El TCF de IAB incumple el RGPD
Tras varias sosegadas lecturas de las 127 páginas de la resolución que declaró ilegal el ecosistema de subastas en tiempo real basado en el marco TCF de IAB Europa (“IAB”), y terminar un informe bastante incendiario, comparto por aquí algunos insights. Mayormente metajurídicos.
Es feo que lo diga yo, pero así soy yo: feo. El post sobre este tema que escribí hace año y medio ha envejecido bastante bien. Que tampoco era muy difícil.
Y la pregunta que me hacía al final, se la van a hacer unos cuantos este año.
Porque lo más relevante no es la sanción económica a IAB Europe, sino la rotunda declaración de ilicitud del ecosistema de subastas en tiempo real (RTB) de publicidad online.
Todos los tratamientos realizados a su amparo son nulos, y por eso se ordena el borrado de datos.
La resolución ha sido coordinada entre y aprobada por todas las autoridades de protección de datos de la UE. Esto es clave, porque veremos un efecto dominó. Más sobre esto en seguida.
Se declaran “corresponsables” a (i) IAB Europa, a (ii) los proveedores tecnológicos de los banners de cookies (CMPs), a (iii) los dueños de las webs (editores) y a algunos efectos también a (iv) los proveedores de Adtech en la plataforma OpenRTB (SSPs, DSPs, AdExchanges, DMPs).
Utilizando una metáfora de actualidad (no se me ocurre otra mejor): no se declara que Iberdrola haya abusado con el precio de la luz, se declara que todo el sistema de subastas está (y siempre estuvo) podrido, que hay que tirarlo al contenedor marrón y sustituirlo por algo completamente distinto.
Obligación de paralizar el tratamiento de datos y ¡ojo! borrar los datos captados.
La resolución impone (a IAB) una multa económica muy contenida (250.000 €).
Pero lo relevante es la obligación (para editores y CMPs) de interrumpir el tratamiento de los datos personales captados con base en el TCF desde 25 de mayo de 2018, y la obligación impuesta a IAB de que se asegure de que todos esos datos ilegalmente captados sean borrados por los implicados.
Esta última obligación es coherente y se impone directamente sobre editores y CMPs, así como sobre IAB (en relación con las TC strings).
Por si fuera poco, como preocupante bonus track, la resolución declara igualmente la existencia de una transferencia internacional de datos a través de este ecosistema, que no sanciona, porque escapaba el perímetro y circunstancias del proceso tal y como estaba planteado. pero apunta que la responsabilidad corresponde a los editores de las webs y a los CMPs.
Cascabeles y gatos
Técnicamente, la resolución adolece de defectos relevantes.
Operativamente, está por ver (si se ejecuta y) cómo se ejecuta en la práctica por el resto de Autoridades nacionales. La autoridad danesa ha sido la primera en hacer un “friendly reminder” conminando al sector a abandonar una práctica que se ha declarado ilegal y a buscar alternativas. Es importante que la advertencia se dirige explícitamente a la adtech, no a los editores web o publishers.
Desde el punto de vista práctico, es 100% seguro que IAB impugnará la sanción y solicitará la suspensión: seamos claros: esto no lo arregla ni McGyver.
Antes o después IAB pondrá encima de la mesa el mismo conejo, pero con el ya conocido collar de “donde dije marco jurídico de transparencia y consentimiento, digo código de conducta”.
¿Cómo queda el sector adtech?
En los meses o años que tardemos en conocer la suerte judicial del recurso, todos los actores declarados corresponsables están expuestos a denuncias (a todo esto, Max Schrems está extrañamente silencioso) o acciones sancionadoras en el ámbito de protección de datos personales. Recordemos una vez más: tooodas las autoridades europeas han corroborado la ilegalidad del TCF.
El TCF se ha partido en dos y se está hundiendo, la subsanación del marco es inviable, no hay chalupas suficientes para todos los socios (de hecho, para ninguno). Y los editores web acaban de descubrir que encima de viajar en tercera, pueden acabar sancionados.
“… pero unos son más corresponsables que otros”
Las empresas que han confiado en su marco jurídico y en la plataforma tecnológica de subastas de publicidad personalizada se han quedado, hablando en plata, “con el culo al aire”: han sido declaradas corresponsables de una infracción masiva, y se les obliga a interrumpir sus tratamientos de datos en el ecosistema.
Quiero subrayar especialmente lo de “las empresas que han confiado«, valga el eufemismo.
Porque cualquier empresa con un alto volumen de visitas, ha sido obligada de facto -para poder vender publicidad a través de estas plataformas- a implementar alguno de los CMPs adheridos al TCF “para garantizar el cumplimiento del RGPD por todos los implicados”.
Y ahora “todos los implicados” han sido declarados corresponsables por la Autoridad Belga.
Pero ya decía Orwell que algunos son más corresponsables que otros.
Afortunadamente la autoridad belga identifica elementos que el propio marco no permitía adaptar o mejorar, y que ponderan la responsabilidad de quien se limitó a acatar aquello que se le impuso.
“… do what Romans do”
Tan necesario es que se declare ilegal aquello que nunca debió permitirse, como que se considere la notoria desventaja e indefensión de las empresas europeas en sus relaciones con los gigantes tecnológicos.
Estos gigantes imponen en bloque a sus clientes, responsabilidades asimétricas, los golpes de timón en cuestiones jurídicas vitales y ruedas de molino varias, siempre a través de contratos de adhesión (“si continúa utilizando nuestros servicios después de la fecha tal o cual, se entenderá que ha aceptado nuestras condiciones”).
Cuando esas condiciones son declaradas ilegales, no parece que la responsabilidad deba repartirse igualitaria, sino equitativamente. O no repartirse.
En mi ejemplo inicial del recibo de la luz (imperfecto, pero ilustrativo), lo que no puede ser es que se extienda la responsabilidad del “crimen organizado” en la determinación de precios de la luz a los productores de energías renovables.
Podemos importar tecnología estadounidense o china, pero en Europa exportamos normativa y derechos. Eso es lo que se nos da bien. Y por estos lares sabemos desde hace dos mil años que “los contratos son lo que son, y no lo que las partes dicen que son”.
Muy especialmente cuando la parte que impone actúa desde una posición de predominio.
Y hablando de mafias y de Roma, me viene a la calva no sé por qué, la mítica sentencia con la que Tony Soprano “despide” a un rival:
“¿Que qué fue de los romanos, hijo de puta? Los tienes aquí delante”.
Jorge García Herrero
Abogado y Delegado de protección de datos