Iubenda logo
Inizia la generazione

Documentazione

Indice dei contenuti

La guida completa alla piattaforma di gestione del consenso (CMP) di iubenda e al TCF 2.2 di IAB

Con l’introduzione del TCF 2.2 di IAB, il panorama della gestione dei consensi sta andando incontro a sviluppi significativi. Leggi come il GDPR, la Cookie Law e le leggi degli Stati Uniti hanno reso le piattaforme di gestione del consenso (CMP) necessarie per le aziende che operano nell’UE e negli Stati Uniti, compresi i publisher. Questa guida spiega cos’è una piattaforma di gestione del consenso, perché i publisher ne hanno bisogno e come abilitare lo standard di settore Transparency and Consent (TCF v. 2.2) nella nostra Privacy Controls and Cookie Solution.

In breve

  • Se utilizzi cookie o altri strumenti di tracciamento per finalità quali pubblicità comportamentale, statistiche, remarketing e personalizzazione dei contenuti (e/o se nel tuo caso si applicano le leggi degli Stati Uniti), con ogni probabilità ti servirà una piattaforma di gestione del consenso come la nostra Privacy Controls and Cookie Solution.
  • Le principali reti pubblicitarie richiedono ai publisher di ottenere il consenso a norma di GDPR prima di mostrare annunci personalizzati 
  • Se mostri annunci di terze parti sul tuo sito/sulla tua app, puoi adeguarti a questo requisito abilitando in pochi clic il Transparency and Consent Framework (TCF) di IAB nella nostra Privacy Controls and Cookie Solution.

Che cos’è una piattaforma di gestione del consenso (Consent Management Platform, CMP)?

CMP è una sigla inglese che sta per “Consent Management Platform” (piattaforma di gestione del consenso) o, meno spesso, per “Consent Management Provider” (fornitore di servizi per la gestione del consenso). Le CMP sono inoltre responsabili della trasmissione del consenso dell’utente secondo il Transparency and Consent Framework (TCF) e devono perciò essere registrate e rispettare gli standard e le policy del TCF.

In altre parole, una CMP ti aiuta a offrire trasparenza agli utenti riguardo l’accesso e la conservazione delle loro informazioni personali (tramite cookie e altri strumenti di tracciamento) nel rispetto delle principali leggi sulla protezione dei dati come ilGDPR, la direttiva ePrivacy, le leggi sulla privacy degli Stati Uniti e altre norme ancora.

Più precisamente, le CMP aiutano a raccogliere, conservare e utilizzare le preferenze degli utenti per raccogliere e trattare le loro informazioni personali per finalità specifiche (ad es. statistiche, pubblicità e strategie di retargeting).

Devo avere una piattaforma di gestione del consenso (CMP)?

Risposta breve: sì, con ogni probabilità devi averla. 

A) Nel tuo caso si applica il GDPR/ la direttiva ePrivacy o lo UK GDPR/PECR  (se hai dei dubbi al riguardo, rispondi al nostro quiz da 1 minuto) e il tuo sito/la tua app (o qualsiasi servizio di terze parti utilizzato dal tuo sito/dalla tua app) utilizza cookie o altri strumenti di tracciamento per trattare le informazioni personali.

Perché?

Perché secondo la direttiva ePrivacy (così come il PECR, la versione recepita nel Regno Unito), devi informare in modo chiaro e visibile gli utenti dell’utilizzo di qualsiasi cookie (o strumento di tracciamento) da parte del tuo sito/della tua app e raccogliere il consenso attivo prima di eseguire script relativi ai cookie/strumenti di tracciamento non esclusi

Prendiamo ad esempio i publisher che operano in Europa. I cookie e gli strumenti di tracciamento sono il loro pane quotidiano perché li aiutano a monetizzare il loro sito/la loro app tramite inserzionisti terzi. L’utilizzo degli strumenti di tracciamento per finalità quali pubblicità comportamentale, remarketing e personalizzazione dei contenuti richiede l’ottenimento del consenso informato degli utenti prima di installare questi strumenti di tracciamento. 

