La Interactive Advertising Bureau Europe (“IAB Europe”) es una asociación de la UE cuyo objetivo es crear normas y marcos, entre otros, para las organizaciones de marketing y publicidad digital y permitirles prosperar en el mercado de la UE.
La IAB Europe creó su Marco de Transparencia y Consentimiento (“MTC”) como una solución de consentimiento de acuerdo con el Reglamento General de Protección de Datos (“RGPD”) para las empresas de publicidad digital. El objetivo era apoyar a estas organizaciones en el cumplimiento de las normativas de protección de datos y privacidad. En particular, el MTC proporciona normas sobre cómo los sitios web deben implementar los identificadores online (por ejemplo, las cookies) y la gestión del consentimiento para la publicidad personalizada.
Pero, ¿por qué la IAB Europe ha estado en el punto de mira recientemente?
La semana pasada, la Autoridad Belga de Protección de Datos (“APD”) impuso a la IAB Europe una multa administrativa (250.000 euros) por incumplimiento del RGDP. La APD afirmó que las preferencias de los usuarios se comparten con empresas que usan el protocolo OpenRTB, que es un sistema de Real-Time Bidding que permite la interoperabilidad entre compradores y vendedores en el sector de la publicidad digital, de modo que pueden saber finalmente si el usuario ha aceptado o rechazado las cookies no esenciales.
¿Cuál es la justificación de la APD?
La APD declaró que la IAB Europe es responsable de los datos relacionados con las preferencias de consentimiento de los usuarios. En consecuencia, la autoridad consideró que la IAB Europe debe responder por no:
- mantener un registro de sus actividades de tratamiento de datos;
- definir una base legitimadora para llevar a cabo el tratamiento de datos;
- ser suficientemente transparente con los usuarios al utilizar un lenguaje poco específico a través de la herramienta de gestión del consentimiento;
- aplicar las medidas de seguridad adecuadas para cumplir con el principio de protección de datos desde el diseño y por defecto y, en particular, para garantizar el ejercicio de los derechos del interesado;
- realizar una evaluación del impacto de protección de datos; y
- nombrar a un delegado de protección de datos.
¿Qué ocurrirá ahora?
La IAB Europe tiene dos meses para presentar un plan de mitigación y llevarlo a cabo en los próximos seis meses una vez se haya aprobado por la APD.