Las cuestiones fundamentales que trata de despejar el Tribunal de Justicia en esta Sentencia son, fundamentalmente, las siguientes:
-
- ¿Conforme al Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (en adelante «RGPD») constituye un dato personal una cadena de letras y caracteres que capta, de manera estructurada y legible mecánicamente, las preferencias de un usuario de Internet relativas al consentimiento de dicho usuario en lo que respecta al tratamiento de sus datos personales? y
- ¿Quién es “responsable” o “corresponsable del tratamiento?
En efecto, a estos extremos se refiere el Tribunal de Justicia en la Sentencia del de 7 de marzo de 2024 en el asunto C-604/22 (IAB Europe), con motivo de una petición de decisión prejudicial planteada conforme al artículo 267 TFUE, por el hof van beroep te Brussel (Tribunal de Apelación de Bruselas, Bélgica).
Esta petición de decisión prejudicial tiene por objeto la interpretación de los arts 4, puntos 1 y 7, y 24, apartado 1, del RGPD, y en consonancia con los arts. 7 y 8 de la Carta de los Derechos Fundamentales de la Unión Europea.
Esta petición se presentó en el contexto de un litigio entre IAB Europe y la Gegevensbeschermingsautoriteit (Autoridad de Protección de Datos, Bélgica; en adelante, «APD») en relación con una resolución de la Sala de Controversias de la APD adoptada contra IAB Europe por la presunta infracción de varias disposiciones del RGPD.
IAB Europe es una asociación sin ánimo de lucro, establecida en Bélgica, que representa a las empresas del sector de la publicidad y del marketing digitales a nivel europeo. Son miembros de IAB Europe tanto empresas pertenecientes al sector publicitario (así editores, empresas de comercio electrónico y de marketing e intermediarios) como asociaciones nacionales, entre ellas las IAB (Interactive Advertising Bureau) nacionales, entre cuyos miembros figuran empresas de dicho sector. Y precisamente entre los miembros de IAB Europe se incluyen empresas que generan ingresos importantes mediante la venta de espacios publicitarios en sitios de Internet o en aplicaciones.
IAB Europe ha elaborado el Transparency & Consent Framework (Marco de Transparencia y Consentimiento; en adelante, «TCF»), que es un marco de normas compuesto por directrices, instrucciones, especificaciones técnicas, protocolos y obligaciones contractuales que permiten tanto al proveedor de un sitio de Internet o de una aplicación como a los intermediarios de datos o incluso a las plataformas publicitarias tratar legalmente los datos personales de un usuario de un sitio de Internet o de una aplicación.
El TCF pretende fundamentalmente favorecer el cumplimiento del RGPD cuando esos operadores recurren al protocolo Open RTB, uno de los más utilizados para el Real Time Bidding, que es un sistema de subasta en línea instantánea y automatizada de perfiles de usuarios para la compraventa de espacios publicitarios en Internet. A la vista de determinadas prácticas realizadas por miembros de IAB Europe en el marco de este sistema de intercambio masivo de datos personales relativos a perfiles de usuarios, IAB Europe presentó el TCF como una solución para adaptar el sistema de subastas al RGPD. Y ello teniendo en consideración que técnicamente cuando un usuario consulta un sitio de Internet o una aplicación que contiene un espacio publicitario, las empresas de tecnología publicitaria, y en concreto los intermediarios de datos y las plataformas publicitarias, que representan a miles de anunciantes, pueden pujar en tiempo real, sin ser vistos, por la obtención de ese espacio publicitario a través de un sistema de subastas automatizado que utiliza algoritmos, con un objetivo claro: difundir en ese espacio publicidad dirigida adaptada específicamente al perfil de tal usuario.
Eso sí, antes de mostrar esa publicidad dirigida, habrá de obtenerse el consentimiento del usuario, de forma que cuando éste consulta un sitio de Internet o una aplicación por primera vez, una plataforma de gestión del consentimiento llamada «Consent Management Platform» (en adelante, «CMP») aparece en una ventana emergente en la cual el usuario, puede o bien dar su consentimiento al proveedor del sitio de Internet o de la aplicación para la recogida y el tratamiento de sus datos personales (localización del usuario, edad, historial de búsquedas y sus compras recientes) con fines previamente definidos -como la comercialización o publicidad- o para el intercambio de esos datos con determinados proveedores, o bien oponerse a diferentes tipos de tratamiento de datos o al intercambio de dichos datos.
