La autoridad francesa de protección de datos (CNIL), ha adoptado una decisión declarando que Vectaury, una start up francesa, no cumple con las condiciones para un consentimiento válido conforme al RGPD y ordena a la empresa que deje de tratar datos de geolocalización con fines publicitarios sin una base legal adecuada, instándole a  cambiar sus prácticas en RGPD en el plazo de 3 meses. Además, la CNIL le ordena eliminar todos los datos obtenidos sobre la base de este consentimiento inválido. Se resume a continuación los principales puntos:

  • Vectaury machea los datos de geolocalización recopilados a través de aplicaciones móviles con otros datos personales contenidos en solicitudes de RTB para perfilar a los usuarios, segmentar anuncios y medir el rendimiento de la campaña.
  • La decisión de la CNIL está centrada en la recogida y el tratamiento de datos de geolocalización obtenidos a través del SDK de Vectaury integrado en 20 aplicaciones móviles, y el tratamiento de datos personales a través de RTB de esas aplicaciones.
  • En su resolución, la CNIL encuentra que, en dos escenarios, Vectaury no tenía una base legal para el tratamiento de datos personales en virtud del RGPD. Primero, por la recopilación y tratamiento de datos geolocalización de usuarios de aplicaciones móviles a través de su SDK, y segundo en la recogida y tratamiento de datos personales a través de RTB para los inventarios en las aplicaciones móviles.
  • La base legal que esgrimía Vectaury era el consentimiento de los usuarios. Sin embargo la CNIL declara que en ambos escenarios, tanto Vectaury como sus socios no cumplieron con las condiciones para un consentimiento válido, y como resultado no pudo servir como base legal. Establece que Vectaury no informa conforme al RGPD y que las finalidades del tratamiento de datos son difíciles de entender, lo que no permite tomar una decisión informada y por tanto no hay base legal para el tratamiento.
  • Vectaury creó en mitad del procedimiento una plataforma de gestión de consentimiento (CMP) basada en el TCF pero no se adhirió a las Políticas del TCF (es decir, se adhirió de manera incompleta) y eso lleva a que  la CNIL considere como no compatible con el RGPD. Además, se instalaban por defecto las cookies, lo que es contrario al RGPD, que exige  una acción afirmativa.
  • Al respecto CNIL opina que, si bien el CMP de Vectaury mejoraría la transparencia para los usuarios, todavía no cumplía con el estándar de la norma para un consentimiento válido, porque (a) no se aseguraba que los usuarios estuvieran adecuadamente informados de las identidades de las empresas que iban a tratar sus datos, y (b) no se aseguró que el consentimiento se expresara mediante una acción clara y afirmativa. En ambos casos, el CMP de Vectaury no cumplía con sus obligaciones bajo las políticas del TCF.
  • La CNIL por tanto dictamina que, aunque Vectaury había intentado cumplir con la ley al proporcionar a sus desarrolladores de aplicaciones asociados un CMP, era incapaz de verificar de forma independiente que el consentimiento del usuario había sido obtenido cumpliendo con el RGPD.
  • Como aprendizaje, desde la industria se tiene que poner foco en una mejor descripción de los las finalidades, que estas sean específicas y fáciles de entender para que los usuarios puedan tomar una decisión libre.
  • El Grupo de Trabajo del  TCF actualmente está redefiniendo las finalidades para que sean más sencillas y reflejen todos los posibles escenarios del tratamiento de los datos.
  • La decisión de la CNIL y el hecho de que recomiende cómo mejorar el TCF, es un reconocimiento a este Marco como herramienta de cumplimiento para todo el sector.
  • Para más información puedes visitar la web http://advertisingconsent.eu o escribir a paula@iabspain.net

El jueves 22 de noviembre se aprobó, por el Pleno del Senado, la Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales (LOPDGDD), que transpone el RGPD, e introduce nuevos derechos. Se recogen a continuación las principales novedades:

