Què Fa Realment el DPF

El DPF és una decisió d'adequació emesa per la Comissió Europea en virtut de l'article 45 del GDPR. Una decisió d'adequació afirma que un tercer país — en aquest cas, els Estats Units — ofereix un nivell de protecció de dades personals essencialment equivalent al de la UE, però només per a les organitzacions que s'adhereixin voluntàriament a un marc específic. El DPF és el mecanisme d'adhesió voluntària. Les empreses dels EUA s'autocertifiquen davant el Departament de Comerç, es comprometen amb un conjunt de Principis de Privadesa i queden subjectes a la imposició de la FTC o el DOT d'aquests compromisos.

Per a un editor de la UE, l'efecte pràctic és que les dades personals es poden transferir a un proveïdor dels EUA certificat per DPF sense Clàusules Contractuals Estàndard (SCCs) separades, Avaluacions d'Impacte de la Transferència adaptades a aquell proveïdor, ni mesures suplementàries del tipus requerit després de la sentència Schrems II. El DPF fa la feina pesada a la capa de base legal.

Tres coses que el DPF no fa, i que els editors entenen malament de manera sistemàtica:

• No substitueix el consentiment. Establir una galeta no essencial a un visitant de la UE encara requereix un consentiment de nivell GDPR/ePrivacy independentment d'on acabin les dades.
• No cobreix les transferències a proveïdors dels EUA no certificats. Si el vostre SSP o proveïdor d'analítica no figura a la llista activa del DPF, encara necessiteu SCCs i una TIA.
• No cobreix les transferències a filials dels EUA que operen fora de l'àmbit certificat. Molts proveïdors grans certifiquen només línies de negoci específiques.

El Consentiment de Galetes Segueix Sent la Porta Principal

El DPF resol el tram de transferència del recorregut. No fa res respecte al moment en què es deixa caure una galeta, es llegeix un identificador publicitari o s'envia un event a una etiqueta. Aquest moment està regulat per la Directiva ePrivacy (Article 5(3)) i el GDPR (Articles 6 i 7). Tots dos exigeixen un consentiment previ, informat, específic i atorgat lliurement per a qualsevol accés no estrictament necessari a l'emmagatzematge d'equips terminals.

En altres paraules, fins i tot si cada proveïdor de la vostra pila està certificat pel DPF, encara necessiteu una Plataforma de Gestió del Consentiment (CMP) que:

• Bloquegi les galetes i etiquetes no essencials abans de capturar el consentiment.
• Presenti una elecció clara amb paritat entre rebutjar-ho tot i acceptar-ho tot (l'EDPB ha estat explícit en això des de 2022).
• Registri l'esdeveniment de consentiment amb una marca de temps a prova de manipulació i una còpia de l'avís que l'usuari va veure realment.
• Transmeti l'estat del consentiment a cada eina aigües avall a través de TCF v2.3, Google Consent Mode v2 o APIs natives del proveïdor.

El DPF substitueix la base legal per a la transferència; la CMP proporciona la base legal per a la recollida. Saltar-se qualsevol dels dos costats us deixa exposats.

Com Verificar l'Estat DPF d'un Proveïdor

El Departament de Comerç dels EUA manté la llista oficial del DPF a dataprivacyframework.gov. Abans de confiar en la declaració DPF d'un proveïdor, comproveu tres coses al seu registre.

Estat de Certificació Activa

Les certificacions s'han de renovar anualment. No es pot confiar en un proveïdor l'estat del qual llegeix Inactiu, Retirat o Caducat com a mecanisme de transferència, fins i tot si les seves pàgines de màrqueting encara mostren una insígnia DPF. Incorporeu el registre al vostre inventari de proveïdors i torneu-lo a comprovar trimestralment.

Entitats Cobertes i Filials

Moltes societats holding certifiquen algunes filials i no d'altres. L'entitat contractual del vostre DPA ha de coincidir amb l'entitat certificada. Un error comú és signar amb Acme Marketing UK Ltd quan la certificació DPF és en poder d'Acme Inc. a Delaware — el flux de dades llavors escapa de l'àmbit certificat.

Categories de Dades Cobertes

El DPF permet certificacions limitades a dades de RRHH únicamente, dades no-RRHH únicament, o ambdues. Una certificació de només no-RRHH cobreix les vostres dades publicitàries i d'analítica; una certificació de només RRHH no ho fa. Llegiu el registre amb atenció.

Què Fer Quan un Proveïdor No Està Certificat per DPF

Molts proveïdors dels EUA útils — especialment jugadors més petits de l'ad-tech i eines d'analítica de nínxol — mai no s'han certificat o han deixat caducar la seva certificació. Per a aquests, el DPF és irrellevant i torneu al conjunt d'eines d'abans del 2023:

• Clàusules Contractuals Estàndard (SCCs) — les versions del mòdul 2 o mòdul 3 del 2021, signades per ambdues parts i incorporades al DPA.
• Avaluació d'Impacte de la Transferència (TIA) — una anàlisi específica del proveïdor de la llei de vigilància dels EUA, les categories de dades en risc i les mesures tècniques i organitzatives que mitiguen l'exposició.
• Mesures suplementàries — xifrat en trànsit i en repòs, pseudonimització, compromisos contractuals de transparència i un pla de resposta documentat per a les sol·licituds d'accés del govern dels EUA.

Manteniu un registre que llisti cada proveïdor dels EUA de la vostra pila, la base legal utilitzada per a cadascun (DPF, SCCs, derogació) i la data de la revisió més recent. Els reguladors i els auditors demanaran aquest registre; no tenir-lo és en si mateix una troballa.

El Risc Schrems III i Com Futur-Provar-se

L'activista de la privadesa Max Schrems i la seva organització NOYB van presentar una acció contra el DPF poc després de la seva adopció, argumentant que la reforma de la vigilància dels EUA en virtut de l'Ordre Executiva EO 14086 encara no compleix els estàndards de drets fonamentals de la UE. S'espera àmpliament una remissió al CJEU, i el marc té una probabilitat no trivial de ser invalidat — el tercer en vint anys.

Els editors que van tractar el Privacy Shield com l'únic mecanisme de transferència el 2020 van haver de reorganitzar-se d'un dia per l'altre quan el Schrems II el va invalidar. La mateixa reorganització és evitable aquesta vegada tractant el DPF com un mecanisme principal amb una còpia de seguretat preparada per activar.

Manteniu les SCCs a Cada DPA

Insistiu que els vostres DPAs incloguin les SCCs del 2021 com a clàusula de reserva que s'activa automàticament si la decisió d'adequació del DPF és invalidada o la certificació del proveïdor caduca. Ara és un llenguatge estàndard; si un proveïdor es nega, és una senyalera groga.

Feu una TIA de Totes Maneres

El DPF elimina el requisit legal d'una TIA, però fer-ne una de lleugerana — especialment per a proveïdors que gestionen senyals publicitàries sensibles o grans poblacions de la UE — us dóna documentació defensable si el marc s'esfondra. Reutilitzeu la mateixa plantilla entre proveïdors per mantenir el cost baix.

Localitzeu on els Números Surten

Per a alguns casos d'ús — analítica de primera part, dades de comportament d'usuaris connectats o llocs de contingut sensible — passar a un proveïdor allotjat i controlat a la UE elimina completament la qüestió de la transferència. L'anàlisi cost-benefici només surt per a fluxos d'alt risc o alt volum, però hauria de figurar al full de ruta com a opció.

Integrant el DPF a la Vostra CMP

Una CMP moderna no aplica el DPF directament — no hi ha cap camp GPP o TCF que digui "aquesta transferència és coberta pel DPF". El que ha de fer la CMP és recollir el consentiment per a cada proveïdor d'una manera que doni suport a la documentació que un regulador acabarà demanant.

Granularitat per Proveïdor

Agrupar tots els proveïdors d'ad-tech dels EUA en un únic botó "Màrqueting" ja no és defensable. La llista de proveïdors TCF v2.3, amb la qual sincronitzen la majoria de CMPs certificades, proporciona propòsits i bases legals per proveïdor. Feu-la servir. Quan un regulador pregunti "amb quina base van fluir les dades personals al Proveïdor X a la data Y", hauríeu de poder apuntar a una cadena TCF, un registre de certificació DPF i un DPA.

