Listado de la etiqueta: GDPR

El Validador CMP que ha lanzado IAB Europe proporciona una garantía para los socios tecnológicos y editores de que la participación en el Transparency and Consent Framework (TCF) significa estar adherido al cumplimiento normativo y a los más altos estándares de privacidad.

De hecho, la CMP se erige como ejemplo del compromiso de IAB Europe y los IAB nacionales para ayudar a las empresas a cumplir con la legislación europea sobre protección de datos.

Las CMPs recolectan, almacenan y comparten información sobre el consentimiento otorgado por los usuarios a través de la navegación web o a través de aplicaciones, para así asegurar el cumplimiento con el GDPR en esta materia. Ya la primera versión el TCF, lanzada en abril de 2018, permitía establecer una base legal de las previstas por el GDPR para el tratamiento de datos, solicitando y registrando las opciones relativas al consentimiento y configuración elegidas por los usuarios y previamente basadas en la divulgación de información exigida por la ley, una vez los usuarios configuran sus elecciones, las mismas se transmiten a través de una señal estandarizada a los integrantes del ecosistema.

Esa divulgación de información, recopilación y registro del consentimiento del usuario se realizada utilizando una Plataforma de Gestión de Consentimiento (CMP). Así, durante los últimos cinco meses, el equipo de cumplimiento del TCF se ha ocupado de validar todas las CMPs del TCF registradas. Para ello se ha desarrollado un validador CMP como una extensión del navegador Chrome, permitiendo que la herramienta se ejecute en cualquier sitio, analice instalaciones de CMP en vivo y detecte si se adhiere o no a las especificaciones técnicas y políticas del TCF.

A día de hoy, más de 150 CMPs han pasado por el proceso de validación y 131 han pasado la prueba. Las CMPs no aprobadas y que no hubieran mostrado interés en cumplir con las políticas y especificaciones técnicas del TCF serán definitivamente desactivadas, sus subdominios’consensu.org’ serán retirados del servicio y dejarán de aparecer en la lista pública de CMPs validadas

IAB Europe en colaboración con IAB Tech Lab publica la versión actualizada del Marco de Transparencia y Consentimiento, como parte del proceso de apoyo a las transacciones programáticas que cumplen con el GDPR.

Según ha manifestado Townsend Feehan, CEO, IAB Europe “el TCF seguirá evolucionando para satisfacer las necesidades de nuestra dinámica industria. Mientras tanto, confío en que esta actualización aborde todos los comentarios que hemos recibido de muchas DPAs de toda Europa, así como las necesidades de cada parte de la cadena de valor de la publicidad digital”.

Existen 28 mercados dentro de la Unión Europea, cada uno de los cuales posee una DPA que interpreta las normas relativas al cumplimiento de los GDPR de diferentes maneras. Del mismo modo, los requisitos comerciales de cada parte de la cadena de valor, desde el editor hasta el anunciante, son diferentes y pueden tener objetivos contradictorios. Por ello es importante que el TCF sea flexible en su enfoque, de manera que pueda acomodarse a las diferentes necesidades comerciales e interpretaciones regionales de las regulaciones de GDPR y de privacidad.

Puedes leer la nota de prensa sobre la actualización del TCF aquí

La autoridad francesa de protección de datos (CNIL), ha adoptado una decisión declarando que Vectaury, una start up francesa, no cumple con las condiciones para un consentimiento válido conforme al RGPD y ordena a la empresa que deje de tratar datos de geolocalización con fines publicitarios sin una base legal adecuada, instándole a  cambiar sus prácticas en RGPD en el plazo de 3 meses. Además, la CNIL le ordena eliminar todos los datos obtenidos sobre la base de este consentimiento inválido. Se resume a continuación los principales puntos:

