Coincidiendo con el 30 Aniversario de la Convención de los Derechos del Niños que se conmemora este mes, IAB Spain ha firmado la ‘Carta de los Derechos Digitales de los niños, niñas y adolescentes’, un proyecto impulsado por la Fundación ANAR y la Agencia de Protección de Datos y en el que también han participado , DigitalES y Adigital.
La `Carta de Derechos Digitales de los niños, niñas y adolescentes’ es un catálogo de Principios y Derechos en el que se recoge las garantías que deben amparar a los menores de edad en su relación con las tecnologías, abordando temáticas relacionadas con la privacidad, la seguridad o el derecho a ser escuchados.

El objetivo es promover un compromiso conjunto de instituciones, empresas y Tercer Sector hacia los Derechos de la Infancia en el ámbito Digital, teniendo en cuenta el impacto transversal de la tecnología en los problemas de los niños, niñas y adolescentes, según viene detectándose en el Teléfono ANAR.

Como ha manifestado el Presidente de IAB Spain, Ángel Fernández Nebot, “valoramos muy positivamente la redacción de esta carta y estamos convencidos de la necesidad de apoyarla. Con esta adhesión IAB Spain muestra su compromiso y responsabilidad en nombre de todos sus asociados con la protección de la infancia en el entorno de la publicidad digital”. Además, Ángel ha insistido en la necesidad de que “entre todos protejamos a los menores y los dotemos de derechos, herramientas y habilidades que les permita desenvolverse en el mundo digital con libertad y seguridad”. Por último, el Presidente se ha comprometido a que desde IAB Spain se va a trasladar “el contenido y compromiso adquirido a nuestros asociados para darle la capilaridad necesaria que asegure la involucración de un sector tan fundamental para la aplicación de esta iniciativa como es el mundo de la publicidad, el marketing y la comunicación digital”.

El Validador CMP que ha lanzado IAB Europe proporciona una garantía para los socios tecnológicos y editores de que la participación en el Transparency and Consent Framework (TCF) significa estar adherido al cumplimiento normativo y a los más altos estándares de privacidad.

De hecho, la CMP se erige como ejemplo del compromiso de IAB Europe y los IAB nacionales para ayudar a las empresas a cumplir con la legislación europea sobre protección de datos.

Las CMPs recolectan, almacenan y comparten información sobre el consentimiento otorgado por los usuarios a través de la navegación web o a través de aplicaciones, para así asegurar el cumplimiento con el GDPR en esta materia. Ya la primera versión el TCF, lanzada en abril de 2018, permitía establecer una base legal de las previstas por el GDPR para el tratamiento de datos, solicitando y registrando las opciones relativas al consentimiento y configuración elegidas por los usuarios y previamente basadas en la divulgación de información exigida por la ley, una vez los usuarios configuran sus elecciones, las mismas se transmiten a través de una señal estandarizada a los integrantes del ecosistema.

Esa divulgación de información, recopilación y registro del consentimiento del usuario se realizada utilizando una Plataforma de Gestión de Consentimiento (CMP). Así, durante los últimos cinco meses, el equipo de cumplimiento del TCF se ha ocupado de validar todas las CMPs del TCF registradas. Para ello se ha desarrollado un validador CMP como una extensión del navegador Chrome, permitiendo que la herramienta se ejecute en cualquier sitio, analice instalaciones de CMP en vivo y detecte si se adhiere o no a las especificaciones técnicas y políticas del TCF.

A día de hoy, más de 150 CMPs han pasado por el proceso de validación y 131 han pasado la prueba. Las CMPs no aprobadas y que no hubieran mostrado interés en cumplir con las políticas y especificaciones técnicas del TCF serán definitivamente desactivadas, sus subdominios’consensu.org’ serán retirados del servicio y dejarán de aparecer en la lista pública de CMPs validadas

IAB Spain junto con la Agencia Española de Protección de Datos (AEPD) y las asociaciones Autocontrol, aea y adigital han presentado la Guía sobre el uso de las cookies, actualización a la nueva normativa de la primera guía en Europa sobre esta materia elaborada conjuntamente por la autoridad de protección de datos y los representantes de la industria.