  • Consentimiento y finalidades. Cuando se pretenda fundar el tratamiento de los datos en el consentimiento del afectado para una pluralidad de finalidades “será preciso que conste de manera específica e inequívoca que dicho consentimiento se otorga para todas ellas”. Además no podrá supeditarse la ejecución del contrato a que el afectado consienta el tratamiento de los datos personales para finalidades que no guarden relación con el mantenimiento, desarrollo o control de la relación contractual. Refrenda lo recogido en el RGPD respecto al consentimiento.
  • Permite la recopilación de datos personales de las opiniones políticas por parte de los partidos políticos en el marco de sus actividades electorales, amparándolo en el interés público cuando se ofrezcan garantías adecuadas. El artículo 58 bis además permitirá a los partidos políticos dirigirse a los ciudadanos, estableciendo  que “los partidos políticos, coaliciones y agrupaciones electorales podrán utilizar datos personales obtenidos en páginas web y otras fuentes de acceso público para la realización de actividades políticas durante el periodo electoral”
  • Derechos digitales. El Título X, recoge una serie de derechos que van más allá de la protección de datos personales. Por ejemplo, se regula el acceso a internet como un derecho universal. También recoge el Testamento Digital estableciendo que “Las personas vinculadas al fallecido por razones familiares o de hecho así como sus herederos podrán dirigirse al responsable o encargado del tratamiento al objeto de solicitar el acceso a los datos personales de aquella y, en su caso, su rectificación o supresión”. Se prohíbe el acceso, rectificación o supresión cuando la persona fallecida lo hubiese prohibido expresamente (es decir, como excepción).
  • Ampliación del Derecho al olvido recogido por el RGPD. La LOPDGDD especifica las obligaciones de las redes sociales y los buscadores de forma particularizada, superando de esta forma el enfoque del RGPD.
  • Derecho de rectificación. Cuando los medios de comunicación digitales reciban una solicitud de rectificación deberán publicar en sus archivos digitales un aviso aclaratorio que ponga de manifiesto que la noticia original no refleja la situación actual del individuo. Dicho aviso deberá aparecer en lugar visible junto con la información original. De esta forma la LOPDGDD amplía estos supuestos recogidos en la Ley 2/1984.

Puedes consultar el texto  aquí

Tras su aprobación en el Congreso, la LOPD & DG está en su trámite en el Senado. La Ley añade, a través del Título X, relativo a la Garantía de los Derechos Digitales, modificaciones respecto al RGPD a artículos como el derecho al olvido o la portabilidad. Está abierto el plazo para presentación de enmiendas o de veto hasta el lunes, 5 de noviembre. Puede consultarse el texto completo.

Os recordamos que el Consejo de Ministros aprobó el viernes 19 de octubre el Anteproyecto de Ley sobre el impuesto, que incluía un impuesto sobre servicios digitales. Esta Ley se aplicaría a los servicios de publicidad en línea, los de intermediación en línea y los de transmisión de datos y en concreto a aquellas empresas cuyo importe neto de ingresos supere los 750 millones de euros y cuyo importe total de ingresos derivados de prestaciones de servicios digitales sujetas al impuesto, supere los 3 millones de euros. El tipo impositivo se fija en un 3% de los servicios de publicidad y de intermediación en línea y la venta de datos generados a partir de información proporcionada por el usuario. Sin perjuicio de un análisis más detallado, IAB Spain prevé importantes consecuencias para la competitividad en España respecto al conjunto de la Unión Europea, no debiendo abordarse esta iniciativa a nivel nacional, sino internacional. La fecha límite para remitir alegaciones finaliza el 15 de noviembre. Aquí os dejamos los documentos a los que hacemos referencia:

El pasado día 26 de octubre se reunión el  WP TELE (grupo de trabajo de Telecomunicaciones del Consejo de la UE) para debatir la propuesta de la Presidencia. Los principales cambios:

  • Se añade un nuevo art. 6 (1) (c) que permite el tratamiento de datos de comunicaciones cuando sea necesario para la protección de equipos terminales.
  • Los considerandos 20, 21 y 21a se regorganizan para distinguir entre el consentimiento y otras bases legales disponibles en virtud del art. 8. Un nuevo texto en el considerando 21 aborda el las cookies en relación con los modelos de negocios basados en publicidad y establece que “la responsabilidad de obtener el consentimiento para el almacenamiento de una cookie o un identificador similar se encuentra en la entidad que hace uso de las capacidades de tratamiento y almacenamiento del terminal o recopila información, como un proveedor de servicios de la sociedad de la información o un proveedor de redes publicitarias. Dichas entidades pueden solicitar a otra parte que obtenga el consentimiento en su nombre”.

Puedes leer la información completa aquí.

El Consejo de Ministros aprobó el viernes 19 de octubre el Anteproyecto de Ley sobre el impuesto, tras el Pacto para los Presupuestos Generales del Estado, que incluía un impuesto sobre servicios digitales. Esta Ley se aplicaría a los de publicidad en línea, los de intermediación en línea y los de transmisión de datos y en concreto a aquellas empresas cuyo importe neto de ingresos supere los 750 millones de euros y cuyo importe total de ingresos derivados de prestaciones de servicios digitales sujetas al impuesto, supere los 3 millones de euros. El tipo impositivo se fija en un 3% de los servicios de publicidad y de intermediación en línea y la venta de datos generados a partir de información proporcionada por el usuario. Sin perjuicio de un análisis más detallado, IAB Spain prevé importantes consecuencias para la competitividad en España respecto al conjunto de la Unión Europea, no debiendo abordarse esta iniciativa a nivel nacional, sino internacional. La fecha límite para remitir alegaciones finaliza el 15 de noviembre.

