Iubenda logo
Inizia la generazione

Documentazione

Indice dei contenuti

FAQ sulla decisione dell’APD del Belgio su IAB

In queste FAQ

Riguardo la decisione

  • Principali conclusioni della decisione
  • Provvedimenti imposti dalla decisione

Il TCF è diventato illegale?

  • Rischi di non conformità
  • Interesse legittimo

Cosa devo fare?

  • Raccomandazioni per i nostri clienti
  • Cosa aspettarsi?

Riguardo la decisione

Il 2 febbraio 2022, l’autorità per la protezione dei dati del Belgio (APD) ha emanato una decisione riguardo IAB Europe e il Transparency and Consent Framework (TCF)

Per prima cosa, facciamo un breve ripasso: chi è IAB e cos’è il TCF?

  • IAB Europe è un’associazione europea per l’ecosistema del marketing digitale e la pubblicità. Il suo obiettivo è quello di guidare la rappresentanza politica e incoraggiare la collaborazione tra membri del settore per stabilire framework, standard e ulteriori programmi, finalizzati al prosperare delle imprese nel mercato europeo.
  • Il TCF è uno standard open source e volontario, lanciato nell’aprile del 2018 da IAB Europe per assistere le aziende nel campo della pubblicità digitale nei loro tentativi di adeguamento con le normative sulla privacy e protezione dei dati europee. In altre parole, il TCF standardizza il processo di ottenimento del consenso degli utenti soggetti al GDPR e permette di segnalare in modo omogeneo le preferenze degli utenti stessi lungo tutta la filiera di erogazione dei servizi pubblicitari. (Puoi leggere le informative del framework qui).

L’APD considera alcune funzionalità de TCF non conformi al GDPR e ha deciso che:

1) la stringa TC costituisce dato personale

Le stringhe TC sono i segnali digitali creati dalle piattaforme per la gestione dei consensi (CMP). Questi segnali permettono agli editori (coloro che monetizzano i contenuti sul loro sito/app) di acquisire le scelte degli interessati riguardo il trattamento dei loro dati personali per la pubblicità digitale, i contenuti e la misurazione. I fornitori pubblicitari possono ricevere questi segnali direttamente dalle CMP o da altri aderenti al TCF per verificare di aver ottenuto il consenso o l’interesse legittimo per un particolare scopo.

2) IAB Europe è uno dei titolari del trattamento per la stringa TC e quindi
3) IAB non ha stabilito una base legale per il trattamento della stringa TC

Come conseguenza, sono stati presi alcuni provvedimenti.

Riguardo al TCF

  • Proibire l’uso dell’interesse legittimo come base legale del trattamento.
  • Richiedere che le CMP abbiano un approccio ancora più in linea con il GDPR riguardo la divulgazione delle informazioni agli utenti.
  • Garantire “la conformità del TCF con gli obblighi d’integrità e sicurezza“.
Riguardo IAB
  • Una multa di 250.000 euro
  • Stabilire una base legale per il trattamento della stringa TC
  • Eliminare tutti i dati personali raccolti in quanto titolare della stringa TC e acquisiti nel contesto dell’ambito globale

    Cos’è l’ambito globale?

    La policy del TCF permetteva di applicare le basi legali del Framework con un “ambito globale”. Questo voleva dire che una base legale, come ad esempio il consenso, si poteva applicare non solo al sito web dove il consenso era stato ottenuto, ma a tutti i siti web che avevano abilitato le preferenze dell’ambito globale. Anche se il consenso, come in questo esempio, non era stato ottenuto direttamente su questi siti web.

    L’ambito globale era già stato reso obsoleto il 22 giugno 2021, sia per l’uso marginale che ne facevano gli editori, sia per le indicazioni di diverse autorità per la protezione dei dati. Secondo quest’ultime, gli utenti devono essere chiaramente informati delle proprietà digitali a cui si applicano le loro scelte, per esempio fornendo loro una lista dei domini.

  • IAB deve tenere un registro delle attività di trattamento, effettuare una valutazione d’impatto sulla protezione dei dati e nominare un responsabile della protezione dei dati.

L’APD del Belgio ha dichiarato il TCF illegale?

No. La decisione dell’APD non ha proibito il TCF, né suggerisce che l’ecosistema della pubblicità digitale non debba utilizzare il consenso per adeguarsi ai requisiti delle normative europee per la protezione dei dati.

L’APD ha richiesto che IAB Europe metta in atto delle misure correttive, incluse delle funzionalitàa aggiuntive per l’adeguamento.

Sono esposto a un rischio di non conformità maggiore se utilizzo il TCF?

