Verdad o atrevimiento. ¿TCF en problemas? ¿Es o no el TCF 'compliance' con GDPR?
Después de que en Octubre de 2020 ya se señalase al TCF (Transparency and Consent Framework) presuntamente por no cumplir con los requerimientos de la GDPR porque en teoría permitía intercambiar datos confidenciales sobre usuarios, incluso cuando éstos no lo han autorizado. Este 2021 las aguas vuelven a removerse y es que a lo largo de la primera semana de Noviembre, tras el informe redactado por la APD Belga (Autoridad Protección Datos), leíamos algunos titulares que hacían temblar a la industria “El TCF 2.0 infringe la normativa GDPR” ¿Pero cuanto de cierto hay tras ello?
Leyendo más sobre ello y tal como se ha pronunciado la IAB, el informe no es una decisión final ni vinculante. Esto significa que sólo ponía de manifiesto la interpretación de la APD lo que hasta el momento nos lleva a la expresión anglosajona:“Same same, but different”.
Parece que tendremos que esperar alrededor de un mes para que otros APD revisen este análisis y tras ello la APD puede adoptar una decisión final o en su defecto el asunto puede alargarse siendo remitido a la Junta Europea de Protección de Datos. Siendo algo más realistas y teniendo en cuenta lo que tardan de media estas resoluciones, esto podría llegar a extenderse varios meses, un tanto parecido a los capítulos de Oliver y Benji en los que quedábamos expectantes día tras día sobre qué iba a pasar finalmente.
¿Es un déjà vu mío o últimamente todos los cambios en la industria sufren el mismo síntoma?
Por cierto, si has llegado aquí y aun no entiendes muy bien que es el TCF o quieres recordar que pasó en Octubre de 2020, te invito que pases a ver el siguiente post: A hostias por el consent. Por el contrario, si te suena de algo el TCF y sólo quieres refrescar, te lo resumo brevemente: es una iniciativa de la IAB para a ayudar a todas las partes que exhiben, administran y desarrollan publicidad y/o contenido digital con el cumplimiento de GDPR y la ePD al procesar datos personales y/o acceder y/o almacenar información en el dispositivo de un usuario.
Este framework ha evolucionado en el tiempo y actualmente nos encontramos en la versión 2.0 que permite un control más granular a los usuarios sobre el uso de sus datos. En definitiva, pretende ser una solución que haga el ecosistema digital más transparente y respetuoso con las elecciones de privacidad de los usuarios.
La privacidad en Europa. Bienvenid@s al laberinto de la GDPR
Tranquil@s, no voy a entrar a explicar la GDPR (General Data Protection Regulation) ni la ePD (e-Privacy Directive), así que l@s expert@s en la materia ya pueden dejar de frotarse las manos, me rindo, no es mi especialidad. Pero quedaros con la idea de que el régimen de privacidad de datos de la UE consiste actualmente en el cumplimiento de estas dos directrices. Voy a intentar de poneros en contexto para ir luego al grano con la resolución.
En resumidas cuentas, la GDPR controla el tratamiento de datos tanto como su proceso y la ePD da indicaciones de como se deben recoger los consentimientos del usuario y la gestión de cookies. Para explicar esta resolución haremos foco en la GDPR, aunque si queréis saber qué es la ePrivacy podéis dejarlo en los comentarios
Sobre la GDPR me interesaría que tod@s tuvieramos claro que existen 3 grandes actores:
Data Controller: Decide aspectos del tratamiento de los datos personales como la finalidad y el uso de los datos o los plazos de conservación; siendo también la persona ante quien debe acudir aquel interesado que tenga intención de ejercitar cualquiera de sus derechos en materia de protección de datos.
Data Processor: Prestador de servicios que, contratado por el Data Controller, debe acceder a datos de carácter personal que son responsabilidad del Data Controller.
Data Subject: Son las personas sobre las cuales se recopilan, procesan o retienen datos.
