Han pasado más de dos años desde que se descubrió que una pieza clave del aparato de recopilación de consentimiento de la industria de los anuncios de seguimiento infringía las leyes de protección de datos de la Unión Europea. Hoy el El complejo de datos de vigilancia sufrió otro duro golpe: el tribunal superior del bloque desestimó los argumentos presentados por el organismo de la industria publicitaria responsable de la herramienta, confirmando que las cadenas de datos que genera en respuesta a las elecciones de privacidad de los usuarios son personales. datos, en el sentido del acuerdo del bloque Reglamento General de Protección de Datos (GDPR), ya que contienen un identificador personal.
El Tribunal de Justicia de la UE (TJUE) también sostuvo que la asociación de la industria publicitaria responsable de diseñar la herramienta de gestión del consentimiento, IAB Europe, es lo que se conoce como un “corresponsable” con sus miembros anunciantes, lo que significa que no puede eludir su responsabilidad. para garantizar que el procesamiento de datos cumpla con el RGPD. (Aunque el tribunal no consideró que la IAB fuera un controlador para operaciones de procesamiento de datos que ocurren después de que se registran las preferencias de consentimiento de los usuarios, pero dejó la puerta abierta a esa posibilidad en caso de que se encuentre evidencia de influencia sobre las operaciones de datos de seguimiento).
El TJUE decisión tras la remisión de cuestiones por parte de un tribunal belga donde el IAB Europe impugnó la decisión de febrero de 2022 de la autoridad local de protección de datos que encontró que su “Marco de Transparencia y Consentimiento” (TCF) violaba el RGPD.
La decisión de la DPA belga fue, y sigue siendo, un gran problema para los usuarios web en Europa, donde el spam de consentimiento ha proliferado desde que el RGPD entró en vigor en mayo de 2018, llenando los sitios web con interminables ventanas emergentes solicitando el consentimiento para “compartir” datos de los usuarios con largas extensiones. listas de “socios” publicitarios.
El problema es que estas ventanas emergentes con spam nunca parecieron cumplir con el RGPD. Un simple “sí o no” al seguimiento de anuncios es la mayor fricción que deberían tener los usuarios de la web. Pero la industria de la tecnología publicitaria, consciente de que la mayoría de la gente vota a favor de la privacidad cuando se les da la oportunidad, optó por hacer todo lo posible para evitar ofrecer a la gente una manera fácil de negar el seguimiento. Por lo tanto, las opciones de seguimiento tienden a ser mucho menos prominentes, a menudo ocultas en submenús de ventanas emergentes (si es que se ofrecen), en comparación con botones llamativos de “aceptación” fácilmente al alcance de los usuarios que lo hacen súper simple. para descartar una ventana emergente molesta, pero con un alto costo oculto para la privacidad.
Otras tácticas que la industria de la tecnología publicitaria ha implementado desde que entró en vigor el RGPD incluyen verificar previamente las opciones para compartir y exigir a los usuarios web que hagan clic y desmarquen manualmente varias casillas, lo que hace que intentar recuperar su privacidad sea realmente tedioso y lleve mucho tiempo.
También hay algo peor: una investigación independiente ha mostrado evidencia de que algunos proveedores de tecnología publicitaria conectados al TCF de la IAB continúan rastreando y perfilando a los usuarios de Internet incluso cuando dijeron explícitamente que no querían anuncios basados en seguimiento.
Los críticos llaman a todo este enfoque cínico teatro de cumplimiento: un intento de la industria publicitaria de evadir la ley de protección de datos y seguir rastreando y perfilando a los usuarios web en masa empaquetando el incumplimiento sistemático dentro de un marco estándar de la industria.
Por supuesto, la IAB no comparte esa opinión. Su impugnación legal de la decisión belga que determinó que el TCF viola el RGPD sigue en curso, pero ahora el fallo del TJUE será devuelto al tribunal para que tenga en cuenta ese procedimiento.
La asociación de publicidad había intentado revocar la decisión belga argumentando que las cadenas TCF no son datos personales. También cuestionó la clasificación de la autoridad como corresponsable del tratamiento. En ambos casos, el TJUE consideró lo contrario. Por lo tanto, la apelación de la IAB no parece demasiado halagüeña.
en un presione soltar Hoy, la IAB reconoció el fallo del tribunal y dijo que acoge con agrado la “muy necesaria claridad sobre los conceptos de datos personales y control (compartido), que permitirá una finalización serena de los procedimientos legales restantes”. Lo cual es una forma de perder totalmente el argumento.
También dijo que publicaría “en breve un comentario más profundo sobre el fallo y sus consecuencias”.
“El Tribunal de Mercado belga reanudará ahora su examen de los argumentos de fondo de IAB Europe de acuerdo con las respuestas proporcionadas por el TJUE”, añadió. “A la espera de la conclusión del procedimiento ante el Tribunal de Mercado que puede durar varios meses, la suspensión de la ejecución de la APD [Belgian DPA’s] La decisión (es decir, la implementación del plan de acción de IAB Europa tras su validación) continúa aplicándose”.
