IAB TCF ilegal? Toate faptele aici în Întrebări frecvente

Autoritatea belgiană pentru protecția datelor APD, într-o procedură care se desfășoară de un an bun, pe 02. Februarie 2022 a luat o decizie. Textul explicativ de aproximativ 130 de pagini arată multe puncte slabe ale IAB TCF, dar și multe oportunități de reformă. Cadrul de transparență și consimțământ este acum ilegal? Ce trebuie să ia în considerare editorii? Și cum continuă? Întrebările noastre frecvente explică.

Actualizare aprilie 2022

(Actualizare aprilie 2022) Între timp, IAB Europe a depus o plângere la instanța responsabilă (Market Court) și a contestat procedura și decizia ca atare. Totodată, planul de acțiune solicitat a fost depus de IAB Europe. APD va examina acum planul de acțiune; cu toate acestea, nu se așteaptă o decizie înainte de sfârșitul lunii iunie 2022. Dacă planul de acțiune este acceptat de APD, IAB Europe trebuie să îl implementeze în termen de 6 luni.

Actualizare mai 2022

(actualizare mai 2022) IAB Europe a retras suspendarea procedurii solicitată după ce APD a confirmat calendarul pentru revizuirea Planului de acțiune. În consecință, APD nu va lua o decizie cu privire la planul de acțiune înainte de 1 septembrie 2022. Până atunci, instanța belgiană (instanța pieței) va fi decis și cu privire la procedură, iar implementarea planului de acțiune poate avea loc în următoarele 6 luni.

Ce s-a întâmplat?

În raportul său final, autoritatea belgiană pentru protecția datelor APD a formulat diverse probleme pentru IAB Europe și IAB TCF. Principalul punct de conflict este că APD consideră IAB Europe drept client. În plus, șirul TC generat de TCF (informațiile privind consimțământul) este considerată date cu caracter personal, care ar necesita în sine consimțământ.

Ce legătură are Belgia cu asta?

De când GDPR a intrat în vigoare în 2018, au existat mai multe plângeri în diferite țări împotriva IAB Europe, ca organism din spatele standardului IAB TCF și a politicilor și CMP-urilor aferente. Întrucât IAB Europe are sediul la Bruxelles, autoritatea belgiană de protecție a datelor a fost responsabilă de procedură (regulamentul „ghișeu unic” al GDPR).

Hotărârea belgiană se aplică și în alte țări?

Da, toate autoritățile de protecție a datelor trebuie să se orienteze conform hotărârii și nu se pot abate de la aceasta.

Ce spune mai exact sentința?

Verdictul are peste 120 de pagini și poate fi descărcat de aici în format PDF (în engleză). Devine „interesant” din secțiunea 535, în care sunt explicate infracțiunile reale:

  • TCF nu reprezintă un temei legal valabil pentru prelucrarea deciziilor utilizatorilor. Consimțământul nu a fost dat suficient (vezi punctul următor)
  • TCF nu reflectă în mod transparent informațiile de care un utilizator are nevoie pentru a lua o decizie.
  • Securitatea TCF ca mecanism nu este suficientă (de exemplu, pentru a preveni comportamentul defectuos al CMP).
  • IAB este văzut ca client (controller) și date. Acest lucru are ca rezultat anumite obligații pentru IAB Europe, care nu au fost respectate până în prezent; în special, lipsește o listă de prelucrare a datelor.
  • IAB Europe nu a efectuat o DPIA, deși ar fi necesar să facă acest lucru.
  • IAB Europe nu a mandatat un responsabil cu protecția datelor, deși acest lucru ar fi necesar.
Soluție de consimțământ pentru standardul IAB și TCF

Care sunt consecințele?

Sancțiunile împotriva IAB Europe rezultă în cele din urmă din infracțiuni (vezi mai sus) și sunt:

  • (Re)proiectează TCF-ul astfel încât să rezulte un temei juridic valid.
  • Datele pe care IAB Europe le-a colectat până acum trebuie șterse.
  • Temeiul juridic „interes legitim” nu mai poate fi utilizat în TCF.
  • A reorganizat TCF, astfel încât CMP-urile să aibă o modalitate „armonizată” de a obține consimțământul într-o manieră conformă GDPR. Informațiile trebuie prezentate într-un mod concis, concret, dar ușor de înțeles.
  • Trebuie dezvoltate mecanisme de securitate adecvate pentru a proteja TCF.
  • IAB Europe trebuie să creeze un registru de prelucrare a datelor.
  • IAB Europe trebuie să efectueze o DPIA.
  • IAB Europe trebuie să numească un responsabil cu protecția datelor.

