La IAB, el TCF y el consent string en esas cookies de las que usted me habla

Tenemos una interesantísima resolución del TJUE, del pasado 7 de marzo, en relación a una cuestión prejudicial que le plantean desde el organismo regulador de Bélgica sobre el rol que asume la IAB en el tratamiento de los datos incluidos en el “consent string” para la gestión de los consentimientos de cookies a través de los CMP.  

Quisiera aclarar que este post es un resumen que refleja el tenor literal de la resolución judicial. 

Se trata de una síntesis resaltando los aspectos que considero más relevantes sin entrar en un análisis interpretativo. La resolución completa está aquí.

Pero es que es “taaaaaaaan” autoexplicativa de conceptos que deberían ser conocidos para los agentes que intervienen en la instalación de cookies u otros elementos de rastreo pero que no siempre conocen, que me parece que merece mucho la pena. Conceptos como: qué es la IAB, el consent string o cómo se gestionan los consentimientos en los CMP, están muy bien explicados.

Spoiler si se quiere evitar la lectura porque ya se conocen los conceptos:

• Sí, el Tribunal considera que la información contenida en el «consent string» es un dato de carácter personal.
• Sí, entiende que la IAB es corresponsable del tratamiento. 

1. Qué es la IAB y TCF

IAB Europe es una asociación sin ánimo de lucro, establecida en Bélgica, que representa a las empresas del sector de la publicidad y del marketing digitales a nivel europeo. 

Los miembros de IAB Europe son, entre otras, empresas de ese sector como editores, empresas de comercio electrónico y de marketing e intermediarios. 

Entre los miembros de IAB Europe figuran, en particular, empresas que generan ingresos importantes mediante la venta de espacios publicitarios en sitios de Internet o en aplicaciones.

IAB Europe ha elaborado el Transparency & Consent Framework (Marco de Transparencia y Consentimiento “TCF»), que es un marco de normas compuesto por directrices, instrucciones, especificaciones técnicas, protocolos y obligaciones contractuales que permiten, tanto al proveedor de un sitio de Internet o de una aplicación, como a los intermediarios de datos o incluso a las plataformas publicitarias tratar legalmente los datos personales de un usuario de un sitio de Internet o de una aplicación.

El TCF tiene como objetivo, en particular, favorecer el cumplimiento del RGPD cuando esos operadores recurren al protocolo OpenRTB, uno de los protocolos más utilizados para el Real Time Bidding, que es un sistema de subasta en línea instantánea y automatizada de perfiles de usuarios para la compraventa de espacios publicitarios en Internet. Habida cuenta de determinadas prácticas llevadas a cabo por miembros de IAB Europe en el marco de este sistema de intercambio masivo de datos personales relativos a perfiles de usuarios, IAB Europe presentó el TCF como una solución que podía conformar dicho sistema de subastas al RGPD.

En particular, desde un punto de vista técnico, cuando un usuario consulta un sitio de Internet o una aplicación que contiene un espacio publicitario, las empresas de tecnología publicitaria, y en particular los intermediarios de datos y las plataformas publicitarias, que representan a miles de anunciantes, pueden pujar en tiempo real, sin ser vistos, por la obtención de ese espacio publicitario a través de un sistema de subastas automatizado que utiliza algoritmos, con el fin de mostrar en dicho espacio publicidad dirigida adaptada específicamente al perfil de tal usuario.

Antes de mostrar esa publicidad dirigida, debe obtenerse el consentimiento de dicho usuario. 

Así, cuando el usuario consulta un sitio de Internet o una aplicación por primera vez, una plataforma de gestión del consentimiento denominada “Consent Management Platform” (“CMP”) aparece en una ventana emergente que permite a dicho usuario:

• Dar su consentimiento al proveedor del sitio de Internet o de la aplicación para la recogida y el tratamiento de sus datos personales con fines previamente definidos (como, en particular, la comercialización o la publicidad)
• Para el intercambio de esos datos con determinados proveedores, 
• Oponerse a diferentes tipos de tratamiento de datos o al intercambio de estos datos sobre la base de los intereses legítimos.

Estos datos personales se refieren, en particular, a la localización del usuario, su edad, su historial de búsquedas y sus compras recientes. 

El TCF proporciona un marco para un tratamiento de datos personales a gran escala y facilita el registro de las preferencias de los usuarios a través de la CMP. A continuación, estas preferencias se codifican y almacenan en una cadena compuesta por una combinación de letras y caracteres, designada por IAB Europe con el nombre de Transparency and Consent String (“TC String”), que se comparte con intermediarios de datos personales y plataformas publicitarias que participan en el protocolo OpenRTB, para que estos sepan en qué ha consentido el usuario o a qué se ha opuesto. 

