El Tribunal de Justicia de la Unión Europea (TJUE) dictaminó, en el marco de una cuestión prejudicial, que las empresas de marketing digital deben gestionar de acuerdo al Reglamento General de Protección de Datos (RGPD) las subastas de espacios publicitarios realizadas en internet, pues generan datos de preferencias de los usuarios sujetos a protección. En caso contrario incurrirán en corresponsabilidad.
El caso versa sobre IAB Europe, una asociación sin fines de lucro con sede en Bélgica, que representa a empresas de publicidad y marketing digital en toda Europa. En el centro de la controversia está su herramienta Transparency and Consent String (TC String), que busca adaptar el sistema de subastas utilizado en publicidad digital al RGPD. Esta codifica y almacena las preferencias de los usuarios en una cadena de caracteres.
Esta cadena se comparte con intermediarios de datos y plataformas publicitarias para informar sobre el consentimiento del usuario o sus objeciones. Además, se coloca una cookie en el dispositivo del usuario, la cual, cuando se combina con la TC String, puede vincularse a la dirección IP del usuario.
Noticia Relacionada
En 2022, la autoridad belga determinó que TC String constituye un dato personal en virtud del RGPD. Además, constató que IAB Europe actuó como responsable del tratamiento de datos sin cumplir plenamente con las disposiciones del RGPD, por lo que impuso sanciones a la empresa, la cual impugnó esta decisión en sede judicial. El tribunal que conoce del caso planteó una cuestión prejudicial al TJUE para que interpretara los alcances del RGPD en el caso concreto.
En su análisis de fondo, el Tribunal señala que, “(…) la TC String contiene información relativa a un usuario identificable, por lo que constituye un dato personal en el sentido del RGPD. En efecto, cuando la información contenida en una TC String se asocia con un identificador, como, en particular, la dirección IP del dispositivo del usuario, puede permitir crear un perfil de dicho usuario e identificarlo”.
Agrega que, “(…) IAB Europe debe ser considerada «corresponsable del tratamiento», en el sentido del RGPD. En efecto, sin perjuicio de las comprobaciones que corresponde efectuar al tribunal belga, parece que IAB Europe influye en las operaciones de tratamiento de datos, en el momento del registro de las preferencias en materia de consentimiento de los usuarios en una TC String, y determina, junto con sus miembros, tanto los fines de esas operaciones como los medios que están en el origen de las mismas”.
El Tribunal concluye que, “(…) sin perjuicio de una eventual responsabilidad civil prevista en el Derecho nacional, IAB Europe no puede ser considerada responsable, en el sentido del RGPD, de las operaciones de tratamiento de datos que tienen lugar después de que se registren en una TC String las preferencias en materia de consentimiento de los usuarios, salvo si puede acreditarse que dicha asociación ha influido en la determinación de los fines de los tratamientos ulteriores y de las modalidades de su ejercicio”.
Al tenor de lo expuesto, el Tribunal resolvió que la empresa es corresponsable del tratamiento de las preferencias, por ser datos personales de los usuarios al tenor del RGPD.
Vea sentencia Tribunal de Justicia de la Unión Europea C-604.22.