În plus, IAB Europe trebuie să elaboreze un „Plan de acțiune” în termen de 2 luni. Aceasta este pentru a arăta pașii care trebuie luați pentru ca TCF să fie conform în viitor. Imediat ce planul a fost acceptat de către APD, IAB are apoi încă 6 luni pentru a-l implementa în consecință.

Sa fii la curent!

Aboneaza-te la Newsletter

Sunt toate CMP-urile ilegale acum?

Nu Un CMP ca cel al consentmanagerului este, în general, independent de acest lucru – la urma urmei, un operator de site web poate configura CMP-ul în așa fel încât să devină conform sau să dezactiveze complet TCF-ul în CMP.

Este TCF-ul ilegal acum?

Nu Forma actuală este considerată insuficientă. IAB Europe are acum sarcina de a iniția măsuri adecvate și de a face din nou conform TCF.

Ce urmeaza?

IAB Europe are acum 2 luni pentru a dezvolta măsuri și/sau pentru a depune o obiecție. Se presupune că ambele se vor întâmpla: cu siguranță va exista o obiecție la componentele individuale ale deciziei – în același timp, vom vedea cum poate fi pus TCF pe o bază sigură. În special, scopul aici este de a transforma TCF într-un Cod de conduită (CoC). IAB a lucrat la asta de mult timp. Un CoC ar avea alte avantaje și o mai mare securitate juridică.

Pe cine afectează judecata?

Deocamdată, afectează direct doar IAB Europe. În mod indirect, afectează CMP-urile, furnizorii și editorii pe termen mediu – cel mai târziu atunci când trebuie stabilite noi scopuri și baze legale în stratul de consimțământ sau se modifică substructura tehnică.

Cum ar trebui să reacționez acum?

Ca în toate. nu este greșit să arunci o privire atentă și să aștepți și să vezi cum se comportă actorii.

Ca recomandare generală, se poate deduce că „interesul legitim” nu este considerat un temei legal suficient pentru publicitatea online – acest lucru fusese deja anunțat în prealabil și în alte hotărâri. Dacă utilizați instrumente de marketing pe site-ul dvs. web, ar trebui să verificați dacă acestea necesită consimțământ.

În general, vă recomandăm să utilizați TCF-ul numai atunci când este cu adevărat necesar. Acesta ar putea să nu fie cazul pentru majoritatea site-urilor de comerț electronic, de exemplu. În același timp, majoritatea site-urilor de știri vor continua să se bazeze pe TCF. Aici vă recomandăm să verificați cu atenție textele de descriere și listele de furnizori și, dacă este necesar, să furnizați descrieri mai precise și informații suplimentare.

Este site-ul dvs. compatibil? Aflați cu lista noastră de verificare

Descărcați lista de verificare

Trebuie să-mi șterg toate datele acum?

Nu Deocamdată, hotărârea afectează doar IAB Europe. În mod indirect, însă, se poate presupune că un „CMP pur TCF” intră și el în condițiile hotărârii și, prin urmare, nu a obținut aprobarea legal.

Sunt site-urile care utilizează TCF acum în pericol?

Nu Pe de o parte, actorii vor aștepta inițial – acest lucru este valabil și pentru celelalte autorități de protecție a datelor din alte țări. Atâta timp cât procedura este încă „în așteptare”, nu are sens real să folosiți procedura ca bază pentru avertismente sau proceduri noi.

Pe de altă parte, nu este încă clar dacă TCF în sine poate fi utilizat într-o manieră conformă în anumite condiții. Și aici rămâne de văzut și, dacă este cazul, de urmărit dezvoltarea TCF.

Ce face consentmanager pentru mine? Ce ar trebuii să fac?

În calitate de membru al IAB Europe și al diferitelor asociații naționale și alte grupuri, consentmanager este implicat activ în deliberările și deciziile din cadrul IAB. În acest sens, consentmanager va putea implementa cu promptitudine toți pașii necesari pentru a-și putea proteja clienții din punct de vedere legal sau tehnic.

În calitate de client consentmanager, nu trebuie să faceți nimic specific (vezi mai sus pentru excepții). Toate ajustările tehnice și procedurale pe care le necesită un „nou” TCF pot fi făcute intern de către noi – nu este nevoie să facem schimb de coduri acum.

Nu văd întrebarea dvs.?

Simțiți-vă liber să ne contactați direct.