Cos’è un publisher?

In genere, un publisher è qualsiasi operatore di sito/app che monetizza i propri contenuti tramite inserzionisti terzi. Un esempio di publisher sono i blog e i giornali online che mostrano annunci sul proprio sito/sulla propria app.

B) Oltre alle normative dell’UE, esistono altri motivi convincenti per prendere in considerazione l’implementazione di una piattaforma di gestione del consenso (CMP), soprattutto in relazione ai requisiti specifici delle leggi degli Stati Uniti.

Negli Stati Uniti, alcune leggi statali, come il California Consumer Privacy Act (CCPA) modificato dal California Privacy Rights Act (CPRA), introducono precise linee guida per il formato e la dicitura del link che porta alle opzioni relative alla privacy, ora chiamate “Le tue preferenze relative alla privacy“.

Per quanto riguarda il consenso dell’utente, va notato che, sebbene gli Stati Uniti non abbiano lo stesso elevato livello di requisiti dell’Europa, dove il consenso opt-in è la norma, un certo numero di Stati USA prevede comunque un sistema basato sull’opt-out. Ciononostante, l’implementazione di una piattaforma di gestione del consenso (CMP) rimane una scelta estremamente utile per fornire agli utenti la possibilità di opt-out e facilitare le aziende nel riottenere i consensi. Ciò è particolarmente importante se si considerano iniziative come il Global Privacy Controls (GPC), che consente agli utenti di eseguire l’opt-out automaticamente attraverso i propri browser.

In generale, vista la rapida diffusione delle leggi sulla privacy in tutto il mondo, è difficile immaginare un sito o un’app che non abbia bisogno di una piattaforma di gestione del consenso. Una piattaforma di questo tipo semplifica il processo di compliance, rendendolo più gestibile ed efficiente, consentendo alle aziende di restare al passo rispetto al mutevole panorama della privacy.

💡 In qualità di CMP certificata, abbiamo integrato il lo standard europeo di settore TCF di IAB e il Compliance Framework delle leggi degli Stati Uniti nella nostra Privacy Controls and Cookie Solution per aiutare i publisher a rispettare sia i requisiti di legge che gli standard di settore, massimizzando al contempo gli introiti pubblicitari.

Che cos’è il Transparency and Consent Framework (TCF) a norma GDPR di IAB?

Il Transparency and Consent Framework di IAB (TCF) di IAB è un’iniziativa di pubblicità digitale che aiuta publisher, vendor di tecnologie, agenzie e inserzionisti a soddisfare i requisiti di trasparenza, consenso e scelta previsti dal GDPR e dalla direttiva ePrivacy durante il trattamento dei dati personali o l’accesso e/o la conservazione di informazioni sui dispositivi degli utenti (come cookie, identificatori pubblicitari, identificatori del dispositivo e altre tecnologie di tracciamento).

Il TCF di IAB prevede un processo standard per ottenere il consenso dell’utente a norma di GDPR e per segnalare le preferenze relative al consenso lungo tutta la filiera pubblicitaria (puoi leggere le policy del Framework qui)

Il TCF e la Brexit/la legge del Regno Unito

Attualmente, i requisiti del Regolamento generale del Regno Unito sulla protezione dei dati (UK GDPR) e dei Regolamenti del Regno Unito sulla privacy e sulle comunicazioni elettroniche sono identici a quelli previsti dalle norme equivalenti dell’UE (GDPR e direttiva ePrivacy). Di conseguenza, il Framework di TCF aiuta altresì le aziende a soddisfare i requisiti attuali di entrambi i regolamenti del Regno Unito.

