[Tribunal de Justicia de la UE] 'Sentencia del Tribunal de Justicia en el asunto C-604/22 | IAB Europe. Subasta de datos personales con fines publicitarios: el Tribunal de Justicia aclara las normas sobre la base del Reglamento general de protección de datos'

'Cuando un usuario consulta un sitio de Internet o una aplicación que contiene un espacio publicitario, las empresas, los intermediarios y las plataformas publicitarias, que representan a miles de anunciantes, pueden pujar en tiempo real, sin ser vistos, por la obtención de ese espacio publicitario con el fin de mostrar en él publicidad adaptada al perfil del usuario (Real Time Bidding).

Sin embargo, antes de mostrar esa publicidad dirigida, debe obtenerse el consentimiento de dicho usuario para la recogida y el tratamiento de sus datos personales (relativos, en particular, a la localización del usuario, su edad, su historial de búsquedas y sus compras recientes) con fines como, entre otros, la comercialización o la publicidad, o con vistas a intercambiar esos datos con determinados proveedores. El usuario también puede oponerse a ello.

IAB Europe es una asociación sin ánimo de lucro, establecida en Bélgica, que representa a las empresas del sector de la publicidad y del marketing digitales a nivel europeo. IAB Europe ha elaborado una solución que presenta como herramienta que puede adecuar ese sistema de subastas al Reglamento general de protección de datos (RGPD) [|]. 

Las preferencias de los usuarios se codifican y almacenan en una cadena compuesta por una combinación de letras y caracteres con el nombre de «Transparency and Consent String» (TC String), que se comparte con intermediarios de datos personales y plataformas publicitarias para que estos sepan en qué ha consentido el usuario o a qué se ha opuesto. También se coloca una cookie en el dispositivo del usuario. Cuando se combinan, la TC String y la cookie puede vincularse a la dirección IP de dicho usuario.

En 2022, la autoridad belga de protección de datos consideró que la TC String era un dato personal en el sentido del RGPD, y que IAB Europe actuó como responsable del tratamiento de los datos sin cumplir plenamente lo dispuesto en el RGPD. Dicha autoridad le impuso varias medidas correctoras y una multa administrativa. IAB Europe impugnó dicha resolución e interpuso un recurso ante el Tribunal de Apelación de Bruselas (Bélgica), que planteó al Tribunal de Justicia varias cuestiones prejudiciales.

En su sentencia, el Tribunal de Justicia confirma que la TC String contiene información relativa a un usuario identificable, por lo que constituye un dato personal en el sentido del RGPD. En efecto, cuando la información contenida en una TC String se asocia con un identificador, como, en particular, la dirección IP del dispositivo del usuario, puede permitir crear un perfil de dicho usuario e identificarlo.

Además, IAB Europe debe ser considerada «corresponsable del tratamiento», en el sentido del RGPD. En efecto, sin perjuicio de las comprobaciones que corresponde efectuar al tribunal belga, parece que IAB Europe influye en las operaciones de tratamiento de datos, en el momento del registro de las preferencias en materia de consentimiento de los usuarios en una TC String, y determina, junto con sus miembros, tanto los fines de esas operaciones como los medios que están en el origen de las mismas. Dicho esto, sin perjuicio de una eventual responsabilidad civil prevista en el Derecho nacional, IAB Europe no puede ser considerada responsable, en el sentido del RGPD, de las operaciones de tratamiento de datos que tienen lugar después de que se registren en una TC String las preferencias en materia de consentimiento de los usuarios, salvo si puede acreditarse que dicha asociación ha influido en la determinación de los fines de los tratamientos ulteriores y de las modalidades de su ejercicio.

NOTA: La remisión prejudicial permite que los tribunales de los Estados miembros, en el contexto de un litigio del que estén conociendo, interroguen al Tribunal de Justicia acerca de la interpretación del Derecho de la Unión o sobre la validez de un acto de la Unión. El Tribunal de Justicia no resuelve el litigio nacional, y es el tribunal nacional quien debe resolver el litigio de conformidad con la decisión del Tribunal de Justicia. Dicha decisión vincula igualmente a los demás tribunales nacionales que conozcan de un problema similar. Documento no oficial, destinado a los medios de comunicación y que no vincula al Tribunal de Justicia. 

El texto íntegro y, en su caso, el resumen de la sentencia se publican en el sitio CURIA el día de su pronunciamiento. 

[1] Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos).'

Fuente: Nota de prensa del Tribunal de Justicia de la UE de 07/03/2024