Listado de la etiqueta: IAB Legal

La autoridad francesa de protección de datos (CNIL), ha adoptado una decisión declarando que Vectaury, una start up francesa, no cumple con las condiciones para un consentimiento válido conforme al RGPD y ordena a la empresa que deje de tratar datos de geolocalización con fines publicitarios sin una base legal adecuada, instándole a  cambiar sus prácticas en RGPD en el plazo de 3 meses. Además, la CNIL le ordena eliminar todos los datos obtenidos sobre la base de este consentimiento inválido. Se resume a continuación los principales puntos:

  • Vectaury machea los datos de geolocalización recopilados a través de aplicaciones móviles con otros datos personales contenidos en solicitudes de RTB para perfilar a los usuarios, segmentar anuncios y medir el rendimiento de la campaña.
  • La decisión de la CNIL está centrada en la recogida y el tratamiento de datos de geolocalización obtenidos a través del SDK de Vectaury integrado en 20 aplicaciones móviles, y el tratamiento de datos personales a través de RTB de esas aplicaciones.
  • En su resolución, la CNIL encuentra que, en dos escenarios, Vectaury no tenía una base legal para el tratamiento de datos personales en virtud del RGPD. Primero, por la recopilación y tratamiento de datos geolocalización de usuarios de aplicaciones móviles a través de su SDK, y segundo en la recogida y tratamiento de datos personales a través de RTB para los inventarios en las aplicaciones móviles.
  • La base legal que esgrimía Vectaury era el consentimiento de los usuarios. Sin embargo la CNIL declara que en ambos escenarios, tanto Vectaury como sus socios no cumplieron con las condiciones para un consentimiento válido, y como resultado no pudo servir como base legal. Establece que Vectaury no informa conforme al RGPD y que las finalidades del tratamiento de datos son difíciles de entender, lo que no permite tomar una decisión informada y por tanto no hay base legal para el tratamiento.
  • Vectaury creó en mitad del procedimiento una plataforma de gestión de consentimiento (CMP) basada en el TCF pero no se adhirió a las Políticas del TCF (es decir, se adhirió de manera incompleta) y eso lleva a que  la CNIL considere como no compatible con el RGPD. Además, se instalaban por defecto las cookies, lo que es contrario al RGPD, que exige  una acción afirmativa.
  • Al respecto CNIL opina que, si bien el CMP de Vectaury mejoraría la transparencia para los usuarios, todavía no cumplía con el estándar de la norma para un consentimiento válido, porque (a) no se aseguraba que los usuarios estuvieran adecuadamente informados de las identidades de las empresas que iban a tratar sus datos, y (b) no se aseguró que el consentimiento se expresara mediante una acción clara y afirmativa. En ambos casos, el CMP de Vectaury no cumplía con sus obligaciones bajo las políticas del TCF.
  • La CNIL por tanto dictamina que, aunque Vectaury había intentado cumplir con la ley al proporcionar a sus desarrolladores de aplicaciones asociados un CMP, era incapaz de verificar de forma independiente que el consentimiento del usuario había sido obtenido cumpliendo con el RGPD.
  • Como aprendizaje, desde la industria se tiene que poner foco en una mejor descripción de los las finalidades, que estas sean específicas y fáciles de entender para que los usuarios puedan tomar una decisión libre.
  • El Grupo de Trabajo del  TCF actualmente está redefiniendo las finalidades para que sean más sencillas y reflejen todos los posibles escenarios del tratamiento de los datos.
  • La decisión de la CNIL y el hecho de que recomiende cómo mejorar el TCF, es un reconocimiento a este Marco como herramienta de cumplimiento para todo el sector.
  • Para más información puedes visitar la web http://advertisingconsent.eu o escribir a [email protected]

Hoy en IAB Se ha celebrado el Desayuno Temático sobre los Aspectos del Marco de Transparencia y Consentimiento de IAB Europe en el que Matthias Matthiensen, Director, Privacy & Public Policy at IAB Europe, ha podido desvelar a los asistentes cómo aplicar el marco en diferentes supuestos.

Os recordamos que os podéis registrar en el próximo Desayuno Temático sobre las pautas de la AEPD sobre el RGPD y  publicidad el próximo 15 de junio en IAB Spain. Regístrate aquí

 

#IABDesayuno #IABLegal

La Presidencia búlgara publicó el 4 de mayo un nuevo texto de reglamento de e-Privacy y  Político ha filtrado un informe de progreso el 28 de mayo.

El documento, preparatorio de la reunión WP TEL, no hacía ningún cambio importante en el documento fechado el 13 de abril de 2018. En resumen, las aclaraciones y enmiendas menores incluyen:

  • El texto del Consejo también modifica el considerando 22 bis declarando que el «proveedor de servicios de la sociedad de la información» es responsable de obtener el consentimiento, así como de las sanciones por no haberlo obtenido;
  • El considerando 23, sobre la configuración de privacidad del software, aclara que las configuración generales de privacidad que no son suficientemente granulares, no puede significar el consentimiento del usuario final
  • El considerando 24 también se modificó para explicar que los proveedores de sitios web pueden obtener el consentimiento independientemente de la configuración de privacidad del software, es decir, anulando cualquier configuración de privacidad de software con consentimientos más específicos.

El 28 de mayo, POLITICO publicó un informe de situación parcial emitido por la Presidencia búlgara sobre el Reglamento sobre privacidad, con fecha 18 de mayo. El documento no incluye los recitales y artículos reales en su versión modificada, pero proporciona información interesante de todos modos. La Presidencia está pidiendo orientación a los ministros, preguntando específicamente: “¿Considera que el enfoque relativo a la protección de los equipos terminales y la configuración de privacidad (artículos 8 y 10) es una base aceptable para avanzar?”

Cabe destacar que el informe de progreso también establece que la Presidencia ha introducido una nueva exención en virtud del Artículo 8 que permitiría almacenar y / o recopilar información de un dispositivo terminal del usuario “con el fin de mantener o restablecer la seguridad de los servicios de la sociedad de la información, evitando fraude o detección de fallas técnicas “que representa un desarrollo positivo para la industria.

Los cambios adicionales al texto de los considerandos también aclaran cuándo el consentimiento no es necesario, abordando además la cuestión de condicionar el acceso a un sitio web al consentimiento. Respecto del artículo 10, el informe señala que las delegaciones de los Estados miembros acogieron con satisfacción los cambios significativos realizados por la Presidencia para garantizar que exista un simple deber de información sobre la configuración de la privacidad, afirmando que hay delegaciones que aún albergan dudas sobre el valor añadido de la disposición.

En términos de un calendario prospectivo, no se espera que la Presidencia búlgara pueda lograr un enfoque general, retrasando aún más los diálogos tripartitos y la adopción final del Reglamento de e-Privacy. Algunas partes sugieren que tendría sentido ver los efectos del GDPR y partir desde esa base, y las dudas de los Estados Miembros para anunciar el  posicionamiento oficial también están ralentizado el desarrollo del archivo.