Il TCF prevede un sistema (un’API JavaScript standard) che consente ai diversi attori dell’ecosistema pubblicitario di parlare la stessa lingua e comunicare tra loro le preferenze dell’utente. Gli attori principali di questo sistema sono publisher, vendor (inserzionisti terzi che raccolgono i dati degli utenti finali dal sito/dall’app del publisher attraverso l’uso di cookie o altri strumenti di tracciamento, in relazione alla visualizzazione di contenuti agli utenti finali del publisher) e CMP come iubenda.

I publisher, i vendor e le CMP che decidono di partecipare al TCF di IAB sono tutti tenuti ad attenersi al protocollo e alle policy standard del Framework. I vendor sono inoltre tenuti a iscriversi alla Global Vendor List (GVL), un elenco dinamico e centralizzato di vendor con le relative finalità, la durata massima di conservazione e di accesso e le URL alle privacy policy. All’interno del TCF e della relativa GVL, anche le finalità del trattamento dei dati sono standardizzate e ciascuna finalità e ciascun vendor hanno un ID univoco. Questo ID vendor univoco consente ai vendor di recuperare e interpretare le preferenze relative al consenso dell’utente relativamente ai propri servizi e a quelli degli altri vendor. 

Le scelte dell’utente e i segnali del vendor raccolti tramite l’UI della CMP sono rappresentati da valori binari, compressi in una struttura dati quanto più piccola possibile (Base64) e trasmessi in tutto l’ecosistema pubblicitario online tramite una Daisy Chain.

Gli script dei vendor che fanno parte della GVL vengono automaticamente bloccati prima di ricevere le scelte dell’utente. Ciascun vendor può verificare il proprio stato effettuando prima un ping alla CMP e aspettando poi una callback per l’ID trasmesso, che farà loro sapere se possono trattare i dati personali.

Perché i publisher dovrebbero abilitare il Transparency and Consent Framework

Inizialmente lanciato nella versione 2.0, il TCF di IAB si è rapidamente evoluto affermandosi inequivocabilmente come lo standard di settore, con la collaborazione di importanti vendor come Google, Adobe, AdRoll e molti altri, contribuendo alla sua implementazione. L’iterazione più recente, il TCF 2.2, introduce miglioramenti considerevoli, pensati con cura per allinearsi in modo più efficace agli obblighi di legge e per soddisfare meglio le esigenze degli utenti.

L’abilitazione del TCF 2.2 offre numerosi vantaggi a publisher e utenti, massimizzando gli introiti pubblicitari e consentendo ai publisher di raccogliere e trasmettere agevolmente le preferenze dell’utente ai vendor terzi di annunci con cui collaborano, esercitando al contempo un controllo più rigoroso sul modo in cui trattano i dati degli utenti.