La Guía, cuya versión anterior acumula más de dos millones de descargas, recoge las orientaciones, garantías y obligaciones que la industria debe aplicar para utilizar tanto cookies como tecnologías similares (fingerprinting y otras) cumpliendo la legislación vigente. El papel esencial que juegan las cookies para la prestación de numerosos servicios en Internet y, a la vez, las implicaciones que tienen en la privacidad de los usuarios ha determinado la necesidad de implantar un sistema en el que el usuario sea consciente de quién, cómo y para qué se están utilizando sus datos personales.

Durante la presentación de la Guía, la Directora General de IAB Spain, Reyes Justribo, ha puesto de relieve que esta actualización marcará un hito “puesto que sitúa al consumir en el centro, promueve que la industria digital tenga una herramienta útil para aplicar lo dicta la ley y consigue que el negocio siga evolucionando”.

El documento analiza la necesidad de obtener el consentimiento informado de usuario antes de instalar las cookies, recogiendo tanto la obligación de transparencia en la información como el consentimiento en sí mismo, teniendo en cuenta que la nueva normativa de protección de datos establece unos requisitos más estrictos. Además, la Guía se complementa con ejemplos prácticos de fórmulas válidas para recabar el consentimiento de los usuarios.

En cuanto a la transparencia a la hora de ofrecer información, la Guía determina que la información debe ser concisa, transparente e inteligible, utilizando un lenguaje claro y sencillo. Por tanto, debe evitarse el uso de frases confusas como “usamos cookies para personalizar su contenido y crear una mejor experiencia para usted” o “para mejorar su navegación”, o frases como “podemos utilizar sus datos personales para ofrecer servicios personalizados” para referirse a cookies publicitarias que almacenan información sobre el comportamiento de los usuarios mediante el análisis de los hábitos de navegación.

En el caso de que un usuario preste su consentimiento para el uso de cookies, la información debe seguir siendo fácilmente accesible, promoviendo la información por capas. La Guía clarifica también que esta información se debe facilitar antes del uso o instalación de las cookies mediante un formato visible, y que deberá mantenerse hasta que el usuario realice la acción requerida para otorgar el consentimiento o rechazar la instalación.

Modalidades de consentimiento

Como ejemplo de modalidad válida para recabar el consentimiento, la Guía incluye las opciones de aceptar, rechazar o configurar las cookies. Se admite la opción de “seguir navegando” como fórmula válida para obtener el consentimiento tras haber informado de ello, reforzando las garantías para que pueda ser considerada como una clara acción afirmativa e incorporando procedimientos para que denegar el consentimiento pueda ser tan sencillo como prestarlo.

En este sentido, la Guía indica que será necesario que el usuario realice una acción que pueda calificarse como una clara acción afirmativa. A modo de ejemplo, podrá considerarse así navegar a una sección distinta del sitio web (que no sea la segunda capa informativa sobre cookies ni la política de privacidad), deslizar la barra de desplazamiento, cerrar el aviso de la primera capa o pulsar sobre algún contenido del servicio, sin que pueda considerarse una aceptación el hecho de permanecer visualizando la pantalla, mover el ratón o pulsar una tecla del teclado.

El enlace o botón para administrar las preferencias debe llevar al usuario directamente al panel de configuración y podrá integrarse en la segunda capa informativa. La Guía recoge que en el panel podrán implementarse dos botones: uno para aceptar todas las cookies y otro para rechazarlas todas. Estas posibilidades se admiten con el fin de facilitar la navegación del usuario evitando que tenga que ir marcando una por una las cookies que acepta o rechaza, partiendo de la premisa de que se le ha ofrecido una información granular que le permita tomar decisiones de forma selectiva.

En la segunda capa, se añade la obligación de facilitar información sobre las transferencias de datos a terceros países realizadas por el editor; sobre la elaboración de perfiles, cuando implique la toma de decisiones automatizadas con efectos jurídicos para el usuario o que le afecten significativamente; y sobre el periodo de conservación de los datos, para que de este modo la información que se suministra contenga los extremos del artículo 13 del Reglamento General de Protección de Datos.

