IAB Europe: corresponsabilidad e ilegalización del marco jurídico de las subastas de publicidad personalizada online (RTB)

• Autores: Jorge García Herrero
• Localización: Derecho Digital e Innovación. Digital Law and Innovation Review, ISSN-e 2659-871X, Nº. 11 (enero-marzo), 2022
• Idioma: español
• Texto completo no disponible (Saber más ...)
• Resumen
  • español

    El pasado 2 de febrero de 2022 la Autoridad de Protección de datos Belga publicó una sanción coordinada con el resto de autoridades europeas, en la que sustancialmente declaró la ilegalidad del marco de transparencia y consentimiento (TCF) de IAB Europa.

    Sustancialmente, se declaró (i) la corresponsabilidad de IAB Europa en relación con los masivos tratamientos de datos realizados con base en el TCF, a través de su plataforma de publicidad digital OpenRTB (ii) la falta de base jurídica habilitante para dichos tratamientos y en consecuencia (iii) se impusieron una serie de obligaciones materiales (reformar el marco jurídico y promover la supresión de los datos ilícitamente tratados) y formales (nombrar un DPO, realizar una DPIA y crear un Registro de actividades de tratamiento).

    La resolución no sólo afecta a IAB sino que es un game changer para todo el ecosistema.

    El foco de este texto no es tanto examinar los incumplimientos relacionados con el TCF, sino más bien el uso de la figura de la «corresponsabilidad» para exigir responsabilidad tanto a IAB Europa (que no trataba datos personales) como al resto de entidades

  • English

    Last February 2, 2022, the Belgian Data Protection Authority published a sanction coordinated with the rest of the European authorities, declaring that IAB Europe’s Transparency and Consent Framework violated the GDPR.

    Basically, it declared (i) the joint responsibility of IAB Europe in relation to the massive data processing based on the TCF, through its digital advertising platform OpenRTB (ii) the lack of legal basis for such processings and consequently (iii) imposed a number of material obligations (to amend the legal framework, to promote the erasure of unlawfully processed data) and formal obligations (to appoint a DPO, to conduct a DPIA and to create a Register of processing activities).

    The resolution does not only affect to IAB Europa: it is indeed a gamechanger for the whole ecosystem.

    The focus of this text is not only to examine the non-compliances related to the TCF, but rather the use of the notion of «joint controllership» to hold accountable both IAB Europe (which did not process any personal data) and the rest of entities involved.