Sobre la legalidad de los banners de consentimiento de la IAB

En el origen de este artículo

A principios de febrero, las CNIL europeas, encabezadas por la APD (CNIL belga), dictaminó que los banners de consentimiento de la IAB eran ilegales. Como recordatorio, la IAB (Interactive Advertising Bureau) es el lobby adtech, y el 80% de los sitios web europeos utilizan el protocolo propuesto por IAB Europe (el “Transparency and Consent Framework” o TCF) para que estos famosos banners de consentimiento funcionen.

Ya había podido escribir sobre estas pancartas de consentimiento y sus simulacros de legalidad:

• “Recoger el consentimiento en Internet: una mentira generalizada”.
• “Le Figaro, emblema del seguimiento de la publicidad invasiva en los medios de comunicación franceses”.
• “La gran venta de tus datos personales en Le Bon Coin”.
• “Cómo los editores se burlan de la CNIL”.

Incluso El director de la CNIL inglesa ya no parece apoyarlos.:

"A menudo escucho a personas decir que están cansadas de tener que interactuar con tantas ventanas emergentes de cookies. Esa fatiga lleva a que las personas proporcionen más datos personales de los que les gustaría.

"El mecanismo de cookies también está lejos de ser ideal para empresas y otras organizaciones que administran sitios web, ya que es costoso y puede conducir a una mala experiencia del usuario. Si bien espero que las empresas cumplan con las leyes actuales, mi oficina está fomentando la colaboración internacional para brindar soluciones prácticas en esta área.

Sin embargo, estos "banners de cookies" son en realidad la creación de un intenso lobby por parte de adtech, para evitar la creación de un mecanismo de control de "inclusión voluntaria" a nivel del navegador. La fatiga del consentimiento fue planeada y deseada por adtech. Y la CNIL inglesa es cómplice de este fiasco, según relata Alejandro Hanff en el artículo "La verdad detrás de los carteles de cookies".

Con la decisión de la APD, ¿será el fin de las odiadas pancartas? No necesariamente, IAB Europe, tras recurrir la decisión de la APD. Como recordatorio, aquí hay un diagrama que representa las diferentes filtraciones de datos personales:

A través de Johnny Ryan, de sus días en Brave. Hacer compatible el RTB (y el IAB TCF) con el RGPD, ¿misión imposible?

También desde el verano pasado mantengo una larga correspondencia por email con Benoit Oberlé, CEO y cofundador de Sirdata, tesorero de IAB Francia Y Vicepresidente del comité directivo del “Marco de Transparencia y Consentimiento”. Sirdata es una empresa interesante por varios motivos: Ofrece una CMP (Plataforma de gestión de consentimiento) a los editores, en versión gratuita o de pago.. También es un proveedor de datos contextuales Y conductual.

Los editores que Acepta compartir los datos personales de los usuarios de Internet. no pagues el CMP Sirdata:

Un CMP que se puede “financiar con datos”.

Si tenemos desacuerdos, Benoit siempre se ha tomado el tiempo para responder a mis preguntas y explicar las elecciones de Sirdata, y por ello le agradezco calurosamente. A partir de nuestras conversaciones, quería escribir un artículo para ilustrar las opciones de un CMP que utiliza el protocolo IAB, y CMP Sirdata fue el ejemplo perfecto.

Sirdata en Psychologies.com

Para estudiar la CMP Sirdata, vamos al sitio Psychologies.com con el navegador Chrome. Nos recibe un banner de consentimiento aparentemente bastante estándar:

En su opinión, ¿en qué botón pulsará el internauta con prisa?

Notarás el énfasis en la opción "Acepta todo y sigue adelante.", a diferencia de las opciones "Configura tus opciones"y sobre todo"continuar sin aceptar". Esto es un "Patrón oscuro" adoptado por muchos sitios web franceses, habiendo recibido la bendición de la CNIL.

Si no se toma el tiempo de leer el texto del banner de consentimiento, es posible que se pierda dos datos cruciales:

• Algunas empresas de adtech no se basan en tu consentimiento sino en el interés legítimo para procesar tus datos personales.
• Sus opciones no sólo se aplican a Psychologies.com sino también a otros 4000 sitios web.

El interés legítimo como base jurídica del tratamiento

A continuación se muestra un extracto del banner de consentimiento propuesto por Sirdata:

Puede [...] tomar una decisión más detallada u oponerse al tratamiento basándose en intereses legítimos a través de la pantalla de configuración.

Traducción: Si simplemente haces clic en "Continuar sin aceptar", algunas empresas de adtech seguirán basándose en el interés legítimo para procesar tus datos personales. Para oponerse a este tratamiento basado en intereses legítimos, deberá ir a la pantalla de configuración (opción "Configura tus opciones").

Así que regrese al banner de consentimiento para verificar sus opciones después de hacer clic en "Continuar sin aceptar". Para hacer esto, debe desplazarse hasta el pie de página del sitio Psychologies.com, no haga clic en "Datos personales y cookies"pero en"Consentir" (no parece que se pueda hacer clic en el enlace, aunque sí lo es):

El vínculo oculto, sin embargo."Debería ser tan fácil retirar el consentimiento como otorgarlo".

Observe la apariencia del botón "Rechazar todo y continuar":

Luego, para comprobar el efecto de su elección anterior ("Continuar sin aceptar"), haga clic en "Configura tus opcionesVerás que no están desmarcados los diferentes tratamientos publicitarios, como si no los hubieras elegido ya:

“Seguir sin aceptar” no significa “rechazar”, ¿por qué?

Luego sigue estos pasos:

• Ampliar la opción "Publicidad personalizada".
• Ampliar la opción "Crear un perfil publicitario personalizado".
• Tenga en cuenta que la opción "Para esta actividad, los siguientes socios se basan en su interés legítimo", está marcado previamente. Expanda la opción.

