Caso IAB Europe: datos personales y publicidad en línea

La reciente sentencia del Tribunal de Justicia de la Unión Europea (“TJUE”) en el asunto C-604/22, IAB Europe, del pasado 7 de marzo de 2024, ha abordado cuestiones clave sobre el concepto de datos personales y la responsabilidad del tratamiento en el contexto de una práctica de subastas en línea de espacios publicitarios basada en el consentimiento de los usuarios en la red.

En esta entrada analizamos los principales aspectos de esta sentencia y sus implicaciones para el sector de la publicidad y el marketing digitales.

Antecedentes del caso

Para facilitar el registro de las preferencias de los usuarios, IAB Europe, asociación sin ánimo de lucro, establecida en Bélgica, que representa a las empresas del sector de la publicidad y del marketing digitales, elaboró un marco técnico y normativo denominado Transparency & Consent Framework (“TCF”), compuesto por directrices, instrucciones, especificaciones técnicas, protocolos y obligaciones contractuales. Con el TCF, IAB Europe pretendía favorecer el cumplimiento del Reglamento General de Protección de Datos (“RGPD”) por parte de los operadores que recurren a un conocido protocolo para el Real Time Bidding (“RTB”), un sistema de subasta en línea instantánea y automatizada de perfiles de usuarios para la compraventa de espacios publicitarios en Internet.

Este sistema funciona del modo que resumimos a continuación.

Cuando un usuario consulta un sitio web o una aplicación que contiene un espacio publicitario, las empresas, intermediarios y plataformas publicitarias que representan a miles de anunciantes, pueden pujar en tiempo real por la obtención de ese espacio publicitario a través de un sistema de subastas automatizado que utiliza algoritmos, con el fin de mostrar en dicho espacio publicidad dirigida adaptada específicamente al perfil de tal usuario.

Sin embargo, antes de mostrar esa publicidad dirigida, debe obtenerse el consentimiento previo de dicho usuario para la recogida y el tratamiento de sus datos personales con fines previamente definidos —como, en particular, la comercialización o la publicidad— o para el intercambio de esos datos con determinados proveedores. Para ello, una plataforma de gestión del consentimiento, la Consent Management Platform (“CMP”), aparece en una ventana emergente para permitir a dicho usuario prestar su consentimiento o bien oponerse a diferentes tipos de tratamiento de datos o a la cesión de estos datos, que se refieren, en particular, a la localización del usuario, su edad, su historial de búsquedas y sus compras recientes.

A continuación, estas preferencias se codifican y almacenan en una cadena, denominada Transparency and Consent String (“TC String”), que capta, de manera estructurada y legible mecánicamente, el consentimiento o la oposición del usuario en lo que respecta al tratamiento de sus datos personales. La TC String se comparte con los intermediarios de datos personales y las plataformas publicitarias que participan en el sistema de subastas, para que estos sepan qué ha consentido el usuario o a qué se ha opuesto.

La CMP también coloca una cookie (euconsent-v2) en el dispositivo del usuario. De modo que, cuando se combinan, la TC String y la cookie euconsent-v2 pueden vincularse a la dirección IP de ese usuario, convirtiéndolo en identificable.

En 2022, la autoridad de protección de datos belga (“APD”) ordenó a IAB Europe que adecuara a las disposiciones del RGPD el tratamiento de datos personales efectuado en el marco del TCF, y le impuso varias medidas correctoras y una multa administrativa. IAB Europe recurrió la resolución ante el Tribunal de Apelación de Bruselas, que planteó al TJUE las cuestiones prejudiciales que recogemos a continuación.

Cuestiones prejudiciales y conclusiones

La primera cuestión prejudicial se refiere a si una TC String, combinada o no con una dirección IP, constituye un dato personal en el sentido del artículo 4.1 del RGPD, y si tiene alguna relevancia el hecho de que IAB Europe no tenga acceso a los datos personales tratados por sus miembros en el marco del TCF.