Por otro lado, la Guía también incluye un apartado sobre “actualización del consentimiento” en el que se destaca como buena práctica que la validez del mismo para el uso de una determinada cookie no tenga una duración superior a 24 meses y, que durante este tiempo, se conserve la selección realizada por el usuario sobre sus preferencias, sin que se le solicite un nuevo consentimiento cada vez que visite la página en cuestión.

Normativa aplicable

Las soluciones propuestas en la presente guía pretenden ofrecer orientaciones sobre cómo cumplir las obligaciones previstas en el apartado segundo del artículo 22 de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (LSSI), en relación con el Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica 3/2018 de Protección de Datos y garantía de los derechos digitales (LOPDGDD).

Dadas las múltiples complejidades que plantea el uso de las cookies, estas orientaciones no pretenden ofrecer una solución general y uniforme para el cumplimiento de la ley, sino que deben servir de guía para que las entidades adopten decisiones sobre la solución más adecuada a sus intereses y modelo de negocio.

Por último, hay que recordar que existen una serie de cookies exentas (cookies técnicas), que quedan excluidas del ámbito de aplicación del artículo 22.2 de la LSSI y sobre las que, por lo tanto, no es necesario informar ni obtener el consentimiento sobre su uso. No obstante, por razones de transparencia la Agencia recomienda informar de su utilización y recoge el siguiente ejemplo de cláusula informativa: “Este sitio web utiliza cookies que permiten el funcionamiento y la prestación de los servicios ofrecidos en el mismo”.

En la imagen, de izquierda a derecha: la Directora General de IAB Spain, Reyes Justribo; el Presidente de IAB Spain, Ángel Fernández Nebot; el Vocal Coordinador de la UA y Relaciones Institucionales AEPD, Jesús Rubí;  la Directora Jurídica de IAB Spain, Paula Ortiz y el Vicepresidente de IAB Spain, Tacho Orero.

Puedes descargarte la Guía aquí 

IAB Europe en colaboración con IAB Tech Lab publica la versión actualizada del Marco de Transparencia y Consentimiento, como parte del proceso de apoyo a las transacciones programáticas que cumplen con el GDPR.

Según ha manifestado Townsend Feehan, CEO, IAB Europe “el TCF seguirá evolucionando para satisfacer las necesidades de nuestra dinámica industria. Mientras tanto, confío en que esta actualización aborde todos los comentarios que hemos recibido de muchas DPAs de toda Europa, así como las necesidades de cada parte de la cadena de valor de la publicidad digital”.

Existen 28 mercados dentro de la Unión Europea, cada uno de los cuales posee una DPA que interpreta las normas relativas al cumplimiento de los GDPR de diferentes maneras. Del mismo modo, los requisitos comerciales de cada parte de la cadena de valor, desde el editor hasta el anunciante, son diferentes y pueden tener objetivos contradictorios. Por ello es importante que el TCF sea flexible en su enfoque, de manera que pueda acomodarse a las diferentes necesidades comerciales e interpretaciones regionales de las regulaciones de GDPR y de privacidad.

Puedes leer la nota de prensa sobre la actualización del TCF aquí

Esta semana se han recibido reclamaciones presentadas ante cuatro Autoridades Europeas de Protección de Datos, entre ellas España, además de Bélgica, Luxemburgo, y Países Bajos por parte de varios activistas de la privacidad. Esto sigue a otras reclamaciones como parte de un enfoque coordinado para generar una “cascada de reclamaciones” a un amplio abanico de autoridades de protección de datos.

Como la naturaleza de las reclamaciones es muy similar, esto sugiere que todavía existe cierta confusión con respecto al funcionamiento de la industria publicitaria digital, el papel que juega una asociación comercial sin ánimo de lucro como IAB y la finalidad del marco Transparency & Consent Framework (TCF) de IAB Europe.

Si bien este no es el foro para entrar en detalles sobre la naturaleza del Real Time Biding (RTB), se aporta a continuación información sobre el Marco de Transparencia y Consentimiento de IAB Europa (TCF).