Verás aparecer el compañero”Sirdata sin cookies":

"Sirdata Cookieless" aparece como "no rechazado". Por tanto, deberá oponerse al interés legítimo para rechazar este tratamiento.

Esta opción, accesible a través de Sirdata CMP, permite al proveedor de datos de comportamiento Sirdata crear perfiles publicitarios incluso si el internauta no ha dado tu consentimiento.

Además, si decides desarrollar la opción "Para esta actividad, los siguientes socios solicitan tu consentimiento", verías aparecer al compañero"Sirdata"con la mención"no aceptado":

"Sirdata" aparece como "no aceptado". Sirdata no puede confiar en tu consentimiento para crear un perfil publicitario personalizado.

Sirdata juega así con dos tablas para sus tratamientos publicitarios (incluida la creación de un perfil publicitario personalizado):

• El socio "Sirdata" se basa en tu consentimiento si hace clic en "Acepta todo y sigue adelante.".
• El socio "Sirdata sin cookies" se basa en su interés legítimo si hace clic en "Continuar sin aceptar".

Con tu consentimiento, Sirdata utiliza cookies y puede compartir identificadores y segmentos de audiencia con socios publicitarios. Sin consentimiento y basándose en un interés legítimo, Sirdata se sitúa antes de la plataforma de ventas (servidor de anuncios o SSP) para poder vender campañas publicitarias dirigidas con datos de Sirdata cuando el usuario pertenece al segmento o segmentos de audiencia correctos.

Con su oferta "Sin cookies", Sirdata continúa perfilándolo y utilizando su perfil para publicidad personalizada, pero el intercambio de información con terceros es más limitado. La oferta de Sirdata se resume aquí:

Si hace clic en "rechazar todo", Sirdata ofrece publicidad contextual. En general, Sirdata considera su oferta "respetuosa de la privacidad".

Para rechazar la creación de un perfil publicitario personalizado de Sirdata (y, en general, los distintos tratamientos publicitarios de las empresas adtech), necesitará durante su primera navegación:

• Haga clic en "Configura tus opciones" en el banner de consentimiento.
• Luego haga clic en "rechazar todo".

Tenga en cuenta que una opción "Rechaza todo y continúa." está disponible en el primer nivel, pero sólo cuando quieras reconsiderar tus elecciones (si encuentras la famosa opción "Confidencialidad" al final de la página Psychologies.com):

Una opción que nos hubiera gustado ver en el banner de consentimiento inicial.

Sólo rechaza el "Publicidad personalizada" no es obvio, un simple clic en la opción constituirá el consentimiento a "Publicidad personalizada", pero también al "Publicidad estándar":

Un bonito "patrón oscuro" detectado por @cuatromeux, ahora deberás desmarcar las 2 opciones.

Publicidad dirigida sin consentimiento basada en la dirección IP, ¿una forma de evitar la directiva ePrivacy?

Sirdata, el proveedor de datos de comportamiento, se considera compatible con la normativa europea, ePrivacy (directiva de cookies) Y RGPD. ¿Qué argumento utiliza?

En primer lugar, Sirdata considera que la directiva ePrivacy no se aplica a su oferta "Sin cookies" (o "Sin consentimiento"). Su razonamiento: ePrivacy se aplica al almacenamiento de información en el terminal del usuario o al acceso a información ya almacenada en él. Pero para identificar a los usuarios sin consentimiento, Sirdata se basa únicamente en la dirección IP, y este no se almacena en el terminal del usuario.

Sirdata no es explícito sobre el hecho de que su oferta "sin cookies" utiliza la dirección IP del usuario. Pero detalla el tratamiento adicional realizado en la dirección IP en su página “Política de privacidad y protección de datos personales"Sección de glosario.

Sirdata considera que aplica una toma de huellas dactilares “pasivo” y no “activo”. La toma de huellas “pasiva” consistiría únicamente en la dirección IP, no implica el acceso al terminal. La toma de huellas digitales “activa” consistiría en características del terminal como el agente de usuario, las fuentes instaladas o el tamaño de la pantalla.

Orientación a través de Dirección IP, la última herramienta para que los anunciantes se dirijan a usted sin consentimiento?

Esta distinción entre huellas dactilares "pasivas" (para las cuales no se aplicaría ePrivacy) y huellas dactilares "activas" (para las cuales se aplicaría ePrivacy) es discutible. En el artículo 7.2 de Dictamen 9/2014 sobre la aplicación de la Directiva 2002/58/CE a la captura de huellas digitales, del grupo de trabajo del artículo 29 sobre protección de datos, se establece claramente la necesidad de consentimiento para la publicidad dirigida:

Por lo tanto, la captura de huellas digitales con fines publicitarios específicos requiere el consentimiento del usuario.

Sirdata mantiene su posición: no hay acceso al terminal, por lo que no se aplica ePrivacy. Su oferta no entra dentro de la definición de Opinión 9/2014, lo cual no es una obligación legal.

Respecto al RGPD ahora, como Sirdata trata la dirección IP del usuario, y estos son datos personales, debe tener una base legal para cada uno de sus tratamientos publicitarios. Cuando el usuario no ha dado tu consentimiento, se basa en interés legítimo.

Tenga en cuenta que Sirdata confía en este argumento y lo reutiliza en sus vídeos promocionales, por ejemplo con "reorientación sin consentimiento":

¡Sin consentimiento, la fiesta se vuelve más salvaje para la tecnología publicitaria!

Sirdata también ofrece un producto para realizar transferencias a Google Analytics compatible en EE. UU., el “Analytics Helper”. Como recordatorio, La CNIL austriaca y francesa han considerado ilegales las transferencias de datos a Google Analytics en EE.UU..

