El 2 de febrero de 2022, la Autoridad Belga de Protección de Datos (APD: Autorité de Protection des Données) tomó una decisión muy importante con grandes consecuencias para el sector publicitario (editores, anunciantes y vendors). 

 

Como proveedor de Consent Management Platform (CMP), queremos ser vanguardistas y además de ayudar a nuestros clientes a recopilar y administrar el consentimiento, creemos que es importante que lideremos la conversación y proporcionemos documentación útil sobre este  tema

 

Como primera iniciativa, decidimos realizar un webinar el 10 de febrero para comunicar esta decisión y debatir con los clientes, prospectos y socios nuestras recomendaciones, sobre cómo podría impactar al negocio y además, dimos algunas predicciones para el futuro. 

 

El webinar fue organizado por el Director de Tecnología (CTO) de Didomi, Jawad Stouli, el Director de Privacidad (CPO) Thomas Adhumeau, el Vicepresidente (VP) de Productos Antonio Anguiano y el fundador de Agnostik, Frank Ducret. 

 

Vea la grabación aquí y continúe leyendo para obtener más información: 

 

 

 

Resumen



 

¿Qué es el Marco de Transparencia y Consentimiento (TCF)?

 

Antes de llegar a la decisión de la DPA, es importante entender qué es el Marco de Transparencia y Consentimiento (TCF). 

 

ES_TCF_Pillars

 

Creado por IAB Europe, el TCF se describe como "el esfuerzo global intersectorial para ayudar a los editores, proveedores de tecnología, agencias y anunciantes a cumplir con los requisitos de transparencia y elección del usuario según el Reglamento General de Protección de Datos".

 

Para que la industria de la publicidad digital ofrezca el nivel adecuado de transparencia a los usuarios y, al mismo tiempo, dé el nivel adecuado de control a los editores, se necesita una forma normalizada y ampliamente adoptada de gestionar el consentimiento. Consta de cuatro pilares:

 

  • Un conjunto de políticas que los editores, proveedores y CMP deben cumplir

  • Especificaciones que los participantes deben implementar

  • Una lista global de proveedores, para que haya una lista centralizada y actualizada de todos los participantes

  • CMPs, no gestionados directamente por IAB Europe

Esta decisión de la DPA belga ha impactado los cuatro pilares. 

 

Comprender la decisión de la DPA belga

 

La decisión  de la DPA belga en su totalidad es un documento bastante complejo. Para facilitar su comprensión, hemos extraído un resumen de alto nivel de los hallazgos, con cuatro ideas clave:

 

  • La Transparency & Consent (TC) string, la señal de consentimiento almacenada por los actores de la industria publicitaria, se considera información personal, para la cual se debeestablecer una base legal, ya sea consentimiento, interés legítimo o cualquier otra 

  • IAB Europe es un controlador de datos de esa información, independientemente del hecho de que no procese la información de consentimiento

  • IAB Europe es un controlador conjuntamentecon los participantes de TCF (proveedores, CMP, editores). Como resultado, la APD considera que no estableció una base legal para procesar la TC string

  • Las medidas de seguridad adoptadas para proteger la integridad de la señal de consentimiento no eran suficientes.


Como resultado,la IAB Europe ha sido multada con 250 mil euros. Y tiene que presentar un plan de acción en los próximos dos meses, que se implementará en los 6 meses siguientes al momento en que el plan de acción sea validado por laDPA.

 

¿Qué significa para nuestros clientes? ¿Y cuáles son las consecuencias de la decisión para los editores y anunciantes?

 

  1. Se prohibirá el uso del interés legítimo como base legal para el procesamiento de datos por parte de las organizaciones participantes en el TCF en su formato actual (al menos con respecto a los fines de publicidad conductual).

  2. Los usuarios no pueden dar razonablemente su consentimiento informado a cientos de proveedores. Por lo tanto, el consentimiento, tal como se obtiene actualmente, no es válido.

  3. La información que se proporciona actualmente no es suficiente para que los usuarios den su consentimiento informado.

 

¿Qué pueden hacer nuestros clientes mientras IAB Europe trabaja en su plan de acción?

