En el origen de este artículo
A principios de febrero, las CNIL europeas, encabezadas por la APD (la CNIL belga), dictaminaron que los banners de consentimiento de la IAB eran ilegales. Como recordatorio, la IAB (Interactive Advertising Bureau) es el lobby de la adtech, y el 80 % de los sitios web europeos utilizan el protocolo propuesto por la IAB Europe (el “Transparency & Consent Framework” o TCF) para hacer funcionar estos famosos banners de consentimiento.
Ya había escrito sobre estos banners de consentimiento y sus simulacros de legalidad:
- “Recoger el consentimiento en Internet: una mentira generalizada”.
- “Le Figaro, emblema del seguimiento publicitario invasivo de los medios franceses”.
- “La gran venta de tus datos personales en Le Bon Coin”.
- “Cómo los editores se burlan de la CNIL”.
Incluso la directora de la CNIL inglesa parece ya no soportarlos:
«A menudo oigo a gente decir que está cansada de tener que lidiar con tantas ventanas emergentes de cookies. Esa fatiga lleva a que las personas faciliten más datos personales de los que querrían.
«El mecanismo de las cookies también dista de ser ideal para las empresas y otras organizaciones que gestionan sitios web, ya que resulta costoso y puede conducir a una mala experiencia de usuario. Aunque espero que las empresas cumplan las leyes vigentes, mi oficina está fomentando la colaboración internacional para aportar soluciones prácticas en este ámbito.
Sin embargo, estos "banners de cookies" son en realidad la creación de un intenso lobby de la adtech, con el fin de evitar la creación de un mecanismo de control "opt-in" a nivel del navegador. La fatiga del consentimiento estaba prevista y era deseada por la adtech. Y la CNIL inglesa es cómplice de este fiasco, como relata Alexander Hanff en el artículo "The truth behind cookie banners".
Con la decisión de la APD, ¿es el fin de los odiados banners? No necesariamente, ya que la IAB Europe ha recurrido la decisión de la APD. Como recordatorio, aquí hay un diagrama que representa las distintas filtraciones de datos personales:
![]()
A través de Johnny Ryan, de la época en que trabajaba en Brave. Hacer compatible el RTB (y el TCF de la IAB) con el RGPD, ¿misión imposible?
Además, desde el verano pasado mantengo una larga correspondencia por email con Benoit Oberlé, CEO y cofundador de Sirdata, tesorero de la IAB Francia y vicepresidente del comité directivo del “Transparency & Consent Framework”. Sirdata es una empresa interesante por varios motivos: ofrece una CMP (Consent Management Platform) a los editores, en versión gratuita o de pago. También es un proveedor de datos contextuales y conductuales.
Por cierto, los editores que aceptan compartir los datos personales de los internautas no pagan la CMP de Sirdata:
![]()
Una CMP que puede estar “financiada por los datos”.
Aunque tenemos desacuerdos, Benoit siempre se ha tomado el tiempo de responder a mis preguntas y de explicar las decisiones de Sirdata, y por ello le agradezco enormemente. A partir de nuestros intercambios, quería escribir un artículo para ilustrar las decisiones de una CMP que utiliza el protocolo de la IAB, y la CMP de Sirdata era el ejemplo perfecto.
Sirdata en Psychologies.com
Para estudiar la CMP de Sirdata, vamos al sitio Psychologies.com con el navegador Chrome. Nos recibe un banner de consentimiento de apariencia bastante clásica:
![]()
En tu opinión, ¿en qué botón hará clic el internauta con prisa?
Notarás el énfasis en la opción "Aceptar todo y continuar", a diferencia de las opciones "Configurar tus opciones" y sobre todo "continuar sin aceptar". Se trata de un "Dark Pattern" adoptado por muchos sitios web franceses, que ha recibido la bendición de la CNIL.
Si no te tomas el tiempo de leer el texto del banner de consentimiento, podrías pasar por alto dos datos cruciales:
- Algunas empresas de la adtech no se basan en tu consentimiento, sino en el interés legítimo para tratar tus datos personales.
- Tus opciones no solo se aplican a Psychologies.com, sino también a unos 4000 sitios web más.
El interés legítimo como base jurídica del tratamiento
A continuación se muestra un extracto del banner de consentimiento propuesto por Sirdata:
Puedes [...] hacer una elección más granular u oponerte a los tratamientos basados en intereses legítimos a través de la pantalla de configuración.
Traducción: si simplemente haces clic en "Continuar sin aceptar", algunas empresas de la adtech seguirán basándose en el interés legítimo para tratar tus datos personales. Para oponerte a estos tratamientos basados en intereses legítimos, tendrás que ir a la pantalla de configuración (opción "Configurar tus opciones").
Así que vuelve al banner de consentimiento para comprobar tus opciones tras haber hecho clic en "Continuar sin aceptar". Para ello, tienes que desplazarte hasta el pie de página del sitio Psychologies.com, no hacer clic en "Datos personales y cookies" sino en "Consentimiento" (el enlace no parece que se pueda pulsar, pero sí se puede):

El enlace oculto, a pesar de que "debería ser tan fácil retirar el consentimiento como otorgarlo".
Observa la aparición del botón "Rechazar todo y continuar":
![]()
Luego, para comprobar el efecto de tu elección anterior ("Continuar sin aceptar"), haz clic en "Configurar tus opciones". Verás que los distintos tratamientos publicitarios no están desmarcados, como si no hubieras elegido ya:
![]()
“Continuar sin aceptar” no significa, pues, “rechazar”, ¿por qué?
Sigue luego estos pasos:
- Despliega la opción "Publicidad personalizada".
- Despliega la opción "Crear un perfil publicitario personalizado".
- Fíjate en que la opción "Para esta actividad, los siguientes socios se basan en su interés legítimo" está premarcada. Despliega la opción.
Verás aparecer al socio "Sirdata Cookieless":
![]()
"Sirdata Cookieless" aparece como "no rechazado". Por tanto, tendrás que oponerte al interés legítimo para rechazar este tratamiento.