Traducción: La IAB espera obtener algunos meses más de gracia antes de que el tribunal belga se pronuncie sobre el destino del TCF.
En una actualización Preguntas más frecuentes En cuanto a la saga, la asociación publicitaria busca negar que el fallo del TJUE sea un golpe a sus posibilidades de revocar la conclusión de la DPA belga de que el TCF viola el GDPR, alegando que no hay “nada en el fallo del TJUE que pueda considerarse como un cuestionamiento ni remotamente de la legalidad”. de solicitudes de consentimiento o prohibir su uso por parte del ecosistema digital para cumplir con los requisitos legales bajo el marco de protección de datos de la UE”.
Lo cual, nuevamente, es un buen giro, dado que el papel del TJUE es específicamente responder a las cuestiones de derecho planteadas. Corresponde al tribunal remitente dar los siguientes pasos, teniendo en cuenta las orientaciones del tribunal superior sobre cómo interpretar los puntos clave de la ley relacionados con el caso.
Como recordatorio, la decisión de la autoridad belga de febrero de 2022 sobre la reclamación de larga data contra el TCF de la IAB encontró violaciones de los artículos 5.1.a y 6 (legalidad del procesamiento; equidad y transparencia); Artículos 12, 13 y 14 (transparencia); Artículos 24, 25, 5.1.f y 32 (seguridad del tratamiento; integridad de los datos personales; protección de datos por diseño y por defecto); Artículos 30 (registro de actividades de procesamiento); Artículo 35 (evaluación del impacto de los datos); y artículo 37 (nombramiento de un delegado de protección de datos).
La autoridad también impuso una multa de un cuarto de millón de euros al IAB en ese momento y le dio seis meses para que el TCF cumpliera. Sin embargo, las medidas que exigían la reforma del marco se suspendieron a la espera de un fallo judicial definitivo sobre la apelación de la IAB. De ahí que el spam de consentimiento mediante ventanas emergentes persista hasta el día de hoy en la UE.
Este El spam de consentimiento zombi puede… ¡por fin, por fin! – Sin embargo, estará en las últimas con esta decisión. en un declaración Tras el fallo del TJUE, el miembro principal del Consejo Irlandés para las Libertades Civiles y director de Enforce, Johnny Ryan, una de las personas que presentó las quejas GDPR contra el TCF, y antes de eso, quejas contra las ofertas en tiempo real (como esta contra la tecnología publicitaria de Google, que aún no ha sido decidida por la DPA de Irlanda), predijo que el final de esta lucha épica está a la vista.
“La gente en toda Europa se ha visto plagada de ventanas emergentes de ‘consentimiento’ falsas todos los días en casi todos los sitios web y aplicaciones desde que se introdujo el RGPD hace casi seis años. IAB Europa ha tratado de evadir su responsabilidad por esta farsa. Pero el Tribunal de Justicia Europeo lo ha dejado claro. Esta decisión no sólo pondrá fin a la mayor operación de spam de la historia. Causará una herida mortal a la industria de la publicidad basada en el seguimiento en línea”, escribió Ryan.
Aún así, es posible que el PR de IAB esté proyectando procedimientos legales “serenas” hacia adelante, a pesar de que el TJUE desestimó sus argumentos, ya que puede haber espiado una estrategia alternativa para reforzar el consentimiento de seguimiento de los usuarios europeos de la web, dado el creciente avance. de modelos de ‘consentimiento o pago’, impulsados por la adopción de la táctica por parte de Meta el otoño pasado. (Aquí la opción de consentimiento es aún más descaradamente manipuladora y abusiva: literalmente, pague dinero por su privacidad, registrándose para obtener una suscripción sin publicidad, o acepte el seguimiento y obtenga cero privacidad).
Dicho esto, el controvertido modelo de “consentimiento o pago” ya se enfrenta a una serie de desafíos en materia de privacidad y protección del consumidor. El Comité Europeo de Protección de Datos pronto dará su opinión al respecto. La Comisión Europea también está investigando el uso de esta táctica por parte de Meta, como parte de su supervisión de plataformas en línea de gran tamaño en virtud de la Ley de Servicios Digitales, que exige que las plataformas obtengan consentimiento para el uso de los datos de las personas para anuncios, además de establecer algunas condiciones sobre cómo se puede obtener el consentimiento, además de la base de referencia informada, específica y gratuita del RGPD.
¿Cuánto tiempo más podrá la industria de los anuncios de vigilancia abrir pista operativa en la UE, dada la reducción de las vías legales a medida que las quejas y la aplicación de la ley de privacidad avanzan a través del sistema? y con nuevos ataques de cumplimiento que se abren en múltiples frentes, no está claro. Puede que sea cuestión de meses. O puede requerir que el TJUE también opine sobre “consentimiento o pago” (es decir, tal vez como máximo, un par de años más). Pero la única opción real que le queda a la industria parece simple: reformarse o morir.