 

Acciones recomendadas para nuestros clientes

 

Con el fin de ayudarle, nuestro equipo ha elaborado una lista de seis recomendaciones para nuestros clientes y socios con respecto a la decisión del APD. Solo podemos proporcionar recomendaciones en este momento, ya que somos un procesador de datos y no es nuestra posición dictar el camino a seguir a nuestros clientes. 

 

ES_Recommendations

 

Recomendación 1: Requerir el consentimiento de todos los proveedores y para todos los propósitos de TCF a través de las restricciones del editor

 

La DPA ha declarado que el interés legítimo no puede ser una base legal para los propósitos del TCF. Como consecuencia, nuestra primera recomendación es utilizar nuestra función de restricciones de editor para filtrar a los proveedores en función de intereses legítimos y solo requerir el consentimiento como base legal en el futuro.

 

Recomendación 2: Evaluar y limitar el número de proveedores para los que se recopila el consentimiento

 

La DPA establece que los usuarios no pueden proporcionar razonablemente un consentimiento informado cuando el número de proveedores presentados en un solo aviso de consentimiento es demasiado alto.

 

Su lista de proveedores debe ser exhaustiva y reflejar un alto nivel de control de su cadena de suministro digital. Para ello, le recomendamos que audite su lista de proveedores e identifique cuáles son los más importantes para su negocio. Esto se puede hacer utilizando una plataforma como Agnostik, que proporciona una experiencia única en la evaluación de la identidad y el comportamiento del proveedor.

 

 

Tenga en cuenta que la DPA no ha proporcionado un número específico de proveedores recomendados. Le recomendamos que haga esta lista lo más corta posible (y documente cómo llegó a este número). Le recomendamos que realice un análisis para evaluar lo que es correcto desde el punto de vista del cumplimiento, teniendo en cuenta la transparencia que le debe a sus usuarios, sus prioridades comerciales, la monetización y las restricciones generales de la operación publicitaria

 

Recomendación 3: Presentar las categorías de datos reunidos en el texto de la CMP

 

Esta recomendación se refiere a la transparencia. Le recomendamos encarecidamente que muestre las categorías de datos que está recopilando en su web, algo que puede implementar fácilmente con nuestra plataforma CMP. Al especificar las categorías de datos que recopila ("Estamos recopilando información de contacto y datos profesionales", por ejemplo), se comunica con sus usuarios de manera transparente.

 

La mayoría de nuestros clientes ya lo hacen, pero vale la pena destacarlo, ya que se menciona explícitamente en la decisión.

 

Categories

 

Recomendación 4: Clasificar los fines de la IAB en categorías

 

Uno de los puntos destacados la DPA es que los finesdel TCF no son lo suficientemente claros, lo que podría comprometer la validez del consentimiento recogido ya que el usuario final podría no entender lo que está aceptando. 

 

Sugerimos clasificar los fines en categorías en un lenguaje sencillo, para que sea más claro y fácil de entender para sus usuarios. Esto también es fácilmente configurable en nuestra plataforma.

 

Purposes

 

Recomendación 5: Facilitar y hacer accesible la retirada del consentimiento 

 

La retirada ineficaz del consentimiento pone en peligro la validez del consentimiento, ya que los usuarios pueden no saber cómo revocarlo. Nuestro consejo es que sea fácil de localizar para los usuarios, directamente disponible en su configuración de usuario o perfil. 

 

Accessible

 

Recomendación 6: Volver a presentar el aviso de la CMP a los usuarios

Por último, y dado que la decisión de la DPA sugiere que todas las señales de consentimiento recopiladas antes de su decisión podrían infringir el RGPD, recomendamos volver a presentar el aviso de la plataforma CMP a sus usuarios después de que se hayan implementado todas las demás recomendaciones. 

 

Para obtener más detalles sobre nuestras recomendaciones con respecto a la decisión del DPA belga, consulte la documentación de nuestro centro de ayuda dedicado.

 

Posibles escenarios futuros y cómo las empresas pueden adaptarse

 

A la luz de la decisión de la DPA, creemos que hay dos escenarios posibles en un futuro próximo.

 

  • Escenario #1: El TCF, después de hacer los cambios requeridos por la DPA e implementar las mejoras requeridas, es aceptado.

