Tenemos una interesantísima resolución del TJUE, del pasado 7 de marzo, en relación a una cuestión prejudicial que le plantean desde el organismo regulador de Bélgica sobre el rol que asume la IAB en el tratamiento de los datos incluidos en el “consent string” para la gestión de los consentimientos de cookies a través de los CMP.
Quisiera aclarar que este post es un resumen que refleja el tenor literal de la resolución judicial.
Se trata de una síntesis resaltando los aspectos que considero más relevantes sin entrar en un análisis interpretativo. La resolución completa está aquí.
Pero es que es “taaaaaaaan” autoexplicativa de conceptos que deberían ser conocidos para los agentes que intervienen en la instalación de cookies u otros elementos de rastreo pero que no siempre conocen, que me parece que merece mucho la pena. Conceptos como: qué es la IAB, el consent string o cómo se gestionan los consentimientos en los CMP, están muy bien explicados.
Spoiler si se quiere evitar la lectura porque ya se conocen los conceptos:
- Sí, el Tribunal considera que la información contenida en el "consent string" es un dato de carácter personal.
- Sí, entiende que la IAB es corresponsable del tratamiento.
1. Qué es la IAB y TCF
IAB Europe es una asociación sin ánimo de lucro, establecida en Bélgica, que representa a las empresas del sector de la publicidad y del marketing digitales a nivel europeo.
Los miembros de IAB Europe son, entre otras, empresas de ese sector como editores, empresas de comercio electrónico y de marketing e intermediarios.
Entre los miembros de IAB Europe figuran, en particular, empresas que generan ingresos importantes mediante la venta de espacios publicitarios en sitios de Internet o en aplicaciones.
IAB Europe ha elaborado el Transparency & Consent Framework (Marco de Transparencia y Consentimiento “TCF»), que es un marco de normas compuesto por directrices, instrucciones, especificaciones técnicas, protocolos y obligaciones contractuales que permiten, tanto al proveedor de un sitio de Internet o de una aplicación, como a los intermediarios de datos o incluso a las plataformas publicitarias tratar legalmente los datos personales de un usuario de un sitio de Internet o de una aplicación.
El TCF tiene como objetivo, en particular, favorecer el cumplimiento del RGPD cuando esos operadores recurren al protocolo OpenRTB, uno de los protocolos más utilizados para el Real Time Bidding, que es un sistema de subasta en línea instantánea y automatizada de perfiles de usuarios para la compraventa de espacios publicitarios en Internet. Habida cuenta de determinadas prácticas llevadas a cabo por miembros de IAB Europe en el marco de este sistema de intercambio masivo de datos personales relativos a perfiles de usuarios, IAB Europe presentó el TCF como una solución que podía conformar dicho sistema de subastas al RGPD.
En particular, desde un punto de vista técnico, cuando un usuario consulta un sitio de Internet o una aplicación que contiene un espacio publicitario, las empresas de tecnología publicitaria, y en particular los intermediarios de datos y las plataformas publicitarias, que representan a miles de anunciantes, pueden pujar en tiempo real, sin ser vistos, por la obtención de ese espacio publicitario a través de un sistema de subastas automatizado que utiliza algoritmos, con el fin de mostrar en dicho espacio publicidad dirigida adaptada específicamente al perfil de tal usuario.
Antes de mostrar esa publicidad dirigida, debe obtenerse el consentimiento de dicho usuario.
Así, cuando el usuario consulta un sitio de Internet o una aplicación por primera vez, una plataforma de gestión del consentimiento denominada “Consent Management Platform” (“CMP”) aparece en una ventana emergente que permite a dicho usuario:
- Dar su consentimiento al proveedor del sitio de Internet o de la aplicación para la recogida y el tratamiento de sus datos personales con fines previamente definidos (como, en particular, la comercialización o la publicidad)
- Para el intercambio de esos datos con determinados proveedores,
- Oponerse a diferentes tipos de tratamiento de datos o al intercambio de estos datos sobre la base de los intereses legítimos.
Estos datos personales se refieren, en particular, a la localización del usuario, su edad, su historial de búsquedas y sus compras recientes.
El TCF proporciona un marco para un tratamiento de datos personales a gran escala y facilita el registro de las preferencias de los usuarios a través de la CMP. A continuación, estas preferencias se codifican y almacenan en una cadena compuesta por una combinación de letras y caracteres, designada por IAB Europe con el nombre de Transparency and Consent String (“TC String”), que se comparte con intermediarios de datos personales y plataformas publicitarias que participan en el protocolo OpenRTB, para que estos sepan en qué ha consentido el usuario o a qué se ha opuesto.
La CMP coloca también una cookie (euconsent-v2) en el dispositivo del usuario. Cuando se combinan, la TC String y la cookie euconsent-v2 pueden vincularse a la dirección IP de ese usuario.
El TCF desempeña un papel en el funcionamiento del protocolo OpenRTB, ya que permite transcribir las preferencias del usuario para su comunicación a potenciales vendedores y alcanzar diferentes objetivos de tratamiento, incluido ofrecer publicidad a medida. El TCF tiene por objeto, en particular, garantizar a los intermediarios de datos personales y a las plataformas publicitarias el cumplimiento del RGPD a través de la TC String.
2. Reclamaciones contra la IAB
El organismo regulador de protección de datos de Bélgica declaró que IAB Europe actuaba como responsable del tratamiento de los datos personales en relación con el registro del consentimiento, de las objeciones y de las preferencias de los usuarios individuales a través de una “TC String” que está asociada a un usuario identificable.