Sirdata toma medidas para evitar que los servicios de inteligencia estadounidenses identifiquen a un usuario mediante una solicitud a Google (anonimización de la IP antes del envío a Google, seudonimización de la Client ID en el nivel de proxy Sirdata). Interesante en el contexto de este artículo, el "modelo de seguimiento legal" para este "Analytics Helper" es similar al modelo CMP Sirdata:

• Si da tu consentimiento, seguimiento habitual de Google Analytics mediante cookies.
• En caso de no existir consentimiento, el seguimiento de Google Analytics mediante fingerprinting generada por Sirdata y "únicamente" en base a su dirección IP, teniendo como base jurídica el interés legítimo.
• Si no hay consentimiento y oposición al interés legítimo, no habrá seguimiento de Google Analytics.

Sirdata Helper es un producto ingenioso, pero ¿será suficiente para que las transferencias de datos a Google Analytics en EE. UU. sean compatibles? La pregunta sigue abierta ya que la detallo en este hilo..

Interés legítimo en la publicidad dirigida

Parece complicado para Sirdata, un proveedor de datos de comportamiento, confiar en interés legítimo para publicidad dirigida. Y en particular en lo que respecta al criterio de equilibrio: la cuestión es si los intereses perseguidos por los proveedores de adtech superan los derechos y libertades fundamentales de las personas afectadas.

La APD menciona en particular el dictamen 03/2013 de Grupo de Trabajo del Artículo 29, antiguo nombre del CEPD (“Junta Europea de Protección de Datos”), anterior al RGPD:

Además, el CEPD indica que el interés legítimo no constituye una base jurídica suficiente en el contexto del marketing directo que aplica la publicidad comportamental [...] (460)

Grupo de Trabajo del Artículo 29 - Opinión 03/2013 sobre limitación de finalidad (WP 203), 2 de abril de 2013: "se debe exigir el consentimiento, por ejemplo, para el seguimiento y la elaboración de perfiles con fines de marketing directo, publicidad comportamental, intermediación de datos, publicidad basada en la ubicación o investigación de mercado digital basada en el seguimiento".

Para más detalles también puedes leer La denuncia de La Quadrature du Net contra Amazon por violación del RGPD, concretamente por la falta de fundamento jurídico en materia de publicidad dirigida.

Después del consentimiento y del contrato, La Quadrature du Net estudia sin piedad el interés legítimo como posible fundamento jurídico (puntos 36 a 50). Para la asociación para la defensa y promoción de los derechos y libertades en Internet, esta base jurídica no puede aplicarse a la publicidad dirigida (62). La CNIL de Luxemburgo validó su análisis, con una multa récord de 746 millones de euros contra Amazon.

Cuadrando la red contra GAFAM, Desafortunadamente la CNIL está ausente suscriptores.

Algunos extractos de la denuncia de La Quadrature:

Este es el camino que está tomando el G29 Anexo II de su dictamen 03/2013, sobre Big Data y Datos Abiertos: " A consentimiento previo "casi siempre debería exigirse información libre, específica, informada e inequívoca" siempre que una "organización desee específicamente analizar o predecir las preferencias personales, el comportamiento y las actitudes de los clientes individuales, que luego se utilizarán para guiar las “acciones o decisiones” tomadas con respecto a esos clientes. (47)

Pone como ejemplo de tales “medidas y decisiones” la difusión de “descuentos personalizados, ofertas especiales y anuncios dirigidos desde el perfil del cliente. (49)

El G29 concluye claramente que el “ consentir debería exigirse especialmente, por ejemplo, para la Seguimiento y elaboración de perfiles con fines de prospección directa y publicidad comportamental., corretaje de información, publicidad basada en la ubicación o investigación de mercado digital basada en el seguimiento”. (50)

Por lo tanto, con Benoit, planteamos a la CNIL la cuestión del interés legítimo de la publicidad dirigida el verano pasado (2021), sin respuesta.

Sus elecciones se aplican a una cooperativa de 4000 sitios.

Aquí hay otro extracto del banner de consentimiento propuesto por Sirdata (al menos en Chrome, porque en Safari, debido al bloqueo de cookies de terceros, la cooperativa del sitio está deshabilitada):

Tus elecciones se aplicarán a estos sitios y en sus correos electrónicos durante 6 meses, y no te volveremos a preguntar hasta mañana.

Cuando haces clic en "sitios", llegará a una nueva página de información, directamente en el sitio de Sirdata. Aún debe hacer clic en "haga clic aquí" al final de la página para descubrir los sitios cooperativos Sirdata:

A continuación encontrará todos los sitios cooperativos de Sirdata, 130 páginas paginadas, sin opción de exportación:

Estos sitios han elegido participar en la cooperativa de consentimiento de Sirdata (ya sea que utilicen Sirdata CMP en una versión gratuita o de pago).

Entonces, ¿es legal? Según Sirdata, sí porque el internauta recibe información en el primer nivel. Es libre de profundizar y consultar la lista completa de sitios web. Sirdata también se basa en estas preguntas frecuentes de la CNIL:

Sin embargo, es probable que la CNIL no hubiera previsto este caso, ya que la pregunta 21 probablemente se refiere a los responsables del tratamiento del sitio consultado por el usuario (los socios publicitarios), y no a otros sitios web que el usuario no consulta. Sirdata sostiene que esta elección es beneficiosa para el usuario porque reduce la fatiga de los banners de consentimiento. Esta elección todavía necesita ser informada.

Con Benoit, también planteamos la cuestión de la legalidad de esta “elección de grupo” a la CNIL el verano pasado (2021), sin respuesta.

La cooperativa Sirdata, una CMP con limitaciones

La participación de un sitio web en la cooperativa Sirdata impone ciertas limitaciones a los banners de consentimiento:

• Para los usuarios ubicados en territorio francés, Sirdata exige el famoso “patrón oscuro” validado por la CNIL.
• Cuando el usuario reconsidera sus elecciones, aparece un botón "Rechaza todo y continúa."está disponible.
• La opción "Rechazar todo"Sin embargo, no está disponible en el banner de consentimiento inicial.
• El número de socios publicitarios no puede exceder los 200 (hay más de 1.000 empresas publicitarias en el TCF, sin contar los socios publicitarios que no forman parte del TCF y que Google decide integrar a través de su “Modo de consentimiento adicional”).

