los internautas europeos) hace que lo ocurrido con IAB Europe, y sus posibles consecuencias, sea muy importante.

De hecho, sin el TCF, las CMP perderían un marco común muy útil para solicitar consentimiento, un marco que actualmente emplea la mayor parte de Internet, incluidas las grandes plataformas como Google y Amazon.

¿Es el fin del TFC? No sabríamos qué decir. Sin duda, los ajustes necesarios en IAB darán lugar a grandes cambios en la forma en que los editores y sus CMP obtienen el consentimiento de los usuarios para el uso de datos. Con todo, estos cambios podrían provocar una evolución de la norma actual, en lugar de conducir a su fin. Tras ser modificado y aceptado por las autoridades belgas y de otros países europeos, el TCF podría convertirse en un estándar aprobado por todos los organismos responsables de Europa; una herramienta para recopilar y tratar datos en todo el continente, que busque un equilibrio entre las necesidades de monetización y la privacidad de los usuarios.

Sea como fuere, estos cambios no se producirán de inmediato. En estos momentos, el proceso está suspendido hasta que finalice el procedimiento de recurso y si se confirma la sentencia, aún quedarían unos cinco meses antes de que el TCF, tal y como es ahora, sea considerado oficialmente ilegal.

¿Qué tienen que hacer ahora los editores?

¿Qué tienen que hacer los editores mientras tanto? Es importante que hagan un seguimiento de la evolución de la situación y que comprueben si sus herramientas de consentimiento se ajustan al nuevo sistema.

Además, es fundamental que se aseguren de que sus CMP actuales se adaptan a los cambios que puedan ser necesarios y que empiecen a probar formatos diferentes —más claros y transparentes— para las solicitudes de consentimiento.

A tal efecto, es muy importante trabajar con un socio que tenga todo bajo control. Clickio fue una de las primeras empresas en desarrollar una herramienta de consentimiento ajustada al TCF y seguimos adaptándola según la normativa más reciente. Por ejemplo, hace poco hemos añadido diversas opciones novedosas del «botón cerrar» para contribuir a que los editores de Italia cumplan las nuevas directrices. Además, siempre estamos probando nuevos formatos para garantizar el cumplimiento del RGPD al tiempo que mantenemos unos altos índices de consentimiento y una buena experiencia de usuario.
Para agregar la herramienta de gestión de consentimiento personalizable de Clickio a su página web de forma gratuita, haga clic aquí. O póngase en contacto con nosotros si necesita más información.