Para los que miran el desmantelamiento a cámara lenta de la publicidad de vigilancia en la Unión Europea aquí hay un nuevo desarrollo en el largo y tortuoso camino hacia un ajuste de cuentas legal largamente esperado: Múltiples motivos de apelación presentados por el organismo de la industria, IAB Europe, contra un hallazgo de incumplimiento a principios de este año contra su autoproclamado marco de «mejores prácticas» para obtener el consentimiento de los usuarios de la web para que sus datos se procesen para la publicidad conductual, ha sido desestimado por el Tribunal de Apelación del Mercado de Bruselas.
Al mismo tiempo, se han remitido cuestiones legales al tribunal supremo de Europa relacionadas con una serie de otros motivos de apelación, lo que significa que en los próximos años se producirá un fallo duro para un componente emblemático de la elaborada maquinaria de la tecnología publicitaria de vigilancia.
El problema específico aquí es un marco de «industria cruzada» especificado y promovido por IAB Europe, y adoptado por decenas de editores y anunciantes para afirmar que están obteniendo el «consentimiento» de los usuarios web para el seguimiento de anuncios, pero que los críticos argumentan que se reduce a elaborar un ‘teatro de cumplimiento’, promulgando una pantomima de consentimiento para solucionar las leyes de privacidad de la UE.
Esta herramienta de consentimiento, también conocida como Marco de Transparencia y Consentimiento (TCF, por sus siglas en inglés), es la base de la mayoría de las irritantes ventanas emergentes de consentimiento de anuncios que plagan a los usuarios de la web en la región; sin embargo, se descubrió que violaba el Reglamento General de Protección de Datos (RGPD) del bloque a principios de este mes. año, después de una larga investigación por parte de la autoridad de protección de datos de Bélgica, que confirmó lo que los expertos legales y de privacidad habían estado advirtiendo durante años: que la mayoría consiente en rastrear anuncios es una gran mentira.
Las violaciones de GDPR confirmadas en la decisión de la autoridad belga sobre el TCF, en febrero, cubren principios importantes como la legalidad del procesamiento; equidad y transparencia; seguridad del procesamiento; integridad de los datos personales; y protección de datos por diseño y por defecto, entre otros.
También se descubrió que el propio IAB Europe había infringido el RGPD. Y el organismo de la industria de la publicidad en línea recibió un plazo estricto de seis meses para corregir una larga lista de infracciones, aunque se ha permitido que el TCF persista mientras tanto (por lo que las molestas ventanas emergentes aún no han desaparecido).
IAB Europe respondió al golpe regulatorio despidiendo a sus abogados y presentando una apelación, buscando deshacer la decisión de la DPA belga argumentando en su contra desde múltiples ángulos, desde reclamos de injusticia procesal hasta negaciones rotundas de que su papel o las tecnologías que utiliza. los novillos infringen las leyes de la UE.
Simultáneamente, en una negación adicional de un problema de privacidad existencial con el seguimiento de anuncios, el organismo dijo que planeaba presionar y presentar el TCF como un «Código de conducta transnacional», aparentemente mirando. injertar en el ‘cumplimiento’ de los requisitos reglamentarios de EE. UU. (como la CCPA de California). (Un organismo adtech asociado con sede en EE. UU., IAB Tech Lab, publicó un borrador de marco «global» de reemplazo este verano, llamado «Plataforma de privacidad global», que afirma «racionalizar[es] privacidad técnica y estándares de señalización de protección de datos en un esquema singular y un conjunto de herramientas que pueden adaptarse a las demandas regulatorias y comerciales del mercado a través de los canales”, pero que los críticos advierten que simplemente repite muchas de las mismas fallas evidentes que han llevado al TCF al agua caliente legal en Europa, por lo que la falta de celo reformador es palpable.)
Pero la gran pregunta es cuánto kilometraje puede sacar la IAB negando la realidad legal en la UE, donde la protección de datos es (al menos en papel) integral y la privacidad es un derecho fundamental.
En un primer golpe a su apelación contra la huelga de GDPR de TCF, ahora se han descartado un montón de sus quejas de procedimiento.
¿Motivos de apelación?
De los ocho motivos decididos por el tribunal de Bruselas en este punto de la apelación, se determinó que cinco eran totalmente infundados, y solo dos de los motivos finales se consideraron «bien fundados en parte», como dice el fallo del Tribunal. (Aquellas relacionadas con la conclusión de que alegaciones y quejas adicionales, centradas en si un mecanismo en el marco de la IAB constituye datos personales, se incorporaron a la decisión después de la audiencia sin «suficiente diligencia». Aunque el tribunal enfatiza que la autoridad no habría tenido para abrir una investigación completamente nueva, como había argumentado el IAB, por lo que parece una victoria procesal bastante menor).
Los otros cinco motivos sobre los que el tribunal ha decidido en esta etapa, como la afirmación de la IAB de que las denuncias eran inadmisibles o el informe de inspección de la autoridad era «incompleto y sesgado», fueron desestimados.
Sin embargo, aún hay más motivos presentados por el IAB (la sentencia enumera diecinueve en total). Y el recurso ahora está suspendido a la espera de la respuesta del Tribunal de Justicia (TJUE) a las cuestiones legales relacionadas con estos motivos.
Las preguntas referidas se centran en si una cadena de consentimiento por usuario pasada a través del TCF constituye o no datos personales (la IAB argumenta que no, pero la DPA belga decidió que sí, como también argumentan los reclamantes); y si el IAB, que se presenta como un humilde organismo de estándares de la industria, es un controlador de datos conjunto para los propósitos del TCF y la llamada «cadena TC» (nuevamente, argumenta que no, pero la autoridad lo encontró ser un controlador conjunto).
