El tribunal aclara las normas aplicables en la subasta de datos en base al Reglamento General de Protección de Datos. Asunto C-604/22.
En el mundo digital actual, cuando un usuario navega por un sitio web o una aplicación que incluye espacios publicitarios, se inicia un proceso de subasta en tiempo real conocido como Real Time Bidding (RTB). Empresas, intermediarios y plataformas publicitarias, en representación de miles de anunciantes, pujan para obtener el espacio publicitario y mostrar anuncios personalizados según el perfil del usuario. Sin embargo, antes de desplegar publicidad dirigida, se necesita obtener el consentimiento del usuario para la recopilación y tratamiento de sus datos personales.
La Solución de IAB Europe y el RGPD
IAB Europe, una asociación sin ánimo de lucro con base en Bélgica, ha desarrollado una herramienta destinada a adecuar este sistema de subastas al RGPD. La solución propuesta por IAB Europe implica codificar y almacenar las preferencias de los usuarios en una cadena llamada «Transparency and Consent String» (TC String). Esta cadena se comparte con intermediarios de datos y plataformas publicitarias para informar sobre el consentimiento o la oposición del usuario. Asimismo, se coloca una cookie en el dispositivo del usuario, que, combinada con la TC String, puede vincularse a la dirección IP del mismo.
La TC String como dato personal y las acciones legales
En 2022, la autoridad belga de protección de datos consideró que la TC String era un dato personal bajo el RGPD y que IAB Europe actuaba como responsable del tratamiento de datos sin cumplir completamente con las disposiciones del RGPD. Por ello, se impuso una multa administrativa a la empresa, además de otras medidas. La asociación impugnó la resolución y presentó un recurso ante el Tribunal de Apelación de Bruselas, el cual planteó una cuestión prejudicial al TJUE.
El pronunciamiento del TJUE sobre la subasta de datos
Tras el planteamiento de la cuestión prejudicial, el Tribunal de Justicia de la UE ha confirmado que la TC String contiene información relativa a un usuario identificable, por lo que constituye un dato personal según el RGPD. Ello se debe a que, cuando se asocia una información a un identificador (como la IP), puede crearse un perfil identificable. Además, señala que la empresa influye en las operaciones de tratamiento de datos, al registrar las preferencias de consentimiento de los usuarios. Por ello, considera que es corresponsable del tratamiento de datos. No obstante, no puede considerarse automáticamente responsable de las operaciones de tratamiento de datos que ocurren después de registrar las preferencias, a menos que se demuestre su influencia en la determinación de los fines y modalidades de dichos tratamientos.
Para llegar a dichas conclusiones, el Tribunal interpreta lo dispuesto en los puntos 1 y 7 del artículo 4 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016.
