IAB TCF ilegal? Todos os factos aqui na FAQ
A ApD, autoridade belga de proteção de dados, está num processo que se está a decorrer há mais de um ano, no dia 02. Fev 2022. As cerca de 130 páginas de texto explicativo mostram muitas fraquezas do TCF do IAB, mas também muitas possibilidades de reforma. O Quadro de Transparência e Consentimento é agora ilegal? O que os editores têm a considerar? E o que acontece depois? As nossas PERGUNTAS Frequentes esclarecem.
Atualização de junho de 2023
(Atualização de junho de 2023) Com o TCF 2.2, o IAB estabeleceu um caminho importante para tomar as medidas mencionadas no plano de ação. Uma fase de transição agora decorrerá até 30 de setembro de 2023, durante a qual os fornecedores e sites poderão atualizar para a nova norma. A partir de outubro de 2023, apenas o IAB TCF versão 2.2 será aplicado.
Atualização janeiro de 2023
(Atualização a partir de janeiro de 2023) O plano de ação apresentado pelo IAB Europe foi aceite pela APD e foram iniciados novos passos para a conformidade com o RGPD. A IAB Europa demonstrou agora seis meses para implementar o plano de ação.
Atualização abril 2022
(atualização de abril de 2022) A IAB Europe interpôs agora um recurso junto do tribunal competente (Tribunal de Mercado) e contestou o processo ou a decisão como tal. Ao mesmo tempo, o plano de ação solicitado foi apresentado pela IAB Europe. A APD irá agora rever o plano de ação; no entanto, não é esperada uma decisão antes do final de junho de 2022. Se o Plano de Ação for aceite pela APD, a IAB Europe deve então implementá-lo no prazo de 6 meses.
Atualização maio 2022
(atualização de maio de 2022) A IAB Europe retirou um pedido de suspensão do processo após a APD ter confirmado o calendário para a revisão do Plano de Ação. Assim, a APD não tomará uma decisão sobre o plano de ação antes de 1 de setembro de 2022. Até lá, o Tribunal belga do Mercado também já se pronunciou sobre o processo e a execução do plano de ação poderá ter lugar nos 6 meses seguintes.
O que aconteceu?
No seu relatório final, a Autoridade Belga para a Proteção de Dados APD elaborou vários problemas para a IAB Europe e para o IAB TCF, respectivamente. O ponto central aqui é que a APD considera a IAB Europa como cliente. Além disso, se a Cadeia TC gerada pelo TCF (a informação de consentimento) for considerada como uma data pessoal, já estaria sujeita a consentimento.
O que é que a Bélgica tem a ver com isto?
Desde que o RGPD entrou em vigor em 2018, tem havido várias queixas em diferentes países contra a IAB Europa como o órgão por detrás da Norma IAB TCF e políticas e CMPs conexos. Uma vez que a IAB Europe está localizada em Bruxelas, a Autoridade Belga de Proteção de Dados liderou o procedimento (regulamento “balcão único” do RGPD).
O acórdão belga aplica-se também noutros países?
Sim, todas as autoridades de proteção de dados devem orientar-se de acordo com o acórdão e não devem desviar-se dela.
O que diz o veredicto em termos concretos?
O texto do acórdão tem mais de 120 páginas e pode ser descarregado aqui como um PDF . Torna-se “interessante” a partir da secção 535 em que as ofensas reais são explicadas:
- O TCF não constitui uma base jurídica válida para o tratamento das decisões dos utilizadores. O consentimento não é suficientemente dado (ver próximo ponto)
- O TCF não reflete com precisão a informação de que um utilizador precisa para tomar decisões.
- A segurança do TCF como mecanismo não é suficiente (por exemplo, para evitar má conduta por parte dos CMPs).
- O IAB é considerado como o cliente (controlador) e os dados. Isto resulta em certas obrigações para a IAB Europa, que ainda não foram cumpridas; especificamente, falta uma lista de tratamento de dados.
- A IAB Europe não realizou um DPIA, embora isso fosse necessário.
- A IAB Europe não nomeou um oficial de proteção de dados, embora tal fosse necessário.
Quais são as consequências?
As sanções contra a IAB Europa resultam, em última análise, das infrações (ver acima) e são:
- Desenhe o TCF de forma a que resulte uma base jurídica válida.
- Os dados recolhidos até agora pela IAB Europe devem ser suprimidos.
- A base jurídica “Interesse Legítimo” já não pode ser utilizada no TCF.
- O TCF foi reestruturado de modo a que os PME tenham uma forma “harmonizada” de obter o consentimento em conformidade com o RGPD. A informação deve ser apresentada de forma concisa, concreta, mas compreensível.
