Paula Ortiz López. Directora Jurídica y de Relaciones Institucionales en IAB Spain, trató en #Inspirational20, La Estrategia legal de data en el ecosistema publicitario, ante el hecho de que cualquier dato que identifique a un usuario ha de ser tratado legalmente. Ortiz destacó «la legitimación , los principios y el papel del consentimiento.”
Para Ortiz «es muy difícil cumplir con la normativa porque se establecía que el consentimiento debía ser previo e informado, pero las cookies se instalan en una web en 0,3 mili segundos -propias y de terceros- con lo que es prácticamente imposible informar sobre finalidades».
«El e-privacy, seguramente se apruebe en esta Presidencia, alemana y quizá sea peligroso que salgan en esta Presidencia, porque es una presidencia especialmente dura y crítica con el sector publicitario»
Para IAB, se trata de un entorno digital digital que dificulta el cumplimiento del GDPR/e-Privacy ante la diversidad de información y actores intervinientes. La charla abordó cómo cumplir y en todo el ciclo de vida del dato y de la cookie de tal manera que los usuarios y los negocios queden protegidos.
Legitimación , los principios y el papel del consentimiento
Ortiz destacó la legitimación , los principios y el papel del consentimiento.” Nos planteamos si debe ser la regla o la excepción . Necesitamos una legitimación, de nuestros datos , bien porque los alquilamos o por una serie de principios que rodean a la protección de datos y que tienen que ver con la proporcionalidad, de no coger más datos de los necesarios, preservando la calidad, la seguridad y la integridad etcétera recogidos en la normativa en los puntps 5 , 6 y 7”.
“También tenemos los derechos de los usuarios y el regulador no ha querido entrar demasiado porque si hablamos de que las cookies son datos de carácter personal hablamos del momento de que un usuario entra en una web y se instala una cookie». «Estamos tratando datos y una vez que hemos pasado ese momento inicial de instalación de la cookie en que si se aplicaría el e-Privacy , una vez pasado este momento debería cumplirse toda la normativa de protección de datos del ejercicio de derechos»
«Un usuario podría decir que quiere saber qué datos tienes míos, pero no lo puedas machear con un correo electrónico ni cruzar información y en este caso estamos hablando de e-Privacy y de la legitimación para recoger datos . El siguiente gran tema será la aplicación de la aplicación real de todos estos derechos al entorno publicitario el entorno cookie o ID».
Destacó también la transparencia de la información el reglamento de Protección de Datos establecida en capítulos 13 y 14 . Un catálogo que trata hasta la lógica del algoritmo y el exceso de información -que podría redundar en una desinformacion- porque al final el usuario se pierde en tanto detalle y para ello se trabaja en iconos y en que las políticas de privacidad estén tan asumidas, algún día, que no haya falta ni leerlas»
Sobre la Transparencia Internacional señaló que «en la Unión Europea no se pueden transferir datos si no hay un nivel similar de protección en un país de destino». «Luego tenemos las leyes nacionales y leyes especiales».
«Haciendo un poquito de historia antiguamente en España existía la LGPD de que trataba los datos de carácter personal y también la LSSI y que habla de las cookies. En Protección de Datos teníamos un Reglamento General para el tema del información -y sería suficiente para aplicar a nuestro complejo ecosistema- pero seguimos teniendo una ley especial que es la LSSI, que se sigue aplicando sobre las cookies». «Así que hubo un momento de incertidumbre sobre si LGPD o LSSI y al final se habló del consentimiento como base legal para tratar la información».
«Realmente existen algunas contradicciones porque el usuario dice que le gusta a recibir publicidad personalizada pero por otro lado temen que se sepa más mucho de lo que ellos hacen» e hizo referencia al e-Privacy ,con la entrada en vigor del RGPD . «Lo cierto es que se lleva discutiendo desde hace siete presidencias y estamos en la Presidencia alemana – la que menos nos interesa por su postura- y lo cierto es que la presidencia croata establecía que para el establecimiento de las cookies también se podía alegar el interés legítimo, lo que nos habría ayudado muchísimo».