De esta manera, el TCF constituye un marco para un tratamiento de datos personales a gran escala y facilita el registro de las preferencias de los usuarios a través de la CMP. Posteriormente, estas preferencias se codifican y almacenan en una cadena compuesta por una combinación de letras y caracteres, designada por IAB Europe con el nombre de Transparency and Consent String(en adelante, «TC String»), que se comparte con intermediarios de datos personales y plataformas publicitarias que participan en el protocolo OpenRTB, para que estos conozcan en qué ha consentido el usuario o a qué se ha opuesto. La CMP coloca también una cookie (euconsent-v2) en el dispositivo del usuario. Cuando se combinan, la TC String y la cookie euconsent-v2 pueden vincularse a la dirección IP de ese usuario.
Así las cosas, el TCF tiene protagonismo en el funcionamiento del protocolo OpenRTB, pues permite transcribir las preferencias del usuario para su comunicación a potenciales vendedores y alcanzar diferentes objetivos de tratamiento, particularmente, ofrecer publicidad a medida. El TCF se dirige, principalmente a garantizar a los intermediarios de datos personales y a las plataformas publicitarias el cumplimiento del RGPD a través de la TC String.
Enumerada las circunstancias que sitúan estos temas, cabe reseñar que las cuestiones prejudiciales a que se debe esta Sentencia del Tribuna de Justicia responden, básicamente, a una serie de hechos que han venido produciéndose desde 2019, en relación con estos temas, que van a describirse a continuación.
- La APD ha recibido varias denuncias contra IAB Europe, respecto a la conformidad del TCF con el RGPD, originarias no sólo de Bélgica sino también de terceros países. Examinadas estas denuncias, la APD, como autoridad de control principal, en el sentido del art. 56, apartado 1, del RGPD, activó el mecanismo de cooperación y coherencia, derivado de los arts. 60 a 63 de dicho Reglamento, a fin de llegar a una decisión común aprobada conjuntamente por las veintiuna autoridades de control nacionales que participan en este mecanismo. Pues bien, la Sala de Controversias de la APD, por resolución de 2 de febrero de 2022, declaró que IAB Europe actuaba como responsable del tratamiento de los datos personales en relación con el registro del consentimiento, de las objeciones y de las preferencias de los usuarios individuales a través de una TC String, la cual, según la Sala de Controversias de la APD, está asociada a un usuario identificable. Además, en esa resolución, la Sala de Controversias de la APD ordenó a IAB Europe, conforme al art. 100.1, punto 9.º, de la Ley APD, que adecuara a las disposiciones del RGPD el tratamiento de datos personales efectuado en el marco del TCF y le impuso varias medidas correctoras y una multa administrativa.
- IAB Europe interpuso recurso contra dicha resolución ante el hof van beroep te Brussel(Tribunal de Apelación de Bruselas, Bélgica). IAB Europe solicita a dicho órgano jurisdiccional que anule la resolución de 2 de febrero de 2022, oponiéndose a que se considere que actuó como responsable del tratamiento y, manteniendo además que, al declarar que la TC String es un dato personal, en el sentido del artículo 4.1 del RGPD, dicha resolución no está suficientemente matizada ni motivada y que es errónea. Destaca asimismo IAB Europe que sólo los demás participantes en el TCF podrían combinar la TC String con una dirección IP para transformarla en un dato personal, que la TC String no es específica de un usuario y que ella no tiene la posibilidad de acceder a los datos tratados en este contexto por sus miembros. En esta línea de razonamiento argumenta la APD lo siguiente: que las TC Strings constituyen datos personales en la medida en que las CMP pueden vincular las TC Strings a las direcciones IP; que, además, los participantes en el TCF también pueden identificar a los usuarios sobre la base de otros datos; que IAB Europe tiene acceso a la información requerida para ello y que esta identificación del usuario es precisamente la finalidad de la TC String, encaminada a facilitar la venta de la publicidad dirigida. Aparte de esto, la APD manifiesta que el hecho de que IAB Europe deba ser considerada responsable del tratamiento en el sentido del RGPD se desprende de su función determinante en el tratamiento de las TC Strings. Y junto a ello la APD aduce que esta organización determina, respectivamente, los fines y los medios del tratamiento, el modo en que se generan, modifican y leen las TC Strings, de qué forma y dónde se almacenan las cookiesnecesarias, quién recibe los datos personales y sobre la base de qué criterios pueden establecerse los plazos de conservación de las TC String.