Si no está en Safari, las elecciones del usuario se aplican a todos los sitios cooperativos de Sirdata. Tenga en cuenta que, a diferencia de algunos de sus competidores, muestra un mecanismo de "rechazo" en el primer nivel ("Continuar sin aceptar" o "Rechazar todo") es sistemático si el usuario tiene su sede en Francia. Esto es válido para todos los clientes de Sirdata, paguen o no y sean o no miembros de la cooperativa.

Sirdata evita así Interfaces “no conformes”, sin botón "Rechazar" o "Continuar sin aceptar".

Sirdata y la ilegalidad del TCF

en su comunicacionSirdata indica que las editoriales que forman parte de su cooperativa no se ven afectadas por la decisión de la APD. Para los editores que pagan el CMP de Sirdata, bastaría con no activar a todos los socios publicitarios para no verse afectados por la decisión. Aquí está el mensaje de Sirdata a sus clientes:

En general, los editores que han seguido nuestros consejos no corren ningún riesgo debido a este juicio y no tienen datos que eliminar, ni tampoco sus socios, ni la obligación de "hacer estallar" nuevamente para obtener un nuevo consentimiento.

Echemos un vistazo a algunos elementos de la decisión de la APD. En primer lugar, la APD considera que la cadena de caracteres que permite almacenar y transmitir las preferencias del usuario (TC String) son datos personales. De hecho, está asociada a la dirección IP del usuario (a la que tienen acceso los CMP); esta cadena de caracteres también determina los tratamientos publicitarios futuros de múltiples empresas de tecnología publicitaria. Sirdata lo explica muy bien:

Por lo tanto, la APD confirma que la elección –la TC String — en sí mismo no identifica directamente a personas o dispositivos pero, una vez que la elección se almacena en el dispositivo del usuario, un CMP tiene la posibilidad de asignarle un identificador único TC String, es decir la dirección IP del dispositivo en el que está almacenado. La posibilidad de combinar el TC String y la dirección IP implica que es información sobre un usuario identificable.

La APD distingue así 2 tipos de tratamiento:

• Captar y difundir la señal de consentimiento y objeciones al interés legítimo de los usuarios (a través de la cadena de caracteres TC String).
• La captura, difusión y tratamiento de datos personales por parte de empresas adtech.

En lo que respecta a la licitud y equidad del tratamiento, la Sala de lo Contencioso distingue entre dos actividades de tratamiento: por un lado, la introducción real de la señal de consentimiento, las objeciones y las preferencias del usuario en el TC String por las CMP (a), y, por otro lado, la recogida y difusión de datos personales de los usuarios por parte de las organizaciones participantes (b). (403)

Otro punto importante, la APD considera que efectivamente los CMP son corresponsables de los tratamientos, para estos 2 tipos de tratamientos:

Esto lleva a la Sala de Litigios a concluir que el demandado, junto con las CMP, los editores y los proveedores de tecnología publicitaria participantes, deben ser considerados corresponsables del tratamiento en lo que respecta a la recopilación y difusión de las preferencias, objeciones y consentimientos de los usuarios, así como al tratamiento posterior de tus datos personales. (402)

Sobre el CMP Sirdata, ¿qué fundamento legal para la captura y difusión de la señal de TC String?

Empecemos con una aclaración de Benoit:

Cuando Sirdata actúa como CMP, captura la TC String y lo envía a su base de datos para almacenar la prueba del consentimiento y su validez. Ella no lo envía a nadie más, y sólo estos tratamientos están basados ​​en obligación legal. El CMP no transmite la cadena a proveedores externos: los proveedores pueden acceder activamente a ella a través de una API expuesta en la página, pero el CMP no la "difunde".

Si no hay "difusión" de la TC String Según CMP Sirdata, exponer la cadena de caracteres a través de una API permite efectivamente su posterior difusión.

Para el primer tipo de tratamiento (capturar y exponer la señal de consentimiento y las objeciones al interés legítimo de los usuarios), Sirdata como CMP no ha indicado en qué base jurídica desea basarse. De hecho, antes de la decisión de la APD, la IAB Europa consideraba que la TC String No eran datos personales. Sin embargo, vimos que el TC String efectivamente se trataba de datos personales, pero también que los CMP eran corresponsables del tratamiento.

Por lo tanto, las CMP deben declarar una base legal para este tratamiento de datos personales. Si estudiamos Sirdata:

• Actualmente, el consentimiento no es una base jurídica válida. Sirdata almacena la cadena de consentimiento TC String en el almacenamiento local tan pronto como se muestra el banner de consentimiento y, por lo tanto, no solicita la opinión del usuario. Tras la denegación del consentimiento, el TC String se almacena en la cookie euconsent-v2.
• Actualmente, el interés legítimo tampoco es válido según la DPA, ya que el usuario no tiene posibilidad de oponerse al almacenamiento de estos datos personales: "En este sentido, la Sala de lo Contencioso considera destacable que no se ofrezca a los usuarios la opción de oponerse completamente al tratamiento de sus preferencias en el marco del TCF. Cualquiera que sea su elección, el CMP generará un TC String antes de vincularlo a la ID de usuario única del usuario, a través de una cookie euconsent-v2 colocado en el dispositivo del interesado." (421). La APD señala que este tratamiento no pasaría la prueba del "equilibrio" dado el considerable número de empresas de tecnología publicitaria que recuperan estos datos y el poco control otorgado al usuario (423).

Antes de cualquier interacción con el banner de consentimiento de Sirdata, el canal TC String se almacena con la clave sddan:cmp en el almacenamiento local de mi navegador.

Según la decisión de la APD, CMP Sirdata no parece tener una base legal para capturar y exponer la señal de consentimiento y las objeciones al interés legítimo de los usuarios. Pero después de conversaciones con Benoit, entiendo que Sirdata en realidad se basa en otra base legal para la captura y exposición de la señal. TC String, la obligación legal.

