ilega-ilegalización del marco TCF de IAB de publicidad personalizada online en Europa
El pasado 2 de febrero de 2022 la Autoridad de Protección de datos Belga publicó una sanción coordinada con el resto de autoridades europeas, en la que sustancialmente declaró la ilegalidad del marco de transparencia y consentimiento (TCF) de IAB Europa.
Lo que viene siendo la ilegalidad del ecosistema de publicidad digital personalizada en Europa. Nada más y nada menos.
Indice
What?
El sorprendente y contraintuitivo “efecto placebo” se entiende mucho mejor después de leer a la obra de Daniel Kahneman. Recientes estudios han demostrado que el efecto placebo se produce incluso cuando el placebo se autoidentifica como tal.
La parte del cerebro que decide, dice Kahneman, no es la más racional y calculadora, sino la más emocional, que toma atajos heurísticos siempre que puede. Uno de los atajos más comunes es el que te lleva a seguir la corriente de la mayoría: “si todo el mundo lo hace, será que se puede hacer”. No en vano, se trata del principio de “prueba social”, uno de los principios de influencia de Cialdini.
Volviendo a lo jurídico, ya antes de la sonora resolución belga, no estaba (siendo benévolos) nada clara la solidez del concepto de “TC String” o consentimiento en cadena.
Es decir, cómo se comía que el consentimiento que yo prestaba a través del banner de cookies de El País, beneficiaba y servía igualmente a los miles de anunciantes que valoraban mostrarme su publi (sí, miles, no sólo el que gana la subasta y te lo enseña).
Esa estructura de autorizaciones granulares (e información suministrada para cada una) diseñada por IAB Europa no resistía una comparación seria con los preceptos que regulan el consentimiento en el RGPD.
Pero el mundo de la publicidad habla directamente a esos sesgos y atajos heurísticos de nuestro cerebro, explotándolos, para que “compremos” cosas. Y argumentos.
Uno piensa que algo, mucho o todo esto, ha tenido que pesar para que esta ilega-ilegalización haya tardado tanto tiempo. Porque el emperador estaba desnudo desde el principio.
El hecho de que la resolución belga haya sido cocinada entre todas las autoridades europeas, y que el presidente del Supervisor europeo haya publicado muy recientemente que “es hora de apuntar a la publicidad que nos apunta” promete más emociones fuertes en el corto plazo.
Sin ir más lejos, la prohibición de publicidad personalizada basada en datos de categoría especial o con destino a menores, aprobada anteayer en la Digital Services Act.
La resolución
Sustancialmente, se declaró:
- la corresponsabilidad de IAB Europa en relación con los tratamientos masivos de datos personales realizados con base en el TCF, a través de su plataforma de publicidad digital OpenRTB,
- la falta de base jurídica habilitante para dichos tratamientos y en consecuencia,
- se impusieron una serie de obligaciones materiales (reformar el marco jurídico y promover la supresión de los datos ilícitamente tratados) y formales (nombrar un DPO, realizar una DPIA y crear un Registro de actividades de tratamiento).
La resolución no sólo afecta a IAB: es un game changer para todo el ecosistema.
Corresponsabilidad: esa mancha de aceite
Aparte del soberano hostión, no económico, pero sí desde luego legal y reputacional que ha supuesto la resolución, lo más interesante es el delicado desmenuzamiento jurídico de la colaboración entre los actores del ecosistema para enchufar a cada cual su cuota de responsabilidad, con base en la figura de la “corresponsabilidad”.
He analizado detenidamente el contenido de la resolución desde ese punto de vista en un artículo publicado (tras paywall, sorry) en la revista de Derecho Digital de La Ley.
Porque se puede trazar una línea recta uniendo las célebres sentencias del TJUE de los Testigos de Jehová, Wirtschaftsakademie, Fashion Id, las guidelines sobre la materia emitidas primero por el EDPS y después por el EDPB y las “directrices 8/2020 sobre publicidad personalizada sobre usuarios de plataformas de social media” del mismo órgano y la presente resolución de la Autoridad belga.
