A decisão partiu de queixas de ONGs contra o Interactive
Advertising Bureau Europe (IAB Europe), da qual são membros mais de
cinco mil empresas (36), por exemplo Google, Amazon e Microsoft, datadas
de 2019.
Estava, essencialmente, em causa a conformidade do Transparency
& Consent Framework (TCF) com o RGPD, e a avaliação da
responsabilidade do IAB Europe no citado contexto. Houve, igualmente,
que avaliar o impacto do TCF no designado Real-Time Bidding (RTB) (19).
O sistema RTB consiste em uma rede de intervenientes que utiliza
aplicações de big data na área do marketing de forma a melhorar, com
prévia determinação do espaço publicitário, tendo por base dados
utilizados em tempo real e assentes em publicidade comportamental (21).
O RTB funciona no contexto de websites comerciais e de aplicações
móveis, as empresas participantes dispõem de informação sobre quem –
que indivíduo - visita o site, gerando biliões de ofertas publicitárias
colocadas a leilão diariamente (23).
O funcionamento do RTB decorre do TC String a utilizar em
plataformas CMP (Consent Management Platforms) nas quais é recolhido o
consentimento dos titulares dos dados através de janelas de pop-up que
surgem no primeiro contacto com o website instalando cookies e outros
elementos de identificação (40).
O TC String consiste numa sequência de letras, números ou outros
caracteres que captura de uma forma estruturada e sistematizada as
preferências de um titular de dados pessoais (41).
A Camara competente da Autoridade considerou que as políticas
TCF, bem como as Guidelines de implementação considerou que, perante
dados pessoais, não existia a recolha do consentimento determinado nos
termos do RGPD, mas a captação da informação pessoal através do
euconsent-v2 cookie (407).
Nestes termos, a Autoridade Belga aplicou uma coima no valor de €
250 000 e a fixação de um período de 6 meses alterar as causas da
incompatibilidade com o RGPD.
Em inglês, a decisão consiste no seguinte:
a) providing a valid legal basis for the processing and
dissemination of users' preferences within the context of the TCF, in
the form of a TC String and a euconsent-v2 cookie, as well as
prohibiting, via the terms of use of the TCF, the reliance on legitimate
interests as a legal ground for the processing of personal data by
organizations participating in the TCF in its current form, pursuant to
Articles 5.1.a and 6 of the GDPR;
b) ensuring effective technical and organizational monitoring
measures in order to guarantee the integrity and confidentiality of the
TC String, in accordance with Articles 5.1.f, 24, 25 and 32 of the GDPR;
c) maintaining a strict audit of organizations that join the TCF
in order to ensure that participating organizations meet the
requirements of the GDPR, in accordance with Articles 5.1.f, 24, 25 and
32 of the GDPR;
d) taking technical and organizational measures to prevent
consent from being ticked by default in the CMP interfaces as well as to
prevent automatic authorization of participating vendors relying on
legitimate interest for their processing activities, in accordance with
Articles 24 and 25 of the GDPR;
e) forcing CMPs to adopt a uniform and GDPR-compliant approach to
the information they submit to users, in accordance with Articles 12 to
14 and 24 of the GDPR;
f) updating the current records of processing activities, by
including the processing of personal data in the TCF by IAB Europe, in
accordance with Article 30 of the GDPR;
g) carrying out a data protection impact assessment (DPIA) with
regard to the processing activities under the TCF and their impact on
the processing activities carried out under the OpenRTB system, as well
as adapting this DPIA to future versions or amendments to the current
version of the TCF, in accordance with Article 35 of the GDPR;
h) appointing a Data Protection Officer (DPO) in accordance with Articles 37 to 39 of the GDPR.
Cada uma destas alíneas tem uma significação funda no contexto do RGPD.
Aceda a Decisão Judicial completa aqui.
Sem comentários:
Enviar um comentário