Esta opción, accesible a través de la CMP de Sirdata, permite al proveedor de datos conductuales Sirdata constituir perfiles publicitarios aunque el internauta no haya dado su consentimiento.
Por cierto, si decidieras desplegar la opción "Para esta actividad, los siguientes socios solicitan tu consentimiento", verías aparecer al socio "Sirdata" con la mención "no aceptado":
![]()
"Sirdata" aparece como "no aceptado". Sirdata no puede basarse en tu consentimiento para crear un perfil publicitario personalizado.
Sirdata juega así a dos bandas para sus tratamientos publicitarios (incluida la creación de un perfil publicitario personalizado):
- El socio "Sirdata" se basa en tu consentimiento si haces clic en "Aceptar todo y continuar".
- El socio "Sirdata Cookieless" se basa en su interés legítimo si haces clic en "Continuar sin aceptar".
Con consentimiento, Sirdata utiliza cookies y puede compartir identificadores y segmentos de audiencia con los socios publicitarios. Sin consentimiento y sobre la base de un interés legítimo, Sirdata se sitúa antes de la plataforma de venta (servidor de anuncios o SSP) para que esta pueda vender campañas publicitarias dirigidas con datos de Sirdata cuando el usuario pertenece al segmento o segmentos de audiencia correctos.
Con su oferta "Cookieless", Sirdata sigue perfilándote y explotando tu perfil para publicidad personalizada, pero el intercambio de información con terceros es más limitado. La oferta de Sirdata se resume aquí:
![]()
Si hace clic en "rechazar todo", Sirdata ofrece publicidad contextual. En general, Sirdata considera su oferta "respetuosa de la privacidad".
Así pues, para rechazar la creación de un perfil publicitario personalizado de Sirdata (y, de forma más general, los distintos tratamientos publicitarios de las empresas de la adtech), tendrás que hacer lo siguiente durante tu primera navegación:
- Haz clic en "Configurar tus opciones" en el banner de consentimiento.
- Luego haz clic en "rechazar todo".
Ten en cuenta que la opción "Rechazar todo y continuar" está disponible en el primer nivel, pero solo cuando quieres reconsiderar tus elecciones (si encuentras la famosa opción "Confidencialidad" en el pie de página de Psychologies.com):
![]()
Una opción que nos habría gustado ver en el banner de consentimiento inicial.
Rechazar solo la "Publicidad personalizada" no es evidente: un simple clic en la opción equivaldrá a consentir la "Publicidad personalizada", pero también la "Publicidad estándar":
![]()
Un bonito "Dark Pattern" detectado por @fourmeux; ahora tendrás que desmarcar las 2 opciones.
Publicidad dirigida sin consentimiento basada en la dirección IP, ¿una forma de eludir la directiva ePrivacy?
Sirdata, el proveedor de datos conductuales, se considera conforme con la normativa europea, ePrivacy (directiva de cookies) y RGPD. ¿Qué argumentario despliega?
En primer lugar, Sirdata considera que la directiva ePrivacy no se aplica a su oferta "Cookieless" (o "Consentless"). Su razonamiento: ePrivacy se aplica al almacenamiento de información en el terminal del usuario o al acceso a información ya almacenada en él. Pero, para identificar a los usuarios sin consentimiento, Sirdata se basa únicamente en la dirección IP, y esta no se almacena en el terminal del usuario.
![]()
Sirdata es poco explícito sobre el hecho de que su oferta "Cookieless" se sirve de la dirección IP del usuario. Pero detalla los tratamientos adicionales realizados sobre la dirección IP en su página “Política de protección de datos personales y de la vida privada", apartado "Léxico".
Sirdata considera que aplica un fingerprinting “pasivo” y no “activo”. El fingerprinting “pasivo” estaría constituido únicamente por la dirección IP, no implica acceso al terminal. El fingerprinting “activo” estaría constituido por las características del terminal, como el user-agent, las fuentes instaladas o el tamaño de la pantalla.
![]()
La segmentación mediante la dirección IP, ¿la última herramienta de los publicistas para segmentarte sin consentimiento?
Esta distinción entre fingerprinting "pasivo" (al que no se aplicaría ePrivacy) y "activo" (al que sí se aplicaría) es discutible. En el artículo 7.2 del Dictamen 9/2014 sobre la aplicación de la Directiva 2002/58/CE a la captura de huellas digitales, del grupo de trabajo «Artículo 29» sobre protección de datos, se enuncia claramente la necesidad de consentimiento para la publicidad dirigida:
Por lo tanto, la captura de huellas digitales con fines publicitarios específicos requiere el consentimiento del usuario.
Sirdata mantiene su posición: no hay acceso al terminal, por lo que no se aplica ePrivacy. Su oferta no entra dentro de la definición del Dictamen 9/2014, que, por lo demás, no es una obligación legal.
En cuanto al RGPD, como Sirdata trata la dirección IP del usuario, y esta es un dato personal, debe tener una base jurídica para cada uno de sus tratamientos publicitarios. Cuando el usuario no ha dado su consentimiento, se basa así en el interés legítimo.
Cabe señalar que Sirdata confía en este argumentario, hasta el punto de reutilizarlo en sus vídeos promocionales, por ejemplo con "el retargeting sin consentimiento":
![]()
¡Sin consentimiento, la fiesta es más loca para la adtech!
Sirdata ofrece también un producto para hacer conformes las transferencias hacia Google Analytics en EE. UU., el “Analytics Helper”. Como recordatorio, la CNIL austriaca y la francesa han considerado ilegales las transferencias de datos hacia Google Analytics en EE. UU..
Sirdata toma precauciones para impedir que los servicios de inteligencia estadounidenses identifiquen a un usuario mediante una solicitud a Google (anonimización de la IP antes del envío a Google, seudonimización del Client ID a nivel del proxy de Sirdata). Resulta interesante, en el marco de este artículo, que el "modelo legal de seguimiento" de este "Analytics Helper" es similar al modelo de la CMP de Sirdata:
- Con consentimiento, seguimiento habitual de Google Analytics mediante cookies.
