Il Transparency & Consent Framework di IAB Europe viola il GDPR
BlogData protectionPrivacy e GDPR

Il Transparency & Consent Framework di IAB Europe viola il GDPR

La Data Protection Authority belga, con decisione n. 21 del 2 febbraio 2022, ha stabilito che la versione 2.0 del Transparency & Consent Framework (TCF) di IAB Europe non è conforme al Regolamento (UE) 2016/679. Si tratta di una pronuncia dalla portata dirompente, in special modo se si considera che migliaia di operatori nel campo della pubblicità digitale fondano la propria attività sugli standard fissati dal TCF.

Secondo la Data Protection Authority belga (DPA), il TCF predisposto da IAB (Interactive Advertising Bureau) Europe, con il supporto di IAB Tech Lab, per la raccolta e la condivisione del consenso degli utenti all’erogazione di contenuti e annunci pubblicitari online, viola le disposizioni di cui agli artt. 5, comma 1 (lett. a ed f), 6, 12, 13, 14, 25, 32, 37-39, del Regolamento (UE) 2016/679 (di seguito GDPR) e, per tale ragione, ha comminato nei confronti di IAB Europe una sanzione di 250.000 euro.

La decisione, peraltro, è solo formalmente emessa dal Garante belga, il quale ha operato in qualità di Lead Authority che guida e decide nei casi che coinvolgono contemporaneamente più territori dell’Unione (c.d. “one-stop-shop” previsto dall’art. 60 del GDPR), cooperando con le Autorità di tutti gli Stati membri dell’UE.

1. Il TCF e la pubblicità digitale
Il TCF di IAB Europe, diffuso nel 2018 e aggiornato nel 2020, è un framework che si pone l’obiettivo di rendere conformi alla disciplina in materia di protezione dei dati personali, in particolare al GDPR, le modalità con cui gli editori, i fornitori di adtech e le agenzie possono gestire e fornire annunci pubblicitari.

Il TCF, tra l’altro, consente di accedere ad una Consent Management Platform (CMP), vale a dire una piattaforma in cui gli editori di siti web possono comunicare ai visitatori/utenti quali dati vengono raccolti e con quali aziende collaborano per la loro elaborazione. Le CMP, in particolare, assicurano, da un lato, l’implementazione tecnica di un banner attraverso il quale gli interessati possono indicare le loro scelte in merito al trattamento dei loro dati personali. Dall’altro, consentono la condivisione tra gli aderenti al framework delle preferenze stesse dell’utente registrate in un file, la “TC string”, che le memorizza sotto forma di cookie euconsent-v2, al fine di contribuire al Real Time Bidding (o asta in tempo reale), denominato anche “OpenRTB”1.

2. Violazioni del GDPR
Nonostante lo scopo prefissato da IAB Europe con la predisposizione del TCF, ovvero garantire la conformità al GDPR delle modalità di gestione e fornitura degli annunci pubblicitari, la DPA ha riscontrato alcune violazioni della normativa, che possono essere sintetizzate come segue.

  • Mancata qualificazione di IAB Europe come titolare del trattamento

La DPA ha constatato che IAB, non qualificandosi come titolare del trattamento, non ha adempiuto ai principali obblighi e alle responsabilità che il GDPR attribuisce ai titolari del trattamento.

Tuttavia, dalla ricostruzione effettuata dal Garante è emerso che IAB Europe, nella propria attività, stabilisce i mezzi di elaborazione della TC string e del cookie euconsent-v2, sia per il servizio specifico che per i consensi di portata globale, e, pur limitandosi a raccomandare alle CMP di utilizzare un cookie di prima parte, senza imporre un meccanismo specifico per memorizzare il consenso degli utenti nel browser, può fornire un elenco di possibili meccanismi per collegare la TC String a un singolo utente.

Per tali ragioni e tenuto conto della definizione di cui all’art. 4 (n. 7), quindi, il Garante ha qualificato IAB Europe come titolare del trattamento dei dati personali, mentre i soggetti partecipanti al mercato della pubblicità digitale – secondo la DPA – devono essere inquadrati come contitolari del trattamento ai sensi dell’art. 26 del GDPR.

  • 2.2 Liceità e correttezza del trattamento
    La prima conseguenza della mancata qualificazione come titolare è che IAB Europe non ha identificato una base legale per l’elaborazione della stringa TC. Inoltre, le basi legali fornite dal TCF per l’ulteriore elaborazione da parte dei fornitori di adtech sono inadeguate.

Il Garante, infatti, ha evidenziato la mancanza di un consenso inequivocabile espresso da parte dagli utenti al trattamento e l’impossibilità di ipotizzare, in extremis, l’interesse legittimo (art. 6, par. 1, lett. f, GDPR) come base del trattamento, poiché l’interesse legittimo di IAB Europe non può essere ritenuto prevalente rispetto ai diritti e alle libertà degli interessati.