Adicional a ello indica que las soluciones que tratan los datos deben ser privacy by design. Lo sé otro palabrejo más, pero aquí tienes cuales son los principios:
¡Help me Paco! Ya soy un@ expert@ en la GDPR. Ahora háblame de la resolución
Antes de empezar, todo sea dicho, no soy un DPO (Data Protection Officer) e interpretar al detalle la resolución y los mecanismos de seguridad en el tratamiento de datos y su compartición no es algo fácil para alguien como yo, y seguro que no he sido lo preciso que se requiere, pero intentaré que te lleves los mensajes fundamentales.
El TCF 2.0 está basado en señales que indican las preferencias de los usuarios sobre el procesamiento de sus datos personales para publicidad, contenido y medición digital que se llaman “TC Strings”.
El propósito principal de un TC String es encapsular y codificar las preferencias de consentimiento y el procesamiento de sus datos personales bajo el GDPR. Con una plataforma de gestión de consentimiento (CMP), la información se captura y se comunica dicho consentimiento a toda la cadena publicitaria. Los proveedores decodifican el TC String para determinar si pueden procesar los datos personales de un usuario para los diferentes fines: publicidad, contenido y medición
Bajo este funcionamiento la APD considera lo siguiente:
IAB Europe es un controlador de datos para TC String.
IAB Europe es un controlador conjunto para el procesamiento de TC Strings bajo OpenRTB (Real Time Bidding).
TC String son datos personales bajo el RGPD.
Sin embargo, IAB Europe no procesa, posee ni decide de ninguna manera el uso de TC Strings específicos por lo que de esta manera no se considera responsable del tratamiento aunque la APD le exige, como vimos con anterioridad, la labor de conservar los datos y responder ante cualquiera de los derechos de los usuarios en materia de protección de datos.
Además, la APD considera que el envío de estos datos mediante en una bid request es “la filtración de datos personales más grande registrada hasta ahora" y además tienen serias dudas en la seguridad de ese envio porque “los datos se transmiten a un vasto ecosistema donde los terceros participantes pueden usar dichos datos de la forma que determinen, sin que el interesado tenga voz, conocimiento o control sobre ese uso posterior“.
¿Cuál es mi opinión personal?
En primer lugar, considero que este tipo de análisis son necesarios para que la industria mejore sus soluciones en torno a la privacidad. Hablamos del uso de nuestros datos y por tanto soy un firme creyente de que se debe garantizar que son usados en un ecosistema seguro y teniendo en cuenta nuestras elecciones ¿A alguien le gusta que le pregunten por algo y luego no se le tome en consideración?
Por otro lado, ya vimos las 3 figuras dentro del GDPR y bajo mi visión la IAB es más bien un Data Processor y los Data Controller deberían ser las propias marcas donde en la práctica se recogen los consentimientos. El rol de la IAB nunca ha sido ser un controlador de datos ni regular el uso de cómo las empresas interpretan y ponen en uso las leyes de la GDPR por lo que es normal que no haya ejecutado ese rol en el TCF ni quiera ni deba.
Como último punto, podría poner en duda la afirmación de la APD sobre que los TC Strings sean la mayor fuga de datos vista hasta ahora ya que su consolidación en el mercado no es ni de lejos la de la cookies.
Como positivo, considero que la IAB seguirá los pasos adecuados como ya ha ido demostrado con otros estándares y prueba de ello son sus propias declaraciones donde dejan claro que colaborarán en lo que sea necesario:
“Esperamos colaborar con la autoridad belga en este asunto, al igual que ya nos hemos comprometido con varias Autoridades de protección de datos en el desarrollo de la última versión del TCF. Estamos en desacuerdo con muchas de las afirmaciones del informe, pero vale la pena enfatizar que estamos solo en una etapa inicial.”
Pero, ¿qué pasa si la APD falla contra el TCF? Como se diría en italiano: “Non preoccuparti”. La IAB dispondrá de 6 meses para la adaptación de las medidas que dictamine la ADP y como sabéis todo ese tiempo da para mucho y si pensáis lo contrario echadle un ojo a los objetivos temporales del Privacy Sandbox este 2021.
Entonces, ¿cuál es mi postura? Voy a ser directo: ¡Larga vida al TCF!