La CMP coloca también una cookie (euconsent-v2) en el dispositivo del usuario. Cuando se combinan, la TC String y la cookie euconsent-v2 pueden vincularse a la dirección IP de ese usuario.

El TCF desempeña un papel en el funcionamiento del protocolo OpenRTB, ya que permite transcribir las preferencias del usuario para su comunicación a potenciales vendedores y alcanzar diferentes objetivos de tratamiento, incluido ofrecer publicidad a medida. El TCF tiene por objeto, en particular, garantizar a los intermediarios de datos personales y a las plataformas publicitarias el cumplimiento del RGPD a través de la TC String.

2. Reclamaciones contra la IAB

El organismo regulador de protección de datos de Bélgica declaró que IAB Europe actuaba como responsable del tratamiento de los datos personales en relación con el registro del consentimiento, de las objeciones y de las preferencias de los usuarios individuales a través de una “TC String” que está asociada a un usuario identificable. 

La IAB se opone a que se considere que actuó como responsable del tratamiento. Subraya, además, que solo los demás participantes en el TCF podrían combinar la TC String con una dirección IP para transformarla en un dato personal, que la TC String no es específica de un usuario y que la propia IAB no tiene la posibilidad de acceder a los datos tratados en este contexto por sus miembros.

3. Preguntas planteada al TJUE

1. ¿Debe interpretarse que una cadena compuesta por una combinación de letras y caracteres, como la TC String, que contiene las preferencias de un usuario de Internet o de una aplicación relativas al consentimiento de dicho usuario respecto del tratamiento de datos personales que le conciernen por proveedores de sitios de Internet o de aplicaciones, así como por intermediarios de tales datos y por plataformas publicitarias, constituye un dato persona? Cuando una organización sectorial ha establecido el marco normativo para la generación, el almacenamiento y la difusión de esta cadena y los miembros de esa organización han aplicado tales normas y tienen así acceso a la mencionada cadena. 

Una cadena compuesta por una combinación de letras y caracteres, como la TC String, contiene las preferencias de un usuario de Internet o de una aplicación relativas al consentimiento de dicho usuario en el tratamiento por terceros de datos personales que le conciernen o que se refieren a su eventual oposición a un tratamiento de tales datos basado en un interés legítimo.

Cuando una TC String no contiene en sí misma elementos que permitan la identificación directa del interesado, no es menos cierto, en primer lugar, que contiene las preferencias individuales de un usuario específico por lo que respecta a su consentimiento en el tratamiento de los datos personales que le conciernen, lo que constituye información sobre una persona física.

2. ¿Tiene alguna relevancia a este respecto el hecho de que la aplicación del estándar implique que esta cadena de caracteres esté disponible junto a una dirección IP?

Cuando la información contenida en una TC String se asocia con un identificador, como, en particular, la dirección IP del dispositivo de tal usuario, puede permitir crear un perfil de dicho usuario e identificar efectivamente a la persona a que se refiere específicamente tal información.

En la medida en que el hecho de asociar una cadena compuesta por una combinación de letras y caracteres, como la TC String, con datos adicionales, en particular con la dirección IP del dispositivo de un usuario o con otros identificadores, permite identificar a dicho usuario, procede considerar que la TC String contiene información sobre un usuario identificable, por lo que constituye un dato personal.

3. ¿Sería distinta la respuesta anterior si la IAB no tuviera ella misma acceso legal a los datos personales tratados por sus miembros en el marco de dicho estándar?

Esta interpretación no queda desvirtuada por el mero hecho de que la propia IAB Europe no pueda combinar la TC String con la dirección IP del dispositivo de un usuario y no tenga la posibilidad de acceder directamente a los datos tratados por sus miembros en el marco del TCF.

Los miembros de IAB Europe están obligados a comunicarle, a petición de la IAB, toda la información que le permita identificar a los usuarios cuyos datos son objeto de una TC String.

LA IAB Europe dispone, de conformidad con lo expuesto en el considerando 26 del RGPD, de medios razonables que le permiten identificar a una persona física determinada a partir de una TC String gracias a la información que sus miembros y otras organizaciones que participan en el TCF están obligados a facilitarle.

Carece de pertinencia el hecho de que, sin una contribución externa, que tiene derecho a exigir,la IAB no pueda acceder a los datos tratados por sus miembros en el marco de las normas que ella ha establecido ni combinar la TC String con otros identificadores, como, en particular, la dirección IP del dispositivo de un usuario.

