Entradas

Esta semana se han recibido reclamaciones presentadas ante cuatro Autoridades Europeas de Protección de Datos, entre ellas España, además de Bélgica, Luxemburgo, y Países Bajos por parte de varios activistas de la privacidad. Esto sigue a otras reclamaciones como parte de un enfoque coordinado para generar una “cascada de reclamaciones” a un amplio abanico de autoridades de protección de datos.

Como la naturaleza de las reclamaciones es muy similar, esto sugiere que todavía existe cierta confusión con respecto al funcionamiento de la industria publicitaria digital, el papel que juega una asociación comercial sin ánimo de lucro como IAB y la finalidad del marco Transparency & Consent Framework (TCF) de IAB Europe.

Si bien este no es el foro para entrar en detalles sobre la naturaleza del Real Time Biding (RTB), se aporta a continuación información sobre el Marco de Transparencia y Consentimiento de IAB Europa (TCF).

El TCF se desarrolló con la única finalidad de garantizar que los datos personales que se tratan con fines de publicidad digital se traten con una base legal apropiada, cumpliendo los requisitos del RGPD para esa base legal.

La versión actual de TCF permite a los editores de sitios web obtener el consentimiento de un usuario para el tratamiento de datos personales en relación con la personalización de contenido y publicidad, y almacenar o acceder a información relacionada con el tratamiento de datos para cada una de esas finalidades. Durante este proceso, las empresas de tecnología de publicidad (B2B) con las que trabaja el editor para generar ingresos publicitarios para su sitio también se muestran al usuario.

El TCF utiliza un protocolo estandarizado (una serie de reglas, directrices e idioma) para capturar y comunicar de manera coherente las elecciones realizadas por el usuario del sitio web. El protocolo deja claro a todas las partes que operan dentro de una cadena de valor de publicidad digital qué proveedores han recibido el consentimiento del usuario para el tratamiento de datos y para qué fines. Si algún proveedor o Consent Management Platform (CMP) que implementa el TCF comparte los datos personales de un usuario con otro proveedor que no tiene una base legal conforme al RGPD, ese proveedor o CMP está infringiendo las Políticas y los Términos y Condiciones del TCF y será suspendido del Marco.

El TCF se lanzó en abril de 2018 y recientemente se ha publicado una actualización, la versión 2.0, sometida a consulta pública. Una vez implementado, la Versión 2.0 integrará además, la funcionalidad de “derecho de oposición” de los usuarios directamente en la cadena. Esto aumentará la visibilidad y el control para los usuarios y editores y reforzará la confianza a los usuarios de que sus datos no se pueden usar para anuncios personalizados cuando así lo hayan decidido.

Durante el año pasado, la versión 1 del TCF se presentó a un alto número Autoridades de Protección de Datos. De hecho, algunos de los cambios de la Versión 2 reflejan nuestros intentos de tener en cuenta la respuesta de las autoridades para la versión 1. A medida que se implanta la versión 2.0 y los importantes cambios que conlleva (puedes informarte aquí), continuaremos trabajando con las autoridades y buscando su orientación sobre cómo el Marco puede promover el cumplimiento tanto con el RGPD como con el Reglamento de e-Privacidad. En IAB Spain estamos siguiendo el tema de cerca y os iremos informando de todas las novedades.

Para más información puedes contactar con paula@iabspain.es

También puedes leer aquí un artículo escrito por el editor de Exchangewire sobre el valor que aporta el Transparency & Consent Framework (TFC) a la industria.


Con la plena aplicación del Reglamento General de Protección de Datos que tuvo lugar el pasado 25 de mayo, el siguiente paso de la Comisión Europea ha sido elaborar un Reglamento sobre privacidad y comunicaciones electrónicas que reforma la Directiva 2002/58/CE y que sustituirá nuestra actual Ley de Servicios de la Sociedad de la Información.

El objetivo es garantizar un grado más elevado en la protección de la intimidad de los usuarios, así como implementar unas condiciones de competencia equitativas y con coherencia para todos los agentes de mercado.

