Breve análisis de la Sentencia del Tribunal de Justicia de la Unión Europea sobre la responsabilidad de IAB Europe en el tratamiento de datos personales para la publicidad en línea

Tratamiento de datos en la autenticación multi-factor

20/03/24

El Tribunal de Justicia de la Unión Europea determina que la TC String del Transparency & Consent Framework de IAB Europe constituye un dato personal según el Reglamento General de Protección de Datos. Asimismo, establece que una organización sectorial como IAB Europe puede ser considerada corresponsable del tratamiento de datos junto con los participantes del TCF en relación con la creación y uso de la TC String. Sin embargo, no necesariamente comparte esta corresponsabilidad en relación con el tratamiento posterior de los datos personales efectuado por los participantes del TCF, a menos que se acredite su influencia en la determinación de dichos fines posteriores.

A principios de marzo, se publicó la sentencia relativa al asunto C-604/22 del Tribunal de Justicia de la Unión Europea (“TJUE”), tras la decisión prejudicial planteada por el Tribunal de Apelación de Bruselas, derivada del recurso interpuesto contra la resolución de 2 de febrero de 2022 de la Autoridad de Protección de Datos Belga (“APD”).

Esta resolución ordenaba a IAB Europe, una asociación sin ánimo de lucro que representa a las empresas del sector de la publicidad y del marketing digital en Europa, adecuar el tratamiento de datos personales efectuado en el marco del Transparency & Consent Framework (“TCF”), marco normativo desarrollado por la IAB Europe compuesto por directrices, instrucciones, especificaciones técnicas, protocolos y obligaciones contractuales que, según IAB Europe, permite tratar legalmente los datos personales de usuarios en sitios webs y aplicaciones, a las disposiciones del Reglamento General de Protección de Datos (“RGPD”), e imponía varias medidas correctoras, así como una multa administrativa, entre otras cuestiones.

La sentencia del TJUE resuelve las siguientes dos cuestiones prejudiciales planteadas por el Tribunal de Apelación de Bruselas sobre la interpretación del RGPD:

En relación con la primera cuestión prejudicial, el Tribunal de Apelación de Bruselas pregunta, esencialmente, si la Transparency & Consent String (“TC String”) debe ser clasificada como "dato personal" conforme al artículo 4.1 del RGPD.

A modo de recordatorio, una TC String es una cadena compuesta por una combinación de letras y caracteres que se comparte con intermediarios de datos personales y plataformas publicitarias que participan en las subastas de anuncios en línea, para que estos sepan en qué ha consentido el usuario o a qué se ha opuesto. En otras palabras, esta cadena contiene las preferencias de un usuario.

La TC String se genera cuando un usuario otorga o deniega su consentimiento, o selecciona las cookies que desea instalar a través de un Consent Management Platform (“CMP”) disponible en el sitio web o la aplicación que está visitando.

Aunque la TC String no contenga en sí misma elementos que permitan la identificación directa del interesado, sí contiene las preferencias individuales de un usuario específico.

El TJUE concluye que la TC String constituye un dato personal de acuerdo con el RGPD. Para llegar a esta conclusión, el TJUE tiene en cuenta la investigación llevada a cabo por la APD, que reveló que cuando los CMPs almacenan o leen la TC String en el dispositivo de un usuario, las preferencias de dicho usuario (por ejemplo, si ha consentido cookies publicitarias o no) pueden ser asociadas con la dirección IP del dispositivo del usuario, y que los CMPs están obligados a comunicar esta información cuando así lo solicite IAB Europe. Por consiguiente, la información contenida en la TC String puede asociarse a un identificador, como la dirección IP del dispositivo de un usuario, lo que permite identificar al interesado.

Resulta interesante destacar que el Tribunal señala que esta interpretación no queda desvirtuada por el mero hecho de que la propia IAB Europe no pueda combinar la TC String con la dirección IP del dispositivo de un usuario y no tenga la posibilidad de acceder directamente a los datos tratados por los miembros del TCF.

En cuanto a la segunda cuestión prejudicial, el órgano jurisdiccional remitente cuestiona, si IAB Europe debe ser considerada responsable del tratamiento y si dicha responsabilidad debe extenderse a los tratamientos ulteriores realizados por terceros para los cuales se obtienen las preferencias de los usuarios.

El Tribunal de Justicia determina que IAB Europe, en la medida en que propone a sus miembros un marco normativo que ella ha establecido en materia de consentimiento en el tratamiento de datos personales (el TCF), que contiene no solo normas técnicas vinculantes, sino también normas que precisan de manera detallada las modalidades de almacenamiento y de difusión de datos personales referentes a dicho consentimiento, debe ser considerada corresponsable del tratamiento. IAB Europe influye, atendiendo a sus propios objetivos, en las operaciones de tratamiento de datos personales en cuestión y determina, junto con sus miembros, los fines y medios de tales operaciones. Por consiguiente, IAB Europe es considerada corresponsable del tratamiento en conjunción con los participantes del TCF en relación con la creación y uso de las TC Strings.

Además, el Tribunal apunta que el hecho de que IAB Europe no tenga acceso directo a los datos personales (en este caso, las TC Strings) tratados por sus miembros en el marco de dichas normas no impide que pueda tener la condición de corresponsable del tratamiento.

Por otra parte, el Tribunal concluye señalando que la corresponsabilidad de IAB Europe no se extiende automáticamente a los tratamientos ulteriores de datos personales efectuados por los proveedores de sitios de internet o aplicaciones en relación con las preferencias de los usuarios para fines de publicidad digital, salvo que se pueda acreditar que IAB haya influido en la determinación de dichos fines ulteriores.

Tras recibir las interpretaciones del TJUE sobre las dos cuestiones prejudiciales previamente analizadas, el órgano jurisdiccional remitente deberá reanudar el análisis sobre la cuestión sustantiva tomando en consideración las respuestas proporcionadas por el Tribunal de Justicia de la Unión Europea. Este proceso podría extenderse durante varios meses e incluso hasta un año antes de que se dicte sentencia.

En cuanto a IAB Europe, el mismo día de la publicación de la sentencia, comunicó su satisfacción con la decisión del Tribunal de Justicia de la Unión Europea, destacando que esta brinda claridad sobre los conceptos de datos personales y corresponsabilidad.

Artículo elaborado por Samanta Murillo Geiser, manager de Regulación Digital de PwC Tax & Legal.

Contacta con nosotros

Fernando Fernández-Miranda

Socio responsable de NewLaw Pulse, PwC Tax & Legal

© 2016 - 2025 PwC. Todos los derechos reservados. No se permite la distribución adicional sin autorización de PwC. “PwC” hace referencia a la red de firmas miembros de PricewaterhouseCoopers International Limited (PwCIL) o, según cada caso concreto, a firmas miembros individuales de la red PwC. Cada firma miembro es una entidad jurídica independiente y no actúa como agente de PwCIL ni de ninguna otra firma miembro. PwCIL no presta servicios a clientes. PwCIL no se responsabiliza ni responde de los actos u omisiones de ninguna de sus firmas miembros, ni del contenido profesional de sus trabajos ni puede vincularlas u obligarlas en forma alguna. De igual manera, ninguna de las firmas miembro son responsables por los actos u omisiones del resto de las firmas miembros ni del contenido profesional de sus trabajos, ni pueden vincular u obligar ni a dichas firmas miembros ni a PwCIL en forma alguna.