A ApD, autoridade belga de proteção de dados, está num processo que se está a decorrer há mais de um ano, no dia 02. Fev 2022. As cerca de 130 páginas de texto explicativo mostram muitas fraquezas do TCF do IAB, mas também muitas possibilidades de reforma. O Quadro de Transparência e Consentimento é agora ilegal? O que os editores têm a considerar? E o que acontece depois? As nossas PERGUNTAS Frequentes esclarecem.
Atualização de março de 2024
O Tribunal de Justiça Europeu decidiu, no caso IAB TCF, que a string TC (“cadeia de consentimento”) constitui dados pessoais na aceção do RGPD. Os dados contidos na cadeia de caracteres referem-se a utilizadores identificáveis e, por conseguinte, podem ser utilizados para criar perfis de utilizador e identificar utilizadores. Além disso, o IAB Europe é agora identificado como um “controlador conjunto” na aceção do RGPD, o que significa que partilha a responsabilidade pelo processamento de dados quando as preferências de consentimento dos utilizadores são capturadas numa cadeia de TC. Isto significa que partilha as decisões sobre as finalidades e os métodos de tratamento de dados com os seus membros, mas não o tratamento de dados em si. O papel do IAB Europe como controlador não se estende às atividades de processamento de dados após o consentimento do usuário ter sido armazenado em uma cadeia de TC, a menos que possa ser demonstrado que o IAB Europe tem influência sobre as finalidades e os meios das atividades subsequentes de processamento de dados.
Para as empresas que participam do TCF como editoras ou fornecedoras de tecnologia de anúncios, é importante atualizar seus documentos legais em tempo hábil para manter os usuários finais informados sobre essas alterações. Em particular, no que diz respeito ao artigo 26.º do RGPD, as empresas devem informar os seus utilizadores finais sobre a existência de um acordo de controlo conjunto com o IAB Europe e o fornecedor do respetivo sítio Web.
Atualização de setembro de 2023
(Atualização 21 de setembro de 2023) Em 21 de setembro, realizou-se uma audiência pública perante a Quarta Secção do TJUE, durante a qual as partes envolvidas foram igualmente interrogadas pelos juízes. Uma vez que não haverá conclusões do advogado-geral, o TJUE deverá proferir o seu acórdão entre o final de 2023 e o início de 2024. Uma vez publicado o acórdão, o tribunal belga (Tribunal do Mercado) poderá concluir a sua apreciação dos argumentos apresentados na queixa do IAB Europe.
(Atualização de setembro de 2023) O Tribunal do Mercado belga decidiu aguardar a decisão do Tribunal de Justiça da União Europeia (TJCE) e suspender a sua avaliação do plano de ação do IAB Europe validado pela Autoridade de Proteção de Dados belga (APD). O IAB Europe tinha apresentado um recurso em janeiro de 2023 contra a validação antecipada do plano pela APD. Isto demonstra que a APD agiu precipitadamente, e o acórdão do TJUE terá um impacto sobre a legalidade da decisão inicial da APD e sobre a forma como o plano será executado. Esta é uma boa notícia para os participantes do IAB Europe e TCF, pois evita que alterações desnecessárias sejam feitas sem uma consideração cuidadosa. Townsend Feehan, CEO do IAB Europe, sublinhou que as alterações ao TCF devem ser feitas com extrema cautela e de acordo com o procedimento do TJUE.
Atualização de junho de 2023
(Atualização de junho de 2023) Com o TCF 2.2, o IAB estabeleceu um caminho importante para tomar as medidas mencionadas no plano de ação. Uma fase de transição agora decorrerá até 30 de setembro de 2023, durante a qual os fornecedores e sites poderão atualizar para a nova Standard . A partir de outubro de 2023, apenas o IAB TCF versão 2.2 será aplicado.
Atualização janeiro de 2023
(Atualização a partir de janeiro de 2023) O plano de ação apresentado pelo IAB Europe foi aceite pela APD e foram iniciados novos passos para a conformidade com o RGPD. A IAB Europa demonstrou agora seis meses para implementar o plano de ação.
