1. Antecedentes
IAB Europe es una asociación sin ánimo de lucro establecida en Bélgica que representa a las empresas del sector de la publicidad y del marketing digitales a nivel europeo. En el marco de su actividad, IAB Europe ha elaborado el Transparency & Consent Framework (en adelante TFC), que se trata de un marco técnico y normativo (compuesto de directrices, instrucciones, especificaciones técnicas, protocolos y obligaciones contractuales), que tiene por objeto garantizar la conformidad con el RGPD del tratamiento de datos personales de un usuario de un sitio web o de una aplicación efectuado por determinados operadores.
En concreto, el TFC pretende favorecer el cumplimiento por parte de los operadores que recurren a un conocido protocolo para el Real Time Bidding (en adelante «RTB»), un sistema de subasta en línea instantánea y automatizada de perfiles de usuarios para la compraventa de espacios publicitarios en Internet.
Para ello, cuando el usuario otorga o deniega su consentimiento a través de un Consent Management Platform (en adelante, CMP) integrado en el sitio web o la aplicación del editor, se crea una cadena denominada Transparency & Consent String (en adelante, TC String) que contiene las preferencias de un usuario con respecto al tratamiento de sus datos personales, la cual se comparte con intermediarios y plataformas publicitarias que participan en las subastas de anuncios en línea. Esto permite que dichos intermediarios y plataformas conozcan qué ha consentido el usuario o a qué se ha opuesto.
Además, la CMP coloca una cookie en el dispositivo del usuario de modo que, cuando se combinan la TC String y la cookie, pueden vincularse a la dirección IP de ese usuario convirtiéndolo en identificable.
En relación con la adecuación al RGPD del TCF, la Autoridad Belga de Protección de Datos recibió una serie de denuncias, que culminaron en su resolución de 2 de febrero de 2022 en la que se declaraba que IAB Europe actuaba como responsable del tratamiento de los datos personales en relación con el registro del consentimiento, de las objeciones y de las preferencias de los usuarios individuales a través de una TC String asociada a un usuario identificable. En dicha resolución, se ordenó a IAB Europe que adecuara a las disposiciones del RGPD el tratamiento de datos personales efectuado en el marco del TCF y le impuso varias medidas correctoras y una multa.
Esta resolución fue recurrida por IAB Europe ante el Tribunal de Apelación de Bruselas, el cual, al albergar dudas sobre si una TC String, combinada o no con una dirección IP, constituye un dato personal y, en su caso, si IAB Europe debe ser calificada de responsable del tratamiento de datos en el marco del TCF, en particular en relación con el tratamiento de la TC String, planteó dos cuestiones prejudiciales al TJUE.
2. Sentencia del TJUE C-604/22 (1)
2.1. Primera cuestión prejudicial
La primera cuestión prejudicial versa sobre si una cadena compuesta por una combinación de letras y caracteres, como la TC String, constituye un dato personal cuando una organización sectorial (IAB Europe, en este caso) ha establecido el marco normativo para la generación, el almacenamiento y la difusión de esta cadena y los miembros de esa organización han aplicado tales normas y tienen así acceso a la mencionada cadena. Además, la cuestión incluye a efectos de la respuesta a la cuestión, si influye, en primer lugar, que esta cadena esté asociada a un identificador como, en particular, la dirección IP del dispositivo del usuario, que permite identificar al interesado, y, en segundo lugar, que tal organización sectorial disponga del derecho a acceder directamente a los datos personales tratados por sus miembros en el contexto del marco normativo que ella ha establecido.
A este respecto, el Tribunal de Justicia considera que, en la medida en que el hecho de asociar una TC String con la dirección IP del dispositivo de un usuario o con otros identificadores permita identificar a dicho usuario, la TC String contiene información sobre un usuario identificable, por lo que constituye un dato personal.
El TJUE ya ha declarado previamente en otros asuntos, como en los casos C-487/21 y C 434/16 que una información se refiere a una persona cuando, debido a su contenido, finalidad o efectos, la información está relacionada con una persona identificable.
Por otro lado, el hecho de que IAB Europe no pueda combinar la TC String con la dirección IP del dispositivo de un usuario y no tenga la posibilidad de acceder directamente a los datos tratados por sus miembros en el marco del TCF no impide que una TC String pueda ser calificada de dato personal. De hecho, el TJUE en el caso C-582/14 (LA LEY 138015/2016) consideró que una dirección IP dinámica registrada por un proveedor de servicios de medios en línea es un dato personal, sin perjuicio de que, para identificar a la persona detrás de la IP dinámica, el proveedor tuviera que solicitar información adicional a la autoridad competente y al proveedor de acceso a Internet.
