A Autoridade de Proteção de Dados da Bélgica (APD) decidiu (PDF) que todos os dados coletados por meio do European Transparency & Consent Framework (TCF) foram obtidos ilegalmente e devem ser destruídos. A decisão afetará os interesses de mais de mil empresas de publicidade online que são membros da associação IAB Europe, incluindo Google, Amazon e Microsoft.
Fonte da imagem: Capri23auto / pixabay.com
A maior parte da publicidade na Europa é gerida pela associação da indústria IAB Europe, que foi criada para garantir que os anunciantes e as plataformas de publicidade atuem de forma uniforme e cumpram os requisitos das leis locais. Para isso, foi desenvolvido um mecanismo único de Transparency and Consent Framework (TCF): ao acessar os sites, os usuários viam janelas pop-up solicitando seu consentimento para o processamento de dados.
Os dados de cada usuário foram coletados de vários recursos e incluíram informações bastante detalhadas, que foram apresentadas no formato TC String. Esses dados, de fato, foram transmitidos online para um círculo ilimitado de pessoas sem qualquer supervisão e processados pelo sistema RTB (Real-Time Bidding), um leilão com lances automáticos em tempo real que determina quais anúncios são exibidos aos usuários no site .
Fonte da imagem: Gerd Altmann / pixabay.com
De acordo com o regulador belga, a própria natureza do consentimento do usuário ao clicar na janela pop-up, bem como os dados coletados pela plataforma RTB, violam os requisitos do Regulamento Geral de Proteção de Dados Europeu (GDPR), que define os princípios de confidencialidade no tratamento da informação na região. Em particular, o consentimento para o processamento de dados não foi “devidamente solicitado”; não havia “transparência sobre o que está acontecendo com os dados”; o processamento de dados não estava em conformidade com o GDPR; e o IAB Europe não cumpriu os requisitos de proteção de dados.
Como resultado, a APD determinou que todos os dados coletados pelo sistema RTB devem ser destruídos. Isso pode afetar os interesses de grandes players do setor de publicidade, incluindo Google e Facebook, bem como empresas especializadas em big data. O IAB Europe será multado em US$ 250.000 e obrigado a revisar a estrutura de tecnologia de anúncios existente, o que exige que a organização indique uma pessoa responsável e, se possível, coloque o sistema em conformidade com o GDPR. A associação não concorda com esta decisão: ela se autodenomina desenvolvedora de padrões e recusa o papel de sujeito independente de processamento de dados.