Entre la gobernanza y la responsabilidad: implicaciones legales del caso IAB Europe sobre TCF

Si uno se queda solo con los titulares, o peor, con los posts de LinkedIn con emojis y tono de victoria legal, puede pensar que el Transparency & Consent Framework (TCF) de IAB Europe ha sido declarado ilegal por el Tribunal del Mercado belga. No lo ha sido. Pero claro, admitir eso no da tantos likes.

El veredicto real: ni blanco ni negro, sino ese gris incómodo que nadie quiere leer

La semana pasada se publicó el fallo del Market Court sobre el caso IAB Europe contra la DPA belga (autoridad de protección de datos), y como era de esperar, los que no lo han leído son los que más ruido hacen, así que vamos por partes:

1. ¿Los TC Strings son datos personales?

Sí, al menos bajo TCF 2.0. ¿Por qué? Porque según el tribunal, IAB Europe y sus miembros disponen (o disponían) de medios razonablemente probables para identificar a una persona a partir de esos Strings. ¿La prueba? Una frase malinterpretada en las políticas del TCF que ya fue modificada. Moraleja: revisa tus políticas. Si pueden ser malinterpretadas, lo serán, especialmente si hay un litigio de por medio.

2. ¿IAB Europe es corresponsable de los TC Strings?

También sí. El tribunal concluye que IAB Europe impone el uso de los TC Strings de forma vinculante, aunque el sistema sea abierto y colaborativo, la estructura de gobernanza (donde hay actores de peso con voz decisiva) lleva a considerar que IAB Europe no es un mero espectador. Lección para los que crean estándares: cuidado con convertirte en joint controller por ser el que pone orden (o impone flujo).

3. ¿Y del procesamiento posterior (como OpenRTB)?

Aquí, no. IAB Europe no es corresponsable del procesamiento posterior. Lo dice claramente el tribunal, aunque de forma un tanto confusa, centrándose en OpenRTB cuando hay más capas detrás. Resultado: no hay “responsabilidad extendida” por lo que otros hacen con los datos una vez salen del TCF.

Entonces... ¿el TCF es ilegal?

No. De hecho, el tribunal anula la decisión original de la DPA belga por cuestiones procesales. Y lo que queda vigente son observaciones sobre cómo IAB Europe puede ajustar el TCF para cumplir. No hay una declaración de ilegalidad. No hay prohibición. No hay retirada.

¿Y esa action plan que se exigía? Ya fue validada. ¿Dónde está entonces el escándalo? Pues en la narrativa, no en el derecho. Porque el caso dice más sobre cómo funciona el poder en el ecosistema AdTech que sobre consentimiento o privacidad:

• La responsabilidad legal no siempre es proporcional al control técnico.

• La transparencia real sigue siendo un espejismo: el “usuario medio” sigue sin entender qué cede cuando da su consentimiento (si es que alguna vez lo da).

• Y el riesgo estructural para cualquier consorcio o estándar está en que si coordinas... te cae el muerto.

Anthony Karsur, CEO de IAB Tech Lab, ha tenido que salir en X (antiguo Twitter) a desmentirlo: “Esto es completamente incorrecto. No hay nada en el texto que declare ilegal al TCF. Lo único que establece la sentencia es que IAB Europe actúa como corresponsable del tratamiento (y eso incluso está limitado a un único caso de uso), ellos tienen que pagar la multa original de 250.000 euros, y el TC String se considera información de carácter personal. Nada más”.

Es decir, en resumen:

• No, el TCF no es ilegal.

• Sí, IAB Europe es responsable conjunto (joint-controller) de una parte del proceso.

• No, no lo es del uso posterior.

• Sí, los TC Strings son (eran) datos personales.

• Y sí, muchos han corrido a opinar sin leer ni el punto 80 de la sentencia.

La industria no necesita más voceros que solo quieren protagonismo, sino menos confusión legal y más comprensión estructural, y sobre todo, necesita dejar de pensar que cambiar las políticas en el PDF soluciona los incentivos cruzados de un sistema diseñado para extraer más que informar.

Nos leemos en el próximo lío.