“Que el Tribunal de Apelación de Bruselas haya remitido nuestras preguntas al Tribunal de Justicia de la Unión Europea muestra la importancia de este caso”, dijo uno de los denunciantes originales, el Dr. Johnny Ryan, miembro principal del Consejo Irlandés para las Libertades Civiles, en un comunicado. “La sentencia de hoy es el siguiente paso en nuestro esfuerzo por poner fin a las ventanas emergentes de consentimiento que han acosado a los usuarios de Internet en Europa durante años. Ahora esperamos con interés las respuestas del Tribunal de Justicia de las Comunidades Europeas y, posteriormente, una sentencia sobre el fondo del Tribunal de Apelación de Bruselas”.
El TJUE podría tardar algunos años en emitir un fallo sobre estas cuestiones pero no hay vía de apelación sobre lo que decida. Así que el tren ahora ha salido de la estación.
Habrá, en poco tiempo, un veredicto endurecido de la corte sobre puntos cruciales como si una entidad que diseña y promueve la infraestructura adtech de vigilancia masiva, y cuyas reglas dictan los procedimientos centrales de esta maquinaria de seguimiento, es capaz de evadir toda la fuerza de ¡La ley de privacidad de la UE al afirmar que es solo un organismo de estándares, jefe! Y en la prestidigitación emblemática de la IAB, cuando afirma que las cadenas de TC no son datos personales y no se vinculan a individuos, ergo, de todos modos, no hay necesidad de una base legal para procesarlas, lo que sería bastante fácil. cláusula para anuncios conductuales de la ley de protección de datos de la UE si el tribunal lo permite.
(La respuesta de la DPA belga a ese argumento fue señalar que el TCF vincula la cadena de consentimiento a la dirección IP del usuario, que se considera absolutamente información personal según el RGPD; y que los usuarios de la herramienta también pueden identificar a los usuarios a través de otros datos; y que, de hecho, el objetivo de la cadena TC es identificar al usuario).
En este punto, vale la pena refrescar la memoria sobre cómo el RGPD define los datos personales [with added emphasis ours]:
‘datos personales’ significa cualquier información relativa a un identificado o identificable persona natural (‘sujeto de datos’); una persona física identificable es una quien puede ser identificadodirectamente o indirectamenteEn particular por referencia a un identificador como un nombre, un número de identificación, datos de ubicación, un identificador en línea oa uno o más factores propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de esa persona natural;
Así que ahora los ciudadanos de la UE molestos por innumerables ventanas emergentes ilegales deben contener la respiración para un fallo del TJUE. (Pero las mejores mentes legales en Europa seguramente no necesitarán reflexionar demasiado para denunciar este mulligan).
¿Próxima parada, hacer cumplir la ley?
Mientras tanto, la DPA belga podría, y realmente debería, reiniciar la aplicación de la orden original, dada la gran escala de violaciones y riesgos para los derechos fundamentales de los europeos de permitir que la vigilancia masiva ilegal por parte de adtech fuera de control continúe sin control.
Cuando se le preguntó acerca de sus expectativas de cumplimiento, Ryan le dijo a TechCrunch que está investigando si la decisión de la autoridad ahora finalmente se puede aplicar (un fallo preliminar belga sobre el TCF, que también lo encontró en incumplimiento del GDPR, se remonta a casi dos años completos en este momento) .
“La prórroga fue hasta la decisión del Tribunal de Mercados. Por lo tanto, debería poder aplicarlo ahora”, sugirió, y agregó: “La industria de la publicidad en línea basada en el seguimiento debe reconciliarse con la probabilidad de que la ley de protección de datos de la UE realmente se haga cumplir”.
También nos comunicamos con la autoridad belga y con IAB Europe con preguntas, pero ninguno había respondido en el momento de la publicación.
IAB Europe ha publicado una declaración en su sitio web sobre los desarrollos, reconociendo lo que se refiere como un «fallo provisional» y la remisión de preguntas al TJUE, que dice que «da la bienvenida».
“La interpretación de las nociones de datos personales y de control asumidas por la APD [Belgian DPA] es innecesariamente amplio desde el punto de vista de la protección del consumidor y tiene importantes implicaciones negativas para el desarrollo de estándares abiertos y los códigos de conducta previstos en el RGPD”, agregó Townsend Feehan, director ejecutivo de IAB Europe, en un comentario enlatado. “Sería una carga financiera inaceptable para las organizaciones anfitrionas, lo que desalentaría el desarrollo de estas importantes herramientas de cumplimiento”.
En un comunicado en su sitio web, la autoridad belga escribe que «ahora tendrá que analizar más a fondo el fallo antes de poder expresarse con más detalle sobre su contenido», pero se declara «satisfecho con esta decisión, que aclarará más». conceptos clave del RGPD, como la definición del concepto de controlador de datos y su aplicabilidad a los diseñadores de marcos”.
Hielke Hijmans, presidente de la Cámara de Litigios de la DPA, agregó en un comunicado: “El caso IAB Europe, en el que fallamos en febrero, tiene un impacto que va mucho más allá de Bélgica. Por eso creemos que es bueno que se esté discutiendo a nivel europeo, en el Tribunal de Justicia de la UE”.
La autoridad continúa escribiendo que su decisión ha «hecho una contribución importante a la protección de la privacidad de los usuarios de Internet en Europa, a través de su análisis del mecanismo para registrar las preferencias de los usuarios para la publicidad en línea dirigida», argumentando además: «Aumentará conocimiento sobre la publicidad en línea, y especialmente sobre el mecanismo detrás del consentimiento para recibir publicidad dirigida”.
La declaración de la DPA agrega que Bélgica «discutirá los posibles próximos pasos con sus homólogos de la UE».
Lo cual, bueno, suena un poco como ‘mira este espacio’…