IAB Tech Lab e IAB Europe abren la consulta del TCF v1.1 y fijan el 28 de febrero de 2026 como fecha límite

IAB Tech Lab, en coordinación con IAB Europe, ha dado un paso más en la modernización del Transparency & Consent Framework (TCF) al abrir a comentarios la versión 1.1 de las Device Storage Duration & Access Disclosure Specifications, cuyo objetivo es aumentar la transparencia sobre cómo y dónde almacenan datos los vendors, ya sea en web o en apps móviles. La consulta finalizará el 1 de diciembre de 2025 y, tras su cierre, la especificación quedará lista en diciembre con una fecha de adopción obligatoria fijada para el 28 de febrero de 2026, cuando todos los vendors deberán tener actualizado su fichero JSON de disclosure.

La versión 1.1 introduce tres novedades que buscan cerrar lagunas habituales en auditorías y revisiones de cumplimiento. En primer lugar, permite y exige declarar cookies y otros mecanismos de almacenamiento utilizados para fines no cubiertos por el TCF, como los opt-out globales o preferencias del sitio, de forma que los participantes y los usuarios entiendan todo el rastro técnico que deja un proveedor más allá de los propósitos de la cadena de consentimiento. En segundo lugar, habilita la declaración específica del almacenamiento vinculado a fines especiales, algo que no estaba bien modelado en versiones previas y que ahora alinea el disclosure con la semántica de propósitos y bases legales del marco. En tercer lugar, obliga a declarar los identificadores de paquete de los SDK en apps, añadiendo visibilidad in-app y facilitando a CMPs y publishers la verificación de qué módulos concretos se están ejecutando en sus propiedades móviles y con qué finalidad.

Para los participantes del TCF el impacto es operativo a corto plazo. Los equipos técnicos deberán inventariar cookies, dominios y claves de almacenamiento por vendor y por entorno, mapear cada ítem a su propósito, duración y ámbito, y reflejar expresamente cualquier uso ajeno al TCF con la justificación correspondiente, además de registrar los package names de sus SDK móviles y las variantes por plataforma. Los responsables legales y de privacidad deberán alinear estos disclosures con sus políticas públicas, asegurando consistencia entre lo declarado en el JSON, los avisos de privacidad y la configuración de la CMP, mientras que los equipos de datos y AdOps tendrán que validar en QA que las implementaciones reales coinciden con lo declarado, especialmente en despliegues de server-side, tag managers y soluciones híbridas.

Según el comunicado, la actualización también mejora la auditabilidad del ecosistema. Al estandarizar el modo en que se documentan dominios, duraciones y accesos, los publishers podrán automatizar controles de coherencia entre el contenido del fichero JSON del vendor y la actividad observada en sus sitios y apps, reduciendo tiempos de diagnóstico ante incidencias de consentimiento o disparidades entre web y móvil. Para las CMPs, disponer de SDKs claramente identificados y propósitos bien desambiguados facilita la construcción de interfaces más comprensibles para el usuario y reduce el riesgo de errores de etiquetado, mientras que para los anunciantes refuerza la cadena probatoria necesaria en revisiones de cumplimiento y en due diligence con partners.

De aquí a la adopción obligatoria el calendario es claro. Hasta el 1 de diciembre el documento permanece abierto a comentarios, en diciembre se cerrará la versión final y a partir de entonces comenzará una ventana de actualización que culmina el 28 de febrero de 2026 con el requisito de que todos los vendors hayan publicado su JSON conforme a la v1.1. IAB Europe y IAB Tech Lab han señalado que mantendrán informados a CMPs y vendors por sus canales oficiales e instan a revisar desde ya las políticas del TCF y las especificaciones técnicas para garantizar que la transición se complete sin fricciones, con especial atención a los usos no TCF, a los Fines Especiales y a la correcta declaración de SDKs en entornos móviles.