  • Escenario #2: Incluso después de implementar las mejoras requeridas, la DPA rechaza el TCF.

 

Cualquiera que sea el resultado, necesitamos soluciones alternativas para las empresas cuyo medio de vida se basa en la publicidad, ya sea como editores o anunciantes. A la luz de la decisión, la publicidad a través de la RTB abierta es un desafío desde el punto de vista del cumplimiento.

 

Para concluir, enumeramos a continuación algunas de las preguntas más interesantes, formuladas durante el webinar. Si tiene más preguntas, consulte nuestra documentación sobre el tema y póngase en contacto con su Customer Success Managersi es cliente de Didomi.

 

Preguntas frecuentes

 

 

Preguntas generales

 

¿Se trata de una decisión exclusiva de Bélgica? ¿Deberían las empresas de otros países europeos aplicar también la decisión de la DPA?

 

Un borrador de la decisión se compartió inicialmente con otros DPAs, y esta recibió feedback de dos autoridades diferentes sobre ciertos puntos:

 

  • La corresponsabilidad establecida por la DPA

  • Utilización del interés legítimo para determinadas operaciones de tratamiento

  • Alcance de las medidas correctoras

  • La multa administrativa y la relación entre la IAB Inc. y la IAB Europe.

 

Podemos deducir que es probable que otras autoridades, tengan en cuenta esta decisión para evaluar cualquier reclamación en el futuro.

 

¿Cuál es el cronograma de la decisión?

 

La decisión ha sido apelada. A IAB Europe se le han concedido dos meses para presentar un plan a la DPA, y seis meses adicionales para implementar estos cambios una vez que el plan sea aceptado por esta.

 

¿Existen riesgos legales para mí de seguir utilizando una plataforma CMP integrada con el TCF?

 

Si no activa el TCF, no se verá afectado por esta decisión. 

Si utiliza el TCF a través de nuestra plataforma CMP, le recomendamos que consulte nuestras recomendaciones para mitigar los riesgos.

 

Didomi y la decisión de la DPA

 

Los CMP fueron llamados por la DPA como controladores conjuntos. ¿Cuáles son sus puntos de vista?

 

Siempre nos hemos visto como un procesador de datos. Esto se debe a que no dictamos cómo deben interactuar nuestros clientes con sus usuarios. En el futuro podríamos cambiar eso y vernos a nosotros mismos como un controlador de datos para cumplir con la decisión de la DPA.

 

¿Cuáles son los impactos de la decisión de DPA sobre Didomi como CMP bajo el TCF?

 

Todavía estamos evaluando los impactos de la decisión, pero parece que la DPA toma la postura de que los CMP son controladores conjuntos de la información de consentimiento (la TC string en este caso). Por lo tanto, las CP/RP deberían establecer una base jurídica como lo haría cualquier controlador.

 

¿Vais a tomar alguna medida por vuestraparte o a hacer algún cambio en la plataforma CMP?

 

Sólo apoyamos una integración con el TCF, pero no imponemos su uso.

 

En última instancia, no creemos que debamos imponer una opinión sobre lo que significa el cumplimiento para editores específicos y su audiencia.

 

Esa ha sido y sigue siendo nuestra postura por ahora. Dado el hecho de que el DPA parece considerar que los CMP también son controladores de la información de consentimiento, sin embargo, es posible que tengamos que cambiar algunas cosas. 

 

comunicaremos tanto a prospectos como a clientes y partners, si decidimos realizar cambios en la plataforma CMP

 

¿Didomi eliminará los datos personales recopilados basados en una TC string?

 

En la decisión, el DPA solicita a IAB Europe que elimine los datos a los que tienen acceso en el contexto del alcance global del TCF. No está claro si se aplica a otros participantes en el marco.

 

¿Se eliminará la base legal del interés legítimo de la plataforma CMP de Didomi?

 

La DPA calificó de inadecuada la confianza en el interés legítimo para fines relacionados con la publicidad dirigida o la elaboración de perfiles de usuarios, excepto para fines no relacionados con la comercialización, como la medición de la audiencia y el rendimiento.

 

Sin embargo, no está claro si el requisito de prohibir la confianza en el interés legítimo para el procesamiento de datos personales por parte de los participantes de TCF se aplica a todos los propósitos de TCF o solo a la publicidad personalizada y la elaboración de perfiles.