Aquí os dejamos los documentos a los que hacemos referencia:

El texto matiza e interpreta algunos de los artículos del Reglamento General de Protección de Datos, dándole un enfoque diferente al texto europeo en ocasiones y llamativamente, a través de enmiendas, incluye un título dedicado a los derechos digitales, refiriéndose en concreto, al derecho al olvido, la portabilidad o el testamento digital entre otros. Es importante recordar que la Comunicación de la Comisión Europea estableció que “Al adaptar su legislación nacional, los Estados miembros deben tener en cuenta que cualquier medida nacional que pueda obstaculizar la aplicabilidad directa del Reglamento y poner en peligro su aplicación simultánea y uniforme en el conjunto de la UE, es contraria a los Tratados”. El texto tiene que pasar todavía por el Pleno del Congreso y por el Senado. En opinión de IAB Spain, debido a la importancia que tiene, por su contenido y alcance, una ley de derechos digitales, necesita de una consulta pública a la sociedad y a los sectores afectados.

Las reglas se aplicarán a las cadenas de televisión, y también a las plataformas de vídeo a la carta, como Netflix, y de distribución de vídeos, como YouTube y Facebook, así como a las retransmisiones en directo en estas plataformas. El texto legislativo deberá ahora ser adoptado formalmente por el Consejo de Ministros, antes de su publicación en el Diario Oficial y su entrada en vigor. Los Estados miembros tendrán 21 meses a partir de esa fecha para trasladar los cambios a la legislación nacional.  Más info aquí.

IAB Europe ha creado varios documentos interpretativos del RGPD desde la perspectiva del cumplimiento, la redefinición del concepto de dato personal y del consentimiento. A continuación se ofrece la información detallada:

  • Guía de cumplimiento. Este documento se centra en las cuestiones que las empresas deben tener en cuenta al implementar el RGPD, y puede verse como una lista de verificación para comenzar el proceso de implementación. Aunque el GDPR ya está vigente desde mayo, este documento puede ser valioso para las nuevas empresas que ingresan al mercado, o simplemente para una revisión de los esfuerzos de cumplimiento actuales de su compañía. Más info aquí .
  • Redefinición del concepto de dato personal. El RGPD ha ampliado significativamente la definición de ese término. Este documento tiene ayuda a comprender qué significan los datos personales y qué debe tener en cuenta las compañías de publicidad digital. La conclusión principal de este documento es que en la industria publicitaria digital, casi cualquier elemento puede ser considerado como  dato personal. Más info aquí.
  • Consentimiento: Este documento ofrece información sobre los aspectos legales del consentimiento y proporcionar una comprensión de lo que se requiere de las empresas al utilizar el consentimiento como base legal para el tratamiento. Más info aquí.

El Framework de Transparencia y Consentimiento de IAB Europe tiene el objetivo de ayudar a todas las partes en la cadena de publicidad digital para cumplir con el Reglamento General de Protección de Datos de la UE y la Directiva de Privacidad  al procesar datos personales o acceder y / o almacenar información de un usuario , como las cookies, identificadores publicitarios, identificadores de dispositivos y otras tecnologías de seguimiento.

IAB Europe  celebrará el próximo martes 24 de septiembre a las 15:30 hrs. un webinar que proporcionará una visión general completa sobre el estándar global de la industria para  ayudar a los editores, proveedores de tecnología, agencias y anunciantes, a cumplir con los requisitos de transparencia y elección del usuario del Reglamento General de Protección de Datos (GDPR). Desde su lanzamiento en abril de 2018, el Marco ha tenido una rápida adopción de la industria. Hasta la fecha, se han registrado más de 400 proveedores y más de 100 CMPs.

Ponentes del webinar:

  • Townsend Feehan, CEO, IAB Europe
  • Matthias Matthiesen, Director – Public Policy & Privacy, IAB Europe
  • Dennis Buchheim, SVP & GM, IAB Tech Lab
  • Jennifer Derke, Director of Product Programmatic, IAB Tech Lab
  •  Somer Simpson, Head of Product and Growth, Quantcast
  • Wilfried Schobeiri, Chief Technology Officer, MediaMath
  • Julia Shullman, VP, Chief Privacy Counsel, AppNexus
  • Pooja Kapoor, Head of GDPR & Data Trust Initiatives, Google

Registro aquí.