La interconexión entre ambos textos busca ofrecer el mayor grado de seguridad jurídica a los usuarios y empresas evitando interpretaciones divergentes en los Estados Miembros garantizando un nivel uniforme de protección de los usuarios en toda la Unión y abaratar los costes de conformidad de las empresas que desarrollan actividades transfronterizas.

El texto constituye una lex specialis -ley especial- en relación con el RPGD, precisándolo y completándolo en lo que respecta a los datos de comunicaciones electrónicas que se consideran datos personales. Todo lo que no se contemple en e-Privacy quedarán amparadas por el RGPD.

En su forma actual, el nuevo Reglamento -aunque de menor extensión, pero con duras implicaciones legales- amenaza con desbaratar los medios digitales europeos al minar significativamente su capacidad de generar suficientes ingresos para crear y proporcionar contenido y servicios gratuitos en línea, el modelo preferido por los ciudadanos europeos.

Esto repercutirá también en la navegación de los usuarios ya que pueden verse obligados a pagar por contenido que hasta ahora es gratuito. GFK publicó varios estudios sobre el valor del dato en el que reflejaban que, el 68% de los usuarios europeos de Internet nunca pagaría por contenido de noticias en línea. De hecho, el 92% afirmó que reduciría significativamente su uso de Internet si tuviese que pagar.

Los principales desafíos que introduce el Reglamento, en lo que a nuestra industria interesa, se configuran en los artículos 8 y 10. Son los siguientes;

  • Artículo 8: e-Privacy prevé que solo se puedan tratar los datos en base al consentimiento inequívoco otorgado por el interesado, eliminando de esta forma la posibilidad del interés legítimo previsto en el RGPD (lo que implica una clara discordancia entre ambos textos).

Se establece también, en los considerandos del Reglamento, que se deben evitar el uso de denominadas “paredes de cookies” lo que supone para las empresas que no tengan ningún margen para decidir su propio modelo de negocio.

IAB Spain junto con IAB Europe sigue trabajando para que se contemple el interés legítimo como base legal del tratamiento de datos cuando se cumplan las salvaguardas adicionales que corresponden a los usuarios.

  • Articulo 10: Hasta la última versión del texto, se pretende que la configuración de la privacidad se haga desde el software que, además, debería estar desactivado por defecto.

Esto significa que las cookies deberían prevenirse por defecto excepto cuando se traten de las estrictamente necesarias desde el punto de vista técnico.

Sobre esta base, el último debate celebrado en Europa y a la vista de las preocupaciones trasladadas por algunos países, la Presidencia austriaca ha propuesto suprimir este artículo 10 por motivos de competencia e impacto en los usuarios finales (no fatigar al usuario con repetidas solicitudes de consentimiento).

En la práctica, estas propuestas implican una clara desventaja entre agentes del mercado y privaran la capacidad de muchas empresas de interactuar con el usuario y poder mostrarle publicidad y/o intereses acordes con sus preferencias, así como la posibilidad de ejercitar sus derechos frente a ellos.

Sobre este extremo recordar que ya alertaron los medios de IAB Spain en la Carta Abierta que se envió al Ministro de Agenda Digital así como en las diversas reuniones mantenidas.

Mencionar en este punto que el framework de IAB Europe – en la actualidad cuenta con más de 300 agentes de la industria publicitaria- ya prevé la recogida del consentimiento bajo las directrices de e-Privacy.

Lo más importante para la industria de los medios digitales y la publicidad es salvaguardar el derecho del servicio de medios digitales a elegir su propio modelo de negocios y para decidir los términos bajo los cuáles se pone a disposición de los consumidores, incluso en el caso de tratamiento de datos para publicidad cuándo el servicio sea gratuito.

Las próximas reuniones se prevén para la vuelta de vacaciones con la ambición de la presidencia austriaca de aprobar el texto definitivo antes de cumplir con su mandato legislativo que será el 31 de diciembre de 2018.

#IABLegal

La Presidencia búlgara publicó el 4 de mayo un nuevo texto de reglamento de e-Privacy y  Político ha filtrado un informe de progreso el 28 de mayo.

