Llega para los editores, empresas de Adtech y anunciantes un cambio de su hoja de ruta habitual para cumplir con el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (en lo sucesivo, RGPD). Reglamento que, desde su entrada en vigor, ha ocasionado numerosas variaciones en la forma de proceder con el tratamiento de datos personales por parte de todas las empresas, y cuyas sonadas sanciones han sido ya duramente impuestas, otorgando ese golpe de realidad para los que quedaban rezagados y desatendían la puesta en marcha de un plan de acción dispuesto a dar cumplimiento a los nuevos requisitos exigidos en esta materia.
En esta ocasión, la multa va dirigida al sector de la publicidad digital en el que, tras el inicio de las oportunas investigaciones, iniciadas en 2019 a raíz de un cuantioso número de quejas recibidas cuestionando directamente la legalidad de las actuaciones de la entidad multada, la Autoridad de Protección de Datos Belga (“Belgian Data Protection Authority” o “BE DPA”) ha impuesto, en su decisión Caso No. DOS-2019-01377 publicada el pasado 2 de febrero de 2022, una multa de 250.000 € a Interactive Advertising Bureau Europe (IAB Europe) por infracciones del Marco de Referencia de Transparencia y Consentimiento (“Transparency and Consent Framework” o “TCF”) para el cumplimiento del RGPD que la misma había desarrollado y que proporcionaba, hasta ahora, el soporte jurídico a los banners de consentimiento de cookies o plataformas de gestión del consentimiento de estas.
Ello es así puesto que la DPA belga ha considerado a IAB Europe responsable del tratamiento de los datos personales recaudados y almacenados en base al propio TCF, que incumple varios artículos y exigencias del RGPD, como son las bases legales establecidas para realizar un tratamiento de datos en su artículo 5; la ya célebre consideración de un tratamiento como lícito o no en base a la validez del consentimiento recogido en el artículo 6; las obligaciones de información y transparencia de los artículos 12 a 14; las medidas técnicas y organizativas a implantar del artículo 24; las obligaciones recogidas en el artículo 25 para el establecimiento de un sistema de protección de datos por diseño y por defecto; el mantenimiento de un registro de actividades actualizado del artículo 30; las medidas técnicas y organizativas que garanticen un nivel de seguridad adecuado al riesgo del artículo 32; la obligación de llevar a cabo una evaluación de impacto cuando así se requiere del artículo 35; o el nombramiento de un delegado de protección de datos del artículo 37.
De esto se puede deducir algo bastante grave: la obtención de datos personales sin la existencia de una base legal que lo permita, pues se ha fundamentado el tratamiento en bases legales inadecuadas sobre las que los proveedores, posteriormente, han operado. De ahí, lo sucesivo en un tratamiento de datos, difícilmente podrá resultar adecuado a la ley. Por ello, la BE DPA, además de la imposición de la mencionada sanción, le insta al borrado de todos los datos personales obtenidos en el marco del TCF y que han sido transferidos a las organizaciones participantes del mismo, tomando, además, las medidas oportunas que permitan garantizar la efectiva supresión de dichos datos personales. Es decir, una enorme multitud de empresas cesionarias y usuarias del TCF deben proceder, por extensión del artículo 19 del RGPD, a la supresión de todos los datos personales adquiridos de manera (ahora) ilícita a través de los banners implementados para gestionar las preferencias de cookies en sus sitios web.
En dicha decisión, se le concede a IAB Europe el plazo de dos meses para presentar un nuevo plan de acción que enmiende y remedie los incumplimientos en los que ha incurrido durante la vigencia del TCF. De ser validado dicho plan, se le concederá un nuevo plazo de seis meses para implementarlo y sustituir la base sobre la que operaba hasta ahora. Este nuevo plan de acción, lógicamente, contará con la implementación de la prohibición del uso del interés legítimo como base para realizar el tratamiento de datos personales por parte de todas las organizaciones participantes del TCF, así como la investigación de los antecedentes de todas ellas para garantizar su correcta actuación conforme a lo mandado por el RGPD.
IAB Europe discrepa de la proclamación que hace la BE DPA sobre su consideración como responsable del tratamiento de datos personales en el contexto del TCF, aunque reconoce la decisión de la autoridad belga y esperaba ya la declaración en este sentido sobre la ilicitud de este sistema.
A pesar de constituir una de las peticiones de los reclamantes, el TCF no ha sido prohibido, al no invalidarlo la Agencia de Protección de Datos Belga, por lo que aún podrá seguir usándose por parte de cualquier organización. No obstante, esto conllevaría la asunción de importantes riesgos para las organizaciones que decidan seguir usándolo.