Distintos agentes y roles en el ecosistema
La autoridad belga dedicó sus atenciones a cada uno de los distintos actores del ecosistema de IAB:
- la propia IAB que crea el (ejem) soporte jurídico (por decir algo) a la estructura,
- Los editores de las webs o apps que pretenden explotar sus espacios publicitarios
- los SSP o plataformas que gestionan la oferta de espacios publicitarios, el Exchange (que gestiona el cruce de oferta y demanda) y
- los DSP o plataformas que gestionan las pujas de la demanda, las entidades en mostrarte a ti, y con base en lo que saben de ti, sus anuncios.
- Sin olvidarnos de los CMPs o proveedores de esos banners de gestión de nuestros consentimientos, que introducen momentos de aventura en nuestras tediosas y adocenadas vidas.
Consecuencias sancionatorias
IAB Europe debe «tomar las medidas necesarias para garantizar la validez, integridad y cumplimiento de las preferencias y el consentimiento de los usuarios» transmitidos por los CMP al resto de entidades, evitando su manipulación por estas.
También se le requiere la realización de auditorías e investigación de las entidades que se adhieran al TCF y la creación de un canal de ejercicio de derechos de los interesados frente a IAB Europe.
Por último se le impone las obligaciones de crear y mantener un registro del tratamiento de datos personales, nombrar un DPO, y realizar una DPIA en relación con las actividades de tratamiento objeto de sanción.
IAB Europe debe presentar un plan de acción a la DPA belga en el plazo de dos meses, y completar las obligaciones en un plazo de seis meses, con apercibimiento de 5.000 euros diarios como sanción por incumplimiento, superados dichos plazos.
Ex – loros
Todos los actores (IAB, publishers, CMPs, SSPs y DSPs) afrontan responsabilidad en mayor o menor grado por su participación en el ecosistema, y por las transferencias internacionales de datos ilícitas, que se declaran pero que no se sancionan. Por tanto, todos los actores están expuestos a denuncias y a acciones directas de las autoridades nacionales.
La resolución es muy contundente.
Por resumir el tema en una sola imagen: si la valoráramos en términos MontyPythonianos el TCF de IAB no puede ser hoy más que un “ex marco jurídico”, del mismo modo que el loro disecado que John Cleese devolvía a la tienda de animales no era más que un “ex loro”.
Operativamente, está por ver (si y) cómo se ejecuta en la práctica por el resto de Autoridades nacionales. La autoridad danesa ha sido la primera en hacer un “friendly reminder” conminando al sector a abandonar una práctica que se ha declarado ilegal y a buscar alternativas. Es importante que la advertencia se dirige explícitamente sólo a los CMPs, SSPs y DSPs que aparecen registradas como licenciatarios del uso del TCF (pero no a los editores web, que no lo están).
Resulta especialmente valioso (e innovador, e incluso esperanzador) el establecimiento de criterios de valoración de la responsabilidad efectiva de cada corresponsable en función de si se han apartado o no del “ex marco normativo” o han tomado sus propias decisiones, entre otros criterios.
No parece nada arriesgado anticipar que los actores del ecosistema recibirán de IAB en los próximos meses un acuerdo “lentejas” de corresponsabilidad en régimen de adhesión “à la Facebook” en el que se impondrá la versión más favorable a IAB de la descripción de tratamientos conjuntos de datos, reparto de responsabilidades, etc…
¿Cuánto tiempo puede seguir volando un ex loro?
Depende.
Resulta obvio que la supuesta “seguridad jurídica” que se le supone al marco TCF tiene más que ver con su uso masivo (recuerden: el principio de «prueba social», base de cosas igualmente útiles como la homeopatía y el terraplanismo) que con su rigor jurídico técnico.
Gran final
Como bonus track, les dejo aquí una representación en vivo (mi favorita) del glorioso sketch de los Monty Python, en el que Michael Palin no pueden evitar descojonarse en directo. Lo de «ex-parrot» se convirtió en un clásico que hasta utilizó Margaret Thatcher en sus discursos por consejo de sus asesores. A pesar del éxito de su discurso, la dama de hierro confesó que no le veía la gracia.
Jorge García Herrero
Abogado y Delegado de Protección de Datos