¿Obligación legal como base legal para el tratamiento?

La información en la que se basa CMP Sirdata la obligación legal como base de tratamiento para la captura y exposición de señales TC String está ausente en el banner de consentimiento de Sirdata y no se menciona en el artículo de Sirdata que analiza la decisión de la APD. Sin embargo, está indicado en la CGU de CMP Sirdata:

9.5. Té TC string y los datos estrictamente necesarios, como la fecha del último mensaje utilizado para limitar los mensajes posteriores, se almacenarán en el dispositivo del usuario, en el almacenamiento local, en una cookie denominada euconsent-v2 que puede utilizarse como cookie propia o cookie de terceros vinculada al nombre de dominio consentframework.com. Las Partes acuerdan que, de conformidad con la Deliberación CNIL n°2020-092 del 17 de septiembre de 2020, que adopta una recomendación que propone modalidades prácticas de cumplimiento en caso de recurso a "cookies y otros rastreadores", el almacenamiento o el acceso a estos datos en el terminal no está sujeto a un consentimiento previo, y si el TC String y los datos necesarios se consideran datos personales, el tratamiento será realizado por Sirdata como encargado del tratamiento que actúa en su nombre, responsable del tratamiento sobre la base de la obligación legal según el RGPD.

Según la APD, Sirdata no es un simple subcontratista sino un cocontrolador. Dicho esto, esto no afecta la base jurídica invocada por Sirdata, la obligación legal. El argumento de Sirdata para invocar la obligación legal es el siguiente: el editor y sus socios deben demostrar legalmente el consentimiento, recordar la denegación/retirada del consentimiento y memorizar la oposición para no "acosar" al usuario.

Es una pena que IAB Europe y la APD no hayan discutido esta base legal para el tratamiento, nos falta una decisión legal para saber si esta base legal realmente se cumple.

Convocatoria Sirdata deliberación n°2020-092 del 17 de septiembre de 2020 de la CNIL (disposiciones prácticas de cumplimiento en caso de utilización de “cookies y otros rastreadores”), pero esto solo ofrece un nombre del rastreador que permite almacenar las elecciones de los usuarios:

54. Por último, la Comisión anima a los profesionales a poner un nombre al rastreador que permita almacenar las elecciones de los usuarios. eu-consent, adjuntando a cada propósito un valor booleano "verdadero" o "falso" que memoriza las elecciones realizadas.

Deliberación N° 2020-091 del 17 de septiembre de 2020 (directrices “cookies y otros rastreadores”) se refiere a la exención del consentimiento relativo a la elección expresada por los usuarios sobre el depósito de trazadores:

49. En vista de las prácticas señaladas a su atención, la Comisión considera que la En particular, podrán considerarse exentos los siguientes trazadores:
    • rastreadores conservando la elección expresada por los usuarios sobre el depósito de trazadores
    • [...]

Pero la CNIL no habla de una base legal para el tratamiento según el RGPD, y menos aún de ninguna obligación legal como base legal. Una lectura atenta del Texto de la CNIL sobre obligación legal hace otras preguntas:

• La obligación legal debe estar prevista en el marco legal nacional o europeo. ¿En qué texto jurídico puede basarse entonces Sirdata?
• El responsable del tratamiento que desee invocar esta base jurídica no debe tener la opción de cumplir o no la obligación (necesidad).
• En particular, la organización debe garantizar que no existan medios menos intrusivos para lograr este objetivo.

Sin embargo, Sirdata bien podría agregar un parámetro opt-in a llamadas a su CMP. si llama a https://sirdata...?opt-in=0, entonces no hay creación del TC String, y por lo tanto no hay llamado a socios de adtech. Por tanto, la obligación legal no parece necesaria.

CMP Sirdata podría basarse en el interés legítimo como base jurídica para el tratamiento de los datos TC String (a través del parámetro opt-in, el usuario podrá oponerse al almacenamiento de los TC String). Aún sería necesario superar la prueba de ponderación dado el considerable número de socios que recuperan estos datos (423). Aquí, Sirdata argumentará que al limitar el número de socios de su cooperativa a un máximo de 200, no resulta aplicable la sentencia de la APD.

Para el socio publicitario Sirdata, ¿qué base legal para la captura y difusión de la señal de TC String?

Recuerde, Sirdata opera como CMP, pero también opera como proveedor de datos contextuales y de comportamiento. En esta función, Sirdata captura y difunde TC String. Echemos un vistazo a las explicaciones de Benoit:

Cuando Sirdata actúa como Proveedor basado en el consentimiento (Proveedor "Sirdata"), podemos capturar y transferir la TC String y otros datos personales sobre la base del consentimiento y comprobamos si la entidad a la que vamos a enviarlos tiene derecho a recibirlos. Cuando Sirdata actúa como Proveedor basándose en un interés legítimo (Proveedor "sin cookies de Sirdata"), podemos capturar y transferir la TC String y otros datos personales sobre la base de un interés legítimo y no transmitimos estos datos.

De cara al futuro, y precisamente gracias a la AOD, vamos a cambiar la base jurídica para el tratamiento TC String como vendedor, para poder transmitir la retirada del consentimiento: pronto nos basaremos únicamente en el interés legítimo (pero sólo para el TC String utilizado en este contexto).

El mismo comentario parece aplicarse aquí: será necesario pasar la prueba de ponderación dado el considerable número de socios que recuperan estos datos (423). Sirdata probablemente podrá argumentar que cuando actúa como socio publicitario ("Vendedor"), transmite la TC String a un número limitado de socios.

Anteriormente hemos estudiado las posibles bases jurídicas para el primer tipo de tratamiento indicado por la DPA: la captura y difusión de la señal de consentimiento y las objeciones al interés legítimo de los usuarios (por parte de Sirdata CMP, pero también por parte de Sirdata "Vendor"). Pasemos ahora al segundo tipo de tratamiento: la captura, difusión y tratamiento de datos personales por parte de empresas adtech.