- Sin consentimiento, seguimiento de Google Analytics mediante un fingerprint generado por Sirdata y basado "únicamente" en tu dirección IP, con el interés legítimo como base jurídica.
- Sin consentimiento y con oposición al interés legítimo, no hay seguimiento de Google Analytics.
El Sirdata Helper es un producto ingenioso, pero ¿será suficiente para hacer conformes las transferencias de datos hacia Google Analytics en EE. UU.? La cuestión sigue abierta, como detallo en este hilo.
El interés legítimo para la publicidad dirigida
Parece complicado que Sirdata, proveedor de datos conductuales, se base en el interés legítimo para la publicidad dirigida. Y, en particular, en lo que respecta al criterio de ponderación: la cuestión es si los intereses perseguidos por los proveedores de la adtech prevalecen sobre las libertades y los derechos fundamentales de las personas afectadas.
La APD menciona en particular el dictamen 03/2013 del Grupo de Trabajo del Artículo 29, antiguo nombre del CEPD (“Comité Europeo de Protección de Datos”), anterior al RGPD:
Además, el CEPD indica que el interés legítimo no constituye una base jurídica suficiente en el contexto del marketing directo que aplica la publicidad comportamental [...] (460)
Grupo de Trabajo del Artículo 29 - Opinión 03/2013 sobre limitación de finalidad (WP 203), 2 de abril de 2013: "se debe exigir el consentimiento, por ejemplo, para el seguimiento y la elaboración de perfiles con fines de marketing directo, publicidad comportamental, intermediación de datos, publicidad basada en la ubicación o investigación de mercado digital basada en el seguimiento".
Para más detalles, también puedes leer la denuncia de La Quadrature du Net contra Amazon por violación del RGPD, en concreto por la ausencia de base jurídica en materia de publicidad dirigida.
Después del consentimiento y del contrato, La Quadrature du Net estudia sin piedad el interés legítimo como posible base jurídica (puntos 36 a 50). Para la asociación de defensa y promoción de los derechos y libertades en Internet, esta base jurídica no puede funcionar para la publicidad dirigida (62). La CNIL luxemburguesa validó su análisis, con una multa récord de 746 millones de euros contra Amazon.
![]()
La Quadrature du Net contra los GAFAM; lamentablemente, la CNIL brilla por su ausencia.
Algunos extractos de la denuncia de La Quadrature:
Esta es la vía que toma el G29 en el anexo II de su dictamen 03/2013, sobre el Big Data y el Open Data: «casi siempre debería exigirse un consentimiento previo libre, específico, informado e inequívoco» siempre que una «organización desee específicamente analizar o predecir las preferencias personales, el comportamiento y las actitudes de clientes individuales, que servirán luego para guiar “medidas o decisiones” tomadas respecto a esos clientes». (47)
Pone como ejemplo de tales «medidas y decisiones» la difusión de «descuentos personalizados, ofertas especiales y publicidad dirigida a partir del perfil del cliente». (49)
El G29 concluye claramente que el «consentimiento debería exigirse sobre todo, por ejemplo, para el rastreo y la elaboración de perfiles con fines de prospección directa, de publicidad comportamental, de corretaje de información, de publicidad basada en la ubicación o de estudios de mercado digitales basados en el rastreo». (50)
Así pues, con Benoit, planteamos a la CNIL la cuestión del interés legítimo para la publicidad dirigida el verano pasado (2021), sin respuesta.
Tus elecciones se aplican a una cooperativa de 4000 sitios
Aquí hay otro extracto del banner de consentimiento propuesto por Sirdata (en Chrome como mínimo, ya que en Safari, debido al bloqueo de las cookies de terceros, la cooperativa de sitios está desactivada):
Tus elecciones se aplicarán a estos sitios y en sus correos electrónicos durante 6 meses, y no te volveremos a preguntar hasta mañana.
Cuando haces clic en "sitios", llegas a una nueva página de información, directamente en el sitio de Sirdata. Aún tienes que hacer clic en "Haz clic aquí" al final de la página para descubrir los sitios de la cooperativa Sirdata:
![]()
Encontrarás entonces el conjunto de los sitios de la cooperativa Sirdata, 130 páginas paginadas, sin opción de exportación:
![]()
Estos sitios han elegido participar en la cooperativa de consentimiento de Sirdata (utilicen la CMP de Sirdata en versión gratuita o de pago, por cierto).
Entonces, ¿es legal? Según Sirdata, sí, porque el internauta recibe información en el primer nivel. Es libre de profundizar y de ir a consultar la lista completa de sitios web. Sirdata se apoya también en estas preguntas frecuentes de la CNIL:
![]()
No obstante, es probable que la CNIL no hubiera previsto este caso, ya que la pregunta 21 probablemente se refiere a los responsables del tratamiento del sitio web consultado por el usuario (los socios publicitarios), y no a otros sitios web que el usuario no consulta. Sirdata argumenta que esta elección es beneficiosa para el usuario en el sentido de que reduce la fatiga de los banners de consentimiento. Aún hace falta que esa elección sea informada.
Con Benoit, también planteamos la cuestión de la legalidad de esta “elección agrupada” a la CNIL el verano pasado (2021), sin respuesta.
La cooperativa Sirdata, una CMP con limitaciones
La participación de un sitio web en la cooperativa Sirdata impone ciertas limitaciones a los banners de consentimiento:
- Para los usuarios ubicados en territorio francés, Sirdata exige el famoso “patrón oscuro” validado por la CNIL.
- Cuando el usuario reconsidera sus elecciones, hay disponible un botón "Rechazar todo y continuar".
- La opción "Rechazar todo", en cambio, no está disponible en el banner de consentimiento inicial.