- El órgano jurisdiccional hof van beroep te Brussel (Tribunal de Apelación de Bruselas) alberga dudas sobre si una TC String, combinada o no con una dirección IP, constituye un dato personal y, de ser así, si IAB Europe debe ser calificada de responsable del tratamiento de los datos personales en el marco del TCF, en particular en relación con el tratamiento de la TC String.Y ello porque entiende dicho órgano jurisdiccional que aunque la resolución de 2 de febrero de 2022 refleja la posición común adoptada conjuntamente por las diferentes autoridades de control nacionales implicadas en el caso de autos, el Tribunal de Justicia aún no ha tenido ocasión de pronunciarse sobre esta nueva tecnología intrusiva que constituye la TC String.
- En este contexto, el Tribunal de Apelación de Bruselas decidió suspender el procedimiento y plantear al Tribunal de Justicia las siguientes cuestiones prejudiciales:
«1) a) ¿Debe interpretarse el artículo 4, punto 1, del [RGPD], en relación con los artículos 7 y 8 de la [Carta], en el sentido de que una cadena de caracteres que recoge las preferencias de un usuario de Internet en relación con el tratamiento de sus datos personales de forma estructurada y legible mecánicamente constituye un dato personal en el sentido de la citada disposición en relación con (1) una organización sectorial que pone a disposición de sus miembros un estándar por el que les prescribe las modalidades prácticas y técnicas conforme a las que debe generarse, almacenarse o difundirse tal cadena de caracteres, y (2) las partes que han aplicado dicho estándar en sus sitios web o en sus aplicaciones y, de este modo, tienen acceso a dicha cadena de caracteres?
-
-
-
- b) ¿Tiene alguna relevancia a este respecto el hecho de que la aplicación del estándar implique que esta cadena de caracteres esté disponible junto a una dirección IP?
- c) ¿Sería distinta la respuesta a las [letras a) y b) de la primera cuestión] si esta organización sectorial normativa no tuviera ella misma acceso legal a los datos personales tratados por sus miembros en el marco de dicho estándar?
-
-
2) a) ¿Deben interpretarse los artículos 4, punto 7, y 24, apartado 1, del [RGPD], en relación con los artículos 7 y 8 de la [Carta], en el sentido de que una organización sectorial normativa debe ser calificada de responsable del tratamiento cuando ofrece a sus miembros un estándar para la gestión del consentimiento que, además de un marco técnico vinculante, comprende disposiciones en las que se establece con detalle el modo en que deben almacenarse y difundirse estos datos de consentimiento que constituyen datos personales?
-
-
-
- b) ¿Sería distinta la respuesta a la [letra a) de la segunda cuestión prejudicial] si esta organización sectorial no tuviera ella misma acceso legal a los datos personales que son tratados por sus miembros en el marco de este estándar?
- c) Si se califica (o si debe calificarse) a la organización sectorial normativa de responsable o de corresponsable del tratamiento respecto a las preferencias de los usuarios de Internet, ¿se extiende esta responsabilidad o corresponsabilidad de la organización sectorial normativa automáticamente a los tratamientos ulteriores por terceros para los que se obtienen las preferencias de los usuarios de Internet, como la publicidad en línea dirigida, realizada por editores y vendedores?»