In linea di principio no, considerando che:

  • La decisione non ha concluso che l’utilizzo delle stringhe TC o, più in generale, il TCF sia illegale;
  • La decisione non ha concluso che i fornitori, gli editori o le CMP aderenti al TCF che raccolgono dati personali stiano automaticamente infrangendo il GDPR. In altre parole, qualsiasi scoperta d’infrazione da parte di un editore, fornitore o CMP dovrà scaturire da un’indagine apposita, che prenda in considerazione tutte le specificità del caso;
  • La decisione è amministrativa ed è impugnabile.

Non sarà più possibile affidarsi all’interesse legittimo?

Sebbene non sia ancora chiaro, IAB ritiene che il divieto dell’APD riguardo l’interesse legittimo si applichi solo agli annunci personalizzati e la profilazione, e quindi non sia un divieto generale per tutte le finalità supportate dal TCF che utilizzano l’interesse legittimo.

Tieni presente che altre autorità per la protezione dei dati, come il Garante italiano, hanno già escluso l’interesse legittimo come una base legale valida (puoi leggere di più riguardo l’argomento qui).

Cosa devo fare mentre aspetto una decisione definitiva?

Al momento sembra che non ci sia molto da fare, se non aspettare la conclusione del processo d’appello ed eventuali ulteriori requisiti per il TCF.

Nota

Siccome si tratta di una questione legale ancora in corso, ogni azienda dovrà decidere da sola come procedere.

Queste FAQ non possono essere considerate una consulenza legale, ma sono semplicemente un riepilogo della decisione. Quindi, se pensi di essere esposto a rischi, prendi in considerazione di richiedere la consulenza di un legale.

Tuttavia, sulla base della decisione, le aziende che utilizzano il TCF devono prepararsi a modifiche (miglioramenti) sostanziali. Inoltre, si potrebbe considerare la creazione di piani e strategie di mitigazione, nel caso in cui insorgessero problemi.

Raccomandazioni per i nostri clienti

Mentre aspettiamo la decisione definitiva, raccomandiamo ai clienti iubenda quanto segue.

Come farlo con la Cookie Solution di iubenda

1) Nella sezione IAB TCF del configuratore della Cookie Solution, clicca su “Modifica”

2) In seguito, seleziona l’opzione “Limita finalità”
3) Infine seleziona “Solo consenso” per le finalità attive.

È raccomandabile mostrare solo i fornitori TCF con i quali lavori, piuttosto che la lista completa dei fornitori TCF. Ai fornitori sarà presto richiesto di fornire informazioni aggiuntive all’interno dell’Elenco dei fornitori globali (Global Vendor List, GVL). In questo modo sarà più facile per gli editori decidere con chi lavorare.

Come farlo con la Cookie Solution di iubenda

1) Nella sezione IAB TCF del configuratore della Cookie Solution, clicca su “Modifica”
2) Seleziona “Autorizza solo i vendor elencati nella tua privacy e cookie policy”

Come farlo con la Cookie Solution di iubenda

  • Ce ne stiamo occupando noi. Stiamo aggiungendo tutte le informazioni necessarie nel pannello delle preferenze per il TCF.

Come farlo con la Cookie Solution di iubenda

1) All’interno del configuratore della Cookie Solution, seleziona la sezione per l’adeguamento al GDPR e clicca su “Modifica”

2) Clicca su Configurazione manuale
3) Poi seleziona “Menziona esplicitamente il diritto di revocare il consenso”
4) Alla voce “Stile e testo” all’interno del configuratore della Cookie Solution puoi aggiungere o modificare il widget privacy. Il widget privacy permetterà ai tuoi utenti di accedere e modificare le loro preferenze privacy in modo semplice, attraverso un pulsante presente su ogni pagina del tuo sito oppure attraverso un link a tua scelta. Ti forniremo anche un ulteriore testo personalizzabile, che puoi aggiungere al testo del tuo cookie banner per menzionare le conseguenze della revoca del consenso.

Una volta fatto tutto questo, potresti prendere in considerazione di raccogliere nuovamente il consenso dei tuoi utenti.

Cosa aspettarsi?

Riguardo le tempistiche e la procedura, l’APD si aspetta che IAB Europe presenti un piano d’azione nel giro di due mesi dalla pubblicazione della decisione. Una volta convalidato il piano d’azione da parte dell’autorità belga, le misure di adeguamento dovranno essere completate nell’arco di un periodo massimo di sei mesi.

IAB guarda al piano d’azione e al dialogo con l’APD come a un’opportunità. È possibile che la messa in atto delle raccomandazioni dell’APD risulti in una nuova versione del TCF, più in linea con le aspettative dell’APD, e che la qualifichi come potenziale candidato di un Codice di Condotta, con l’APD nel ruolo di principale autorità di controllo.

IAB Europe ha annunciato che ricorrerà in appello davanti al Tribunale del Commercio del Belgio.