Atualização abril 2022
(atualização de abril de 2022) A IAB Europe interpôs agora um recurso junto do tribunal competente (Tribunal de Mercado) e contestou o processo ou a decisão como tal. Ao mesmo tempo, o plano de ação solicitado foi apresentado pela IAB Europe. A APD irá agora rever o plano de ação; no entanto, não é esperada uma decisão antes do final de junho de 2022. Se o Plano de Ação for aceite pela APD, a IAB Europe deve então implementá-lo no prazo de 6 meses.
Atualização maio 2022
(atualização de maio de 2022) A IAB Europe retirou um pedido de suspensão do processo após a APD ter confirmado o calendário para a revisão do Plano de Ação. Assim, a APD não tomará uma decisão sobre o plano de ação antes de 1 de setembro de 2022. Até lá, o Tribunal belga do Mercado também já se pronunciou sobre o processo e a execução do plano de ação poderá ter lugar nos 6 meses seguintes.
O que aconteceu?
No seu relatório final, a Autoridade Belga para a Proteção de Dados APD elaborou vários problemas para a IAB Europe e para o IAB TCF, respectivamente. O ponto central aqui é que a APD considera a IAB Europa como cliente. Além disso, se a Cadeia TC gerada pelo TCF (a informação de consentimento) for considerada como uma data pessoal, já estaria sujeita a consentimento.
O que é que a Bélgica tem a ver com isto?
Desde que o GDPR entrou em vigor em 2018, houve várias reclamações em vários países contra o IAB Europe como o órgão por trás do IAB TCF Standard e suas políticas associadas e CMPs. Uma vez que a IAB Europe está localizada em Bruxelas, a Autoridade Belga de Proteção de Dados liderou o procedimento (regulamento “balcão único” do RGPD).
O acórdão belga aplica-se também noutros países?
Sim, todas as autoridades de proteção de dados devem orientar-se de acordo com o acórdão e não devem desviar-se dela.
O que diz o veredicto em termos concretos?
O texto do acórdão tem mais de 120 páginas e pode ser descarregado aqui como um PDF . Torna-se “interessante” a partir da secção 535 em que as ofensas reais são explicadas:
- O TCF não constitui uma base jurídica válida para o tratamento das decisões dos utilizadores. O consentimento não é suficientemente dado (ver próximo ponto)
- O TCF não reflete com precisão a informação de que um utilizador precisa para tomar decisões.
- A segurança do TCF como mecanismo não é suficiente (por exemplo, para evitar má conduta por parte dos CMPs).
- O IAB é considerado como o cliente (controlador) e os dados. Isto resulta em certas obrigações para a IAB Europa, que ainda não foram cumpridas; especificamente, falta uma lista de tratamento de dados.
- A IAB Europe não realizou um DPIA, embora isso fosse necessário.
- A IAB Europe não nomeou um oficial de proteção de dados, embora tal fosse necessário.
Quais são as consequências?
As sanções contra a IAB Europa resultam, em última análise, das infrações (ver acima) e são:
- Desenhe o TCF de forma a que resulte uma base jurídica válida.
- Os dados recolhidos até agora pela IAB Europe devem ser suprimidos.
- A base jurídica “Interesse Legítimo” já não pode ser utilizada no TCF.
- O TCF foi reestruturado de modo a que os PME tenham uma forma “harmonizada” de obter o consentimento em conformidade com o RGPD. A informação deve ser apresentada de forma concisa, concreta, mas compreensível.
- Devem ser desenvolvidos mecanismos de segurança adequados para proteger o TCF.
- A IAB Europe deve criar um diretório de tratamento de dados.
- A IAB Europe tem de realizar um DPIA.
- A IAB Europe deve nomear um oficial de proteção de dados.
Além disso, a IAB Europe é obrigada a elaborar um “Plano de Ação” no prazo de 2 meses. Pretende-se que, no futuro, se deva dar em conformidade com os passos com que o TCF deverá ser cumprido. Assim que o plano for aceite pela APD, o IAB dispõe então de mais 6 meses para o implementar em conformidade.
