Este é o começo do fim para o odiado pop-up de consentimento do cookie de rastreamento? Uma estrutura emblemática usada pelo Google e por vários outros anunciantes para obter o consentimento reivindicado de usuários da web para a segmentação de anúncios assustadores parece violar o Regulamento Geral de Proteção de Dados da Europa (GDPR).
Um ano atrás, a Estrutura de Transparência e Consentimento (TCF) autodenominada do IAB Europa não obedeceu aos princípios de transparência, justiça e responsabilidade do GDPR e à legalidade do processamento em um relatório preliminar da divisão de investigação da proteção de dados belga autoridade.
A reclamação foi então encaminhada para a câmara de contencioso da DPA – e um ano inteiro se passou sem que uma decisão fosse emitida, em consonância com o ritmo glacial de fiscalização da privacidade contra adtech na região.
Mas a autoridade está agora em processo de finalização de um projeto de decisão, de acordo com um comunicado de imprensa lançado pelo IAB Europe hoje. E o veredicto que ele espera é que o TCF viole o GDPR.
Ele também descobrirá que o próprio IAB Europe está em violação. Oops.
O órgão da indústria de publicidade online parece estar tentando se adiantar a uma descoberta nuclear de não conformidade, escrevendo que o DPA “aparentemente identificará violações do GDPR pelo IAB Europa” e tentando transformar a descoberta como “corrigível” dentro seis meses (não diz como, no entanto) – embora simultaneamente implique que a descoberta de violação pode não ser corrigida porque outras DPAs da UE ainda precisam pesar sobre a decisão como parte do procedimento de cooperação padrão do GDPR (que se aplica a reclamações de fronteira).
A declaração preventiva (e seu cronograma de sexta-feira à tarde) se parece muito com o IAB Europa tentando difundir e enterrar más notícias e, assim, acalmar os nervos da indústria de rastreamento diante das manchetes de que uma ferramenta emblemática é ilegal – algo de privacidade da UE os ativistas, é claro, vêm dizendo há literalmente anos.
Em termos de tempo, um veredicto final sobre a investigação ainda está provavelmente a alguns meses – e pode não surgir até 2022. Os recursos também são quase inevitáveis. Mas os problemas da indústria de rastreamento estão começando a parecer, bem, apropriadamente pegajosos.
No curto prazo, o IAB diz que espera que um projeto de decisão seja compartilhado pela Bélgica com outros DPAs da UE nas próximas duas a três semanas – ponto em que eles têm 30 dias para revisá-lo e, potencialmente, apresentar objeções.
Se as DPAs não concordarem com a conclusão da autoridade principal e não puderem concordar entre si, o Conselho Europeu de Proteção de Dados pode precisar intervir e tomar uma decisão vinculativa – como aconteceu em outro caso internacional contra o WhatsApp (que levou a uma multa de $ 267 milhões, uma penalidade maior que a DPA líder naquele caso havia proposto originalmente).
Portanto, esse mecanismo de cooperação do GDPR pode gerar procedimentos por muitos mais meses.
Enquanto isso, os reclamantes contra o IAB Europe e seu TCF nos disseram que não viram nem receberam detalhes do projeto de decisão do DPA.
Portanto, parece muito estranho que o corpo da indústria de publicidade tenha visto uma decisão antes das outras partes da reclamação.
Mas um dos reclamantes, o Conselho Irlandês de Liberdades Civis, Johnny Ryan, postou rapidamente um comunicado de imprensa de sua autoria, na qual escreve: “Vencemos. Verificou-se que a indústria da publicidade online e o seu organismo comercial, ‘IAB Europe’, privaram centenas de milhões de europeus dos seus direitos fundamentais.
“A IAB Europe projetou os pop-ups de ‘consentimento’ enganosos que aparecem em quase todos (mais de 80%) sites e aplicativos europeus. Esse sistema é conhecido como ‘Transparency & Consent Framework’ (TCF) do IAB Europe. Esses pop-ups pretendem dar às pessoas controle sobre como seus dados são usados pela indústria de publicidade online. Mas, na verdade, não importa o que as pessoas clicam. ”
A iminente constatação de ilegalidade chega em um momento interessante para a indústria de anúncios de rastreamento, com movimentos em andamento no Parlamento Europeu para pressionar por uma proibição total da publicidade comportamental a ser incorporada nas regulamentações pan-UE para serviços digitais – em favor da proteção à privacidade alternativas como publicidade contextual.
A descoberta de que a principal ferramenta usada pela indústria de rastreamento para alegar ‘consentimento’ para anúncios comportamentais não está realmente operando de acordo com a lei da UE certamente amplificará as chamadas para limpar a casa ao proibir totalmente a prática.
De acordo com o IAB Europe, o projeto de decisão do DPA belga determinará que é um controlador de dados para TCF “TC Strings”, também conhecido como “os sinais digitais criados em sites para capturar as escolhas dos titulares de dados sobre o processamento de seus dados pessoais para publicidade digital, conteúdo e medição ”, como diz.