- El número de socios publicitarios no puede superar los 200 (hay más de 1000 empresas publicitarias en el TCF, sin contar los socios publicitarios que no forman parte del TCF y que Google decide integrar a través de su “Modo de consentimiento adicional”).
Si no está en Safari, las elecciones del usuario se aplican, pues, al conjunto de los sitios de la cooperativa Sirdata. Cabe señalar que, a diferencia de algunos de sus competidores, mostrar un mecanismo de "rechazo" en el primer nivel ("Continuar sin aceptar" o "Rechazar todo") es sistemático si el usuario tiene su sede en Francia. Esto es válido para todos los clientes de Sirdata, paguen o no y sean o no miembros de la cooperativa.
Sirdata evita así las interfaces “no conformes”, sin botón "Rechazar" o "Continuar sin aceptar".
Sirdata y la ilegalidad del TCF
En su comunicación, Sirdata indica que los editores que forman parte de su cooperativa no se ven afectados por la decisión de la APD. Para los editores que pagan la CMP de Sirdata, bastaría con no activar a todos los socios publicitarios para no verse afectados por la decisión. Aquí está el mensaje de Sirdata a sus clientes:
En general, los editores que han seguido nuestros consejos no corren ningún riesgo a raíz de este fallo y no tienen datos que eliminar, ni tampoco sus socios, ni la obligación de "popear" de nuevo para recoger un nuevo consentimiento.
Retomemos algunos elementos de la decisión de la APD. En primer lugar, la APD considera que la cadena de caracteres que permite el almacenamiento y la transmisión de las preferencias del usuario (TC String) es un dato personal. En efecto, está asociada a la dirección IP del usuario (a la que las CMP tienen acceso); esta cadena de caracteres determina además los futuros tratamientos publicitarios de múltiples empresas de la adtech. Sirdata lo explica muy bien:
La APD confirma, pues, que la elección —la
TC String— por sí misma no permite identificar directamente a personas o dispositivos pero que, desde el momento en que la elección se almacena en el dispositivo del usuario, una CMP tiene la posibilidad de atribuir un identificador único a esaTC String, es decir, la dirección IP del dispositivo en el que está almacenada. La posibilidad de combinar laTC Stringy la dirección IP implica, según ella, que se trata de información relativa a un usuario identificable.
La APD distingue así 2 tipos de tratamiento:
- La captura y la diseminación de la señal de consentimiento y de las objeciones al interés legítimo de los usuarios (a través de la cadena de caracteres
TC String). - La captura, la diseminación y el tratamiento de los datos personales por parte de las empresas de la adtech.
En lo que respecta a la licitud y la lealtad del tratamiento, la Sala de lo Contencioso distingue dos actividades de tratamiento: por un lado, la introducción propiamente dicha de la señal de consentimiento, las objeciones y las preferencias de los usuarios en la
TC Stringpor parte de las CMP (a), y, por otro lado, la recogida y la difusión de los datos personales de los usuarios por parte de las organizaciones participantes (b). (403)
Otro punto importante: la APD considera que las CMP son, efectivamente, corresponsables del tratamiento, para estos 2 tipos de tratamientos:
Esto lleva a la Sala de lo Contencioso a concluir que la demandada, junto con las CMP, los editores y los proveedores de la adtech participantes, deben ser considerados responsables conjuntos del tratamiento en lo que respecta a la recogida y la difusión de las preferencias, las objeciones y el consentimiento de los usuarios, así como al tratamiento posterior de sus datos personales. (402)
En la CMP de Sirdata, ¿qué base jurídica para la captura y la diseminación de la señal TC String?
Empecemos con una aclaración de Benoit:
Cuando Sirdata actúa como CMP, captura la
TC Stringy la envía a su base de datos de almacenamiento de la prueba del consentimiento y de su validez. No se la envía a nadie más, y solo estos tratamientos se apoyan en la obligación legal. La CMP no transmite la string a Vendors terceros: los Vendors pueden acceder a ella de forma activa a través de una API expuesta en la página, pero la CMP no la "disemina".
Aunque no hay "diseminación" de la TC String por parte de la CMP de Sirdata, el hecho de exponer la cadena de caracteres a través de una API permite efectivamente su diseminación posterior.
Para el primer tipo de tratamiento (captura y exposición de la señal de consentimiento y de las objeciones al interés legítimo de los usuarios), Sirdata, como CMP, no ha indicado en qué base jurídica deseaba apoyarse. En efecto, antes de la decisión de la APD, la IAB Europe consideraba que la TC String no era un dato personal. Ahora bien, hemos visto que la TC String sí era un dato personal, pero también que las CMP eran corresponsables del tratamiento.
Así pues, las CMP deben declarar una base jurídica para este tratamiento de datos personales. Si estudiamos Sirdata:
- El consentimiento no es actualmente una base jurídica válida. Sirdata almacena la cadena de consentimiento
TC Stringen el local storage desde que se muestra el banner de consentimiento y, por tanto, no pide su opinión al usuario. Tras la denegación del consentimiento, laTC Stringse almacena en la cookieeuconsent-v2. - El interés legítimo tampoco es actualmente válido según la APD, ya que el usuario no tiene ningún medio de oponerse al almacenamiento de este dato personal: "A este respecto, la Sala de lo Contencioso considera destacable que no se ofrezca a los usuarios ninguna opción para oponerse por completo al tratamiento de sus preferencias en el marco del TCF. Sea cual sea su elección, la CMP generará una
TC Stringantes de vincularla al User ID único del usuario, mediante una cookieeuconsent-v2colocada en el dispositivo del interesado." (421). La APD señala que este tratamiento no pasaría el test de "ponderación" dado el considerable número de empresas de la adtech que recuperan este dato, y el escaso control otorgado al usuario (423).
![]()
Antes de cualquier interacción con el banner de consentimiento de Sirdata, la cadena TC String se almacena con la clave sddan:cmp en el local storage de mi navegador.