«Pero ahora, si se sigue poniendo tanto peso en el tema del consentimiento desde siempre defendemos cuanto más tarde el e-Privacy mejor y lo bueno es que él e-Privacy , deja más margen de maniobra para los Cookie Wall o los muros de pago, para que los medios puedan seguir solicitando el consentimiento a los usuarios y condicionando así el consentimiento para ofrecer o no un servicio similar»
«Veremos si el consentimiento es la base legal más apropiada en el entorno publicitario porque estamos trabajando a nivel europeo y EEUU en ambos modelos , que queda muy tensionado en el tema del consentimiento porque es un entorno muy complejo.
«Tenemos el first third party data del intercambio de datos ,el intercambio de clústeres y multitud de actores y esto es absolutamente dinámico. Creo que el consentimiento realmente no soluciona las necesidades que tenemos y más en un entorno como el nuestro con muchos actores».
¿Quién es el responsable de la cookie?
«Ahora tocamos muchos factores del ecosistema para llegar un marco común de responsabilidad . El tratamiento de las cookies es otro de los grandes temas. ¿Quién es el responsable de la cookie? ¿El editor, porque es quién trata ese dato? ¿Quién determina de los medios a los fines? IAB España defiende que debe ser una relación entre responsables que cada uno asuma su responsabilidad sobre las actividades que llevan a cabo con estos datos y de alguna manera sería una corresponsabilidad sobre la misma información en que cada uno responda sobre lo que va haciendo»
«Con la entrada del GDPR, -ya lo decía la Comisión de Reino Unido- es muy difícil cumplir con la normativa porque establecía que el consentimiento debía ser previo e informado. Pero cuando un usuario entra en una web en 0,3 milisegundos, se instalan las cookies -no solo propias sino de terceros- y era imposible informar sobre las finalidades de estas cookies» . «Por tanto el ecosistema empezó a trabajar en el Marco de Transparencia y Consentimiento (TCF), en una primera versión de 2018. Luego la versión actualizada del del TCF, en una versión 2.0 de la aplicación que ha sustituido a la 1.0 en agosto de 2020″.
«Se trata de un cumplimiento dinámico y vivo que se ha consultado a los stakeholders a las agencias de protección de datos y a los publishers -que ya tenían esa primera capa de responsabilidad, sobre los usuarios- con lo que se ha creado un marco de consentimiento mucho más sutil y dinámico y granular para todos los actores, sobre todo para el usuario que es el que nos importa».
«Este marco de consentimiento lo forman los editores, los vendors y en medio, el CMP (Consent Management Platforms) que tiene una labor fundamental en trasladar este consentimiento a toda la cadena de valor que estamos trabajando desde grupos de trabajo en IAB Europe»
«El CMP marca un anuncio a todos los vendors que están detrás e invita a todo el mundo a participar en este ecosistema creado por y para la industria de código abierto y trabajar en un entorno seguro. Así funcionaría una vez que el usuario ha dado autorización al CMP – ese consentimiento del usuario- que se traslada las diferentes tecnologías».
«En la versión 1.0 tenía cinco finalidades en la 2.0, tiene 10 + 2 finalidades, en consentimiento y otras en interés legítimo, como es la prevención del fraude . Además otorga mucha más protección a los publishers porque les permite establecer bases legitimadoras flexibles basadas en consentimiento de aquellos vendors que necesiten el interés legítimo porque su finalidad sea ese interés legítimo para hacerlo por esa vía».
Ortiz destacó las diferentes finalidades e invitó a visitar la página de IAB al respecto
Sobre la segunda capa del consentimiento que se trasladará a lo largo de toda la cadena y las cookies en el ecosistema de navegadores y dispositivos, señaló que «al final el usuario es cientos de cookies en sí mismo, ya sea desde del portátil, del móvil, la tablet o desde un navegador y eso dificulta mucho esa protección».
«Tenemos acechando el e-privacy y Ley de privacidad del consumidor (The California Consumer Privacy Act o CCPA) -primera ley de privacidad completa en Estados Unidos- y luego los adblockers, los Walled Gardens, … que están presionando mucho el papel de las cookies», tema del que también habló Para Alex Cone, de IAB Tech Lab, «Si Google, Apple, etc, se enrolaron con nosotros es porque vieron que íbamos en la dirección correcta con el TFC»
Privacy Sandbox de Google
«Ahora está también el Privacy Sandbox de Google (una vía alternativa que Google ofrece a la industria, basándose en señales anónimas (que no son cookies) dentro del navegador Chrome de una persona para beneficiarse de los hábitos de navegación de ese usuario) que sustituiría las cookies cookies de terceros por ID de anuncios y sustituiría esas cookies con una serie de APIs ( las APIs hoy en día son usadas también por clientes HTTP mucho más simples, que no soportan cookies de forma nativa).