  • 2.3. Mancanza di trasparenza
    L’Autorità ha rilevato, inoltre, la violazione degli obblighi derivanti dal principio di trasparenza disciplinato dal GDPR (artt. 12, 13, 14), poiché le modalità con cui le informazioni sono fornite agli interessati, stabilite da IAB Europe, non sono conformi ai requisiti di trasparenza, comprensibilità e accessibilità. In linea generale, infatti, gli interessati devono sempre essere in grado di determinare in anticipo la portata e le conseguenze del trattamento e non dovrebbero essere messi a conoscenza a posteriori di trattamenti non previsti concernenti i propri dati personali.

  • 2.4. Violazioni concernenti il principio di accountability, le misure di sicurezza e i principi di privacy by default/by design
    Inoltre, IAB Europe non ha provveduto a:

  • adottare misure organizzative e tecniche conformi al principio della protezione dei dati sin dalla progettazione e per impostazione predefinita, per garantire, tra l’altro, l’esercizio effettivo dei diritti degli interessati e la validità e integrità della verifica delle scelte dell’utente;

  • aggiornare gli attuali registri delle attività di trattamento includendo il trattamento dei dati personali nel TCF da parte di IAB Europe, in conformità con l’articolo 30 del GDPR;

  • effettuare una valutazione d’impatto ai sensi dell’art. 35 del GDPR;

  • nominare un Data Protection Officer (DPO), nel rispetto gli artt. 37-39 GDPR.

3. Decisione
Il Garante belga, oltre a sanzionare IAB Europe, ha ordinato alla società di allineare il trattamento dei dati personali nel contesto del TCF alle disposizioni del GDPR, adottando le seguenti misure:

● individuare una valida base giuridica per il trattamento e la diffusione delle preferenze dell’utente ai sensi del TCF, nonché vietare l’uso del legittimo interesse come base per il trattamento dei dati personali da parte delle organizzazioni partecipanti al TCF;

● assicurare efficaci misure di monitoraggio tecnico e organizzativo al fine di garantire l’integrità e la riservatezza della TC String;

● verificare a fondo i soggetti partecipanti al TCF per assicurarsi che soddisfino i requisiti del GDPR;

● adottare misure tecniche e organizzative per impedire che il consenso al trattamento sia espresso per impostazione predefinita nelle interfacce CMP e per impedire l’autorizzazione automatica alla comunicazione dei dati degli utenti ai venditori partecipanti, sulla scorta del presunto interesse legittimo per le loro attività di trattamento;

● far sì che le CMP adottino un approccio uniforme e conforme al GDPR per le informazioni da trasmettere agli utenti;

● aggiornare gli attuali registri delle attività di trattamento, includendo il trattamento dei dati personali nel TCF da parte di IAB Europe;

● effettuare una valutazione d’impatto sulla protezione dei dati ai sensi dell’art. 35 GDPR (DPIA) in relazione alle attività di trattamento svolte nell’ambito del TCF;

● nominare un responsabile della protezione dei dati (DPO).

Tali misure di conformità dovranno essere implementate entro sei mesi dalla convalida di un piano d’azione da parte del Garante belga e, in caso di mancato rispetto del suddetto termine, è prevista un’ulteriore sanzione di 5.000 euro per ogni giorno di ritardo.

A seguito di tale decisione, da un lato, IAB Europe sarà chiamata ad intervenire sensibilmente su molte delle sue prassi; dall’altro, gli aderenti al framework di IAB saranno tenuti ad intraprendere alcune azioni per conformarsi al GDPR, come, ad esempio:

  • procedere alla sottoscrizione di un apposito accordo di contitolarità volto a regolamentare l’assetto dei rapporti privacy tra le parti, anche al fine di determinare le rispettive responsabilità (art. 26 GDPR);

  • analizzare i rischi e valutare l’impatto sulla protezione dei dati personali in relazione al trattamento dei dati personali nell’ambito del TCF;

  • aggiornare le informative alla luce delle valutazioni del Garante belga.

Nei prossimi mesi dovranno essere attentamente valutati gli effetti della decisione, in particolar modo sotto il profilo commerciale. Infatti, le società che fino ad ora hanno fatto affidamento su un sistema di marketing fondato sugli standard fissati dal TCF saranno costrette a rivedere le proprie strategie promozionali.

Alessandro Perotti

1 L’OpenRTB (o RTB), in linea generale, è una modalità di compravendita all’asta di spazi pubblicitari online, che prende avvio nel momento in cui un utente carica nel browser una pagina che contiene uno spazio pubblicitario. A quel punto, le informazioni riguardanti la pagina e l’utente vengono trasmesse ad un software per lo scambio di annunci, che le mette all’asta e le vende all’inserzionista disposto a pagare il prezzo più alto. Gli inserzionisti (advertisers), che in genere utilizzano le Demand Slide Platform (DSP) per decidere quali impressions acquistare e quando, da un lato, e gli editori (publishers), che utilizzano le Sell Side Platform (SSP) per cercare di ottimizzare la vendita degli spazi pubblicitari a loro disposizione, dall’altro, si incontrano negli Ad Exchange, veri e propri “mercati di impressions” nel quale l’asta si conclude nel giro di pochi istanti con il caricamento dell’annuncio vincente nella pagina web.

Author Alessandro Perotti

More posts by Alessandro Perotti