Según la decisión de la APD, la CMP de Sirdata no parece tener una base jurídica para la captura y la exposición de la señal de consentimiento y de las objeciones al interés legítimo de los usuarios. Pero, tras conversar con Benoit, entiendo que Sirdata se apoya en realidad en otra base jurídica para la captura y la exposición de la señal TC String: la obligación legal.
¿La obligación legal como base jurídica del tratamiento?
La información de que la CMP de Sirdata se apoya en la obligación legal como base de tratamiento para la captura y la exposición de la señal TC String está ausente del banner de consentimiento de Sirdata y no se menciona en el artículo de Sirdata que aborda la decisión de la APD. Sin embargo, se indica en las CGU de la CMP de Sirdata:
9.5. La
TC stringy los datos estrictamente necesarios, como la fecha del último aviso utilizado para limitar los avisos posteriores, se almacenarán en el dispositivo del usuario, en el almacenamiento local, en una cookie llamadaeuconsent-v2que puede usarse como cookie propia o de terceros vinculada al nombre de dominioconsentframework.com. Las Partes acuerdan que, de conformidad con la Deliberación n.º 2020-092 de la CNIL, de 17 de septiembre de 2020, que adopta una recomendación con modalidades prácticas de cumplimiento en caso de recurrir a «cookies y otros rastreadores», el almacenamiento de estos datos en el terminal o el acceso a ellos no está sujeto a consentimiento previo y, si laTC Stringy los datos necesarios se consideran datos personales, el tratamiento lo llevará a cabo Sirdata como encargado del tratamiento que actúa por cuenta de Usted, responsable del tratamiento, sobre la base de la obligación legal del RGPD.
Según la APD, Sirdata no es un simple encargado del tratamiento, sino un corresponsable del tratamiento. Dicho esto, ello no afecta a la base jurídica invocada por Sirdata, la obligación legal. El argumentario de Sirdata para apoyarse en la obligación legal es el siguiente: el editor y sus socios deben, legalmente, probar un consentimiento, recordar una denegación/retirada del consentimiento y memorizar la oposición para no "acosar" al usuario.
Es una lástima que la IAB Europe y la APD no hayan debatido esta base jurídica de tratamiento; nos falta una decisión jurídica para saber si esta base jurídica realmente se sostiene.
Sirdata invoca la deliberación n.º 2020-092 del 17 de septiembre de 2020 de la CNIL (modalidades prácticas de cumplimiento en caso de recurso a “cookies y otros rastreadores”), pero esta solo propone un nombre del rastreador que permite almacenar la elección de los usuarios:
- Por último, la Comisión anima a los profesionales a nombrar
eu-consentel rastreador que permite almacenar la elección de los usuarios, asociando a cada finalidad un valor booleano «verdadero» o «falso» que memoriza las elecciones realizadas.
La deliberación n.º 2020-091 del 17 de septiembre de 2020 (directrices “cookies y otros rastreadores”) se refiere a la exención de consentimiento relativa a la elección expresada por los usuarios sobre el depósito de rastreadores:
- A la vista de las prácticas puestas en su conocimiento, la Comisión estima que los siguientes rastreadores pueden, en particular, considerarse exentos:
- los rastreadores que conservan la elección expresada por los usuarios sobre el depósito de rastreadores
- [...]
Pero la CNIL no habla de base jurídica de tratamiento para el RGPD, y menos aún de obligación legal alguna como base jurídica. Una lectura atenta del texto de la CNIL sobre la obligación legal plantea otras preguntas:
- La obligación legal debe estar prevista en el marco jurídico nacional o europeo. ¿En qué texto legal puede apoyarse entonces Sirdata?
- El responsable del tratamiento que desee fundarse en esta base jurídica no debe tener la opción de cumplir o no la obligación (necesidad).
- En particular, la entidad debe asegurarse de que no exista un medio menos intrusivo de alcanzar este objetivo.
Ahora bien, Sirdata bien podría añadir un parámetro opt-in a las llamadas hacia su CMP. Si se llama a https://sirdata...?opt-in=0, entonces no se crea la TC String y, por tanto, no hay llamada a los socios de la adtech. Así pues, la obligación legal no parece necesaria.
La CMP de Sirdata podría apoyarse en el interés legítimo como base jurídica del tratamiento de la TC String (mediante el parámetro opt-in, el usuario podría oponerse al almacenamiento de la TC String). Aún haría falta pasar el test de ponderación dado el considerable número de socios que recuperan este dato (423). Aquí, Sirdata argumentará que, al limitar el número de socios de su cooperativa a 200 como máximo, el fallo de la APD no se aplica.
Para el socio publicitario Sirdata, ¿qué base jurídica para la captura y la diseminación de la señal TC String?
Recuerda que Sirdata opera como CMP, pero también opera como proveedor de datos contextuales y conductuales. En este papel, Sirdata captura y disemina la TC String. Retomemos las explicaciones de Benoit:
Cuando Sirdata actúa como Vendor que se apoya en el consentimiento (Vendor "Sirdata"), podemos capturar y transferir la
TC Stringy otros datos personales sobre la base del consentimiento, y comprobamos si la entidad a la que vamos a enviarla tiene derecho a recibirla. Cuando Sirdata actúa como Vendor que se apoya en el interés legítimo (Vendor "Sirdata cookieless"), podemos capturar y transferir laTC Stringy otros datos personales sobre la base de un interés legítimo, y no transmitimos este dato.De cara al futuro, y precisamente a causa de la APD, vamos a cambiar la base jurídica del tratamiento de la
TC Stringcomo Vendor, con el fin de poder transmitir una retirada del consentimiento: pronto nos apoyaremos únicamente en el interés legítimo (pero solo para laTC Stringutilizada en este marco).
El mismo comentario parece aplicarse aquí: habrá que pasar el test de ponderación dado el considerable número de socios que recuperan este dato (423). Sirdata probablemente podrá argumentar que, cuando actúa como socio publicitario ("Vendor"), transmite la TC String a un número limitado de socios.