4. ¿La IAB debe ser calificada de responsable del tratamiento cuando ofrece a sus miembros un estándar para la gestión del consentimiento que, además de un marco técnico vinculante, comprende disposiciones en las que se establece con detalle el modo en que deben almacenarse y difundirse estos datos de consentimiento que constituyen datos personales?

El concepto de “responsable del tratamiento” no se remite necesariamente a una única entidad, sino que puede aludir a varios actores que participen en ese tratamiento, cada uno de los cuales estará por tanto sujeto a las disposiciones aplicables en materia de protección de datos. Cuando una persona física o jurídica, atendiendo a sus propios objetivos, influye en el tratamiento de datos personales y participa, por ello, en la determinación de los fines y los medios de dicho tratamiento puede ser considerada responsable del tratamiento.

De conformidad con el artículo 26.1 del RGPD, existen corresponsables del tratamiento cuando dos o más responsables del tratamiento determinen conjuntamente los fines y medios del tratamiento. Si bien cada corresponsable del tratamiento debe responder de manera independiente a la definición de “responsable del tratamiento”, la existencia de una responsabilidad conjunta no supone necesariamente que, con respecto a un mismo tratamiento de datos personales, los diversos agentes tengan una responsabilidad equivalente. Al contrario, los agentes pueden estar implicados en distintas etapas del tratamiento y en distintos grados, de modo que el nivel de responsabilidad de cada uno de ellos debe evaluarse teniendo en cuenta todas las circunstancias pertinentes del caso concreto. 

Además, la responsabilidad conjunta de varios agentes respecto a un mismo tratamiento en virtud de dicho precepto no presupone que cada uno de ellos tenga acceso a los datos personales en cuestión.

La participación en la determinación de los fines y medios del tratamiento puede adoptar distintas formas y resultar tanto de una decisión común adoptada por dos o más entidades como de decisiones convergentes de esas entidades. En este último caso, dichas decisiones deben complementarse, de modo que cada una de ellas tenga un efecto concreto en la determinación de los fines y medios del tratamiento. En cambio, no puede exigirse que exista un acuerdo formal entre dichos responsables del tratamiento en cuanto a los fines y medios del tratamiento.

Para determinar si IAB Europe, puede ser considerada corresponsable del tratamiento, es preciso, apreciar si, habida cuenta de las circunstancias particulares del caso concreto, dicha organización sectorial influye, atendiendo a sus propios objetivos, en el tratamiento de datos personales, como la TC String, y determina, junto con otros, los fines y medios de tal tratamiento.

• Por lo que respecta a los fines de tal tratamiento de datos personales, el TCF establecido por IAB Europe constituye un marco normativo que tiene por objeto garantizar la conformidad con el RGPD del tratamiento de datos personales de un usuario de un sitio de Internet o de una aplicación efectuado por determinados operadores que participan en la subasta en línea de espacios publicitarios. En estas circunstancias, el TCF pretende, en esencia, favorecer y permitir la compraventa de espacios publicitarios en Internet por parte de esos operadores. Por consiguiente, puede considerarse, que IAB Europe influye, atendiendo a sus propios objetivos, en las operaciones de tratamiento de datos personales de que se trata en el litigio principal y determina, por ello, junto con sus miembros, los fines de tales operaciones.

• En cuanto a los medios utilizados para tal tratamiento de datos personales, se desprende, que el TCF constituye un marco normativo que los miembros de IAB Europe deben aceptar para adherirse a dicha asociación. En particular, si alguno de sus miembros no cumple las normas del TCF, IAB Europe puede adoptar respecto de ese miembro una decisión de incumplimiento y de suspensión que puede dar lugar a la exclusión de dicho miembro del TCF, y, por lo tanto, a impedirle invocar la garantía de conformidad con el RGPD que supuestamente proporciona ese dispositivo para el tratamiento de datos personales que efectúa mediante TC Strings.

Además, y desde un punto de vista práctico, el TCF establecido por IAB Europe contiene especificaciones técnicas relativas al tratamiento de la TC String. En particular, parece que estas especificaciones describen con precisión el modo en que las CMP están obligadas a recabar las preferencias de los usuarios en relación con el tratamiento de los datos personales que les conciernen y la manera en que deben tratarse tales preferencias para generar una TC String. Además, también se establecen normas precisas en lo que respecta al contenido de la TC String, así como al almacenamiento y al intercambio de esta.

Debe considerarse que una organización sectorial como IAB Europe influye, atendiendo a sus propios objetivos, en las operaciones de tratamiento de datos personales de que se trata en el litigio principal y determina, por ello, junto con sus miembros, los medios que están en el origen de tales operaciones. De ello se deduce que debe ser considerada corresponsable del tratamiento.

5. ¿Sería distinto si IAB no tuviera ella misma acceso legal a los datos personales que son tratados por sus miembros en el marco de este estándar?