Mantenha-se atualizado!
Subscreva a nossa newsletterTodos os CMPs são ilegais agora?
Não. Um CMP como o do consentmanager é geralmente independente disso – afinal, um operador de site pode configurar o CMP para que ele se torne compatível ou desligar completamente o TCF no CMP.
A TCF agora é ilegal?
Sim e não. A forma atual é considerada insuficiente. A IAB Europa tem agora a tarefa de dar início a medidas adequadas e de voltar a tornar a TCF conforme.
O que vem a seguir?
A IAB Europe dispõe agora de dois meses para desenvolver medidas e/ou apresentar uma objeção. Presume-se que ambos irão acontecer: haverá certamente uma contradição com os componentes individuais da decisão – ao mesmo tempo que analisarão a forma de colocar o TCF numa posição segura. Em particular, o objetivo aqui é transferir o TCF para um Código de Conduta (CCO). O IAB está a trabalhar nisto há algum tempo. Um CCO teria mais vantagens e maior segurança jurídica.
Quem é afetado pelo veredicto?
Inicialmente, só afeta diretamente a Europa da IAB. Indiretamente, afeta os PME, os fornecedores e os editores a médio prazo – o mais tardar quando devem ser definidos novos fins e bases jurídicas na camada de consentimento ou nas alterações técnicas da subestrutura.
Como devo reagir agora?
Como em tudo. Não é errado primeiro olhar de perto e esperar e ver como os atores se comportam.
Como recomendação geral, pode deduzir-se que o “interesse legítimo” não é considerado como base jurídica suficiente para a publicidade em linha – esta também já tinha sido anunciada antecipadamente e em outros acórdãos. Por isso, se utilizar ferramentas de marketing no seu website, deve verificar se precisam de consentimento.
Em geral, recomendamos a utilização do TCF apenas quando for realmente necessário. Para a maioria dos sites de e-commerce, por exemplo, este pode não ser o caso. Ao mesmo tempo, a maioria dos sites noticiosos continuará a contar com o TCF. Aqui recomendamos verificar cuidadosamente os textos de descrição e as listas de fornecedores e, se necessário, fornecer descrições mais detalhadas e mais informações.
Ist Ihre Webseite konform? Finden Sie es heraus mit unserer Checkliste
Tenho de apagar todos os meus dados agora?
Não. Por enquanto, o acórdão diz apenas respeito à IAB Europe. No entanto, indiretamente, pode presumir-se que um “CMP puro de TCF” também se enquadra nas condições do acórdão e, por conseguinte, não obteve o consentimento legalmente obtido.
Os sites que utilizam o TCF estão agora em perigo?
Sim e não. Por um lado, os intervenientes perderão primeiro – isto aplica-se também às outras autoridades de proteção de dados de outros países. Enquanto o procedimento continuar a “flutuar”, não faz sentido utilizar o procedimento como base para advertências ou novos procedimentos.
Por outro lado, ainda não é claro se o próprio TCF, sob determinadas condições, também não pode ser utilizado de forma compatível. Também aqui está por ver e, se necessário, estar atento ao desenvolvimento do TCF.
O que o consentmanager faz por mim? O que devo fazer?
Como membro do IAB Europe e de várias associações nacionais e outros grupos, o consentmanager está ativamente envolvido nas deliberações e decisões dentro do IAB. A este respeito, o consentmanager será capaz de implementar todas as medidas necessárias em tempo útil, a fim de poder proteger os seus clientes legal ou tecnicamente.
Como cliente consentmanager, não tem, portanto, de fazer nada de concreto por enquanto (ver exceções acima). Todos os ajustamentos técnicos e processuais exigidos por um TCF “novo” podem ser feitos diretamente internamente por nós – não há necessidade de trocar códigos agora.
A sua pergunta não está incluída?
Por favor, sinta-se livre para entrar em contato conosco diretamente.