Anteriormente hemos estudiado las posibles bases jurídicas para el primer tipo de tratamiento indicado por la APD: la captura y la diseminación de la señal de consentimiento y de las objeciones al interés legítimo de los usuarios (del lado de la CMP de Sirdata, pero también del lado de Sirdata "Vendor"). Pasemos ahora al segundo tipo de tratamiento: la captura, la diseminación y el tratamiento de los datos personales por parte de las empresas de la adtech.
¿El interés legítimo como base jurídica para la captura, la diseminación y el tratamiento de los datos personales por parte de las empresas de la adtech?
Como recordatorio, aquí ya no hablamos de captura o de diseminación de la TC String, sino de los distintos tratamientos publicitarios realizados con tus datos personales:
![]()
Las finalidades tal como se definen en la v2 del TCF; fíjate en la excepción de la finalidad “Almacenar o acceder a información en un dispositivo”, que solo puede apoyarse en tu consentimiento.
Estudiemos la decisión de la APD sobre el interés legítimo para los tratamientos publicitarios en el marco del TCF. Estos tratamientos incluyen, pues, la publicidad dirigida, pero no solo. El recurso al interés legítimo como base jurídica de tratamiento está sujeto a 3 condiciones:
- Debe ser "legítimo": la APD no tiene opinión sobre si el interés económico de un actor de la adtech en realizar tratamientos publicitarios es legítimo. Pero esta condición ya no se cumple, porque la APD considera que los tratamientos publicitarios no están descritos de forma suficientemente específica en el marco del TCF (452).
- Debe satisfacer la condición de “necesidad”: la APD considera que esta condición no se cumple, porque en el marco del RTB (Real-Time Bidding, subasta publicitaria en tiempo real) no existe ninguna protección contra la diseminación de información personal (456).
- No debe vulnerar los derechos e intereses de las personas cuyos datos se tratan: según la APD, resulta problemático el gran número de actores publicitarios, así como la gran cantidad de información transmitida en el marco de una subasta publicitaria. La APD cita también al EDBP (el Comité Europeo de Protección de Datos) y a la ICO (la CNIL inglesa), que consideran ambos que el interés legítimo no es una base jurídica válida de tratamiento para la publicidad dirigida, en particular en el marco del RTB (460).
Leamos, por ejemplo, el dictamen del EDBP:
Se debe exigir el consentimiento, por ejemplo, para el seguimiento y la elaboración de perfiles con fines de marketing directo, publicidad comportamental, intermediación de datos, publicidad basada en la ubicación o investigación de mercado digital basada en el seguimiento.
Y aquí está la decisión de la APD:
A la luz de las consideraciones antes mencionadas, la Sala de lo Contencioso considera que el interés legítimo de las organizaciones participantes no puede considerarse una base jurídica adecuada para las actividades de tratamiento realizadas según el protocolo OpenRTB, de acuerdo con las preferencias y elecciones de los usuarios registradas en el marco del TCF.
El análisis de Sirdata, ahora: este fallo no se aplica al TCF en su conjunto, sino solo a los tratamientos vinculados al RTB. Por ejemplo, no afecta a la elaboración de perfiles realizada por Sirdata a través de su oferta "Cookieless", que tiene lugar antes de los intercambios RTB y no conlleva el intercambio de identificadores y segmentos de audiencia con socios publicitarios. Y, por tanto, la CMP de Sirdata puede seguir ofreciendo a sus socios el interés legítimo como base jurídica de un tratamiento.
Podemos señalar aquí que, sin siquiera hablar del RTB, el interés legítimo ya no pasa el test de legitimidad. Para profundizar, puedes leer el artículo de Célestin Matte, Cristiana Santos y Nataliia Bielova, "Purposes in IAB Europe's TCF: which legal basis and how are they used by advertisers?". Este estudia cada finalidad, independientemente de los eventuales tratamientos vinculados al RTB, pero la conclusión sigue siendo la misma para el interés legítimo: esta base jurídica no se sostiene:
![]()
La nueva versión del TCF detalla mejor las finalidades, pero el interés legítimo seguiría sin ser válido.
Aunque este artículo es muy sólido, Sirdata podrá argumentar que falta una decisión jurídica sobre la validez del interés legítimo a través del TCF, fuera del protocolo OpenRTB. El TCF está ciertamente vinculado al protocolo OpenRTB, como indica la APD:
La Sala de lo Contencioso constata que no puede seguirse el argumento de la demandada, dado que esta indica varias veces en sus conclusiones que la razón de ser del TCF es precisamente poner los tratamientos de datos personales fundados, entre otros, en el protocolo OpenRTB en conformidad con la normativa aplicable, incluidos el RGPD y la directiva ePrivacy. Aunque la Sala de lo Contencioso entiende que el TCF también puede ser utilizado por los editores para otras aplicaciones, en colaboración o no con las CMP, también es cierto que el TCF nunca fue concebido para ser un ecosistema autónomo e independiente. (368)
Pero el TCF también se utiliza fuera de OpenRTB, argumento que Sirdata podrá esgrimir para mantener la base jurídica "interés legítimo" en su CMP. Con su propio ejemplo, pues: en ausencia de consentimiento, el uso del interés legítimo para publicidad dirigida basada en la dirección IP, técnicamente fuera del RTB (antes del mismo).
¿El consentimiento como base jurídica para la captura, la diseminación y el tratamiento de los datos personales por parte de las empresas de la adtech?
Hemos visto anteriormente que el interés legítimo no era una base jurídica válida para los tratamientos de datos personales en el OpenRTB tal como los facilita el TCF, y con mayor motivo para los tratamientos relativos a la publicidad dirigida. La APD detalla también por qué el consentimiento no es una base jurídica válida para los tratamientos de datos personales.
El argumentario de Sirdata para escapar a esta decisión es entonces el siguiente (ya sea para el interés legítimo o para el consentimiento). En el marco de su cooperativa, la CMP de Sirdata va más allá que el TCF cuando se implementa al mínimo, en particular con una mejor jerarquización de los datos, una mejor información y, sobre todo, una limitación del número de socios.
