A Decisão da Autoridade Belga de Proteção de Dados de 2 de fevereiro de 2022 foi das mais interessantes e profundas emitidas durante o presente ano.

A decisão partiu de queixas de ONGs contra o Interactive Advertising Bureau Europe (IAB Europe), da qual são membros mais de cinco mil empresas (36), por exemplo Google, Amazon e Microsoft, datadas de 2019.

Estava, essencialmente, em causa a conformidade do Transparency & Consent Framework (TCF) com o RGPD, e a avaliação da responsabilidade do IAB Europe no citado contexto. Houve, igualmente, que avaliar o impacto do TCF no designado Real-Time Bidding (RTB) (19).

O sistema RTB consiste em uma rede de intervenientes que utiliza aplicações de big data na área do marketing de forma a melhorar, com prévia determinação do espaço publicitário, tendo por base dados utilizados em tempo real e assentes em publicidade comportamental (21).

O RTB funciona no contexto de websites comerciais e de aplicações móveis, as empresas participantes dispõem de informação sobre quem – que indivíduo - visita o site, gerando biliões de ofertas publicitárias colocadas a leilão diariamente (23).

O funcionamento do RTB decorre do TC String a utilizar em plataformas CMP (Consent Management Platforms) nas quais é recolhido o consentimento dos titulares dos dados através de janelas de pop-up que surgem no primeiro contacto com o website instalando cookies e outros elementos de identificação (40). O TC String consiste numa sequência de letras, números ou outros caracteres que captura de uma forma estruturada e sistematizada as preferências de um titular de dados pessoais (41).

A Camara competente da Autoridade considerou que as políticas TCF, bem como as Guidelines de implementação considerou que, perante dados pessoais, não existia a recolha do consentimento determinado nos termos do RGPD, mas a captação da informação pessoal através do euconsent-v2 cookie (407). Nestes termos, a Autoridade Belga aplicou uma coima no valor de € 250 000 e a fixação de um período de 6 meses alterar as causas da incompatibilidade com o RGPD.

Em inglês, a decisão consiste no seguinte:

a) providing a valid legal basis for the processing and dissemination of users' preferences within the context of the TCF, in the form of a TC String and a euconsent-v2 cookie, as well as prohibiting, via the terms of use of the TCF, the reliance on legitimate interests as a legal ground for the processing of personal data by organizations participating in the TCF in its current form, pursuant to Articles 5.1.a and 6 of the GDPR;

b) ensuring effective technical and organizational monitoring measures in order to guarantee the integrity and confidentiality of the TC String, in accordance with Articles 5.1.f, 24, 25 and 32 of the GDPR;

c) maintaining a strict audit of organizations that join the TCF in order to ensure that participating organizations meet the requirements of the GDPR, in accordance with Articles 5.1.f, 24, 25 and 32 of the GDPR;

d) taking technical and organizational measures to prevent consent from being ticked by default in the CMP interfaces as well as to prevent automatic authorization of participating vendors relying on legitimate interest for their processing activities, in accordance with Articles 24 and 25 of the GDPR;

e) forcing CMPs to adopt a uniform and GDPR-compliant approach to the information they submit to users, in accordance with Articles 12 to 14 and 24 of the GDPR;

f) updating the current records of processing activities, by including the processing of personal data in the TCF by IAB Europe, in accordance with Article 30 of the GDPR;

g) carrying out a data protection impact assessment (DPIA) with regard to the processing activities under the TCF and their impact on the processing activities carried out under the OpenRTB system, as well as adapting this DPIA to future versions or amendments to the current version of the TCF, in accordance with Article 35 of the GDPR;

h) appointing a Data Protection Officer (DPO) in accordance with Articles 37 to 39 of the GDPR.

Cada uma destas alíneas tem uma significação funda no contexto do RGPD.

Aceda a Decisão Judicial completa aqui.