A nova decisão da Europa sobre pop-ups de consentimento de dados desafia as políticas de privacidade para editores e anunciantes

Autoridades na Bélgica descobriram que uma importante organização comercial de publicidade viola as leis de privacidade de dados da União Europeia – uma decisão que pode ter efeitos em cascata na Europa e nos EUA

A Autoridade de Proteção de Dados da Bélgica declarou que a estrutura do Interactive Advertising Bureau of Europe sobre como os editores obtêm consentimento para coletar e usar dados pessoais não está em conformidade com os regulamentos de privacidade da UE. A decisão, emitida hoje, pode impactar milhares de empresas em todo o continente e além. 

A pessoa média provavelmente não ouviu falar do IAB Europe ou de sua contraparte americana, o IAB. No entanto, as pessoas provavelmente estão muito mais familiarizadas com o que diz respeito à decisão de quarta-feira: os pop-ups onipresentes pedindo aos usuários da Internet permissões para coletar e usar dados para publicidade e outros fins. No centro do debate está o Transparency and Consent Framework do IAB Europe, ou TCF. A ferramenta foi criada para ajudar editores e anunciantes a cumprir o Regulamento Geral de Proteção de Dados (GDPR) da UE, que foi introduzido em 2018 para fornecer direitos de privacidade adicionais aos cidadãos da UE.

Como parte da decisão, o DPA multou o IAB Europe em € 250,000 e deu dois meses para propor mudanças, bem como seis meses para colocá-las em prática. O DPA também está ordenando que o IAB Europe exclua permanentemente os dados que foram processados ​​usando o sistema atual do TCF “sem atrasos indevidos”. Isso pode afetar os dados usados ​​por uma ampla gama de editores, empresas de tecnologia de anúncios e anunciantes, incluindo gigantes como Google e Amazon. Sob o “mecanismo de balcão único” do GDPR, a decisão é imediatamente aplicável em toda a União Europeia.

De muitas maneiras, o sistema de consentimento do IAB Europe é uma espécie de chave para a forma como editores e anunciantes coletam dados online de europeus que os usam para segmentação de anúncios. Quando uma pessoa dá a um site suas preferências sobre se deseja ser rastreada online, o TCF usa um código para sinalizar aos parceiros de publicidade quais preferências uma pessoa selecionou. Os parceiros da estrutura usam essas preferências para leilões de anúncios automatizados conhecidos como lances em tempo real, nos quais os profissionais de marketing podem comprar anúncios com base em uma ampla variedade de informações e critérios disponíveis.

Os reguladores belgas disseram que o IAB Europe violou as leis do GDPR de várias maneiras, incluindo “não estabelecer uma base legal” para o processamento de dados, solicitar indevidamente o consentimento para a coleta de dados, deixar de proteger adequadamente esses dados, proteger inadequadamente os dados e também não fornecer transparência sobre como os dados são coletados e usados. Em uma declaração sobre a decisão, o presidente da Câmara de Contencioso da DPA da Bélgica, Hielke Hijmans, disse que a versão atual do TCF do IAB Europe é “incompatível com o GDPR, devido a uma violação inerente do princípio de justiça e legalidade”.

“As pessoas são convidadas a dar consentimento, enquanto a maioria delas não sabe que seus perfis estão sendo vendidos muitas vezes ao dia para expô-las a anúncios personalizados”, disse Hijmans. “Embora diga respeito ao TCF, e não a todo o sistema de licitação em tempo real, nossa decisão de hoje terá um grande impacto na proteção dos dados pessoais dos internautas. A ordem deve ser restaurada no sistema TCF para que os usuários possam recuperar o controle sobre seus dados.”

Quando solicitado uma declaração sobre a decisão do DPA, um porta-voz do IAB Europe enviou uma declaração por e-mail para Forbes dizendo que o grupo comercial tem “graves reservas” sobre a decisão e que planeja trabalhar com o DPA para fazer mudanças.

“Rejeitamos a constatação de que somos um controlador de dados no contexto do TCF”, de acordo com o comunicado do IAB Europe. “Acreditamos que essa descoberta está errada na lei e terá grandes consequências negativas não intencionais que vão muito além do setor de publicidade digital. Estamos considerando todas as opções em relação a um desafio legal.”

Os defensores da privacidade comemoraram na quarta-feira a decisão como um passo em direção ao que consideram uma proteção mais forte de dados de consumidores para centenas de milhões de europeus. Cerca de 80% da internet da Europa depende do TCF, de acordo com o Conselho Irlandês para Liberdades Civis, uma organização sem fins lucrativos que apresentou a queixa ao DPA no ano passado. O ICCL argumentou que, por falta de segurança, os dados usados ​​no TCF também eram ilegais.

“A indústria de rastreamento procurou cobrir a enorme violação de dados subjacente na publicidade online”, disse Johnny Ryan, veterano da indústria de tecnologia de anúncios que agora é membro sênior da ICCL em entrevista à Forbes. “Eles tentaram fazer esse problema desaparecer com botões 'OK', mas a indústria sabia que não é possível pedir a alguém 'OK' uma violação de dados. Você tem que saber o que está pedindo.”

Ryan descreveu o TCF como “uma ficção legal”, alegando que, como os dados em licitações abertas em tempo real não são realmente seguros, ele cria um “dados massivos gratuitos para todos” que não protegem os dados pessoais.

“O pecado capital é a segurança”, disse Ryan.