Sin embargo, Sirdata es perfectamente consciente de que el TCF nunca tuvo como vocación garantizar por sí solo la conformidad con el RGPD. Por tanto, Sirdata CMP implementa este estándar como otros, y aporta, como complemento, medidas adicionales y reglas específicas que permiten un respeto de las normativas locales y regionales mucho más allá de lo que exige el TCF.
Podríamos subrayar que la ausencia de base jurídica de tratamiento dista de ser la única violación del RGPD señalada por la APD, y que no basta con abordar mejor uno de los problemas para ser conforme.
A lo que Sirdata responderá que no es necesariamente conforme, pero que haría falta un nuevo análisis de una Autoridad de protección de datos para determinar la validez, que se aprecia caso por caso. Podrá citar en particular este pasaje de la decisión de la APD:
Conviene también señalar que las CMP tienen un amplio margen de apreciación en lo que respecta a la interfaz que ofrecen a los usuarios. En efecto, las TCF Policies solo imponen exigencias mínimas de interfaz a las CMP participantes, con la consecuencia de que, en la práctica, las interfaces y el respeto de los principios de lealtad y transparencia pueden variar considerablemente según la CMP con la que colaboren los editores de sitios web y de aplicaciones. (381)
Este pasaje del análisis de la APD ponía de relieve la responsabilidad conjunta de las CMP en cuanto a las finalidades y los medios del tratamiento de datos personales. Estudiemos más bien algunas de las "medidas adicionales" y "reglas específicas" planteadas por Sirdata.
¿Agrupar finalidades para no verse afectado por la decisión de la APD?
Para la APD, el consentimiento no es una base jurídica válida:
El consentimiento no es una base válida para las operaciones de tratamiento en el OpenRTB tal como las facilita el TCF. (428) La Sala de lo Contencioso considera que el consentimiento recogido por las CMP y los editores en la versión actual del TCF es insuficientemente libre, específico, informado y carente de ambigüedad. (432)
La APD constata, en particular, que las finalidades de tratamiento propuestas no se describen de manera suficientemente clara y, en determinados casos, son incluso engañosas:
A modo de ejemplo, la Sala de lo Contencioso constata que las finalidades 8 («Measure content performance») y 9 («Apply market research to generate audience insights») aportan poca o ninguna indicación sobre el alcance del tratamiento, la naturaleza de los datos personales tratados o la duración de conservación de los datos personales recogidos mientras el usuario no retire su consentimiento. (433)
A lo que Sirdata indica haber respondido ya, en particular mediante la agrupación de estas 2 finalidades bajo el paraguas “Medición de audiencia”:
![]()
Sirdata precisa en su blog:
Para permitir un consentimiento informado, en el segundo nivel los “purposes” del TCF se agrupan bajo finalidades “paraguas” definidas por la CNIL en su Recomendación Rastreadores del 17 de septiembre de 2021, como la “publicidad dirigida” o la “medición de audiencia”.
Salvo que estas finalidades publicitarias son en realidad muy diferentes de la medición de audiencia y de tráfico de un sitio, tal como puede efectuarla una herramienta como Google Analytics, AT Internet o Matomo. En general, se trata más bien de tratamientos efectuados por herramientas de panel y de análisis de mercado, como Nielsen u otras como Comscore. Así, mediante esta agrupación, Sirdata aporta confusión a finalidades ya existentes.
¿Distintos modos de acceso a las páginas de vida privada de los socios para no verse afectado por la decisión de la APD?
Otro punto en el que Sirdata declara ir “más allá del TCF”, y escapar así a la decisión de la APD, es el acceso a la información sobre las operaciones de tratamiento específicas de cada proveedor de la adtech. He aquí un pasaje de la decisión de la APD:
Además, la información que las CMP facilitan a los usuarios sigue siendo demasiado general para reflejar las operaciones de tratamiento específicas de cada proveedor de la adtech, lo que impide la necesaria granularidad del consentimiento. (436)
Entonces, ¿qué hace Sirdata? Esto es lo que declara:
La información obligatoria en el marco del TCF es, en efecto, una base común en bruto insuficiente: Sirdata y sus clientes van mucho más allá.
Además de reflejar las menciones obligatorias del TCF, la interfaz de Sirdata CMP aporta una luz adicional sobre los datos tratados y la finalidad de estos tratamientos, y jerarquiza la información para facilitar la comprensión y el control del usuario.
Una parte de la información está disponible en el primer nivel; otra, como la lista de destinatarios, lo está fácilmente en el segundo nivel, y el acceso a información adicional, como las condiciones para el ejercicio de los derechos, es accesible a través de enlaces a las páginas de Vida Privada.
En la práctica, cuando amplías una finalidad a través del banner de consentimiento, puedes mostrar la lista de socios. Si haces clic en uno de los socios, tendrás entonces un enlace a su página de "vida privada":
![]()
El socio “Sirdata Cookieless”, que se basa en el interés legítimo para crear un perfil publicitario personalizado.
Cabe señalar que este enlace a la página “vida privada” ya lo impone el TCF de la IAB:
Cuando se recurre a un denominado enfoque por capas, debe proporcionarse una capa secundaria que permita al usuario: consultar la lista de Proveedores nombrados, sus Finalidades, Finalidades Especiales, Características, Características Especiales, las Bases Jurídicas asociadas y un enlace a la política de privacidad de cada Proveedor.
Pero Sirdata indica que va más allá que ciertas CMP, que no imponen poder listar los socios a partir de una finalidad dada. Podemos ver la diferencia con el sitio de L'Express, que utiliza la CMP de Didomi:
![]()
No puedo desplegar “Interés legítimo”, solo puedo ver que Sirdata se apoya en esta base jurídica para “Crear un perfil publicitario personalizado”.
