Autoritatea belgiană pentru protecția datelor APD, într-o procedură care se desfășoară de un an bun, pe 02. Februarie 2022 a luat o decizie. Textul explicativ de aproximativ 130 de pagini arată multe puncte slabe ale IAB TCF, dar și multe oportunități de reformă. Cadrul de transparență și consimțământ este acum ilegal? Ce trebuie să ia în considerare editorii? Și cum continuă? Întrebările noastre frecvente explică.
Actualizare martie 2024
Curtea Europeană de Justiție a hotărât în cauza IAB TCF că șirul TC („Consent String”) constituie date cu caracter personal în sensul GDPR. Datele conținute în șir se referă la utilizatori identificabili și, prin urmare, ar putea fi utilizate pentru a crea profiluri de utilizator și a identifica utilizatorii. În plus, IAB Europe este acum identificat ca un „controlor comun” în sensul GDPR, ceea ce înseamnă că împărtășește responsabilitatea pentru prelucrarea datelor atunci când preferințele privind consimțământul utilizatorilor sunt înregistrate într-un șir TC. Aceasta înseamnă că împărtășește deciziile cu privire la scopurile și metodele de prelucrare a datelor cu membrii săi, dar nu și prelucrarea datelor în sine. Rolul IAB Europe de operator nu se extinde la activitățile de prelucrare a datelor după ce consimțământul utilizatorului a fost stocat într-un șir TC, cu excepția cazului în care se poate demonstra că IAB Europe influențează scopurile și mijloacele activităților ulterioare de prelucrare a datelor.
Este important ca companiile care participă la TCF în calitate de editor sau furnizor de tehnologie publicitară să-și actualizeze documentele juridice în timp util pentru a informa utilizatorii finali cu privire la aceste modificări. În special în ceea ce privește articolul 26 din GDPR, companiile ar trebui să își informeze utilizatorii finali cu privire la existența unui acord de control comun cu IAB Europe și furnizorul site-ului respectiv.
Actualizare septembrie 2023
( Actualizare din 21 septembrie 2023 ) Pe 21 septembrie a avut loc o ședință publică în fața Camerei a IV-a a CEJ, în cadrul căreia părțile implicate au fost audiate și de judecători. Întrucât nu va exista nicio opinie din partea avocatului general, este de așteptat ca CEJ să își anunțe hotărârea între sfârșitul anului 2023 și începutul lui 2024. Odată ce hotărârea este publicată, instanța belgiană (Tribunalul pieței) își poate finaliza evaluarea argumentelor prezentate în plângerea IAB Europe.
( Actualizare din septembrie 2023 ) Instanța belgiană (Tribunalul pieței) a decis să aștepte decizia Curții Europene de Justiție (CEJ) și să suspende evaluarea planului de acțiune al IAB Europe validat de Autoritatea Belgiană pentru Protecția Datelor (APD). În ianuarie 2023, IAB Europe a depus un recurs împotriva validării anticipate de către APD a planului. Aceasta arată că APD a acționat în grabă, iar hotărârea CEJ va influența dacă decizia inițială a APD a fost legală și modul în care este implementat planul. Aceasta este o veste bună pentru participanții IAB Europe și TCF, deoarece împiedică efectuarea unor modificări inutile fără o analiză atentă. Townsend Feehan, CEO al IAB Europe, a subliniat că modificările TCF trebuie făcute cu precauție extremă și în conformitate cu procedura CEJ.
Actualizat iunie 2023
(Actualizat iunie 2023) Cu TCF 2.2, IAB a stabilit cursul pentru realizarea pașilor menționati în planul de acțiune. O fază de tranziție se va desfășura acum până la 30 septembrie 2023, timp în care furnizorii și site-urile web se pot actualiza la noul Standard . Din octombrie 2023 se va aplica numai IAB TCF în versiunea 2.2.
Actualizare ianuarie 2023
(Actualizat în ianuarie 2023) Planul de acțiune prezentat de IAB Europe a fost acceptat de APD și au fost inițiați pași suplimentari către conformitatea cu GDPR. IAB Europe are acum 6 luni pentru a implementa planul de acțiune.