La IAB se opone a que se considere que actuó como responsable del tratamiento. Subraya, además, que solo los demás participantes en el TCF podrían combinar la TC String con una dirección IP para transformarla en un dato personal, que la TC String no es específica de un usuario y que la propia IAB no tiene la posibilidad de acceder a los datos tratados en este contexto por sus miembros.
3. Preguntas planteada al TJUE
1. ¿Debe interpretarse que una cadena compuesta por una combinación de letras y caracteres, como la TC String, que contiene las preferencias de un usuario de Internet o de una aplicación relativas al consentimiento de dicho usuario respecto del tratamiento de datos personales que le conciernen por proveedores de sitios de Internet o de aplicaciones, así como por intermediarios de tales datos y por plataformas publicitarias, constituye un dato persona?
Cuando una organización sectorial ha establecido el marco normativo para la generación, el almacenamiento y la difusión de esta cadena y los miembros de esa organización han aplicado tales normas y tienen así acceso a la mencionada cadena.
Una cadena compuesta por una combinación de letras y caracteres, como la TC String, contiene las preferencias de un usuario de Internet o de una aplicación relativas al consentimiento de dicho usuario en el tratamiento por terceros de datos personales que le conciernen o que se refieren a su eventual oposición a un tratamiento de tales datos basado en un interés legítimo.
Cuando una TC String no contiene en sí misma elementos que permitan la identificación directa del interesado, no es menos cierto, en primer lugar, que contiene las preferencias individuales de un usuario específico por lo que respecta a su consentimiento en el tratamiento de los datos personales que le conciernen, lo que constituye información sobre una persona física.
2. ¿Tiene alguna relevancia a este respecto el hecho de que la aplicación del estándar implique que esta cadena de caracteres esté disponible junto a una dirección IP?
Cuando la información contenida en una TC String se asocia con un identificador, como, en particular, la dirección IP del dispositivo de tal usuario, puede permitir crear un perfil de dicho usuario e identificar efectivamente a la persona a que se refiere específicamente tal información.
En la medida en que el hecho de asociar una cadena compuesta por una combinación de letras y caracteres, como la TC String, con datos adicionales, en particular con la dirección IP del dispositivo de un usuario o con otros identificadores, permite identificar a dicho usuario, procede considerar que la TC String contiene información sobre un usuario identificable, por lo que constituye un dato personal.
3. ¿Sería distinta la respuesta anterior si la IAB no tuviera ella misma acceso legal a los datos personales tratados por sus miembros en el marco de dicho estándar?
Esta interpretación no queda desvirtuada por el mero hecho de que la propia IAB Europe no pueda combinar la TC String con la dirección IP del dispositivo de un usuario y no tenga la posibilidad de acceder directamente a los datos tratados por sus miembros en el marco del TCF.
Los miembros de IAB Europe están obligados a comunicarle, a petición de la IAB, toda la información que le permita identificar a los usuarios cuyos datos son objeto de una TC String.
LA IAB Europe dispone, de conformidad con lo expuesto en el considerando 26 del RGPD, de medios razonables que le permiten identificar a una persona física determinada a partir de una TC String gracias a la información que sus miembros y otras organizaciones que participan en el TCF están obligados a facilitarle.
Carece de pertinencia el hecho de que, sin una contribución externa, que tiene derecho a exigir,la IAB no pueda acceder a los datos tratados por sus miembros en el marco de las normas que ella ha establecido ni combinar la TC String con otros identificadores, como, en particular, la dirección IP del dispositivo de un usuario.
4. ¿La IAB debe ser calificada de responsable del tratamiento cuando ofrece a sus miembros un estándar para la gestión del consentimiento que, además de un marco técnico vinculante, comprende disposiciones en las que se establece con detalle el modo en que deben almacenarse y difundirse estos datos de consentimiento que constituyen datos personales?
El concepto de “responsable del tratamiento” no se remite necesariamente a una única entidad, sino que puede aludir a varios actores que participen en ese tratamiento, cada uno de los cuales estará por tanto sujeto a las disposiciones aplicables en materia de protección de datos. Cuando una persona física o jurídica, atendiendo a sus propios objetivos, influye en el tratamiento de datos personales y participa, por ello, en la determinación de los fines y los medios de dicho tratamiento puede ser considerada responsable del tratamiento.
De conformidad con el artículo 26.1 del RGPD, existen corresponsables del tratamiento cuando dos o más responsables del tratamiento determinen conjuntamente los fines y medios del tratamiento. Si bien cada corresponsable del tratamiento debe responder de manera independiente a la definición de “responsable del tratamiento”, la existencia de una responsabilidad conjunta no supone necesariamente que, con respecto a un mismo tratamiento de datos personales, los diversos agentes tengan una responsabilidad equivalente. Al contrario, los agentes pueden estar implicados en distintas etapas del tratamiento y en distintos grados, de modo que el nivel de responsabilidad de cada uno de ellos debe evaluarse teniendo en cuenta todas las circunstancias pertinentes del caso concreto.
Además, la responsabilidad conjunta de varios agentes respecto a un mismo tratamiento en virtud de dicho precepto no presupone que cada uno de ellos tenga acceso a los datos personales en cuestión.
La participación en la determinación de los fines y medios del tratamiento puede adoptar distintas formas y resultar tanto de una decisión común adoptada por dos o más entidades como de decisiones convergentes de esas entidades. En este último caso, dichas decisiones deben complementarse, de modo que cada una de ellas tenga un efecto concreto en la determinación de los fines y medios del tratamiento. En cambio, no puede exigirse que exista un acuerdo formal entre dichos responsables del tratamiento en cuanto a los fines y medios del tratamiento.
Redactado por Elena, a fecha 15 de marzo de 2024.