El pasado 7 de marzo se hizo pública la Sentencia del Tribunal de Justicia (en adelante, “TJUE”) en el asunto C-604/22, que tiene por objeto una petición de decisión prejudicial planteada por el Tribunal de Apelación de Bruselas, en septiembre de 2022, en el procedimiento entre IAB Europe y Gegevenbeschermingsautoriteit (la Autoridad de Protección de Datos Belga – en adelante, “APD” -).
Transparency & Consent Framework
IAB Europe es una asociación sin ánimo de lucro, con sede en Bélgica, que representa a las empresas del sector de la publicidad y del marketing digital a nivel europeo, contando asimismo con representación en los países de la UE mediante las IAB nacionales, que a su vez cuentan con empresas de dicho sector entre sus miembros.
IAB Europe desarrolló una solución para la gestión de espacios publicitarios: el Transparency & Consent Framework (en adelante, “TCF”), que consiste en un marco normativo compuesto por directrices, instrucciones, especificaciones técnicas, protocolos y obligaciones contractuales que permite a los proveedores de sitios webs o aplicaciones, a los intermediarios de datos o incluso a las plataformas publicitarias, tratar legalmente los datos personales de los usuarios de dichos sitios web o aplicaciones.
Cuando el usuario otorga o deniega su consentimiento a través de un Consent Management Platform (en adelante, “CMP”) integrado en el sitio web o la aplicación del editor, se crea una cadena que contiene las preferencias de un usuario con respecto al tratamiento de sus datos personales, la cual se comparte con intermediarios de datos personales y plataformas publicitarias que participan en las subastas de anuncios en línea. Esto permite que dichos intermediarios y plataformas conozcan a qué ha consentido el usuario o a qué se ha opuesto.
Esta cadena se denomina Transparency & Consent String (TC String).
En definitiva, esta solución permite la obtención previa del consentimiento del usuario para la recogida y tratamiento de sus datos personales antes de mostrar la publicidad dirigida en los espacios negociados en procesos de subasta en tiempo real.
IAB Europe considera que en este proceso, los responsables del tratamiento son los participantes del TCF.
Investigación de la APD
Desde 2019, la APD ha recibido múltiples denuncias contra IAB Europe, tanto de Bélgica como de terceros países, relativas a que el TCF no cumple con el Reglamento General de Protección de Datos (en adelante, “RGPD”).
Tras investigar los hechos denunciados, la APD, en su resolución de 2 de febrero de 2022, considera que IAB Europe es responsable del tratamiento de los datos personales relacionados con el registro del consentimiento prestado, de las objeciones y/o de las preferencias de los usuarios que se codifican y almacenan en una TC String, que, según la APD, cuando ser asocia a un identificador como puede ser una IP, permite identificar a un usuario.
IAB Europe interpuso contra dicha resolución recurso ante el Tribunal de Apelación de Bruselas, que decidió suspender el procedimiento de apelación y plantear al TJUE dos cuestiones prejudiciales, las cuales se abordan en la Sentencia del pasado 7 de marzo.
Decisión del TJUE
a) Primera cuestión prejudicial
En relación con la primera cuestión prejudicial, el Tribunal de Apelación de Bruselas plantea, esencialmente, si la TC String debe ser considerada como «dato personal» de acuerdo con el artículo 4.1 del RGPD.
Para su análisis, el TJUE tiene en cuenta la investigación llevada a cabo por la APD, que fundamentalmente reveló que cuando los CMPs almacenan o leen la TC String en el dispositivo de un usuario, las preferencias de dicho usuario (por ejemplo, si ha consentido cookies publicitarias o no) pueden ser asociadas con la dirección IP del dispositivo del usuario, y que los CMPs están obligados a comunicar esta información cuando así lo solicite IAB Europe.
Además, considerando la concepción amplia que la legislación europea en materia de protección de datos ha adoptado en relación al concepto de «datos personales», con el objetivo de garantizar un alto nivel de protección de datos y salvaguardar los derechos y libertades fundamentales de los interesados, no sorprende que el TJUE responda afirmativamente a la primera cuestión prejudicial y considere que la TC String constituye un dato personal de acuerdo con el RGPD, aunque no contenga elementos que permitan identificar directamente al interesado, en la medida en que mediante medios razonables puede asociarse a un identificador como la dirección IP del dispositivo de un usuario.
El TJUE señala que esta interpretación no queda desvirtuada por el mero hecho de que la propia IAB Europe no pueda combinar la TC String con la dirección IP del dispositivo de un usuario y no tenga la posibilidad de acceder directamente a los datos tratados por sus miembros en el marco del TCF.
b) Segunda cuestión prejudicial
En cuanto a la segunda cuestión prejudicial, el órgano jurisdiccional remitente cuestiona si IAB Europe debe ser considerada responsable del tratamiento y si dicha responsabilidad debe extenderse a los tratamientos ulteriores realizados por terceros para los cuales se obtienen las preferencias de los usuarios de Internet.
