La autoridad francesa de protección de datos (CNIL), ha adoptado una decisión declarando que Vectaury, una start up francesa, no cumple con las condiciones para un consentimiento válido conforme al RGPD y ordena a la empresa que deje de tratar datos de geolocalización con fines publicitarios sin una base legal adecuada, instándole a cambiar sus prácticas en RGPD en el plazo de 3 meses. Además, la CNIL le ordena eliminar todos los datos obtenidos sobre la base de este consentimiento inválido. Se resume a continuación los principales puntos:
- Vectaury machea los datos de geolocalización recopilados a través de aplicaciones móviles con otros datos personales contenidos en solicitudes de RTB para perfilar a los usuarios, segmentar anuncios y medir el rendimiento de la campaña.
- La decisión de la CNIL está centrada en la recogida y el tratamiento de datos de geolocalización obtenidos a través del SDK de Vectaury integrado en 20 aplicaciones móviles, y el tratamiento de datos personales a través de RTB de esas aplicaciones.
- En su resolución, la CNIL encuentra que, en dos escenarios, Vectaury no tenía una base legal para el tratamiento de datos personales en virtud del RGPD. Primero, por la recopilación y tratamiento de datos geolocalización de usuarios de aplicaciones móviles a través de su SDK, y segundo en la recogida y tratamiento de datos personales a través de RTB para los inventarios en las aplicaciones móviles.
- La base legal que esgrimía Vectaury era el consentimiento de los usuarios. Sin embargo la CNIL declara que en ambos escenarios, tanto Vectaury como sus socios no cumplieron con las condiciones para un consentimiento válido, y como resultado no pudo servir como base legal. Establece que Vectaury no informa conforme al RGPD y que las finalidades del tratamiento de datos son difíciles de entender, lo que no permite tomar una decisión informada y por tanto no hay base legal para el tratamiento.
- Vectaury creó en mitad del procedimiento una plataforma de gestión de consentimiento (CMP) basada en el TCF pero no se adhirió a las Políticas del TCF (es decir, se adhirió de manera incompleta) y eso lleva a que la CNIL considere como no compatible con el RGPD. Además, se instalaban por defecto las cookies, lo que es contrario al RGPD, que exige una acción afirmativa.
- Al respecto CNIL opina que, si bien el CMP de Vectaury mejoraría la transparencia para los usuarios, todavía no cumplía con el estándar de la norma para un consentimiento válido, porque (a) no se aseguraba que los usuarios estuvieran adecuadamente informados de las identidades de las empresas que iban a tratar sus datos, y (b) no se aseguró que el consentimiento se expresara mediante una acción clara y afirmativa. En ambos casos, el CMP de Vectaury no cumplía con sus obligaciones bajo las políticas del TCF.
- La CNIL por tanto dictamina que, aunque Vectaury había intentado cumplir con la ley al proporcionar a sus desarrolladores de aplicaciones asociados un CMP, era incapaz de verificar de forma independiente que el consentimiento del usuario había sido obtenido cumpliendo con el RGPD.
- Como aprendizaje, desde la industria se tiene que poner foco en una mejor descripción de los las finalidades, que estas sean específicas y fáciles de entender para que los usuarios puedan tomar una decisión libre.
- El Grupo de Trabajo del TCF actualmente está redefiniendo las finalidades para que sean más sencillas y reflejen todos los posibles escenarios del tratamiento de los datos.
- La decisión de la CNIL y el hecho de que recomiende cómo mejorar el TCF, es un reconocimiento a este Marco como herramienta de cumplimiento para todo el sector.
- Para más información puedes visitar la web http://advertisingconsent.eu o escribir a [email protected]