Vantaggi del TCF 2.2 per i publisher

  • Proteggi i tuoi introiti pubblicitari
    • Le reti pubblicitarie potrebbero limitare l’accesso alla propria rete o mostrare solo annunci non personalizzati quando il consenso a norma di TCF 2.2 non viene trasmesso ai vendor. Ciò significa che i tuoi introiti pubblicitari potrebbero calare se non utilizzi il Framework. In particolare, i publisher in Europa e nel Regno Unito che utilizzano i prodotti per publisher di Google dovrebbero prendere in considerazione il TCF di IAB perché la mancata conformità al TCF v2.2 potrebbe causare una riduzione degli introiti pubblicitari.
    • L’implementazione del TCF 2.2 può aumentare gli introiti pubblicitari perché offre ai publisher più controllo e flessibilità nello stabilire le base giuridica per la collaborazione con i vendor. Questo approccio consente loro di mantenere la generazione di introiti pubblicitari assicurando al contempo un trattamento dei dati conforme alla privacy.
    • Il Framework consente inoltre alle organizzazioni di promuovere la fiducia tra gli utenti attraverso la trasparenza e la scelta, incentivando così l’engagement con gli annunci perché gli utenti hanno la sicurezza che la loro privacy venga rispettata.
  • Miglioramento delle opzioni e del controllo
    • Finalità: hai il pieno controllo su quali vendor terzi di annunci desideri che collaborino con te e che vengano comunicati ai tuoi utenti e per quali finalità consenti a questi vendor di trattare le informazioni personali.
    • La nuova finalità 11 (Uso di dati limitati per la selezione dei contenuti) è pensata per coprire attività di trattamento quali la selezione e la fornitura di contenuti non pubblicitari basati su dati in tempo reale (ad es. informazioni sul contenuto della pagina o dati di geolocalizzazione non precisi) e il controllo della frequenza o dell’ordine con cui i contenuti vengono presentati all’utente.
    • Base giuridica: I vendor, che in precedenza, secondo il TCF 2.0, avevano la possibilità di indicare sia il consenso, sia il legittimo interesse come base giuridica per le finalità da 2 a 10, ora, con il TCF 2.2, possono indicare solo il consenso come base giuridica per le finalità 3, 4, 5 e 6. Anche se la stretta sull’utilizzo dei dati e sulla raccolta dei consensi potrebbero incidere sulle capacità di targeting degli annunci e sui relativi introiti, l’aumento della fiducia e dell’engament degli utenti potrebbe controbilanciare gli effetti negativi, portando a una maggiore soddisfazione degli utenti.
    • I publisher ora devono selezionare attentamente i partner e assicurarsi che questi rispettino gli standard del TCF, rafforzando la loro posizione etica e consentendo lo sviluppo di partnership con soggetti che condividono l’impegno nei confronti della privacy dell’utente.
    • Il TCF 2.2 stabilisce una piattaforma standardizzata per publisher e vendor terzi, facilitando la compliance e consentendo il rispetto delle normative sulla protezione dei dati come il GDPR e la direttiva ePrivacy.

I publisher ora sono tenuti a comunicare, in modo ben visibile al primo livello dell’interfaccia utente della CMP, il numero totale di vendor terzi con cui collaborano. Anche se la policy del TCF non fissa un limite specifico al numero di vendor, i publisher sono fortemente invitati a collaborare solo con i vendor che meglio soddisfano le loro esigenze e obiettivi.

La presenza di un numero eccessivo di vendor potrebbe compromettere la capacità degli utenti di prendere decisioni consapevoli e aumentare i rischi legali sia per i publisher, sia per i vendor.

Per facilitare ai publisher la scelta dei vendor con i quali desiderano garantire trasparenza e consenso, è disponibile un elenco completo di informazioni sui vendor, noto come “B2B GVL“. Questa risorsa fornisce indicazioni utilissime per aiutare i publisher a individuare i vendor più adatti. Nello specifico, l’elenco GVL B2B fornisce informazioni che aiutano i publisher a evitare di chiedere il consenso dell’utente a vendor che operano in ambienti tecnici e in giurisdizioni non pertinenti. Inoltre, contribuisce a comprendere l’ambito delle attività dei singoli vendor del TCF e se sono coinvolti in trasferimenti di dati al di fuori dello SEE.

👉 Per semplificare ulteriormente questo processo, consigliamo vivamente di utilizzare il nostro Generatore di Privacy e Cookie Policy come 🎖️ metodo preferito per selezionare i vendor pertinenti e per permettere a Privacy Controls and Cookie Solution di aggiornarsi automaticamente di conseguenza. Se desideri più flessibilità, puoi anche aggiungere i vendor manualmente dal Configuratore di Privacy Controls and Cookie Solution.

Una base giuridica è il fondamento giuridico per il trattamento dei dati personali. Il GPDR prevede sei possibili basi giuridiche. Nel settore pubblicitario, due sono le basi giuridiche comunemente utilizzate:

  • il consenso dell’interessato; e
  • il legittimo interesse del titolare del trattamento.