En su decisión el TJUE cita sus asuntos Jehovan todistajat c-25/17 y Wirtschaftsakademie Schleswig-Holstein c-210/16 para así aplicar la interpretación amplia del concepto de “responsable del tratamiento”. Por un lado, el responsable del tratamiento no necesariamente tiene que tratar los datos personales en cuestión por si mismo, ni tiene que tener acceso a los datos personales (asunto c-25/17). Y, por otro, la entidad responsable de establecer y por extensión, imponer la configuración en relación con una actividad de tratamiento de datos, participa en la determinación de los fines y medios de esa actividad de tratamiento y, por lo tanto, debe considerarse como responsable del tratamiento (asunto c-210/16).
Así, valiéndose de una definición amplia de “responsable del tratamiento”, en especial, la del artículo 4.7 del RGPD, que define al responsable del tratamiento como aquel que “solo o junto con otros” determine los fines y los medios del tratamiento de datos personales -lo que significa que no necesariamente debe ser considerada responsable del tratamiento una única entidad, sino que puede referirse a varios actores que participen en ese tratamiento, cada uno de los cuales estará sujeto a las disposiciones aplicables en materia de protección de datos-, el TJUE considera, necesario examinar si IAB Europe ejerce influencia atendiendo a sus propios objetivos, en el tratamiento de los datos personales, como la TC String, y si, junto con otros, determina los fines y medios del tratamiento.
En primer lugar, el TCF desarrollado por IAB Europe constituye un marco normativo diseñado para asegurar la conformidad con el RGPD en el tratamiento de datos personales de un usuario de un sitio web o aplicación realizado por ciertos operadores que participan en subastas en línea de espacios publicitarios. En esencia, el TCF pretende favorecer y permitir la compraventa de espacios publicitarios en Internet por parte de esos operadores. Por consiguiente, el TJUE considera que IAB Europe influye, atendiendo a sus propios objetivos, en las operaciones de tratamiento de datos personales en cuestión.
En cuanto a la influencia debe recordarse que el European Data Protection Board ha aclarado que el concepto de responsable del tratamiento se relaciona con la influencia que tiene el responsable en el tratamiento, fundamentada en un poder de decisión o supervisión de las actividades de tratamiento. Dicho control puede basarse en disposiciones legales, en un poder implícito o en el ejercicio de una influencia de facto.
En segundo lugar, en lo que respecta a los medios utilizados para el tratamiento de datos personales, el TJUE indica que el TCF constituye un marco normativo al cual los miembros de IAB Europe deben aceptar para adherirse a dicha asociación.
El TCF incluye especificaciones técnicas relativas al tratamiento de la TC String, Estas especificaciones describen con detalle el modo en que los CMP están obligados a recabar las preferencias de los usuarios y la manera en que deben tratarse tales preferencias para generar una TC String. Asimismo, se establecen normas precisas en lo que respecta al contenido de la TC String, así como al almacenamiento y al intercambio de esta.
Considerando estas circunstancias, y sin perjuicio de las verificaciones correspondientes que deberá llevar a cabo el Tribunal de Apelación de Bruselas, el TJUE determina que IAB Europe debe ser considerada como corresponsable del tratamiento de datos personales, dado que proporciona a sus miembros un marco normativo (el TCF) que contiene no solo normas técnicas vinculantes, sino también personales referentes a dicho consentimiento.
Por ultimo, respecto a los tratamientos ulteriores, el Tribunal concluye señalando que la corresponsabilidad de IAB Europe no se extiende automáticamente a los tratamientos ulteriores de datos personales efectuados por los proveedores de sitios de internet o aplicaciones en relación con las preferencias de los usuarios para fines de publicidad en línea, salvo que se pueda acreditar que IAB ha influido en la determinación de esos fines ulteriores.
¿Qué implica esta sentencia para el futuro de la publicidad online y la protección de datos?
La Sentencia del TJUE no sugiere que el marco del TCF sea inválido o que deba dejar de ser utilizado, sino que en su función de ayudar en la interpretación de la legislación, resuelve exclusivamente las cuestiones prejudiciales planteadas por el órgano jurisdiccional remitente. Ahora, dicho órgano deberá reanudar su análisis sobre la cuestión sustantiva de acuerdo con las respuestas proporcionadas por el TJUE, un proceso que podría llevar varios meses e incluso hasta un año para dictar Sentencia.