El documento, preparatorio de la reunión WP TEL, no hacía ningún cambio importante en el documento fechado el 13 de abril de 2018. En resumen, las aclaraciones y enmiendas menores incluyen:

  • El texto del Consejo también modifica el considerando 22 bis declarando que el «proveedor de servicios de la sociedad de la información» es responsable de obtener el consentimiento, así como de las sanciones por no haberlo obtenido;
  • El considerando 23, sobre la configuración de privacidad del software, aclara que las configuración generales de privacidad que no son suficientemente granulares, no puede significar el consentimiento del usuario final
  • El considerando 24 también se modificó para explicar que los proveedores de sitios web pueden obtener el consentimiento independientemente de la configuración de privacidad del software, es decir, anulando cualquier configuración de privacidad de software con consentimientos más específicos.

El 28 de mayo, POLITICO publicó un informe de situación parcial emitido por la Presidencia búlgara sobre el Reglamento sobre privacidad, con fecha 18 de mayo. El documento no incluye los recitales y artículos reales en su versión modificada, pero proporciona información interesante de todos modos. La Presidencia está pidiendo orientación a los ministros, preguntando específicamente: “¿Considera que el enfoque relativo a la protección de los equipos terminales y la configuración de privacidad (artículos 8 y 10) es una base aceptable para avanzar?”

Cabe destacar que el informe de progreso también establece que la Presidencia ha introducido una nueva exención en virtud del Artículo 8 que permitiría almacenar y / o recopilar información de un dispositivo terminal del usuario “con el fin de mantener o restablecer la seguridad de los servicios de la sociedad de la información, evitando fraude o detección de fallas técnicas “que representa un desarrollo positivo para la industria.

Los cambios adicionales al texto de los considerandos también aclaran cuándo el consentimiento no es necesario, abordando además la cuestión de condicionar el acceso a un sitio web al consentimiento. Respecto del artículo 10, el informe señala que las delegaciones de los Estados miembros acogieron con satisfacción los cambios significativos realizados por la Presidencia para garantizar que exista un simple deber de información sobre la configuración de la privacidad, afirmando que hay delegaciones que aún albergan dudas sobre el valor añadido de la disposición.

En términos de un calendario prospectivo, no se espera que la Presidencia búlgara pueda lograr un enfoque general, retrasando aún más los diálogos tripartitos y la adopción final del Reglamento de e-Privacy. Algunas partes sugieren que tendría sentido ver los efectos del GDPR y partir desde esa base, y las dudas de los Estados Miembros para anunciar el  posicionamiento oficial también están ralentizado el desarrollo del archivo.

El próximo 25 de mayo se aprobará el nuevo Reglamento General de Protección de Datos, más conocido como RGPD  y por eso, además de toda la información que hemos ido compartiendo con nuestros asociados, hemos querido hacer un Desayuno Temático de la mano de Jesús Rubí, Adjunto a la Dirección de la Agencia Española de Protección de Datos.

En este Desayuno, exclusivo para asociados, se han desgranado todas las claves sobre el RGP en cuanto a:

  • El estado de situación del Proyecto de Ley de LOPD.
  • Implicaciones del RGPD y del Proyecto de Reglamento de e-Privacy.
  • Consentimiento a partir del 25 de mayo.
  • Estándar de Transparencia y Consentimiento de la industria publicitaria digital.
  • ¿Qué es un delegado de protección de datos y por qué lo necesito?

En palabras de Jesús Rubí,”La Agencia Española de Protección de Datos ha elaborado una herramienta, FACILITA_RGPD que servirá como hoja de ruta sobre cómo adaptarse al RGPD para empresas y organizaciones de bajo riesgo”.

 

Si eres asociado a IAB Spain y tienes más dudas al respecto, no dudes en ponerte en contacto con nosotros iablegal@iabspain.es

Puedes estar al día de toda la información legal en Actualidad Legal y en nuestras Guías Legales.

#IABDesayuno #IABLegal