  • Vectaury machea los datos de geolocalización recopilados a través de aplicaciones móviles con otros datos personales contenidos en solicitudes de RTB para perfilar a los usuarios, segmentar anuncios y medir el rendimiento de la campaña.
  • La decisión de la CNIL está centrada en la recogida y el tratamiento de datos de geolocalización obtenidos a través del SDK de Vectaury integrado en 20 aplicaciones móviles, y el tratamiento de datos personales a través de RTB de esas aplicaciones.
  • En su resolución, la CNIL encuentra que, en dos escenarios, Vectaury no tenía una base legal para el tratamiento de datos personales en virtud del RGPD. Primero, por la recopilación y tratamiento de datos geolocalización de usuarios de aplicaciones móviles a través de su SDK, y segundo en la recogida y tratamiento de datos personales a través de RTB para los inventarios en las aplicaciones móviles.
  • La base legal que esgrimía Vectaury era el consentimiento de los usuarios. Sin embargo la CNIL declara que en ambos escenarios, tanto Vectaury como sus socios no cumplieron con las condiciones para un consentimiento válido, y como resultado no pudo servir como base legal. Establece que Vectaury no informa conforme al RGPD y que las finalidades del tratamiento de datos son difíciles de entender, lo que no permite tomar una decisión informada y por tanto no hay base legal para el tratamiento.
  • Vectaury creó en mitad del procedimiento una plataforma de gestión de consentimiento (CMP) basada en el TCF pero no se adhirió a las Políticas del TCF (es decir, se adhirió de manera incompleta) y eso lleva a que  la CNIL considere como no compatible con el RGPD. Además, se instalaban por defecto las cookies, lo que es contrario al RGPD, que exige  una acción afirmativa.
  • Al respecto CNIL opina que, si bien el CMP de Vectaury mejoraría la transparencia para los usuarios, todavía no cumplía con el estándar de la norma para un consentimiento válido, porque (a) no se aseguraba que los usuarios estuvieran adecuadamente informados de las identidades de las empresas que iban a tratar sus datos, y (b) no se aseguró que el consentimiento se expresara mediante una acción clara y afirmativa. En ambos casos, el CMP de Vectaury no cumplía con sus obligaciones bajo las políticas del TCF.
  • La CNIL por tanto dictamina que, aunque Vectaury había intentado cumplir con la ley al proporcionar a sus desarrolladores de aplicaciones asociados un CMP, era incapaz de verificar de forma independiente que el consentimiento del usuario había sido obtenido cumpliendo con el RGPD.
  • Como aprendizaje, desde la industria se tiene que poner foco en una mejor descripción de los las finalidades, que estas sean específicas y fáciles de entender para que los usuarios puedan tomar una decisión libre.
  • El Grupo de Trabajo del  TCF actualmente está redefiniendo las finalidades para que sean más sencillas y reflejen todos los posibles escenarios del tratamiento de los datos.
  • La decisión de la CNIL y el hecho de que recomiende cómo mejorar el TCF, es un reconocimiento a este Marco como herramienta de cumplimiento para todo el sector.
  • Para más información puedes visitar la web http://advertisingconsent.eu o escribir a [email protected]

Esta mañana en IAB Spain se ha celebrado el Desayuno Temático: “Dudas con la aplicación del Reglamento de Protección de Datos” en la que Francisco Javier Cayo (abogado de Deloyers) y Jaime Perea Amor ( Abogado -Dtor. Dpto. Legal Grupo Adaptalia) han ayudado a los asistentes a resolver las dudas al respecto del nuevo Reglamento de Protección de Datos que justo entra hoy en vigor.

En el mismo se ha hablado de la necesidad de renovación del consentimiento y de cómo hacerlo, las bases legales para el tratamiento de datos con fines publicitarios, la elaboración de políticas de privacidad, la relación de contratos y de la interrelación del RGPD con la LSSI.

Si quieres saber más sobre el RGPD, te invitamos a los siguientes Desayunos que se celebrarán en junio:

  • 1 de junio Debate entre los diferentes actores del ecosistema de publicidad digital, sobre el impacto y los principales aspectos que les preocupan.
  • 8 de junio Aspectos técnicos del Marco de Transparencia y consentimiento de IAB Europe.
  • 15 de junio Informe de la  AEPD sobre RGPD y publicidad.

 

Estos desayunos son exclusivos para asociados de IAB Spain y sus clientes.