IAB TCF 2.3: Preparando-se para a conformidade

O IAB Transparency and Consent Framework (TCF) é um conjunto padronizado de especificações técnicas e políticas que ajudam editores e anunciantes a cumprir determinadas disposições do Regulamento Geral de Proteção de Dados (GDPR) e da Diretiva ePrivacy. Também incorpora orientações do European Data Protection Board (EDPB) e das autoridades nacionais de proteção de dados.

O TCF 2.3, a versão mais recente do framework, foi oficialmente anunciado em 19 de junho de 2025 e torna-se obrigatório em 28 de fevereiro de 2026, substituindo o TCF 2.2.

Atualizações no TCF 2.3

Os requisitos de transparência no âmbito do TCF tornaram-se mais rigorosos, especialmente para as plataformas de gestão de consentimento (CMPs). Esses requisitos baseiam-se nas mudanças já introduzidas no TCF 2.2:

• Alterações na primeira camada da interface: A primeira camada da CMP deve agora exibir o número total de fornecedores que buscam estabelecer uma base legal e fornecer explicações claras, em linguagem simples, sobre as finalidades do processamento de dados.
• Exemplos concretos obrigatórios: As descrições das finalidades devem incluir exemplos simples e claros para que os usuários entendam como seus dados serão utilizados.
• Reapresentação da interface de consentimento: As CMPs devem permitir que os usuários finais reabram facilmente a interface a qualquer momento, trazendo de volta o banner ou pop-up de consentimento para revisar ou modificar suas escolhas.
• Linguagem mais acessível: Termos legais e técnicos devem ser substituídos por linguagem clara e de fácil compreensão em todas as camadas da interface.

Essas medidas de transparência não são opcionais. O não cumprimento pode resultar em sinalização pública pela IAB Europe ou encaminhamento às autoridades regulatórias.

Consulte a lista completa de requisitos para CMPs, fornecedores e editores aqui.

Atualizações técnicas

Uma próxima atualização do produto OneTrust tornará obrigatório o segmento anteriormente opcional de “Disclosed Vendors” na string TC. Isso fornecerá aos fornecedores um sinal binário claro: 1 para divulgado, 0 para não divulgado.

A partir de agora, quando a string TC for gerada, haverá uma seção dedicada para fornecedores divulgados. Consulte as notas de versão da OneTrust para mais detalhes sobre quando essa mudança será implementada em todos os produtos de CMP da plataforma.

Ambiguidade na divulgação de fornecedores

Essa mudança visa resolver a ambiguidade no seguinte cenário:

• Um fornecedor declara Interesse Legítimo como base legal para uma ou mais Finalidades Especiais e utiliza apenas Interesse Legítimo para Finalidades.
• Um usuário exerce seu “Direito de Oposição” ao processamento do fornecedor sob Interesse Legítimo. (Observação: Finalidades Especiais só podem usar Interesse Legítimo como base legal e não podem ser contestadas por meio do framework.)
• A CMP define então o valor como “0”, indicando que o Interesse Legítimo não foi estabelecido ou que o usuário exerceu seu direito de oposição.
• O fornecedor não sabe se foi divulgado ao usuário e, portanto, pode continuar o processamento para Finalidades Especiais, mesmo não podendo processar para outras Finalidades.

Implicações para os stakeholders

• Os editores devem garantir que suas CMPs sejam atualizadas para atender aos requisitos do TCF 2.3.

Decisão do Tribunal de Justiça da União Europeia

Em 7 de março de 2025, o Tribunal de Justiça da União Europeia (CJEU) emitiu uma decisão importante que afeta como os participantes do TCF devem tratar a string TC e o papel da IAB Europe. O Tribunal esclareceu que:

• String TC como dado pessoal:
  A string TC é considerada dado pessoal sob o GDPR porque, quando combinada com outros identificadores como endereço IP ou ID do usuário, pode ser associada a um indivíduo.
• IAB Europe como corresponsável:
  A IAB Europe pode ser considerada corresponsável pela criação e uso das strings TC devido ao seu papel na definição do framework, das finalidades e do desenho técnico.
• Limitações dessa corresponsabilidade:
  A IAB Europe não é automaticamente corresponsável por todos os processamentos subsequentes realizados por fornecedores ou editores, a menos que participe ativamente na definição das finalidades e meios desse processamento.

Essa decisão foi revista pelo Tribunal de Mercado Belga em 14 de maio de 2025, que rejeitou a ideia de que a IAB Europe seja corresponsável juntamente com os participantes do TCF pelo processamento próprio de dados pessoais, por exemplo, para publicidade digital.

Especificamente, o tribunal decidiu que:

• O processamento das strings TC constitui processamento de dados pessoais;
• A IAB Europe é corresponsável pelo processamento das strings TC devido ao seu papel como organização gestora do TCF; e
• A IAB Europe não é corresponsável pelo processamento de dados pessoais além das strings TC.
   

O que o TCF 2.3 significa para as organizações?

As atualizações do TCF 2.3 não se limitam a mudanças técnicas. Elas têm impactos legais e operacionais para qualquer organização que coleta dados pessoais ou fornece publicidade na UE.

Atualizar plataformas de gestão de consentimento (CMPs)

• Modificar mensagens de banners e pop-ups
• Permitir que os usuários reabram as CMPs em tempo real
• Integrar descrições de finalidades claras e exemplos
• Garantir que todos os fornecedores estejam em conformidade com o TCF 2.3

Garantir conformidade dos fornecedores

• Verificar participação na Global Vendor List (GVL) do TCF 2.3
• Confirmar que os fornecedores coletam e processam dados apenas com base em consentimento, e não em Interesse Legítimo

Atualizar sistemas internos e processos de dados

• Atualizar como o consentimento é registrado, compartilhado e verificado entre sistemas

O não cumprimento dos padrões do TCF 2.3 pode resultar em inclusão pública como não conforme e reporte às autoridades nacionais de proteção de dados (DPAs).

3 passos para começar com o TCF 2.3

Se sua organização coleta e processa dados pessoais na UE ou no EEE, o prazo para migração do TCF 2.2 já passou. Se você ainda não está em conformidade, aja imediatamente.

1. Leia a documentação do TCF 2.3

O IAB Tech Lab publicou especificações atualizadas, incluindo requisitos de interface e mudanças técnicas. Acesse a documentação aqui.

2. Revise sua lista de fornecedores

Certifique-se de que todos os fornecedores da sua stack estão listados na Global Vendor List do TCF 2.3 e não dependem mais do TCF 2.2.

A partir de 28 de fevereiro de 2026, todas as strings TC devem seguir as especificações do TCF 2.3. Qualquer string criada após essa data utilizando TCF 2.2 será considerada inválida.

3. Atualize seus sistemas e processos

• Implementar todas as mudanças de UI, API e string de consentimento
• Migrar código e configurações legadas
• Verificar fluxos de dados e registros para garantir conformidade

Provedores de CMP como a OneTrust já atualizaram suas plataformas para se alinhar ao TCF 2.3. Clientes que utilizam templates TCF serão notificados sobre as atualizações necessárias