Recentemente, a Autoridade de Proteção de Dados da Bélgica decidiu que o Transparency and Consent Framework (TCF) do IAB Europe não está em conformidade com o GDPR. Será que isso significa o fim do TCF? Neste post, vamos discutir o que pode acontecer com a estrutura do IAB Europe para gerenciamento de consentimento e o que os publishers podem fazer para continuar em conformidade com o GDPR.

Resumo

O que é o TCF?

Após a implementação do GDPR – um conjunto de regras que harmoniza a proteção de dados para indivíduos de toda a Europa – em 2018, o IAB Europe criou uma estrutura que pode ser utilizada como padrão para coletar facilmente o consentimento dos usuários e compartilhá-lo com o restante da cadeia de suprimentos. Essa ferramenta é o “Transparency and Consent Framework” e permite que os publishers informem seus usuários sobre quais dados estão sendo coletados, quais fornecedores farão uso deles e por quê. Desde então a ferramenta foi modificada e enriquecida, com uma nova versão chamada TCF v2.0, como vimos neste post sobre o assunto.

As acusações contra o TCF

Apesar de ter sido criado com boas intenções, o TCF e sua real conformidade com o GDPR estão sob observação por muitas autoridades nacionais europeias, as quais vêm fortalecendo cada vez mais suas diretrizes sobre coleta de consentimento. Por exemplo, na Itália, em julho de 2021, a autoridade local divulgou novas diretrizes para cookies e outras tecnologias de rastreamento. Os editores tiveram o prazo de seis meses para adaptar seus banners de cookies a esses novos regulamentos, fornecendo opções mais óbvias aos usuários para não dar consentimento ao uso de dados (mais informações neste post). Nesse mesmo período, a autoridade francesa de proteção de dados multou o Google e o Facebook em 210 milhões de euros e os obrigou a modificar sua política de consentimento para tornar a recusa de cookies tão fácil e imediata quanto aceitá-los.

Em meio a essa atenção geral dos países europeus em relação à privacidade de dados, no início de fevereiro de 2022, a autoridade belga de proteção de dados (DPA), ao lado de outras 27 autoridades europeias, alegou que o TCF, como está agora, não obedece às regras do GDPR. Em particular, o DPA afirmou que “a abordagem adotada até agora não atende às condições de transparência e legitimidade exigidas pelo GDPR. De fato, alguns dos propósitos de processamento declarados são expressos de maneira genérica demais para que os titulares dos dados sejam adequadamente informados sobre o escopo e a natureza exatos do processamento de seus dados pessoais”. Em outras palavras, o TCF não expressa com um nível adequado de clareza e simplicidade por que os dados estão sendo utilizados, de modo que os usuários não são perfeitamente informados sobre para o que estão dando consentimento.

Outra questão é a do interesse legítimo. Segundo a autoridade belga, o TCF explora a opção de “interesse legítimo” do GDPR para coletar e compartilhar IDs baseados em consentimento também para finalidades que não se enquadram na categoria “interesse legítimo”, como a veiculação de anúncios personalizados.

Por último, mas não menos importante, vem o problema dos controles. A autoridade belga declarou que o IAB Europe tem a função de controlador de dados do TCF. Como tal, é responsável por efetuar controles rigorosos nas plataformas de gerenciamento de consentimento múltiplo (CMP) que utilizam sua estrutura, a fim de garantir que os dados não sejam coletados e usados ​​de maneira inadequada. Esta é uma função que o IAB sempre negou ter.

O que vai acontecer agora?

Em decorrência dessas acusações (você pode ler o documento da DPA belga na íntegra aqui), o IAB Europe foi condenado a pagar uma multa de 250.000 euros, nomear um Encarregado de Proteção de Dados e excluir todos os dados pessoais coletados utilizando a estrutura. Além disso, deve fazer alterações no TCF para torná-lo compatível com o GDPR. O IAB Europe tem o prazo de seis meses (a partir do julgamento de 2 de fevereiro) para cumprir essas obrigações e deve apresentar um plano de ação em dois meses. Enquanto isso, porém, o IAB Europe decidiu recorrer das decisões do DPA belga, levando a uma suspensão temporária desses pedidos até o final do processo de apelação.

Este é o fim do TCF? O que isso significa para os publishers?

O fato de o TCF ser a ferramenta mais usada no gerenciamento de consentimento (é utilizada por 80% da internet da Europa) faz do que aconteceu com o IAB Europe e suas potenciais consequências, algo muito importante.

Sem o TCF, os CMPs de fato perderiam uma estrutura comum útil para solicitar consentimentos, uma estrutura empregada atualmente pela maior parte da internet, incluindo grandes plataformas, como Google e Amazon.

Este será o fim do TCF? É difícil dizer. Sem dúvida, os ajustes solicitados ao IAB levariam a grandes mudanças na maneira como os publishers e seus CMPs obtêm consentimentos de usuários para uso de dados. Mas, em vez de levar ao fim do TCF, essas mudanças podem realmente promover uma evolução de seu padrão atual. Uma vez ajustado e aceito pelas autoridades belgas e de outros países europeus, o TCF pode se tornar um padrão aprovado por todos os órgãos responsáveis ​​na Europa – uma ferramenta para coletar e usar dados em todo o continente, trazendo equilíbrio entre as necessidades de monetização e a privacidade dos usuários.

De qualquer modo, essas alterações não vão acontecer de uma hora para a outra. Atualmente, o processo está suspenso até o final do processo de apelação. Se a sentença for confirmada, faltam ainda cerca de cinco meses para que o TCF como está configurado agora seja oficialmente considerado ilegal.

O que os publishers precisam fazer agora?

O que os publishers precisam fazer neste meio-tempo? É importante acompanhar a evolução da situação e verificar se as suas ferramentas de consentimento estão em conformidade com o novo sistema.

Outro ponto fundamental é garantir que seus CMPs atuais estejam adaptáveis ​​às alterações que possam ser necessárias e começar a testar diferentes formatos – mais claros e transparentes – para solicitar consentimento.

Para tanto, é muito importante trabalhar com um parceiro que esteja à frente nesses assuntos. A Clickio foi uma das primeiras empresas a desenvolver uma ferramenta de consentimento compatível com o TCF e continuamos a adaptá-la de acordo com os regulamentos mais recentes. Por exemplo, há pouco tempo adicionamos várias novas opções de “botão fechar” para ajudar os publishers na Itália a cumprirem as novas diretrizes do país. Além disso, testamos constantemente diferentes formatos para garantir a conformidade com o GDPR, mantendo altas taxas de consentimento e, ao mesmo tempo, uma boa experiência do usuário.

Para adicionar gratuitamente a ferramenta de gerenciamento de consentimento personalizável da Clickio ao seu site, clique aqui. Ou entre em contato conosco para mais informações.