Actualizare aprilie 2022
(Actualizare aprilie 2022) Între timp, IAB Europe a depus o plângere la instanța responsabilă (Market Court) și a contestat procedura și decizia ca atare. Totodată, planul de acțiune solicitat a fost depus de IAB Europe. APD va examina acum planul de acțiune; cu toate acestea, nu se așteaptă o decizie înainte de sfârșitul lunii iunie 2022. Dacă planul de acțiune este acceptat de APD, IAB Europe trebuie să îl implementeze în termen de 6 luni.
Actualizare mai 2022
(actualizare mai 2022) IAB Europe a retras suspendarea procedurii solicitată după ce APD a confirmat calendarul pentru revizuirea Planului de acțiune. În consecință, APD nu va lua o decizie cu privire la planul de acțiune înainte de 1 septembrie 2022. Până atunci, instanța belgiană (instanța pieței) va fi decis și cu privire la procedură, iar implementarea planului de acțiune poate avea loc în următoarele 6 luni.
Ce s-a întâmplat?
În raportul său final, autoritatea belgiană pentru protecția datelor APD a formulat diverse probleme pentru IAB Europe și IAB TCF. Principalul punct de conflict este că APD consideră IAB Europe drept client. În plus, șirul TC generat de TCF (informațiile privind consimțământul) este considerată date cu caracter personal, care ar necesita în sine consimțământ.
Ce legătură are Belgia cu asta?
De când GDPR a intrat în vigoare în 2018, au existat mai multe plângeri în diferite țări împotriva IAB Europe, ca organism din spatele Standard IAB TCF și al politicilor și CMP-urilor asociate. Întrucât IAB Europe are sediul la Bruxelles, autoritatea belgiană de protecție a datelor a fost responsabilă de procedură (regulamentul „ghișeu unic” al GDPR).
Hotărârea belgiană se aplică și în alte țări?
Da, toate autoritățile de protecție a datelor trebuie să se orienteze conform hotărârii și nu se pot abate de la aceasta.
Ce spune mai exact sentința?
Verdictul are peste 120 de pagini și poate fi descărcat de aici în format PDF (în engleză). Devine „interesant” din secțiunea 535, în care sunt explicate infracțiunile reale:
- TCF nu reprezintă un temei legal valabil pentru prelucrarea deciziilor utilizatorilor. Consimțământul nu a fost dat suficient (vezi punctul următor)
- TCF nu reflectă în mod transparent informațiile de care un utilizator are nevoie pentru a lua o decizie.
- Securitatea TCF ca mecanism nu este suficientă (de exemplu, pentru a preveni comportamentul defectuos al CMP).
- IAB este văzut ca client (controller) și date. Acest lucru are ca rezultat anumite obligații pentru IAB Europe, care nu au fost respectate până în prezent; în special, lipsește o listă de prelucrare a datelor.
- IAB Europe nu a efectuat o DPIA, deși ar fi necesar să facă acest lucru.
- IAB Europe nu a mandatat un responsabil cu protecția datelor, deși acest lucru ar fi necesar.
Care sunt consecințele?
Sancțiunile împotriva IAB Europe rezultă în cele din urmă din infracțiuni (vezi mai sus) și sunt:
- (Re)proiectează TCF-ul astfel încât să rezulte un temei juridic valid.
- Datele pe care IAB Europe le-a colectat până acum trebuie șterse.
- Temeiul juridic „interes legitim” nu mai poate fi utilizat în TCF.
- A reorganizat TCF, astfel încât CMP-urile să aibă o modalitate „armonizată” de a obține consimțământul într-o manieră conformă GDPR. Informațiile trebuie prezentate într-un mod concis, concret, dar ușor de înțeles.
- Trebuie dezvoltate mecanisme de securitate adecvate pentru a proteja TCF.
- IAB Europe trebuie să creeze un registru de prelucrare a datelor.
- IAB Europe trebuie să efectueze o DPIA.
- IAB Europe trebuie să numească un responsabil cu protecția datelor.
În plus, IAB Europe trebuie să elaboreze un „Plan de acțiune” în termen de 2 luni. Aceasta este pentru a arăta pașii care trebuie luați pentru ca TCF să fie conform în viitor. Imediat ce planul a fost acceptat de către APD, IAB are apoi încă 6 luni pentru a-l implementa în consecință.