(Ou – nas palavras de Ryan – “o código de identificação criado sobre uma pessoa, com base nos aplicativos que ela usa e nos sites que visita, e no que clica em pop-ups de consentimento”.)
Ele também descobrirá que o IAB Europe é um “controlador conjunto” para TC Strings que são usados em OpenRTB (Real Time Bidding) – o que significa que o corpo da indústria terá uma série de novas responsabilidades arriscadas ligadas ao processamento de dados em torno da publicidade comportamental programática (com responsabilidade legal em grande quantidade e o risco de multas pesadas se eles não cumprirem os requisitos do GDPR, como privacidade desde o projeto e padrão; consentimento específico, informado e fornecido gratuitamente; e segurança adequada envolvendo os dados das pessoas).
Aqui está Ryan novamente, apresentando o caso paralelo contra o RTB em breve:
“Por quase quatro anos, sites e aplicativos atormentaram os europeus com esse spam de ‘consentimento’. Mas nossas evidências revelam que o IAB Europe sabia que a publicidade convencional baseada em rastreamento era “incompatível com o consentimento sob o GDPR” antes de lançar o sistema de consentimento.
“Isso ocorre porque o principal sistema de anúncios baseado em rastreamento, chamado ‘Real-Time Bidding’ (RTB), transmite o comportamento dos usuários da Internet e locais do mundo real para milhares de empresas, bilhões de vezes por dia. RTB é a maior violação de dados já registrada. Não há como proteger os dados neste vale-tudo. (Estamos litigante contra RTB em Hamburgo também.)
“Em procedimentos iniciados por um grupo de reclamantes coordenados pelo Conselho Irlandês de Liberdades Civis, a Autoridade de Proteção de Dados da Bélgica está perto de adotar um projeto de decisão que considerará que o sistema pop-up de ‘consentimento’ do IAB Europe infringe o GDPR, justificando nossos argumentos ao longo de vários anos. ”
O truque do IAB Europe para tentar evitar a responsabilidade de proteger os dados das pessoas é tentar espalhar a culpa em outros lugares – alegando que não se considerou um controlador de dados “com base na orientação de outros DPAs até agora”, entre outras desculpas.
“Portanto, naturalmente não cumpriu certas obrigações que cabem aos controladores de dados nos termos do Regulamento”, prossegue o IAB Europe – evitando cuidadosamente fazer qualquer tipo de pedido de desculpas.
(Aqui está a opinião de Ryan novamente: “A IAB Europe é conjuntamente responsável e responsável com milhares de empresas de publicidade on-line quando os dados pessoais são transmitidos para os dados RTB gratuitamente. A IAB Europe tentou negar isso.”)
Em vez de se desculpar, o IAB Europe direciona sua energia para sugerir que haverá uma maneira fácil de corrigir o problema de legalidade da indústria de rastreamento, escrevendo: “O projeto de decisão exigirá que o IAB Europe trabalhe com o APD para garantir que essas obrigações sejam cumpridas no futuro . ”
Fazendo mais ruídos calmantes do mercado, ele também se descreve como “otimista” que o TCF pode ser corrigido.
Mas, bem, diria que não é?
O órgão da indústria de publicidade online negou anteriormente que houvesse qualquer processo contra o uso de dados de pessoas pelo TCF ou RTB.
Então, bem, seu registro aqui não deve inspirar confiança.
“O Google e toda a indústria de rastreamento dependem do sistema de consentimento da IAB Europe, que agora será considerado ilegal”, acrescentou Ryan em um comunicado. “A IAB Europe criou um sistema de consentimento falso que enviava spam a todos, todos os dias, e não tinha nenhum propósito além de dar uma cobertura legal para a violação maciça de dados no coração da publicidade online. Esperamos que a decisão da Autoridade de Proteção de Dados da Bélgica finalmente force a reforma da indústria de publicidade online. ”
Outro reclamante no caso, Jef Ausloos, um pesquisador de pós-doutorado em privacidade de dados na Universidade de Amsterdã, sugere que a declaração do IAB Europe é uma tentativa de costurar dúvidas entre outros DPAs da UE – e chamou sua alegação de que os códigos de identificação usados para publicidade direcionada não são t dados pessoais “absurdos”.
Ele também descreveu a descoberta belga como “apenas o início do processo como eu o vejo”, acrescentando: “Já percorremos um longo caminho, mas, de qualquer maneira, isso ainda vai demorar um pouco”.
No momento em que este documento foi escrito, a DPA belga não havia respondido ao nosso pedido de confirmação de um projeto de decisão iminente.
Uma porta-voz do IAB Europa afirmou que “apenas foi informada sobre as descobertas da manchete do projeto de decisão”. Ela não especificou como obteve as informações antes dos reclamantes.
