‘La legalidad del Transparency and Consent Framework de IAB Europe: una aclaración necesaria’, por Paula Ortiz
El Transparency and Consent Framework (TCF) de IAB Europe lleva años como protagonista de intensos debates jurídicos y regulatorios. La decisión de la Autoridad de Protección de Datos belga, posteriormente revisada por el Tribunal de Justicia de la Unión Europea y el Tribunal de Mercado belga, ha añadido una nueva capa.
El caso comenzó en 2022 cuando la Autoridad de protección de datos belga abrió un procedimiento contra IAB Europe, alegando que el TCF incumplía requisitos clave del Reglamento General de Protección de Datos. La APD belga sostenía que IAB Europe actuaba como responsable de todo el tratamiento de datos que se produce en la cadena publicitaria digital mediante el TCF.
Sin embargo, en una sentencia clave, tanto el TJUE como el Tribunal de Mercado belga aclararon la cuestión: IAB Europe no es responsable general del tratamiento posterior de los datos en publicidad digital. El rol de IAB Europe queda limitado únicamente al tratamiento del "TC String", es decir, la cadena técnica que recoge y transmite las preferencias de consentimiento del usuario.
Esta precisión es fundamental porque desmonta uno de los pilares centrales de la decisión inicial de la APD belga, que cuestionaba globalmente el marco al responsabilizar a IAB Europe por usos posteriores de los datos.
Este punto es clave. El TCF no es un producto final ni una solución universal, sino un estándar técnico-legal que permite gestionar consentimientos de forma ordenada. El marco ofrece herramientas que facilitan cumplir con el RGPD, pero la responsabilidad última sobre cómo implementarlas corresponde siempre a cada empresa participante. Es este matiz, esencial y con frecuencia ignorado, el que ha generado gran parte de la confusión regulatoria actual.
La autoridad de protección de datos de Berlín también ha intervenido recientemente sobre esta cuestión y ha planteado serias preocupaciones con respecto al consentimiento obtenido de acuerdo con el TCF. Según la autoridad berlinesa, depende enteramente de su aplicación práctica en cada caso concreto. En otras palabras, la autoridad alemana pone énfasis en que la conformidad con el RGPD debe evaluarse caso por caso y no mediante afirmaciones generalizadas sobre el marco. Entre los criterios destacados por la DPA de Berlín se encuentran:
Transparencia hacia los usuarios sobre quién trata sus datos y con qué finalidades.
Garantía efectiva del consentimiento informado, explícito y fácilmente revocable.
Claridad en la cadena de responsabilidades entre anunciantes, publishers y proveedores tecnológicos involucrados en el tratamiento.
En este otro caso, la crítica del TCF no radica en su legalidad, sino en la inconsistencia y calidad variable con que muchas empresas lo implementan en la práctica.
Este enfoque regulatorio más fino (centrado en la ejecución práctica) resulta más justo y más útil para el cumplimiento efectivo.
Estas exigencias no cuestionan el diseño del TCF, sino su aplicación. En muchos casos, las empresas no separan adecuadamente los distintos tipos de consentimiento. Se intercalan, de forma poco transparente, la autorización para la instalación de cookies con el consentimiento para finalidades ulteriores como la segmentación publicitaria o la creación de perfiles. Esta confusión compromete la validez del consentimiento y no puede imputarse al marco del TCF, sino a su implementación deficiente.
Tampoco puede entenderse el cumplimiento como una simple consecuencia del uso de un Consent Management Platform. Los CMPs actúan como encargados, pero no son garantes del cumplimiento por sí mismos. Tener un CMP instalado no equivale a cumplir con el RGPD, igual que llevar casco no convierte a nadie en buen ciclista.
El cumplimiento requiere decisiones conscientes y responsables por parte de cada empresa: definir los fines, seleccionar las bases jurídicas adecuadas, proporcionar información clara y accesible, y respetar el derecho a revocar el consentimiento.
En esta línea, conviene recordar que el interés legítimo no puede utilizarse como base jurídica para finalidades como la personalización de contenidos y publicidad en el marco del TCF. Esto obliga a las empresas a revisar en profundidad sus configuraciones si aspiran a mantener una base jurídica sólida y compatible con los estándares europeos.
Las resoluciones recientes aportan claridad: el TCF es legal, pero su cumplimiento no está garantizado por el mero hecho de adoptarlo. Es un marco útil y necesario, pero requiere una aplicación rigurosa.
Paula Ortiz, Co-CEO de TheLegal.School