Sa fii la curent!
Aboneaza-te la NewsletterSunt toate CMP-urile ilegale acum?
Nu Un CMP ca cel al consentmanager este în general independent de acest lucru – la urma urmei, un operator de site-ul web poate configura CMP-ul astfel încât să devină conform sau să dezactiveze TCF-ul în CMP în întregime.
Este TCF-ul ilegal acum?
Nu Forma actuală este considerată insuficientă. IAB Europe are acum sarcina de a iniția măsuri adecvate și de a face din nou conform TCF.
Ce urmeaza?
IAB Europe are acum 2 luni pentru a dezvolta măsuri și/sau pentru a depune o obiecție. Se presupune că ambele se vor întâmpla: cu siguranță va exista o obiecție la componentele individuale ale deciziei – în același timp, vom vedea cum poate fi pus TCF pe o bază sigură. În special, scopul aici este de a transforma TCF într-un Cod de conduită (CoC). IAB a lucrat la asta de mult timp. Un CoC ar avea alte avantaje și o mai mare securitate juridică.
Pe cine afectează judecata?
Deocamdată, afectează direct doar IAB Europe. În mod indirect, afectează CMP-urile, furnizorii și editorii pe termen mediu – cel mai târziu atunci când trebuie stabilite noi scopuri și baze legale în stratul de consimțământ sau se modifică substructura tehnică.
Cum ar trebui să reacționez acum?
Ca în toate. nu este greșit să arunci o privire atentă și să aștepți și să vezi cum se comportă actorii.
Ca recomandare generală, se poate deduce că „interesul legitim” nu este considerat un temei legal suficient pentru publicitatea online – acest lucru fusese deja anunțat în prealabil și în alte hotărâri. Dacă utilizați instrumente de marketing pe site-ul dvs. web, ar trebui să verificați dacă acestea necesită consimțământ.
În general, vă recomandăm să utilizați TCF-ul numai atunci când este cu adevărat necesar. Acesta ar putea să nu fie cazul pentru majoritatea site-urilor de comerț electronic, de exemplu. În același timp, majoritatea site-urilor de știri vor continua să se bazeze pe TCF. Aici vă recomandăm să verificați cu atenție textele de descriere și listele de furnizori și, dacă este necesar, să furnizați descrieri mai precise și informații suplimentare.
Ist Ihre Webseite konform? Finden Sie es heraus mit unserer Checkliste
Trebuie să-mi șterg toate datele acum?
Nu Hotărârea belgiană afectează doar IAB Europe pentru moment. În mod indirect, însă, se poate presupune că un „CMP pur TCF” intră și el în condițiile hotărârii și, prin urmare, nu a obținut aprobarea legal.
Sunt site-urile care utilizează TCF acum în pericol?
Nu Pe de o parte, actorii vor aștepta inițial – acest lucru este valabil și pentru celelalte autorități de protecție a datelor din alte țări. Atâta timp cât procedura este încă „în așteptare”, nu are sens real să folosiți procedura ca bază pentru avertismente sau proceduri noi.
Pe de altă parte, nu este încă clar dacă TCF în sine poate fi utilizat într-o manieră conformă în anumite condiții. Și aici rămâne de văzut și, dacă este cazul, de urmărit dezvoltarea TCF.
Ce face consentmanager pentru mine? Ce ar trebuii să fac?
În calitate de membru al IAB Europe și în diferite asociații regionale și alte grupuri, consentmanager este implicat activ în consultările și deciziile din cadrul IAB. În acest sens, consentmanager va putea implementa cu promptitudine toți pașii necesari pentru a-și putea proteja clienții din punct de vedere legal sau tehnic.
Ca client consentmanager , nu trebuie să faci nimic concret la început (vezi mai sus pentru excepții). Toate ajustările tehnice și procedurale pe care le necesită un „nou” TCF pot fi făcute intern de către noi – nu este nevoie să facem schimb de coduri acum.
Nu văd întrebarea dvs.?
Simțiți-vă liber să ne contactați direct.