 

Hasta que esto se aclare, recomendamos añadir restricciones del editor para imponer el consentimiento como base legal.

 

El Marco de Transparencia y Consentimiento (TCF)

 ¿Debo desactivar el TCF en mi sitio web?

 

No necesariamente lo recomendamos, pero sigue siendo una opción para desactivar el TCF. Los riesgos asociados con la decisión de la APD se eliminarán de inmediato, pero también podrían afectar una gran parte de sus ingresos. 

 

En última instancia, esta es una evaluación que cada empresa debe ejecutar por su cuenta. Pero estamos aquí para ayudarte a comprender el contexto, darte recomendaciones y apoyar tu actividad, pase lo que pase en el futuro. Mantendremos a nuestros clientes actualizados a medida que la situación evolucione.

 

¿Por qué siguen recomendando el TCF?

 

No estamos recomendando el TCF. Servimos como facilitador para los editores que confían en nosotros para implementar la estructura de TCF. 

 

Dicho esto, creemos que, si se elimina el TCF, los usuarios se quedarán en una peor posición, porque el marco de transparencia y consentimiento fue diseñado para proporcionar más información sobre lo que está sucediendo detrás de escena. 

 

Probablemente esté lejos de ser perfecto en este momento, pero es la única herramienta que existe. 

 

¿Sugieres usar TCF stacks?

 

La DPA indicó que el lenguaje TCF no es lo suficientemente claro para que los usuarios puedan dar consentimientos informados. Las TCF stacks todavía se pueden utilizar, pero deben complementarse con más explicaciones (y más claras) en un lenguaje sencillo para los usuarios, ya que las TCF stacks en sí no son suficientes para proporcionar información detallada al usuario.

 

Si no tengo ningún proveedor de IAB que realice publicidad (como medida de audiencia), ¿sigo estando afectado?

 

Si no tiene proveedores que confíen en el TCF en absoluto, entonces no se verá afectado. Debe desactivar el TCF en sus sitios web/aplicaciones móviles/aplicaciones de TV.

 

Medidas y recomendaciones específicas


¿Cuál es el número máximo de proveedores que se deben permitir?

 

Desafortunadamente, la DPA no expresa claramente cuántos proveedores son demasiados o cuántos son aceptables. 

 

Es difícil hacer una recomendación clara sobre esto y debe ser evaluada por cada sitio web/aplicación/editor específicamente, también como una compensación con sus restricciones de monetización. Para fines de monetización, vemos que los sitios web generalmente funcionan idealmente con alrededor de 200 proveedores y aplicaciones con alrededor de 50. 200 es probable que todavía sean demasiados para el APD, aunque es difícil estar seguro.

 

¿Cómo presentar las categorías de datos recopilados en el texto de la CP/RP?

 

Si es cliente de Didomi, hay un campo especial en nuestra Consola para añadir texto encima de los propósitos, o puede hacer lo siguiente: Crear categorías en la primera capa de su aviso de consentimiento, para ser lo más transparente posible.

 

¿Sugieren eliminar el interés legítimo para todos los fines?

 

No. La DPA solo apunta al interés legítimo como base legal para licitar en tiempo real. Sólo estamos hablando del perímetro del TCF. Por el momento no se cuestiona el interés legítimo por otros ámbitos.

 

Cuando se trata de características especiales del TCF, siempre se requiere el consentimiento. Con respecto a los fines especiales, el interés legítimo sigue siendo la única base jurídica disponible en el contexto del TCF. Los editores no podrán hacer nada al respecto por el momento, y será en IAB Europe para hacer cambios si es necesario. 

 

¿Qué solución para características, características y propósitos especiales?

Esa es una buena pregunta y una que tendrá que ser respondida por el IAB Europe en sus actualizaciones al TCF. 

 

Los propósitos especiales se basan en el interés legítimo en este momento y el marco no proporciona ningún control sobre ellos a los CMP/editores. Las características especiales y las características se basan en la participación voluntaria (no necesariamente el consentimiento) y deben ser aceptables todavía.

 


Para obtener más información sobre Didomi, reserve una demostración con uno de nuestros expertos: