La publicidad digital en la UE bajo la lupa: desde los marcos de consentimiento hasta los anuncios basados ​​en la vigilancia.

La publicidad digital en la UE bajo la lupa: De los marcos de consentimiento a los anuncios basados ​​en la vigilancia

En los últimos años, la Unión Europea ha intensificado progresivamente su control sobre las prácticas de publicidad digital, especialmente en lo que respecta a los anuncios basados ​​en el seguimiento y la creación de perfiles de usuario.

Una serie de resoluciones judiciales y decisiones regulatorias —incluidas sentencias históricas y la evolución de las interpretaciones sobre qué constituye datos personales— han planteado importantes desafíos para el sector. Un elemento clave en estos acontecimientos es el Marco de Transparencia y Consentimiento (TCF) de IAB Europe, considerado durante mucho tiempo el mecanismo de referencia para el cumplimiento de la normativa del RGPD en materia de publicidad. Sin embargo, los tribunales han constatado cada vez más deficiencias en este marco.

Desde su lanzamiento en 2017, el TCF tenía como objetivo estandarizar la forma en que los editores, anunciantes y socios de tecnología publicitaria obtienen, registran y comparten el consentimiento de los usuarios de conformidad con el RGPD. Sin embargo, varias ONG, entre ellas el Consejo Irlandés para las Libertades Civiles y Bits of Freedom, presentaron múltiples denuncias alegando graves infracciones del RGPD. En febrero de 2022, la Autoridad de Protección de Datos belga (APD) dictaminó que los mecanismos de consentimiento del TCF no proporcionaban un consentimiento legalmente válido, libre e informado, y multó a IAB Europe con 250 000 euros.

El 7 de marzo de 2024, el Tribunal de Justicia de la Unión Europea (TJUE) confirmó que la «cadena TC» —la codificación técnica de las preferencias de consentimiento del usuario dentro del TCF— se considera dato personal según el RGPD, aunque no identifique directamente a una persona. El TJUE también dictaminó que IAB Europe podría considerarse corresponsable del tratamiento, dependiendo de si ejerce el control para sus propios fines.

El 14 de mayo de 2025, el Tribunal de Mercado de Bélgica emitió una sentencia matizada que delimita aún más las responsabilidades en el ecosistema de la publicidad digital. Reafirmó que las cadenas de texto (TC Strings) son datos personales cuando se vinculan a personas identificables mediante medios razonables, como una dirección IP. Asimismo, confirmó que IAB Europe es corresponsable del tratamiento, pero únicamente para el procesamiento de las cadenas de texto, no para OpenRTB ni para operaciones de tecnología publicitaria más amplias.

El tribunal subrayó además que otros actores (CMP, proveedores, editores) también son corresponsables del tratamiento según el RGPD, a menos que exista una asignación contractual clara de responsabilidades, por lo que la responsabilidad se comparte por defecto. La responsabilidad no puede recaer en una sola parte; la corresponsabilidad requiere acuerdos estructurados de forma proactiva.

En un caso relacionado pero independiente, el Tribunal de Apelación de Bruselas dictaminó que el modelo de consentimiento que sustenta la publicidad basada en seguimiento —incluida la del TCF— es ilegal según la legislación europea de privacidad. Organizaciones no gubernamentales como Amnistía Internacional celebraron la decisión como una importante victoria para la privacidad, calificándola de «gran victoria para el derecho a la privacidad» e instando a abandonar la publicidad basada en la vigilancia.

Medios tecnológicos y grupos defensores de las libertades civiles se hicieron eco de estas opiniones. El fallo apuntaba a gigantes de la industria como Google, Amazon y Microsoft, que dependen en gran medida de sistemas de puja en tiempo real basados ​​en datos de usuario.

Las sentencias no solo afectaron a las prácticas publicitarias, sino que también ampliaron la definición de datos personales. En resumen:

Se confirmó que las cadenas de seguimiento (TC Strings) son datos personales si pueden vincularse a una persona identificable, lo que desplaza el enfoque de los identificadores directos a la posible identificación por inferencia.

Varias resoluciones de la UE, como las relativas al uso de Google Analytics en Austria, han ampliado la perspectiva sobre qué constituye la identificabilidad y los mecanismos de transferencia de datos permitidos.

Más allá de la publicidad web, estudios académicos demuestran que el RGPD tuvo un impacto limitado, pero cuantificable, en la reducción de rastreadores por editor, aunque muchas aplicaciones aún no logran obtener un consentimiento válido para el seguimiento de terceros.

El marco legal se está adaptando para abarcar no solo los identificadores obvios, sino también las señales de comportamiento que, en conjunto, revelan perfiles personales.

El ecosistema regulatorio más amplio añade restricciones adicionales:

La Ley de Servicios Digitales (DSA), en vigor desde noviembre de 2022, se centra en la publicidad digital de forma más directa. Exige transparencia (por ejemplo, en los repositorios de anuncios), prohíbe la elaboración de perfiles basados ​​en datos sensibles e impone limitaciones más estrictas a la segmentación de anuncios para menores.

La Ley de Mercados Digitales (DMA), en vigor desde mayo de 2023, restringe el acceso a las plataformas de intermediación (por ejemplo, Google, Meta). Meta ha sido multada por su modelo de "consentimiento pagado", que cobra a los usuarios europeos por experiencias sin anuncios sin ofrecer una versión gratuita que respete la privacidad. Apple y Meta fueron multadas en abril de 2025 según las normas de la DMA.

El efecto combinado de estas decisiones y regulaciones señala un cambio profundo:

La publicidad basada en la vigilancia está cada vez más en peligro. Los sistemas que dependen de la creación de perfiles masivos con información opaca del usuario el seguimiento nunca ha sido técnicamente seguro según el RGPD, pero ahora es más probable que se detecte.

Ampliación de la responsabilidad según el RGPD: IAB Europe y otros actores del ecosistema se enfrentan ahora a una responsabilidad conjunta y potencialmente igual, sin acuerdos claros de reparto de responsabilidades.

Los mecanismos de consentimiento deben ser genuinamente informados y otorgados libremente. Los consentimientos fragmentados, aislados contractualmente o por defecto ya no son suficientes, especialmente cuando las tácticas de «consentimiento o pago» se consideran coercitivas.

Las definiciones legales de datos personales están evolucionando. Incluso los metadatos o las preferencias de usuario codificadas se consideran datos personales si se pueden volver a identificar por medios razonables.

Impulso hacia modelos publicitarios que priorizan la privacidad. Se espera que el ecosistema de tecnología publicitaria de la UE evolucione hacia anuncios contextuales, modelos menos invasivos y una mayor transparencia.

La Unión Europea está redefiniendo su enfoque de la publicidad digital, pasando de la regulación pasiva a la intervención activa. El Tribunal de Apelación de Bruselas ha asestado un duro golpe a los modelos basados ​​en el seguimiento, mientras que el Tribunal de Mercado belga ha aclarado los marcos de responsabilidad. Mientras tanto, el alcance del RGPD, sumado a las normativas de la DSA y la DMA, está convirtiendo las metodologías tradicionales de puja y vigilancia en tiempo real en prácticas legalmente arriesgadas.

Las empresas de tecnología publicitaria deben replantearse los mecanismos de consentimiento, reestructurar las relaciones con los responsables del tratamiento de datos y centrarse en modelos publicitarios que prioricen la privacidad. Una plataforma integral de gestión del consentimiento es un paso en la dirección correcta.