Il TCF li supporta entrambi, ma nell’ultima versione del TCF 2.2 il legittimo interesse non costituisce più una base giuridica accettabile per le finalità 3, 4, 5 e 6. Di conseguenza, per queste finalità, i vendor ora possono indicare solo il consenso come base giuridica.

Inoltre, ricorda che alcune autorità nazionali per la protezione dei dati, come quelle di Italia e Belgio, hanno escluso l’utilizzo del legittimo interesse come base giuridica valida in generale in ambito pubblicitario: per questo, è importante limitarsi al “Solo consenso” se operi in questi Paesi (puoi scoprire di più sui requisiti specifici dei singoli Paesi nella nostra Tabella riassuntiva sul consenso sui cookie).

No, le nuove policy del TCF non impongono di ristabilire le basi giuridiche, perciò non richiedono alle CMP di far ricomparire l’interfaccia. Il TCF v2.2 prevede un’ulteriore standardizzazione delle informazioni e delle scelte minime da fornire agli utenti circa il trattamento dei loro dati personali. I publisher devono riesaminare le informazioni fornite nelle loro interfacce CMP in aggiunta alle informazioni standard minime richieste dal TCF v2.1 e stabilire caso per caso se sia necessario ristabilire le basi giuridiche tenendo conto delle loro esigenze specifiche, del contesto in cui operano e dei requisiti della loro autorità locale per la protezione dei dati.

Google e il TCF v2.2 di IAB

Google supporta pienamente il TCF v2.2 di IAB e rientra nella Global Vendor List di TCF. In base agli ultimi requisiti di Google, ora devi utilizzare una piattaforma di gestione del consenso certificata da Google se mostri annunci tramite i prodotti per publisher di Google (AdSense, Ad Manager o AdMob) nel Regno Unito o nello Spazio Economico Europeo. Questa piattaforma garantisce che gli utenti in Europa e nel Regno Unito prestino il consenso a vedere gli annunci.

💡 iubenda, in qualità di piattaforma di gestione del consenso (CMP) conforme al TCF di IAB e Partner CMP di Google, è allineata al TCF 2.2, offrendoti tutta l’assistenza e il supporto di cui hai bisogno. Di conseguenza, usando lo strumento di iubenda rispetterai gli standard di Google quando mostri annunci al pubblico in Europa e nel Regno Unito.

Con queste azioni, Google mira a chiarire e migliorare l’affidabilità delle richieste di consenso agli annunci e anche a garantire che la visualizzazione degli annunci rispetti i diritti alla privacy delle persone.

E per quanto riguarda i vendor pubblicitari che non fanno ancora parte del TCF?

Sebbene il Framework comprenda un elenco in costante aumento di vendor pubblicitari, alcuni inserzionisti non fanno ancora parte del TCF. È il caso di alcuni partner di Google. Per aggirare questo problema, Google ha definito una specifica tecnica denominata Modalità di Consenso aggiuntivo, destinata esclusivamente all’uso con il TCF 2.2 per offrire un ponte ai fornitori di tecnologia pubblicitaria di Google che non sono ancora iscritti alla Global Vendor List del TCF 2.2.

💡 La CMP di iubenda supporta pienamente i requisiti di integrazione TCF stabiliti da Google, inclusa la Modalità di Consenso aggiuntivo.

Vantaggi del TCF v2.2 per gli utenti finali

I miglioramenti apportati al TCF v2.2 mirano a offrire un livello più elevato di standardizzazione delle informazioni e delle scelte a disposizione degli utenti in merito al trattamento dei loro dati personali, oltre a chiarire come queste scelte debbano essere registrate, trasmesse e rispettate. Ecco i vantaggi per gli utenti finali:

  • Trattamento incentrato sul consenso: Il TCF v2.2 elimina la base giuridica del legittimo interesse per la pubblicità e per la personalizzazione dei contenuti per determinati finalità, assicurando che i vendor si basino esclusivamente sul consenso come base giuridiche accettabili per il trattamento dei dati dell’utente per le finalità 3, 4, 5 e 6.
  • Miglioramento delle informazioni fornite all’utente: Il Framework prevede descrizioni più semplici ed esempi di casi di utilizzo reale, anziché testi giuridici complessi. Questa modifica migliora la comprensione dell’utente delle finalità e delle funzionalità del trattamento dei dati, promuovendo scelte più consapevoli.
  • Informazioni standardizzate sui vendor: I vendor sono tenuti a divulgare informazioni più complete sulle loro attività di trattamento dati, tra cui:
    • Tipologie di dati raccolti
    • Periodi di conservazione dei dati per ciascuna finalità
    • Eventuali legittimi interessi coinvolti
    • Supporto multilingue per la dichiarazione delle URL
    • Questa informativa consente agli utenti di ricevere informazioni dettagliate sulle prassi dei vendor in materia di dati.
  • Conteggio trasparente dei vendor: I publisher devono comunicare il numero totale di vendor per i quali intendono stabilire una base giuridica nel livello primario delle loro interfacce utente, promuovendo la trasparenza e un processo decisionale consapevole per gli utenti.
  • Revoca del consenso più semplice: I publisher e le CMP sono tenuti a fornire opzioni semplici per permettere agli utenti di rivedere l’interfaccia sul consenso e revocare il proprio consenso senza sforzo. Inoltre, i vendor sono tenuti a recuperare la stringa Transparency & Consent in tempo reale quando necessario.

iubenda e il Transparency and Consent Framework di IAB (TCF 2.2) 

Tempistiche di implementazione

⚠️ Ricorda le seguenti scadenze per l’implementazione:

📌 6 novembre 2023:

  • Il valore predefinito di tcfVersion in Privacy Controls and Cookie Solution cambierà diventando 2.2. Gli utenti che preferiscono utilizzare la versione 2.1 dopo questa data dovranno selezionarla manualmente nel Configuratore di Privacy Controls and Cookie Solution oppure dichiarare il valore tcfVersion=“2” nella loro configurazione.

📌 20 novembre 2023 (fine del periodo di implementazione):

  • iubenda, in qualità di CMP certificata, ha implementato correttamente le nuove linee guida e specifiche entro la data indicata.
  • La compliance al TCF 2.2 sarà verificata rigorosamente da IAB Europe nell’ambito del suo monitoraggio costante delle installazioni live per garantire il rispetto di tutte le norme e le specifiche richieste del GDPR e dalla direttiva ePrivacy.
  • Dopo questa data, i segnali del TCF v. 2.1 non saranno più validi; gli utenti dovranno passare alla v. 2.2 per ottenere consensi validi.

💡 Il nostro gestore del consenso ai cookie per la direttiva ePrivacy, il GDPR e le leggi sulla privacy degli Stati Uniti ti consente di mostrare un cookie banner completamente personalizzabile, di raccogliere il consenso ai cookie e di implementare il blocco preventivo. 

Inoltre, essendo una piattaforma di gestione del consenso iscritta (con il numero identificativo 123), Privacy Controls and Cookie Solution di iubenda consente agli utenti di impostare le preferenze pubblicitarie ed è compatibile con il Transparency and Consent Framework a norma di GDPR di IAB. Questa funzionalità permette agli utenti di attivare e disattivare le preferenze pubblicitarie per gli inserzionisti presenti nel corposo elenco Global Vendor List di IAB.

1. Abilita il Transparency and Consent Framework di IAB

Con l’introduzione del TCF 2.2 di IAB, è stata aggiunta una serie di nuove funzionalità e impostazioni. iubenda ha integrato questi upgrade proprio per offrire una gestione del consenso ancora più sofisticata. Per assicurare la massima comodità e usabilità, si consiglia l’uso del nostro Generatore di Privacy e Cookie Policy <a href=”#preferred-method” (metodo preferito 🎖️). Per chi ha bisogno di più flessibilità, <a href=”#manual-insertion” Privacy Controls and Cookie Solution offre anche l’inserimento manuale dei vendor, consentendo agli utenti di adattare i servizi in base alle proprie particolari esigenze.