No, ese hecho no impide que la IAB  pueda ser calificada de responsable del tratamiento.

6. Si se califica a la IAB como responsable o corresponsable del tratamiento, ¿se extiende automáticamente esta responsabilidad o corresponsabilidad a los tratamientos ulteriores por terceros para los que se obtienen las preferencias de los usuarios de Internet, como la publicidad en línea dirigida, realizada por editores y vendedores?

No, debe excluirse que la eventual corresponsabilidad de la IAB se extienda automáticamente a los tratamientos ulteriores de datos personales efectuados por terceros, tales como los proveedores de sitios de Internet o de aplicaciones, en lo que respecta a las preferencias de los usuarios a efectos de la publicidad dirigida en línea.

El RGPD define el tratamiento de datos personales como “cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción”.

De esta definición resulta que un tratamiento de datos personales puede estar constituido por una o varias operaciones, cada una de ellas referida a una de las distintas fases de ese tratamiento.

Por otro lado, se desprende que una persona física o jurídica únicamente puede ser considerada corresponsable de las operaciones de tratamiento de datos personales si determina conjuntamente los fines y medios. Por consiguiente, dicha persona física o jurídica no puede ser considerada responsable, en el sentido de dichas disposiciones, de las operaciones anteriores o posteriores de la cadena de tratamiento respecto de las que no determine los fines ni los medios

En el presente asunto, debe distinguirse entre, por una parte, el tratamiento de datos personales efectuado por los miembros de IAB Europe, a saber, los proveedores de sitios de Internet o de aplicaciones y los intermediarios de datos o incluso las plataformas publicitarias, en el momento del registro en una TC String de las preferencias en materia de consentimiento de los usuarios de que se trata según el marco normativo establecido en el TCF y, por otra parte, el tratamiento ulterior de datos personales efectuado por esos operadores y por terceros sobre la base de tales preferencias, como la transmisión de esos datos a terceros o la oferta de publicidad personalizada dirigida a dichos usuarios. 

Este tratamiento ulterior  no parece implicar la participación de IAB Europe, de modo que procede excluir una responsabilidad automática de tal organización, junto con dichos operadores y con terceros, en lo que respecta al tratamiento de los datos personales efectuado sobre la base de los datos relativos a las preferencias de los usuarios en cuestión que se contienen en una TC String.

Así pues, una organización sectorial, como IAB Europe, solo puede ser considerada responsable de tales tratamientos ulteriores si se demuestra que ha influido en la determinación de los fines de los tratamientos y de las modalidades de su ejercicio.

4. Conclusión

1. Una cadena compuesta por una combinación de letras y caracteres, como la TC String (Transparency and Consent String), que contiene las preferencias de un usuario de Internet o de una aplicación relativas al consentimiento de dicho usuario en el tratamiento de datos personales que le conciernen por proveedores de sitios de Internet o de aplicaciones, así como por intermediarios de tales datos y por plataformas publicitarias, constituye un dato personal, en el sentido de esta disposición, en la medida en que, cuando puede asociarse, por medios razonables, a un identificador, como en particular la dirección IP del dispositivo de dicho usuario, permite identificar al interesado.  

En tales circunstancias, el hecho de que, sin una contribución externa, una organización sectorial (IAB) que posee esta cadena no pueda acceder a los datos tratados por sus miembros en el marco de las normas que ella ha establecido ni combinar dicha cadena con otros elementos no impide que la mencionada cadena constituya un dato personal en el sentido de la referida disposición.

2. IAB en la medida en que propone a sus miembros un marco normativo que ella ha establecido en materia de consentimiento en el tratamiento de datos personales, que contiene no solo normas técnicas vinculantes, sino también normas que precisan de manera detallada las modalidades de almacenamiento y de difusión de los datos personales referentes a dicho consentimiento, debe calificarse de corresponsable del tratamiento, en el sentido de estas disposiciones, si, habida cuenta de las circunstancias particulares del caso concreto, influye, atendiendo a sus propios objetivos, en el tratamiento de los datos personales en cuestión y determina, así, junto con sus miembros, los fines y medios de dicho tratamiento. El hecho de que la propia organización sectorial no tenga acceso directo a los datos personales tratados por sus miembros en el marco de dichas normas no obsta a que pueda tener la condición de corresponsable del tratamiento en el sentido de dichas disposiciones. 

3. La corresponsabilidad de IAB no se extiende automáticamente a los tratamientos ulteriores de datos personales efectuados por terceros, como los proveedores de sitios de Internet o de aplicaciones, en lo que respecta a las preferencias de los usuarios a efectos de la publicidad dirigida en línea.