El TCF se desarrolló con la única finalidad de garantizar que los datos personales que se tratan con fines de publicidad digital se traten con una base legal apropiada, cumpliendo los requisitos del RGPD para esa base legal.

La versión actual de TCF permite a los editores de sitios web obtener el consentimiento de un usuario para el tratamiento de datos personales en relación con la personalización de contenido y publicidad, y almacenar o acceder a información relacionada con el tratamiento de datos para cada una de esas finalidades. Durante este proceso, las empresas de tecnología de publicidad (B2B) con las que trabaja el editor para generar ingresos publicitarios para su sitio también se muestran al usuario.

El TCF utiliza un protocolo estandarizado (una serie de reglas, directrices e idioma) para capturar y comunicar de manera coherente las elecciones realizadas por el usuario del sitio web. El protocolo deja claro a todas las partes que operan dentro de una cadena de valor de publicidad digital qué proveedores han recibido el consentimiento del usuario para el tratamiento de datos y para qué fines. Si algún proveedor o Consent Management Platform (CMP) que implementa el TCF comparte los datos personales de un usuario con otro proveedor que no tiene una base legal conforme al RGPD, ese proveedor o CMP está infringiendo las Políticas y los Términos y Condiciones del TCF y será suspendido del Marco.

El TCF se lanzó en abril de 2018 y recientemente se ha publicado una actualización, la versión 2.0, sometida a consulta pública. Una vez implementado, la Versión 2.0 integrará además, la funcionalidad de “derecho de oposición” de los usuarios directamente en la cadena. Esto aumentará la visibilidad y el control para los usuarios y editores y reforzará la confianza a los usuarios de que sus datos no se pueden usar para anuncios personalizados cuando así lo hayan decidido.

Durante el año pasado, la versión 1 del TCF se presentó a un alto número Autoridades de Protección de Datos. De hecho, algunos de los cambios de la Versión 2 reflejan nuestros intentos de tener en cuenta la respuesta de las autoridades para la versión 1. A medida que se implanta la versión 2.0 y los importantes cambios que conlleva (puedes informarte aquí), continuaremos trabajando con las autoridades y buscando su orientación sobre cómo el Marco puede promover el cumplimiento tanto con el RGPD como con el Reglamento de e-Privacidad. En IAB Spain estamos siguiendo el tema de cerca y os iremos informando de todas las novedades.

Para más información puedes contactar con paula@iabspain.es

También puedes leer aquí un artículo escrito por el editor de Exchangewire sobre el valor que aporta el Transparency & Consent Framework (TFC) a la industria.


Es posible que hayas visto en los últimos días que un grupo de activistas de la privacidad ha presentado reclamaciones ante las Autoridades de protección de datos en el Reino Unido, Irlanda y Polonia, que hacen referencia específica al Protocolo IAB OpenRTB y al Marco de transparencia y consentimiento IAB Europa (TCF).

Las reclamaciones alegan que la publicidad programática que utiliza subastas en tiempo real (RTB) es inherentemente incompatible con el RGPD. La premisa se basa en comunicaciones entre IAB Europe y la Comisión Europea, de abril de 2017. Las conversaciones a  las que hacen referencia formaban parte de un diálogo en las que IAB Europe destacaba los desafíos que suponía para la industria de los medios digitales y la publicidad operar con la combinación de normas RGPD- Reglamento de e-Privacy. Se le pedía a IAB Europe que proporcionara detalles de los desafíos potenciales a los que se enfrentarían dentro del ecosistema de publicidad digital, para garantizar que la regulaciones que se desarrollaran fueran apropiadas para su uso y que pudieran implementarse sin limitación en toda la cadena de valor.

En esas comunicaciones, IAB Europe comentaba que era “técnicamente imposible para el usuario tener información previa sobre cada responsable  del tratamiento involucrado en un escenario de oferta en tiempo real (RTB)”, una circunstancia que era cierta en ese momento, pero que ha cambiado. Desde entonces, estas limitaciones se han abordado con el desarrollo del Marco de Transparencia y Consentimiento y la Plataforma de Administración de Consentimiento (CMP) de IAB Europa.