¿El interés legítimo como base jurídica para la captura, difusión y tratamiento de datos personales por parte de empresas adtech?

Como recordatorio, aquí ya no estamos hablando de captura o difusión de la TC String pero distintos tratamientos publicitarios realizados con tus datos personales:

Los fines definidos en la versión 2 del TCF, tenga en cuenta la excepción del propósito “Almacenar y/o acceder a información en un dispositivo”, que solo puede basarse en tu consentimiento.

estudiemos la decisión de la APD sobre el interés legítimo en el tratamiento de publicidad en el marco del TCF. Por lo tanto, estos tratamientos incluyen publicidad dirigida, pero no solo. El uso del interés legítimo como base jurídica para el tratamiento está sujeto a 3 condiciones:

• Debe ser "legítimo": La APD no tiene opinión sobre si el interés económico de un actor adtech en el tratamiento de publicidad es legítimo. Pero esta condición ya no se cumple porque la APD considera que el tratamiento publicitario no está descrito de forma suficientemente específica en el marco del TCF (452).
• Debe satisfacer la condición de “necesidad”: La APD considera que esta condición no se cumple porque en el marco de RTB (Real-Time Bidding), no existe protección contra la difusión de información personal (456).
• No debe entrar en conflicto con los derechos e intereses de las personas cuyos datos se tratan: Según la APD, resulta problemático el gran número de agentes publicitarios, así como la gran cantidad de información transmitida en el marco de una subasta publicitaria. La APD también cita laEDBP (el Consejo Europeo de Protección de Datos) y elICO (CNIL inglesa), ambos consideran que el interés legítimo no es una base jurídica válida para el tratamiento de publicidad dirigida, particularmente en el marco de la RTB (460).

Leamos por ejemplo la opinión del EDBP:

Se debe exigir el consentimiento, por ejemplo, para el seguimiento y la elaboración de perfiles con fines de marketing directo, publicidad comportamental, intermediación de datos, publicidad basada en la ubicación o investigación de mercado digital basada en el seguimiento.

Y aquí está la decisión de la APD:

A la luz de las consideraciones antes mencionadas, la Sala de lo Contencioso considera que El interés legítimo de las organizaciones participantes no puede considerarse como una base jurídica adecuada para el tratamiento de actividades realizadas según el protocolo OpenRTB, de acuerdo con las preferencias y elecciones del usuario ingresadas en el TCF..

Análisis de Sirdata ahora: esta sentencia no se aplica al TCF en su conjunto, sino sólo a los tratamientos vinculados al RTB. Esto no afecta, por ejemplo, a la elaboración de perfiles realizada por Sirdata a través de su oferta "Cookieless", que se realiza antes de los intercambios RTB y no implica el intercambio de identificadores y segmentos de audiencia con socios publicitarios. Y, por tanto, CMP Sirdata puede seguir ofreciendo a sus socios el interés legítimo como base jurídica para el tratamiento.

Podemos señalar aquí que, sin siquiera hablar de RTB, el interés legítimo ya no pasa la prueba de legitimidad. Para saber más, pueden leer el artículo de Célestin Matte, Cristiana Santos y Nataliia Bielova, "Finalidades del TCF de IAB Europe: ¿qué base jurídica y cómo las utilizan los anunciantes?". Se estudia cada finalidad, independientemente de cualquier tratamiento vinculado a RTB, pero la conclusión sigue siendo la misma para el interés legítimo, esta base jurídica no se sostiene:

La nueva versión del TCF detalla mejor los fines, pero el interés legítimo seguiría sin ser válido.

Aunque este artículo es muy sólido, Sirdata podrá argumentar que falta una decisión legal sobre la validez del interés legítimo a través del TCF, fuera del protocolo OpenRTB. El TCF ciertamente está vinculado al protocolo OpenRTB como se indica en la APD:

La Sala de lo Contencioso señala que no se puede seguir el argumento de la parte demandada, dado que ésta indica varias veces en sus conclusiones que la razón de ser del TCF es precisamente hacer que el tratamiento de datos personales basado, entre otros, en el protocolo OpenRTB, sea conforme a las normas aplicables, incluido el RGPD y la directiva ePrivacy. Aunque la Sala de lo Contencioso entiende que el TCF también puede ser utilizado por los editores para otras aplicaciones, en colaboración o no con los CMP, también es cierto que el TCF nunca fue diseñado para ser un ecosistema autónomo e independiente. (368)

Pero TCF también se utiliza fuera de OpenRTB, un argumento que Sirdata puede presentar para mantener la base jurídica del "interés legítimo" en su CMP. Por lo tanto, ponemos su propio ejemplo: en ausencia de consentimiento, el uso del interés legítimo para publicidad dirigida basada en la dirección IP, técnicamente fuera del RTB (antes del mismo).

¿El consentimiento como base legal para la captura, difusión y tratamiento de datos personales por parte de empresas adtech?

Hemos visto anteriormente que el interés legítimo no es una base legal válida para el tratamiento de datos personales en OpenRTB tal como lo facilita el TCF, especialmente para el tratamiento relacionado con publicidad dirigida. La DPA también detalla por qué el consentimiento no es una base legal válida para el tratamiento de datos personales.

El argumento de Sirdata para eludir esta decisión es entonces el siguiente (ya sea por interés legítimo o por consentimiento). Como parte de su cooperativa, El CMP Sirdata va más allá que el TCF cuando se implementa al mínimo., en particular con una mejor priorización de los datos, una mejor información y, sobre todo, una limitación del número de socios.

Sin embargo, Sirdata es perfectamente consciente de que el TCF nunca tuvo como objetivo garantizar por sí solo el cumplimiento del RGPD. Por lo tanto, Sirdata CMP implementa este estándar como otros y también proporciona medidas adicionales y reglas específicas que permiten el cumplimiento de las regulaciones locales y regionales mucho más allá de lo que exige el TCF.