El TJUE responde afirmativamente a esta cuestión, señalando que una TC String contiene las preferencias individuales de un usuario específico en base a su consentimiento en el tratamiento de los datos personales que le conciernen, lo que constituye información "sobre una persona física". Además, el TJUE indica que, cuando la información contenida en una TC String se asocia con un identificador, como la dirección IP del dispositivo de tal usuario, puede permitir crear un perfil de dicho usuario e identificar efectivamente a la persona a que se refiere específicamente tal información. Por tanto, el TJUE concluye que una TC String constituye un dato personal en el sentido del artículo 4.1 del RGPD, y que no afecta a esta conclusión el hecho de que IAB Europe no pueda combinar la TC String con la dirección IP del dispositivo de un usuario y no tenga la posibilidad de acceder directamente por sí misma a los datos tratados por sus miembros en el marco del TCF.

La segunda cuestión prejudicial se centra en si IAB Europe debe ser calificada de responsable o de corresponsable del tratamiento cuando ofrece a sus miembros un estándar para la gestión del consentimiento –el TCF– que, además de un marco técnico vinculante, comprende disposiciones en las que se establece con detalle el modo en que deben almacenarse y difundirse estos datos de consentimiento que constituyen datos personales. Asimismo, también se pregunta al TJUE si dicha responsabilidad o corresponsabilidad debe extenderse a los tratamientos ulteriores realizados por los terceros para los que se obtienen las preferencias de los usuarios de Internet.

Basándose en las conclusiones previamente alcanzadas por el propio TJUE en el asunto C-210/16, Wirtschaftsakademie Schleswig-Holstein, el Tribunal considera que IAB Europe influye, atendiendo a sus propios objetivos, en el tratamiento de datos personales y determina, junto con sus miembros, los fines y medios de dicho tratamiento, ya que el TCF favorece y permite la compraventa de espacios publicitarios en Internet por parte de los operadores que participan en el sistema de subasta en línea, y contiene especificaciones técnicas relativas al tratamiento de la TC String, que los miembros de IAB Europe deben aceptar para adherirse a dicha asociación. Como resultado, el TJUE concluye que IAB Europe debía ser considerada corresponsable del tratamiento y que el hecho de que no tenga acceso directo a las TC Strings no impide que ostente esa condición si, como queda acreditado, determina los fines y medios para que el marco del TCF pueda ser utilizado por las empresas del sector de la publicidad y del marketing digitales.

A mayor abundamiento, también resulta fundamental para alcanzar dicha conclusión los argumentos del TJUE en el asunto C-25/17, Jehovan todistajat, por el que se determina que la existencia de una corresponsabilidad no supone necesariamente que, con respecto a un mismo tratamiento de datos personales, las distintas partes implicadas en el tratamiento tengan una responsabilidad equivalente. Al contrario, dichas partes pueden estar implicadas en distintas etapas del tratamiento y en distintos grados. Además, aclara también el TJUE en dicha sentencia que la corresponsabilidad respecto a un mismo tratamiento no presupone que cada corresponsable deba tener acceso a los datos personales en cuestión.

Sin perjuicio de lo anterior, el TJUE precisa que la corresponsabilidad de IAB Europe no se extiende automáticamente a los tratamientos ulteriores de datos personales efectuados por terceros, como los proveedores de sitios de Internet o de aplicaciones, en lo que respecta a las preferencias de los usuarios a efectos de la publicidad dirigida en línea, extremo que corresponde comprobar caso por caso al órgano jurisdiccional remitente, ya que dichos tratamientos no tienen por qué implicar la participación de IAB Europe.

Nuevamente, la corresponsabilidad

Esta última sentencia del TJUE se suma a las recientes STJUE de 4 de mayo de 2023, referente al caso C-60/22, y de 5 de diciembre de 2023, en el asunto C-683/21, en relación con la interpretación del artículo 26 del RGPD, sobre la corresponsabilidad del tratamiento.