Para obtener más detalles y leer la declaración completa de IAB Europe en respuesta a la acusación, puedes visitar su web.

 

Madrid, enero 2019. IAB Spain, la asociación de la publicidad, el marketing y la comunicación digital en España, siempre ha mostrado su disposición a adecuar el marco tributario actual a las particularidades de Internet. Sin embargo, una tecnología global y ubicua precisa de soluciones acordadas a nivel internacional, que se apliquen de un modo uniforme a los operadores de los diferentes países y que no introduzcan desequilibrios entre las empresas de unos u otros mercados.

 

Para IAB Spain, la adopción de estas medidas, pueden comprometer la competitividad de los operadores nacionales en un mercado global, ignorando los esfuerzos por alcanzar un consenso internacional en la materia.

 

La norma, además, impone una serie de cargas tecnológicas y administrativas para las empresas que requerirán, sin duda, de importantes inversiones, que habrán de ser abordadas en un contexto de clara inseguridad jurídica, sometido a próximos cambios por el legislador europeo.

Además, la naturaleza indirecta del impuesto, gravaría los ingresos, y no los beneficios de sus sujetos pasivos. Esto impactará esencialmente sobre las empresas españolas, que dirigen mayoritariamente sus servicios al territorio nacional, redundando en una menor competitividad para nuestra industria digital. Cabe destacar que el propio Consejo de la UE emitió recientemente un informe jurídico cuestionando que verdaderamente encaje en el concepto de un impuesto de naturaleza indirecta.

 

IAB Spain, que ya remitió sus aportaciones al trámite de consulta pública, manifiesta su completa disconformidad con el anteproyecto planteado, y reitera su voluntad de trabajar proactivamente con el regulador en esta y otras cuestiones que afectan a la industria digital.

El Abogado General considera que el administrador de una página web que ha insertado el plug-in de un tercero, como el botón «Me gusta» de Facebook, que genera la recogida y transmisión de  datos personales de los usuarios, es corresponsable de esa fase del tratamiento de datos. No obstante, esa responsabilidad conjunta debe limitarse a aquellas operaciones respecto de las cuales decide de manera conjunta. En cambio, no puede ser considerada responsable de las fases anteriores o posteriores de la cadena de tratamiento de datos sobre las cuales no está en condiciones de decidir.

En cuanto a la legitimidad para el tratamiento de datos, el Abogado General recuerda que dicho tratamiento puede ser lícito cuando haya un interés legítimo y no prevalezcan los derechos y libertades fundamentales del interesado. A este respecto, el Abogado General propone al Tribunal de Justicia que declare que el interés legítimo de ambos corresponsables ha de tenerse en cuenta y ponderarse con los derechos de los usuarios de la página web.

Más información

Tras el polémico artículo de la nueva LOPDGDD que establecía la posibilidad de los partidos políticos de tratar datos, basándose en un interés público, para enviarles propaganda electoral, la AEPD ha emitido un informe en el que prohíbe tal actividad. La AEPD establece la modificación del artículo 58 bis de la LOREG no se incluía en el proyecto de Ley remitido por el Gobierno, por lo que no fue objeto del informe por su parte. La AEPD sostiene que los partidos políticos sólo podrán tratar opiniones políticas cuando estas hayan sido libremente expresadas por las personas en el ejercicio de su derecho a la libertad de expresión y a su libertad ideológica. Pero este precepto no ampara aplicar tecnologías de big data o inteligencia artificial para inferir la ideología política de una persona”, ya que esto supondría una vulneración de su derecho fundamental a no declarar su ideología (consagrado en el artículo 16.2 de la Constitución). La AEPD aclara además algunos aspectos de la redacción del nuevo artículo 58 bis de la LOREG.

Mas información

El Gobierno ha abierto un plazo de consulta pública para la Ley de fomento del ecosistema de Startups hasta el 25 de enero. Puede consultarse aquí

#IABLegal