Podríamos enfatizar que la ausencia de una base legal para el tratamiento está lejos de ser la única violación del RGPD señalada por la APD, y que no basta con abordar mejor uno de los problemas para cumplir.

A lo que Sirdata responderá que no necesariamente es conforme, pero que sería necesario un nuevo análisis por parte de una Autoridad de Protección de Datos para determinar la validez, que se valora caso por caso. Podría citar en particular este pasaje de la decisión de la APD:

También cabe señalar que los CMP tienen mucha discreción en lo que respecta a la interfaz que proporcionan a los usuarios. De hecho, las Políticas del TCF solo imponen requisitos mínimos de interfaz a las CMP participantes, con la consecuencia de que, en la práctica, las interfaces y el respeto de los principios de equidad y transparencia pueden variar considerablemente dependiendo de la CMP con la que colaboran los editores de sitios web y aplicaciones. (381)

Este pasaje del análisis de la DPA planteó la responsabilidad conjunta de las CMP con respecto a los fines y medios del tratamiento de datos personales. En lugar de ello, estudiemos algunas de las "medidas adicionales" y "normas específicas" propuestas por Sirdata.

¿Agrupar propósitos para no verse afectados por la decisión de la APD?

Para la AOD, el consentimiento no es una base jurídica válida:

El consentimiento no es una base válida para las operaciones de tratamiento en OpenRTB según lo facilita el TCF. (428) La Sala de lo Contencioso considera que el consentimiento recogido por las CMP y los editores en la versión actual del TCF no es suficientemente libre, específico, informado e inequívoco. (432)

La APD señala, en particular, que los fines del tratamiento propuestos no se describen con suficiente claridad y, en determinados casos, incluso son engañosos:

Por ejemplo, la Cámara de Litigios señala que los propósitos 8 (“Medir el rendimiento del contenido”) y 9 (“Aplicar estudios de mercado para generar información sobre la audiencia”) proporcionan poca o ninguna indicación sobre el alcance del tratamiento, la naturaleza de los datos personales procesados ​​o la duración de la retención de los datos personales recopilados hasta que el usuario retire tu consentimiento. (433)

A lo que Sirdata indica que ya ha respondido, en particular agrupando estas dos finalidades bajo el título “Medición de audiencia”:

Sirdata especifica en su blog:

Para permitir el consentimiento informado, en el segundo nivel los “fines” del TCF se agrupan bajo el “límite” de propósitos definidos por la CNIL en su Recomendación de trazador de 17 de septiembre de 2021, como “publicidad dirigida” o “medición de audiencia”.

Excepto que estos propósitos publicitarios son en realidad muy diferentes de la medición de la audiencia y el tráfico a un sitio, como puede hacerse con una herramienta como Google Analytics, AT Internet o Matomo. En general, se trata de un tratamiento realizado mediante paneles y herramientas de análisis de mercado como Nielsen u otros Comscore. Así, a través de esta agrupación, Sirdata trae confusión a propósitos ya existentes.

¿Diferentes modos de acceso a las páginas de vida privada de los socios para no verse afectados por la decisión de la APD?

Otro punto en el que Sirdata afirma ir “más allá del TCF” y escapar así a la decisión de la APD es el acceso a la información sobre las operaciones de tratamiento específicas de cada proveedor de adtech. He aquí un pasaje de la decisión de la APD:

Además, la información que las CMP brindan a los usuarios sigue siendo demasiado general para reflejar las operaciones de tratamiento específicas de cada proveedor de tecnología publicitaria, lo que impide la granularidad necesaria del consentimiento. (436)

Entonces, ¿qué hace Sirdata? Esto es lo que dice:

La información obligatoria en el marco del TCF es, de hecho, una base común en bruto insuficiente: Sirdata y sus clientes van mucho más allá.

Además de reflejar la información obligatoria en el TCF, la interfaz de usuario de Sirdata CMP proporciona información adicional sobre los datos procesados ​​y el propósito de este tratamiento, y prioriza la información para facilitar la comprensión y el control del usuario.

Parte de la información está disponible en el primer nivel, otra, como la lista de destinatarios, está fácilmente disponible en el segundo nivel, y se puede acceder a información adicional, como las condiciones para el ejercicio de derechos, a través de enlaces a las páginas de Privacidad.

En la práctica, cuando amplía un propósito a través del banner de consentimiento, puede mostrar la lista de socios. Si hace clic en uno de los socios, tendrá un enlace a su página de "vida privada":

El socio “Sirdata Cookieless”, que utiliza el interés legítimo para crear un perfil publicitario personalizado.

Se puede notar que este enlace a la página “vida privada” ya lo impone la IAB TCF:

Al utilizar el llamado enfoque en capas, se debe proporcionar una capa secundaria que permita al usuario: revisar la lista de Proveedores nombrados, sus Propósitos, Propósitos Especiales, Características, Características Especiales, Bases Legales asociadas, y un enlace a la política de privacidad de cada Proveedor.

Pero Sirdata indica que va más allá que ciertos CMP, que no requieren la capacidad de enumerar socios en función de un propósito determinado. Podemos ver la diferencia con el sitio web de L'Express, que utiliza el CMP de Didomi:

No puedo extenderme en “Interés legítimo”, no veo que Sirdata se apoye en esta base legal para “Crear un perfil publicitario personalizado”.

Pero la vistaFogonadura"le permite enumerar los diferentes socios y presentar un enlace a la página de vida privada de cada socio:

Para "Crear un perfil publicitario personalizado" en L'Express con el CMP de Didomi, Sirdata también se basa en un interés legítimo, a través del famoso socio "Sirdata Cookieless".

Para Sirdata, la "mejor" priorización de la información en su CMP no necesariamente la hace legal, sino que requiere una nueva decisión de la APD para juzgar su legalidad.