Por tanto, la cuestión principal se centra en si se dispone de medios razonables para hacer identificable el dato. Esto se debe a que los miembros de IAB Europe están obligados a comunicarle, a petición de esta, toda la información que le permita identificar a los usuarios cuyos datos son objeto de una TC String. Por lo tanto, sin perjuicio de las comprobaciones que corresponde efectuar al Tribunal de Apelación de Bruselas, concluye el TJUE que IAB Europe dispone de medios razonables que le permiten identificar a una persona física determinada a partir de una TC String gracias a la información que sus miembros y otras organizaciones que participan en el TCF están obligados a facilitarle.
2.2. Segunda cuestión prejudicial
La segunda cuestión prejudicial versa sobre si IAB Europe debe ser calificada de responsable o corresponsable del tratamiento cuando ofrece a sus miembros el TFC, que comprende disposiciones en las que se establece con detalle el modo en que deben almacenarse y difundirse los datos de consentimiento que constituyen datos personales. Asimismo, también se pregunta al TJUE si dicha responsabilidad o corresponsabilidad debe extenderse a los tratamientos ulteriores realizados por los terceros para los que se obtienen las preferencias de los usuarios de Internet.
El TJUE concluye que IAB Europe influye, atendiendo a sus propios objetivos, en las operaciones de tratamiento de datos personales y determina, por ello, junto con sus miembros, los fines de tales operaciones
Al respecto, el TJUE concluye que IAB Europe influye, atendiendo a sus propios objetivos, en las operaciones de tratamiento de datos personales y determina, por ello, junto con sus miembros, los fines de tales operaciones al constatar que los miembros deben aceptar el marco normativo del TFC y, si lo incumplen, IAB Europe puede adoptar, respecto del miembro, una decisión de incumplimiento y de suspensión que puede dar lugar a la exclusión de dicho miembro del TCF y a impedirle invocar la garantía de conformidad con el RGPD que teóricamente proporciona el TCF para el tratamiento de datos que efectúa mediante las TC Strings.
Por lo tanto, influyendo en el tratamiento descrito junto con los miembros, sin perjuicio de que no tengan una responsabilidad equivalente en el tratamiento, debe ser considerada. corresponsable del tratamiento.
A este respecto, el TJUE ya adujo en el caso C-25/17 que los agentes puedes estar implicados en distintas etapas del tratamiento y en distintos grados de modo que el nivel de responsabilidad de cada uno deba evaluarse teniendo en cuenta todas las circunstancias pertinentes del caso concreto. Asimismo, en el caso C-683/21 se indica que la participación en la determinación de los fines y medios del tratamiento puede adoptar distintas formas y resultar, tanto de una decisión común adoptada por dos o más entidades, como de decisiones convergentes de dichas entidades. Aduce además que no es necesario que exista un acuerdo formal de corresponsabilidad entre los responsables del tratamiento en cuanto a los fines y medios del tratamiento, ya que la calificación deriva del hecho de que varias entidades hayan participado en la determinación de fines y medios.
No obstante, respecto de los tratamientos ulteriores de los datos efectuados por los operadores y por terceros sobre la base de las preferencias del TC String, como la transmisión de datos a terceros o la oferta de publicidad personalizada dirigida a dichos usuarios, indica que el TJUE que, para que se califique a IAB Europe como corresponsable del tratamiento, deberá comprobarse que ha influido en la determinación de los fines de los tratamientos y de las modalidades de su ejercicio.
Respecto a este extremo se pronunció también el TJUE en el caso C-40/17 (LA LEY 104166/2019) en el que resolvió que una persona física o jurídica no puede ser considerada responsable de las operaciones anteriores o posteriores de la cadena de tratamiento respecto de las que no intervenga en la determinación de fines y medios.
3. Conclusión
La Sentencia analizada no concluye que el marco TCF sea ilícito o que deba dejar de ser utilizado, sino que su función es arrojar luz respecto de la responsabilidad en el tratamiento de datos personales en la publicidad online basada en el consentimiento. Veremos cuál es el impacto que tendrá en el sector.
No obstante, parece necesario que IAB Europe, para el mantenimiento del TCF, revise las políticas asociadas al consentimiento de los usuarios y regularice los pertinentes acuerdos de corresponsabilidad de conformidad con lo preceptuado en el artículo 26 del RGPD (LA LEY 6637/2016).