Pero la vista "Socios" sí permite listar los distintos socios y presentar un enlace a la página de vida privada de cada socio:
![]()
Para "Crear un perfil publicitario personalizado" en L'Express con la CMP de Didomi, Sirdata se apoya también en el interés legítimo, a través del famoso socio "Sirdata Cookieless".
Para Sirdata, la "mejor" jerarquización de la información de su CMP no la hace necesariamente lícita, sino que supone una nueva decisión de la APD para juzgar su licitud.
¿Limitar el número de socios para no verse afectado por la decisión de la APD?
Principal argumento de Sirdata: la decisión de la APD no se aplicaría a Sirdata, porque este impone una elección de socios a sus clientes, con un límite de 200 socios para su cooperativa (fuera de la cooperativa, no hay límite).
En el marco de la cooperativa de elección que gestiona, Sirdata llega incluso a imponer un techo de 200 socios, muy lejos de los 2000 socios potenciales del TCF y de la red de consentimiento gestionada por Google como complemento —“AC Mode”—.
Tales salvaguardas permiten evitar los tratamientos a gran escala de las preferencias de los usuarios —recogidas en el marco del TCF— en el marco del protocolo open RTB: según la APD, los intereses de las personas afectadas solo prevalecen sobre el interés legítimo de las organizaciones que participan en el TCF cuando estas están todas seleccionadas.
Pero en la decisión de la APD no se menciona ningún interés legítimo de las organizaciones que prevalecería sobre los intereses de las personas afectadas si estas últimas no estuvieran todas seleccionadas... Sirdata declara, no obstante, apoyarse en este extracto:
Aunque las TCF Policies prohíben a las CMP otorgar preferencia a ciertos proveedores de la adtech de la Global Vendors List, y que, por tanto, están en principio obligadas a presentar a los usuarios todos los proveedores inscritos en el TCF, salvo instrucción contraria de los editores, algunos autores señalan que cierto número de CMP no respeta esta exigencia. Ya sea porque las CMP imponen a los editores proveedores preseleccionados, o porque les niegan la posibilidad de apartarse de la lista completa de proveedores de la adtech, propuesta por defecto. (380)
Este pasaje está ahí para explicar por qué las CMP deben considerarse corresponsables del tratamiento, y no para indicar problema alguno por un número demasiado elevado de socios. Además, la IAB Europe no exige presentar la lista completa, sino solo no discriminar a un socio en particular:
En cualquier interacción con el Framework, una CMP no podrá excluir a un Proveedor, discriminarlo ni darle un trato preferente, salvo conforme a instrucciones explícitas del editor implicado en esa interacción y de acuerdo con las Especificaciones y las Políticas.
El razonamiento de Sirdata es el siguiente:
- En el marco del TCF, estamos obligados a presentar todos los proveedores por defecto (no es una "obligación", como muestra el documento de la IAB Europe).
- Esta presentación no es válida según la APD (Sirdata interpreta el "en principio" de la APD como una obligación).
- No respetamos esta "obligación" del TCF, porque imponemos a los clientes elegir a sus socios (200 como máximo, so pena de no poder formar parte de la cooperativa, una treintena por defecto).
- Y, por tanto, la decisión de la APD no nos concierne.
Pero Sirdata sí sigue las recomendaciones de la IAB Europe, ya que no discrimina a ningún socio en particular. No obstante, podemos encontrar otro argumento vinculado al número de socios en la decisión de la APD:
En particular, los destinatarios para los que se recoge el consentimiento son tan numerosos que los usuarios necesitarían un tiempo desproporcionado para leer esta información, lo que significa que su consentimiento rara vez puede estar suficientemente informado. (435)
Para Sirdata, el hecho de imponer la elección de los socios (con un techo de 200 socios) no hace necesariamente lícita su CMP, sino que sería necesaria otra evaluación de una Autoridad de regulación.
La ilegalidad de los banners de consentimiento de la IAB no afecta solo a la base jurídica del tratamiento
A través de este artículo, solo hemos podido rozar los problemas que plantean los banners de consentimiento de la IAB. Sirdata indica que ir "más allá" de la implementación "mínima" del TCF permitiría a sus clientes continuar con el "business as usual" gracias a su CMP. Sin embargo, la ilegalidad del TCF es sistémica, y seguir apoyándose en él es jurídicamente arriesgado. Además, hacer evolucionar el TCF para hacerlo lícito no será fácil, ya que el mecanismo mismo del RTB parece irreconciliable con el RGPD, en particular en lo que respecta a la seguridad de los datos personales.
![]()
¿Podrían unas cuantas adaptaciones legalizar el TCF?
Puedes profundizar en el tema leyendo estos artículos:
- "An Unending Data Breach Immune to Audit? Can the TCF and RTB Be Reconciled with the GDPR?", de Johnny Ryan y Cristiana Santos.
- "Impossible Asks: Can the Transparency and Consent Framework Ever Authorise Real-Time Bidding After the Belgian DPA Decision?", de Michael Veale, Midas Nouwens y Cristiana Santos.
Y viendo esta presentación de Robin Berjon, "Consent of the Governed".
Hacia una internet sin vigilancia impuesta y sin banner de consentimiento
Corresponde a las CNIL europeas apoyarse en esta importante decisión de la APD para sancionar adecuadamente a los distintos intervinientes (CMP, editores, socios publicitarios) y prohibir la fuga masiva de datos personales a través del RTB. Se agradecería una prohibición de la publicidad dirigida, y no solo para los menores, como propone la DSA. Como mínimo, la CNIL podría pronunciarse más claramente sobre la publicidad dirigida basada en el interés legítimo.
Además, estos banners de consentimiento no deberían existir: el usuario debería poder aceptar o rechazar el seguimiento de la industria publicitaria directamente desde los ajustes de su navegador (opt-in), siguiendo el modelo de lo que Apple ya ofrece a través de su sistema ATT. Y, en ese sentido, iniciativas como el Global Privacy Control (GPC) o el Advanced Data Protection Control (ADPC) merecen desarrollarse y contar con el respaldo de la ley.