¿Limitar el número de socios para no verse afectados por la decisión de la APD?

El principal argumento de Sirdata, La decisión de la APD no se aplicaría a Sirdata, porque impone a sus clientes la elección de socios, con un límite de 200 socios para su cooperativa. (excluyendo cooperativas, no hay límite).

Como parte de la cooperativa de elección que gestiona, Sirdata llega incluso a imponer una techo de 200 socios, muy lejos de los 2.000 socios potenciales del TCF y de la red de consentimiento gestionada además por Google –“AC Mode”-.

Estas salvaAdGuards permiten evitar el tratamiento a gran escala de las preferencias de los usuarios (recopiladas en el marco del TCF) en el marco del protocolo RTB abierto: Según la DPA, los intereses de las personas interesadas sólo prevalecen sobre los intereses legítimos de las organizaciones que participan en el TCF cuando todas estas últimas son seleccionadas..

Pero en la decisión de la APD no se menciona un interés legítimo de las organizaciones que prevalecería sobre los intereses de los interesados ​​si estos últimos no fueran seleccionados... Sirdata declara, no obstante, basarse en este extracto:

Aunque las Políticas del TCF prohíben a los CMP otorgar preferencia a ciertos proveedores de tecnología publicitaria en la Lista Global de Proveedores, y que, por lo tanto, están obligados en principio a presentar a los usuarios todos los proveedores registrados en el TCF, a menos que los editores indiquen lo contrario, algunos autores señalan que varios CMP no respetan este requisito. Ya sea porque los CMP imponen proveedores preseleccionados a los editores, o porque les niegan la posibilidad de desviarse de la lista completa de proveedores de adtech, ofrecida por defecto. (380)

Este pasaje está ahí para explicar por qué las CMP deben considerarse corresponsables del tratamiento y no para indicar ningún problema con demasiados socios. Además, la IAB Europa no exige presentar la lista completa, sino sólo no discriminar a una pareja en particular:

En cualquier interacción con el Marco, un CMP no puede excluir, discriminar ni dar un trato preferencial a un Proveedor, excepto de conformidad con instrucciones explícitas del Editor involucrado en esa interacción y de acuerdo con las Especificaciones y las Políticas.

El razonamiento de Sirdata es el siguiente:

• Según el TCF, estamos obligados a presentar a todos los proveedores por defecto (esto no es una "obligación", como muestra el documento de IAB Europe).
• Esta presentación no es válida según la AOD (Sirdata interpreta el "en principio" de la AOD como una obligación).
• No respetamos esta "obligación" de la TCF, porque exigimos a los clientes que elijan a sus socios (200 como máximo, so pena de no poder formar parte de la cooperativa, una treintena por defecto).
• Por eso la decisión de la APD no nos concierne.

Pero Sirdata sigue las recomendaciones de IAB Europe porque no discrimina a ningún socio en particular. Sin embargo, podemos encontrar otro argumento vinculado al número de socios en la decisión de la APD:

En particular, los destinatarios para quienes se recopila el consentimiento son tan numerosos que los usuarios necesitarían una cantidad desproporcionada de tiempo para leer esta información, lo que significa que tu consentimiento rara vez puede estar suficientemente informado. (435)

Para Sirdata, imponer la elección de socios (con un límite máximo de 200 socios) no necesariamente hace que su CMP sea legal, pero sería necesaria otra evaluación por parte de una autoridad reguladora.

La ilegalidad de los banners de consentimiento de la IAB no afecta solo a la base jurídica del tratamiento

A través de este artículo, solo hemos podido arañar la superficie de los problemas que plantean los banners de consentimiento de la IAB. Sirdata indica que ir "más allá" de la implementación "mínima" del TCF permitiría a sus clientes continuar "como siempre" con su CMP. Sin embargo, la ilegalidad del TCF es sistémica y seguir dependiendo de él es jurídicamente riesgoso. Además, no será fácil hacer evolucionar el TCF para hacerlo legal, ya que el mecanismo mismo del RTB parece irreconciliable con el GDPR, particularmente en lo que respecta a la seguridad de los datos personales.

Aquí hay un resumen de las violaciones del RGPD, en este artículo del ICCL (Consejo Irlandés para las Libertades Civiles, la organización donde ahora trabaja Johnny Ryan) sobre la decisión de la DPA:

¿Podrían unas cuantas adaptaciones legalizar el TCF?

Puede profundizar en el tema leyendo estos artículos:

• "¿Una filtración interminable de datos inmune a la auditoría? ¿Se pueden conciliar el TCF y el RTB con el RGPD?", de Johnny Ryan y Cristiana Santos.
• “Preguntas imposibles: ¿Puede el marco de transparencia y consentimiento autorizar alguna vez las licitaciones en tiempo real después de la decisión de la DPA belga?”, de Michael Veale, Midas Nouwens y Cristiana Santos.

y mirando esta presentación de Robin Berjon, "El consentimiento de los gobernados".

Hacia una internet sin vigilancia impuesta y sin banners de consentimiento

Corresponde a las CNIL europeas confiar en esta importante decisión de la APD para sancionar adecuadamente a los distintos interesados ​​(CMP, editores, socios publicitarios) y prohibir la filtración masiva de datos personales a través del RTB. Se agradecería prohibir la publicidad dirigida y no sólo para menores, como propone la DSA. Como mínimo, la CNIL podría pronunciarse más claramente sobre la publicidad dirigida basada en intereses legítimos.

Además, estos banners de consentimiento no deberían existir, el usuario debería poder aceptar o rechazar el seguimiento de la industria publicitaria directamente a través de la configuración de tu navegador (opt-in), basado en el modelo de lo que Apple ya ofrece a través de su sistema ATT. Y como tal, iniciativas como la Control de privacidad global (GPC) o el Control Avanzado de Protección de Datos (ADPC) merecen ser desarrollados y respaldados por la ley.