Reflectiu l'Avís de Privadesa al Bàner

La llista de destinataris del vostre avís de privadesa hauria de coincidir exactament amb la llista de proveïdors carregats després del consentiment. Les discrepàncies són l'objectiu d'aplicació més fàcil — l'AEPD espanyola i la CNIL francesa han multat editors el 2024 per llistes de proveïdors que ometien socis actius.

Registreu l'Estat del Proveïdor en el Moment del Consentiment

Emmagatzemeu, per a cada event de consentiment, l'instantània de quins proveïdors estaven a la TCF GVL, quins estaven certificats per DPF i quina base legal usava cadascun. Aquesta és la pista d'auditoria que converteix una carta d'un regulador estressant en una resposta rutinària. FlexyConsent i les altres CMPs certificades per Google ofereixen aquest registre de sèrie; molts bàners antics no ho fan.

Llista de Verificació de Migració Pràctica

Si esteu migrant un lloc existent d'una configuració pre-DPF o DPF parcial a una configuració neta del 2026, treballeu a través d'aquesta llista:

• Feu inventari de cada proveïdor dels EUA al vostre gestor d'etiquetes, pila publicitària i contenidor del costat del servidor.
• Feu una referència creuada de cadascun amb la llista activa del DPF. Categoritzeu com cobert per DPF, cobert per SCC o acció necessària.
• Actualitzeu els DPAs per incloure les SCCs del 2021 com a còpia de seguretat automàtica.
• Executeu una TIA per als proveïdors d'alt risc independentment de l'estat DPF.
• Confirmeu que la vostra CMP exposa una interfície d'usuari de consentiment per proveïdor i admet TCF v2.3.
• Verifiqueu que Google Consent Mode v2 estigui connectat a GA4, Ads i qualsevol eina de pèrdua de senyals.
• Establiu una revisió trimestral al calendari per tornar a comprovar certificacions, membres del GVL i versions del DPA.
• Informeu junts al departament legal i a les operacions publicitàries sobre el que canvia si el DPF és invalidat, de manera que el pla de resposta no s'inventi sota pressió.

Conceptes Erronis Comuns

Alguns errors es repeteixen en les auditories d'editors i necessiten correcció explícita.

"Certificat per DPF significa que no necessitem consentiment." No. El DPF és un mecanisme de transferència. El consentiment és un requisit de recollida. Estan en capes legals diferents.

"El nostre CDN té seu als EUA, de manera que el DPF el cobreix." Només si el CDN en si mateix està certificat per DPF per a les categories de dades rellevants. Molts proveïdors d'infraestructura ofereixen regions de la UE que eviten completament la qüestió.

"El proveïdor X diu que és compatible amb DPF." Llenguatge de màrqueting. Comproveu la llista oficial, el nom de l'entitat certificada i les categories de dades.

"El DPF substitueix el bàner de galetes." No. La regla de consentiment previ de la Directiva ePrivacy és independent de les regles de transferència del GDPR. Tots dos s'apliquen.

La Conclusió

El DPF fa que l'ad-tech transatlàntica de 2026 sigui operativament més senzilla del que era el 2021, però no allibera els editors del consentiment de galetes, la diligència deguda amb proveïdors ni la documentació de transferència. Tracteu el DPF com un mecanisme de transferència vàlid entre diversos, manteniu les SCCs com a còpia de seguretat contractual, executeu una CMP que registri el consentiment per proveïdor respecte a un inventari de proveïdors mantingut, i assumiu que l'estabilitat legal del marc és condicional. Els editors que construeixin ara aquesta resiliència no hauran de reestructurar-se d'un dia per l'altre si una sentència Schrems III aterra de la mateixa manera que les dues anteriors. Els que tractin el DPF com una resposta permanent s'estan preparant per al mateix caos que va seguir la invalidació del Privacy Shield — només que aquest cop els reguladors són menys pacients i les multes, més grans.