¿Son ilegales los banners de cookies en Europa?
Parte central de la bandera de las cookies declarada ilegal por la DPA belga.
Módulo central de targeting y banner de cookies ilegal
La norma técnica utilizada por las empresas de publicidad para recoger el consentimiento del GDPR en línea es ilegal. Las consecuencias podrían ser enormes: para los medios de comunicación, pero también para gigantes del sector como Google y Amazon.
¿Qué ha decidido la APD belga?
La autoridad belga de protección de datos APD ha dictaminado que un mecanismo central de banners de cookies viola el Reglamento General de Protección de Datos (RGPD) europeo. La decisión se ha tomado en el llamado procedimiento de ventanilla única. Esto significa que se aplica a toda la UE. El procedimiento tiene su origen en una denuncia del Consejo Irlandés para las Libertades Civiles y otras organizaciones europeas de derechos civiles y podría suponer un gran golpe para la industria publicitaria europea.
Lea más sobre la decisión aquí.
Duro golpe para la industria de los datos
”La decisión de hoy libera a cientos de millones de europeos del spam del consentimiento, y del peligro más profundo de que sus actividades más íntimas en línea pasen por miles de empresas”, declaró Johnny Ryan, del Consejo Irlandés para las Libertades Civiles.
¿Cómo funciona el consentimiento de cookies y la publicidad dirigida?
Consentimiento de cookies
La publicidad dirigida en Internet funciona así (explicación simplificada): Cada visita a un sitio web que utiliza el seguimiento de cookies para la publicidad dirigida desencadena una subasta entre los proveedores de anuncios. En cuestión de milisegundos se decide qué anuncios verá el usuario en función de su perfil y otros factores (= puja en tiempo real).
Puja en tiempo real
Para que esta puja en tiempo real (RTB) funcione, las empresas de publicidad quieren saber mucho sobre la persona que está navegando por su sitio web: Edad, sexo, intereses, sitios web visitados, lugar de residencia, poder adquisitivo, etc. Estos datos se utilizan para mostrar el anuncio más adecuado, aquel en el que es más probable que el usuario haga clic.
Lea aquí por qué pedimos que se prohíban los anuncios dirigidos.
¿Seguimiento sin consentimiento?
Sin embargo, según el RGPD, este tipo de seguimiento sólo se permite si el usuario da su consentimiento. El Marco de Transparencia y Consentimiento (TCF) de la asociación publicitaria IAB Europe supuestamente pide este consentimiento: Si los usuarios hacen clic en “aceptar cookies” o no se oponen a que el uso de sus datos sea en interés legítimo del proveedor, el TCF genera una llamada cadena TC. Este identificador constituye la base para la creación de perfiles individuales. A continuación, los perfiles se utilizan para cotejarlos con los anuncios que se van a mostrar. Al hacerlo, la cadena TC se envía a cientos y cientos de socios del sistema OpenRTB.
Toda la industria publicitaria (cuando se habla de anuncios dirigidos) se basa en la cadena TC, lo que la convierte en el estándar más importante del ecosistema publicitario online.
¿Cómo influye la decisión en la industria publicitaria?
Ahora la APD belga ha decidido que compartir la cadena TC con cientos de socios viola el Reglamento General de Protección de Datos. Según la autoridad de control, el sistema utilizado por los anunciantes para recoger el consentimiento para la publicidad dirigida en Internet no cumple los principios de legalidad y equidad.
En su resolución, la APD belga ha impuesto una multa de 250.000 euros a la asociación publicitaria IAB Europe, que desarrolla y gestiona el mecanismo TCF. Además, IAB deberá eliminar los datos personales ya recogidos. Sin embargo, lo más significativo son las condiciones que la APD impone al sector publicitario para seguir utilizando el Marco de Transparencia y Consentimiento.
Miles de operadores de sitios web, casi todos los medios de comunicación en línea y también grandes empresas de publicidad como Google y Amazon utilizan el mecanismo para transmitir el supuesto consentimiento de los usuarios al tratamiento de sus datos personales con fines publicitarios.
Hielke Hijmans, presidente de la Sala de lo Contencioso de la APD belga , afirma:
“Se invita a la gente a dar su consentimiento, mientras que la mayoría de ellos no saben que sus perfiles se venden un gran número de veces al día para exponerlos a anuncios personalizados. Aunque se trata del TCF, y no de todo el sistema de ofertas en tiempo real, nuestra decisión de hoy tendrá una gran repercusión en la protección de los datos personales de los internautas. Hay que restablecer el orden en el sistema del TCF para que los usuarios puedan recuperar el control sobre sus datos”.
Aunque la decisión no afecte directamente a todo el sistema de publicidad en Internet, tendrá un impacto importante en la protección de los datos personales de los internautas, afirma Hijmans.
¿Por qué es importante la decisión?
Las autoridades belgas de protección de datos sostienen que no sólo los perfiles publicitarios son datos personales, sino que la cadena de TC -que se utiliza para los anuncios dirigidos- debe considerarse también un dato personal. Esta cadena puede combinarse con la dirección IP y, por tanto, hacer identificable a cualquier usuario.
En consecuencia, IAB Europe viola el GDPR con el protocolo TCF utilizado para generar las cadenas TC. Además, el consentimiento dado por los usuarios para el seguimiento de datos (cookies) es ineficaz, ya que no existe un interés legítimo suficiente por parte del propietario del sitio web para solicitar dicho consentimiento en primer lugar.
Las autoridades argumentan que el interés legítimo de los usuarios pesa más que el interés legítimo de las empresas anunciantes debido al alto riesgo asociado al seguimiento basado en la publicidad de oferta en tiempo real.
Además, la información proporcionada a los usuarios al dar su consentimiento era demasiado general y vaga para que entendieran la naturaleza y el alcance del tratamiento de sus datos, especialmente dada la complejidad de la publicidad basada en el seguimiento.
¿Qué pasa ahora?
La decisión no afecta inmediatamente a los editores o empresas de marketing que utilizan anuncios basados en el seguimiento.
Por ahora, la decisión sólo afecta a la asociación de publicidad IAB Europe como proveedora del protocolo TCF.
Ahora cabe esperar dos novedades importantes:
- Más información: La información proporcionada a los usuarios antes de dar su consentimiento será más específica y menos vaga en el futuro.
- Otra consecuencia de esta decisión podría ser que en el futuro sería difícil para las empresas invocar un “interés legítimo” como base jurídica para el tratamiento de datos. La única base jurídica posible sería entonces el consentimiento del usuario.
¿Primera consecuencia? El nuevo botón “Rechazar todo” de Google
Una primera señal de que las autoridades europeas están aplicando los derechos de los clientes de una manera más estricta es que Google finalmente está añadiendo un botón “Rechazar todo” a sus banners de cookies.
Hasta abril de 2022 era muy complicado limitar el seguimiento de las cookies por parte de Google debido a la ausencia del botón “Rechazar todo”.
Buenas noticias para los amantes de la privacidad
Para los internautas que valoran la protección de datos, la decisión de la DPA belga de declarar ilegales los banners de cookies es una muy buena noticia.
En primer lugar, porque las empresas de tecnología publicitaria tendrán que eliminar los datos de los usuarios que hayan recogido a través del mecanismo TCF.
En segundo lugar -y más importante-, la decisión de las autoridades belgas de protección de datos podría llevar a que todo el sistema de anuncios personalizados quede anulado.
Esto podría poner fin a la publicidad dirigida.