- Devem ser desenvolvidos mecanismos de segurança adequados para proteger o TCF.
- A IAB Europe deve criar um diretório de tratamento de dados.
- A IAB Europe tem de realizar um DPIA.
- A IAB Europe deve nomear um oficial de proteção de dados.
Além disso, a IAB Europe é obrigada a elaborar um “Plano de Ação” no prazo de 2 meses. Pretende-se que, no futuro, se deva dar em conformidade com os passos com que o TCF deverá ser cumprido. Assim que o plano for aceite pela APD, o IAB dispõe então de mais 6 meses para o implementar em conformidade.
Mantenha-se atualizado!
Subscreva a nossa newsletterTodos os CMPs são ilegais agora?
Não. Um CMP como o de consentmanager é geralmente independente disso – afinal, um operador de website pode configurar o CMP de modo a que se torne conforme ou desligue completamente o TCF no CMP.
A TCF agora é ilegal?
Sim e não. A forma atual é considerada insuficiente. A IAB Europa tem agora a tarefa de dar início a medidas adequadas e de voltar a tornar a TCF conforme.
O que vem a seguir?
A IAB Europe dispõe agora de dois meses para desenvolver medidas e/ou apresentar uma objeção. Presume-se que ambos irão acontecer: haverá certamente uma contradição com os componentes individuais da decisão – ao mesmo tempo que analisarão a forma de colocar o TCF numa posição segura. Em particular, o objetivo aqui é transferir o TCF para um Código de Conduta (CCO). O IAB está a trabalhar nisto há algum tempo. Um CCO teria mais vantagens e maior segurança jurídica.
Quem é afetado pelo veredicto?
Inicialmente, só afeta diretamente a Europa da IAB. Indiretamente, afeta os PME, os fornecedores e os editores a médio prazo – o mais tardar quando devem ser definidos novos fins e bases jurídicas na camada de consentimento ou nas alterações técnicas da subestrutura.
Como devo reagir agora?
Como em tudo. Não é errado primeiro olhar de perto e esperar e ver como os atores se comportam.
Como recomendação geral, pode deduzir-se que o “interesse legítimo” não é considerado como base jurídica suficiente para a publicidade em linha – esta também já tinha sido anunciada antecipadamente e em outros acórdãos. Por isso, se utilizar ferramentas de marketing no seu website, deve verificar se precisam de consentimento.
Em geral, recomendamos a utilização do TCF apenas quando for realmente necessário. Para a maioria dos sites de e-commerce, por exemplo, este pode não ser o caso. Ao mesmo tempo, a maioria dos sites noticiosos continuará a contar com o TCF. Aqui recomendamos verificar cuidadosamente os textos de descrição e as listas de fornecedores e, se necessário, fornecer descrições mais detalhadas e mais informações.
Ist Ihre Webseite konform? Finden Sie es heraus mit unserer Checkliste
Tenho de apagar todos os meus dados agora?
Não. Por enquanto, o acórdão diz apenas respeito à IAB Europe. No entanto, indiretamente, pode presumir-se que um “CMP puro de TCF” também se enquadra nas condições do acórdão e, por conseguinte, não obteve o consentimento legalmente obtido.
Os sites que utilizam o TCF estão agora em perigo?
Sim e não. Por um lado, os intervenientes perderão primeiro – isto aplica-se também às outras autoridades de proteção de dados de outros países. Enquanto o procedimento continuar a “flutuar”, não faz sentido utilizar o procedimento como base para advertências ou novos procedimentos.
Por outro lado, ainda não é claro se o próprio TCF, sob determinadas condições, também não pode ser utilizado de forma compatível. Também aqui está por ver e, se necessário, estar atento ao desenvolvimento do TCF.
O que o consentimento gerente faz por mim? O que devo fazer?
Como membro da IAB Europe e em várias associações nacionais e outros grupos, o consentmanager está ativamente envolvido nas deliberações e decisões no âmbito do IAB. A este respeito, o perito em consentirá em implementar todas as etapas necessárias em tempo útil, a fim de poder proteger os seus clientes legalmente ou tecnicamente.
Como cliente consente, não tem, portanto, de fazer nada de concreto primeiro (exceções ver acima). Todos os ajustamentos técnicos e processuais exigidos por um TCF “novo” podem ser feitos diretamente internamente por nós – não há necessidade de trocar códigos agora.
A sua pergunta não está incluída?
Por favor, sinta-se livre para entrar em contato conosco diretamente.