-
-
El Tribunal de Justicia en su sentencia responde a estas cuestiones prejudiciales:
-
- confirmando, en primer lugar, que la TC String contiene información relativa a un usuario identificable, por lo que constituye un dato personal en el sentido del RGPD. Y ello porque, cuando la información contenida en una TC String se asocia con un identificador, como, en particular, la dirección IP del dispositivo del usuario, puede permitir crear un perfil de dicho usuario e identificarlo.
- En segundo lugar, manifiesta que IAB Europe debe ser considerada «corresponsable del tratamiento», en el sentido del RGPD. En este sentido, indica que, sin perjuicio de las comprobaciones que competen al tribunal belga, parece que IAB Europe influye en las operaciones de tratamiento de datos, en el momento del registro de las preferencias en materia de consentimiento de los usuarios en una TC String, y determina, junto con sus miembros, tanto los fines de esas operaciones como los medios que están en el origen de las mismas. Así las cosas, mantiene que, al margen de la eventual responsabilidad civil derivada del Derecho nacional, IAB Europe no puede ser considerada responsable, en el sentido del RGPD, de las operaciones de tratamiento de datos que acontezcan después de que se registren en una TC String las preferencias en materia de consentimiento de los usuarios, salvo que pueda acreditarse que dicha asociación ha influido en la determinación de los fines de los tratamientos ulteriores y de las modalidades de su ejercicio.
En efecto, así se pronuncia el Tribunal de Justicia, cuando declara literalmente:
«1) El artículo 4, punto 1, del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos), debe interpretarse en el sentido de que una cadena compuesta por una combinación de letras y caracteres, como la TC String (Transparency and Consent String), que contiene las preferencias de un usuario de Internet o de una aplicación relativas al consentimiento de dicho usuario en el tratamiento de datos personales que le conciernen por proveedores de sitios de Internet o de aplicaciones, así como por intermediarios de tales datos y por plataformas publicitarias, constituye un dato personal, en el sentido de esta disposición, en la medida en que, cuando puede asociarse, por medios razonables, a un identificador, como en particular la dirección IP del dispositivo de dicho usuario, permite identificar al interesado. En tales circunstancias, el hecho de que, sin una contribución externa, una organización sectorial que posee esta cadena no pueda acceder a los datos tratados por sus miembros en el marco de las normas que ella ha establecido ni combinar dicha cadena con otros elementos no impide que la mencionada cadena constituya un dato personal en el sentido de la referida disposición.
2) Los artículos 4, punto 7, y 26, apartado 1, del Reglamento 2016/679 deben interpretarse en el sentido de que,
-
-
- por una parte, una organización sectorial, en la medida en que propone a sus miembros un marco normativo que ella ha establecido en materia de consentimiento en el tratamiento de datos personales, que contiene no solo normas técnicas vinculantes, sino también normas que precisan de manera detallada las modalidades de almacenamiento y de difusión de los datos personales referentes a dicho consentimiento, debe calificarse de «corresponsable del tratamiento», en el sentido de estas disposiciones, si, habida cuenta de las circunstancias particulares del caso concreto, influye, atendiendo a sus propios objetivos, en el tratamiento de los datos personales en cuestión y determina, así, junto con sus miembros, los fines y medios de dicho tratamiento. El hecho de que la propia organización sectorial no tenga acceso directo a los datos personales tratados por sus miembros en el marco de dichas normas no obsta a que pueda tener la condición de corresponsable del tratamiento en el sentido de dichas disposiciones;
- por otra parte, la corresponsabilidad de dicha organización sectorial no se extiende automáticamente a los tratamientos ulteriores de datos personales efectuados por terceros —como los proveedores de sitios de Internet o de aplicaciones— en lo que respecta a las preferencias de los usuarios a efectos de la publicidad dirigida en línea».
-
Como puede apreciarse, esta Sentencia posee una relevancia nada desdeñable respecto a la clarificación de los temas planteados, particularmente la interpretación del concepto de datos personales y la responsabilidad que, conforme al RGPD, pueda acarrear el tratamiento de dichos datos, especialmente, a efectos publicitarios.
El texto íntegro de la sentencia puede verse aquí.