La Autoridad de Protección de Datos belga (“APDB”) ha informado a IAB Europe que su Sala de Litigios está cerca de finalizar una propuesta de resolución que concluirá su investigación sobre IAB Europe y su rol en el Marco de Transparencia y Consentimiento (TCF). Se estima que el borrador de la resolución se comparta con otras Autoridades de Protección de Datos en las próximas 2-3 semanas en virtud del Procedimiento de Cooperación establecido en el RGPD. Estas Autoridades de Protección de Datos tendrán 30 días para revisar la propuesta de resolución belga. Dependiendo de los resultados de la mencionada revisión, la APDB podría adoptar una resolución definitiva o elevar el asunto al Comité Europeo de Protección de Datos (EDPB) para que tome una decisión jurídicamente vinculante.
La propuesta de resolución, aparentemente, identificará determinados incumplimientos del RGPD por parte de IAB Europe, pero también concluirá que dichos incumplimientos podrían ser subsanados en los seis meses siguientes a la emisión de la resolución final, en un proceso que implicaría que la APDB supervisara la ejecución de un plan de acción acordado por IAB Europe.
Estos supuestos incumplimientos son consecuencia de la particular interpretación que hace la APDB del RGPD, como se explica a continuación.
Se espera que el proyecto de resolución determine que IAB Europe es responsable del tratamiento de las “TC Strings", señales digitales creadas en sitios web para capturar las opciones de los interesados sobre el tratamiento de sus datos personales en el contexto de la publicidad digital, medición y contenido digital. Se entiende que la Autoridad de Protección de Datos belga considera estas señales como datos personales. También considera que IAB Europe es co-responsable de esas TC Strings en el contexto específico de OpenRTB.
En base a las directrices provistas hasta ahora por otras Autoridades de Protección de Datos, unido al hecho de que IAB Europe no trata, posee, ni decide de ninguna manera el uso específico de las TC Strings y, además, teniendo en cuenta la jurisprudencia pertinente y su propia interpretación del RGPD, IAB Europe en ningún caso se ha considerado un responsable del tratamiento de datos en el contexto del TCF. Por tanto, no ha cumplido determinadas obligaciones que incumben a los responsables del tratamiento en virtud del Reglamento. El proyecto de resolución requerirá que IAB Europe trabaje con la APDB para garantizar que estas obligaciones se cumplan en el futuro.
Anticipamos que este trabajo, bajo la supervisión de la APDB, debería permitir la aprobación del TCF como un Código de Conducta (CoC) transnacional RGPD por parte de la Autoridad de Protección de Datos belga y el Consejo Europeo de Protección de Datos (EDPB) en pleno. IAB Europe ha querido convertir el TCF en un CoC desde 2018, una aspiración que ha sido alentada explícitamente por una serie de Autoridades de Protección de Datos, pero que ha tenido que paralizarse a la espera del resultado del presente procedimiento.
Esperamos con interés el resultado del Procedimiento de Cooperación y estamos dispuestos a trabajar con la APDB y otras Agencias de Protección de Datos para ayudar a las empresas del sector de la publicidad digital a garantizar el pleno cumplimiento de los requisitos de la legislación de la UE.