Por un lado, la STJUE del asunto C-60/22 resolvió sobre el caso de un solicitante de protección internacional cuya solicitud fue denegada por la Oficina Federal de Alemania de Migración y Refugiados basándose en un expediente electrónico que contenía sus datos personales. El solicitante recurrió la decisión ante el tribunal alemán, que recibió el expediente electrónico a través de un buzón electrónico judicial y administrativo, gestionado por las autoridades administrativas.

En este punto, el tribunal se planteó si el incumplimiento de la Oficina Federal de, entre otras, sus obligaciones bajo el artículo 26 del RGPD –por la ausencia de un acuerdo de corresponsabilidad para la transmisión del expediente– constituía un tratamiento ilícito que facultaría al interesado a ejercitar el derecho de limitación del tratamiento o de supresión de sus datos personales.

Según resolvió el TJUE, la inexistencia de un acuerdo que determine la corresponsabilidad, no demuestra, como tal, que se hayan vulnerado los derechos y libertades de los interesados. Y, por tanto, la infracción del artículo 26 del RGPD por parte del responsable del tratamiento no constituye un tratamiento ilícito que confiera al interesado un derecho de supresión o un derecho a la limitación del tratamiento.

Por otro lado, la STJUE del asunto C-683/21 resolvió sobre la calificación jurídica que debía atribuirse al Centro Nacional de Sanidad Pública del Ministerio de Sanidad de Lituania (CNSP) y a la empresa informática a la que este había encargado la creación de una aplicación móvil para el seguimiento de la COVID-19, que debía recoger datos personales de los usuarios, como su estado de salud y su ubicación, con fines epidemiológicos.

En este caso el tribunal lituano planteó una cuestión prejudicial acerca de si el concepto de “corresponsabilidad del tratamiento” de datos personales se refiere solo a los casos en que se da una coordinación deliberada sobre la finalidad y los medios del tratamiento, o también debe extenderse a los casos en que no existe un acuerdo claro o una coordinación entre las entidades que tratan los datos. Además, planteó la cuestión sobre qué debe entenderse por "mutuo acuerdo" entre los corresponsables del tratamiento.

En respuesta a lo anterior, el TJUE negó la exigencia de un acuerdo formal entre los corresponsables, al tratarse de una obligación que se les impone una vez se les califica como tales. Por el contrario, el TJUE argumentó, en la misma línea que las conclusiones del Abogado General, que la corresponsabilidad del tratamiento puede darse tanto por una decisión común como por decisiones convergentes de las entidades que tratan los datos, siempre que se complementen y tengan un efecto en la finalidad y los medios del tratamiento.

En conclusión, parece que, poco a poco, el TJUE está facilitando la interpretación de la figura de la corresponsabilidad, la cual está suscitando numerosas dudas por parte de los tribunales nacionales. Prueba de ello es la recurrencia de sentencias del TJUE pronunciándose sobre esta materia, que, sin duda, no serán las últimas que veremos en los próximos meses y años.

¿Qué pasará con el TCF?

Volviendo a la sentencia sobre el TCF de IAB Europe, una vez más el TJUE arroja luz en lo que respecta al concepto de datos personales y sobre la responsabilidad del tratamiento en el ámbito de la publicidad en línea basada en el consentimiento de los usuarios. 

Habrá que esperar unos meses más para ver las implicaciones que dicha sentencia va a tener para las empresas del sector de la publicidad y del marketing digitales adheridas a este marco. En este sentido, el fallo del TJUE no implica que el marco del TCF sea automáticamente inválido y su uso deba cesar. Ahora, corresponde al Tribunal de Apelación de Bruselas valorar y resolver el asunto de fondo, teniendo en cuenta las respuestas del TJUE a las cuestiones prejudiciales planteadas.

En cualquier caso, para el mantenimiento del TCF parece imprescindible la revisión de las políticas de recogida y gestión del consentimiento de los usuarios, así como el establecimiento de los correspondientes acuerdos de corresponsabilidad entre IAB Europe y las organizaciones adheridas al mismo a tenor de lo establecido en el artículo 26 del RGPD.

Autores: Ramón Baradat, con la colaboración de Mireia Sala.