«Google lo sustituirá por cinco APIS y en el tema de los jardines amurallados, los Walled Gardens, estas empresas tienen una capacidad de dirigirse a los usuarios registrados y se están asegurando de que cumplen con la normativa, lo que dejará fuera de juego a no pocos actores».
«Luego tenemos muchos standards con muchos IDs y lo cierto es que el día a día se está reestructurando para el sector publicitario. Esta función continúa con el e-privacy y con el Reglamento General de Protección de Datos. En IAB Europe tenemos también un grupo de trabajo que con la Europe Guide to the Post Third-Party Cookie y trabajamos en un estándar de privacidad que trasciende al Reglamento General de datos, basado en los principios de protección que unirían tanto la normativa americana como a la europea»
«La privacidad no tiene fronteras y quizá hacer Marcos europeos para un entorno en el que jugamos todos en el mismo tableros no tiene mucho sentido».
«Sería de plena aplicación este identificador si consideramos que el El Marco de Transparencia y Consentimiento (TCF) de IAB Europe es la única solución de consentimiento GDPR construida por la industria para la industria, es una buena base para estos principios en que el flujo de datos no tiene fronteras».
«La privacidad no tiene fronteras y quizá hacer Marcos europeos para un entorno en el que jugamos todos en el mismo tableros no tiene mucho sentido. Estamos trabajando en estos principios de privacidad que se aplicarán a nivel global para hacer crecer la industria».
Del TCF señaló en las preguntas del público, que «es un marco cerrado de políticas en el que cuando una empresa cumple con todas las policies que establece este marco y se le deja entrar en este marco se garantiza el cumplimiento con la normativa. De hecho los proveedores ,vendors o tecnologías como las de los editores , por otro lado, los TCF , están controlados para saber qué son de fiar y que esos actores que participan están custodiando bien el dato y todas las cadenas de consentimiento».
«El eprivacy quizá sea peligroso que salgan en esta Presidencia (alemana)…»
«El e-privacy, seguramente se apruebe en esta Presidencia pero llevamos así dos años y medio desde la primera propuesta de la Comisión. Lo cierto es que ahora está en la Presidencia alemana que tiene muchos focos en el eprivacy y quizá sea peligroso que salgan en esta Presidencia porque es una presidencia especialmente dura y crítica con el sector publicitario y con el papel de las cookies y la condicionalidad del consentimiento y si podemos condicionar el consentimiento a otras cuestiones. Pero lo cierto es que no lo sabemos puede ser en este semestre o en el que viene».
«Lo bueno del marco de transparencia de esta versión 2.0 del TCF, es que permite un consentimiento granular y que un usuario decida qué finalidades tengan sus datos y qué tecnologías le ofrece más que seguridad. Por tanto pueden utilizar su información pero no soy un consentimiento a ciegas sino dirigido en que el usuario considere que están trabajando bien su información».
Sobre qu´é legislación prevalece la Europea o Americana (CCPA).. en el lío de legislaciones cruzadas entre el Reglamento de Protección de Datos tenemos y e-privacy, CCPA… es complejo saber que normativa se aplicará y las autoridades lo han tratado de dejado claro».
«Lo cierto es que le RGPD, en el artículo 2, establece que se aplica la RGPD, en todo el mundo a cualquier empresa que trate datos ciudadanos dentro de la Unión Europe. Otra cosa es aplicarlo si están en Estados Unidos. La normativa señala que aunque esté en Estados Unidos o en las islas Bermudas, o cualquier otro país, se le aplicará el RGPD pero en cualquier caso no es un tema sencillo», concluyó.
También te puede interesar
#Inspirational20, presenta los Trabajos de la Comisión de Data: » «Los escollos para evaluar una campaña son las empresas de medición»- Los socios del c de c deciden cambiar el nombre a «Club de Creatividad»
- WARC revela que el 34% de los consumidores reduce su entretenimiento fuera del hogar
- IAB Spain presenta la Guía sobre la Eficacia de la Data
