La UE ordena que se eliminen todos los datos personales recopilados a través de las ventanas emergentes de consentimiento de anuncios

En 2018, la Unión Europea y el Espacio Económico Europeo iniciaron una iniciativa para proteger la privacidad digital de los ciudadanos europeos. Este marco, llamado Reglamento General de Protección de Datos (GDPR), hizo que los anunciantes en línea tuvieran que pedir permiso a los usuarios del sitio web para mostrarles anuncios personalizados (o, como los llamaría la industria, anuncios relevantes).

Cualquier lector en la UE ya sabe de qué estoy hablando, pero para los que están fuera: desde que entró en vigor esta regulación, la gran mayoría de los sitios web vistos desde dentro de la UE y el EEE saludan a los usuarios con una ventana emergente que solicita su consentimiento para ser rastreado con fines publicitarios. Son irritantes, principalmente porque oscurecen el contenido que está tratando de ver, pero también porque pueden diseñarse de tal manera que disuadan a los usuarios que quieren decir que no (por ejemplo, haciendo que desmarque docenas de casillas para hacer entonces).

Esta queja fue presentada por el Consejo Irlandés para las Libertades Civiles en 2019 contra IAB Europe, un organismo de comercio de publicidad digital que representa a más de 5500 organizaciones y está muy involucrado en guiar a la industria de la publicidad a través del marco legal de Europa. También ejecuta Transparency & Consent Framework (TCF), un sistema a través del cual se sirven anuncios. El TCF es el código que lleva información sobre la decisión de un individuo sobre si es rastreado y por quién.

Un nuevo fallo de 28 autoridades de protección de datos de la UE descubrió que IAB Europe comete múltiples violaciones del RGPD en su procesamiento de datos personales a través del TCF y el sistema de ofertas en tiempo real OpenRTB (a través del cual se venden anuncios). Esencialmente, está diciendo que estos formularios de consentimiento emergentes infringen los principios a los que se suponía que servían y, por lo tanto, son ilegales.

See also  A guide to writing accessible image captions

(Crédito de la imagen: Foto de Tingey Injury Law Firm en Unsplash).

La sentencia dice, en parte: “El enfoque adoptado hasta ahora no cumple las condiciones de transparencia y equidad exigidas por el RGPD. De hecho, algunos de los fines de procesamiento declarados se expresan de manera demasiado genérica para que los interesados ​​​​estén adecuadamente informados sobre el alcance exacto y la naturaleza del procesamiento de sus datos personales”.

Se dice que el TCF tiene “deficiencias sistemáticas” y “apoya un sistema que presenta grandes riesgos para los derechos y libertades fundamentales de los interesados, en particular en vista de la gran escala de datos personales involucrados, las actividades de elaboración de perfiles, la predicción del comportamiento , y la consiguiente vigilancia de los interesados”.

El diseño que irrita a los usuarios y hace que el consentimiento no sea claro también fue parte del razonamiento detrás de esto: “en su configuración actual [el TCF] no cumple con las obligaciones derivadas del principio de transparencia”.

“Esta ha sido una larga batalla”, dijo el Dr. Johnny Ryan del Consejo Irlandés para las Libertades Civiles. “La decisión de hoy libera a cientos de millones de europeos del spam de consentimiento y del peligro más profundo de que miles de empresas transmitan sus actividades en línea más íntimas”.

La ICCL resumió lo que decía la sentencia sobre cómo el TCF infringe el RGPD:

  • No garantiza que los datos personales se mantengan seguros y confidenciales (Artículo 5 (1) f y 32 GDPR).
  • No solicita correctamente el consentimiento y se basa en una base legal (interés legítimo) que no está permitida debido al grave riesgo que representa el seguimiento de la publicidad en línea (artículo 5 (1) a y artículo 6 del RGPD).
  • No proporciona transparencia sobre lo que sucederá con los datos de las personas (artículos 12, 13 y 14 del RGPD).
  • No implementa medidas para garantizar que el procesamiento de datos se realice de acuerdo con el RGPD (artículo 24 del RGPD).
  • No respeta el requisito de “protección de datos por diseño” (artículo 25 del RGPD).st
See also  Microsoft inició la compra de Activision justo después de decir que estaba "profundamente preocupado" por los informes de escándalos

La sentencia conlleva una multa de 250.000 €, pero eso es pequeño comparado con los otros requisitos: esencialmente, los anunciantes tendrán que eliminar los datos recopilados mediante las ventanas emergentes que, si esta sentencia entra en vigor según lo previsto, afectará a más de 1.000 empresas, incluidas las grandes bestias como Amazon, Google, Meta y Microsoft.

Además, la IAB tiene que hacer que el TCF cumpla con el RGPD, llevar a cabo una evaluación de impacto de la protección de datos y pagar a un oficial de protección de datos para que lo supervise. Tiene dos meses para elaborar un borrador de plan “para el procesamiento y difusión de las preferencias de los usuarios en el contexto del TCF” y seis meses para implementarlo.

Las implicaciones para las personas, los anunciantes y los editores de toda Europa podrían ser enormes. No menos importante, exactamente cómo se puede hacer lo anterior de una manera que satisfaga a la UE, y qué lo reemplazará. Un sistema sobre el que se basa toda la industria en esta región del mundo se enfrenta, en el mejor de los casos, a grandes cambios.

Ahora la responsabilidad recae en la respuesta sustantiva de la IAB y en cómo se propone alinear el TCF con lo que quieren las autoridades reguladoras europeas. En un comunicado en respuesta al fallo decía:

“IAB Europe reconoce la decisión anunciada hoy por la Autoridad de Protección de Datos de Bélgica (APD) en relación con su investigación de IAB Europe. Observamos que la decisión no contiene ninguna prohibición del Marco de Transparencia y Consentimiento (TCF), como había solicitado la denunciantes, y que la APD considera que las supuestas infracciones de IAB Europe que ha identificado son susceptibles de ser subsanadas en un plazo de seis meses.

See also  7 formas de aumentar tu motivación

“Rechazamos el hallazgo de que somos un controlador de datos en el contexto de TCF. Creemos que este hallazgo es incorrecto en la ley y tendrá importantes consecuencias negativas no deseadas que van mucho más allá de la industria de la publicidad digital. Estamos considerando todas las opciones con respecto a un impugnación judicial”.

¿Significa esto el fin del spam emergente de consentimiento en Europa? Probablemente no, pero muestra que los reguladores reconocen los problemas con el sistema tal como existe y se toman en serio la aplicación del cambio. Queda por ver si esto conducirá a una mayor claridad y control sobre cómo se utilizan los datos de los ciudadanos de la UE. Después de todo, si la industria de la publicidad es buena en algo, es en pintarle los labios a un cerdo.

Si eres un glotón de la jerga legal, aquí está la sentencia completa.

bullfight-doc
bullfight-doc