Per abilitare il TCF v. 2.2, vai nella dashboard e clicca sul sito/sull’app che vuoi aggiornare.

⚠️ La primissima azione che ti consigliamo di fare è selezionare i vendor che utilizzi tramite il nostro Generatore di Privacy e Cookie Policy.

Usa il nostro Generatore di Privacy e Cookie Policy (🎖️ metodo preferito)

  1. Nel Generatore di Privacy e Cookie Policy
    • Seleziona i vendor correlati al TCF dalla finestra modale dei servizi.
  2. Poi, nell’area di Privacy Controls and Cookie Solution, attiva e seleziona la versione v. 2.2 nel riquadro TCF nel Configuratore di Privacy Controls and Cookie Solution. (Se non hai ancora attivato Privacy Controls and Cookie Solution, qui troverai un tutorial su come iniziare.
  3. Nel Configuratore di Privacy Controls and Cookie Solution:
    • Attiva il riquadro TCF (se non è già abilitato) → Una volta attivato, apri il riquadro TCF cliccando su “MODIFICA” → Seleziona il TCF v. 2.2 tra le opzioni disponibili.
    • Privacy Controls and Cookie Solution si aggiornerà automaticamente con l’aggiunta o la rimozione di qualsiasi servizio TCF nella privacy e cookie policy. Successivamente, il Configuratore mostrerà il numero di provider aggiunti e il banner modificherà il suo aspetto influenzando di conseguenza il pannello TCF.

Inserisci manualmente i vendor

  1. Puoi aggiungere i vendor manualmente selezionando “Inserisci manualmente l’elenco dei vendor TCF che desideri visualizzare” e poi aggiungendo gli ID dei vendor, separati da virgole. L’elenco e le informazioni aggiuntive sui vendor sono disponibili consultando il Global Vendor List e l’Additional Vendor Information List.
  2. Se il TCF v2.2 è abilitato nel Configuratore di Privacy Controls and Cookie Solution, il sistema mostrerà subito un avviso se non riesce a trovare nessun vendor TCF.

⚠️ Nota: In mancanza di una selezione, Privacy Controls and Cookie Solution mostrerà tutti i vendor TCF, violando potenzialmente le policy TCF.

Gestione delle opzioni relative alle finalità:

Gli utenti hanno la possibilità di gestire tutte le opzioni relative alle finalità, che vengono mantenute aggiornate rispetto alla versione più recente della policy. Ciò significa l’aggiornamento delle definizioni, l’esclusione del legittimo interesse per le finalità da 3 a 6 e l’inclusione della nuova finalità 11.

Una volta abilitata l’opzione TCF di IAB, noterai subito che:

  • Il testo del banner verrà allungato per soddisfare i requisiti IAB. Il testo aggiuntivo (modificabile solo su richiesta) contiene informazioni essenziali relative alle opzioni migliorate specificate nelle sezioni seguenti.
  • I pulsanti “Accetta” e “Scopri di più e personalizza” verranno abilitati in modo forzato, come richiesto da IAB.

Cosa deve contenere l’informativa del banner secondo il TCF v2.2

  • informazioni sul fatto che le informazioni siano conservate e/o accessibili dal dispositivo dell’utente (ad esempio uso di cookie, identificatori del dispositivo o altri dati del dispositivo);
  • informazioni sul fatto che i dati personali vengono trattati e sulla natura dei dati personali trattati (es. identificatori univoci, dati di navigazione);
  • un link all’elenco dei vendor e il numero dei vendor terzi;
  • un elenco di finalità (utilizzando i nomi standardizzati e/o i nomi degli stack previsti dalla GVL versione 3);
  • informazioni sulle caratteristiche speciali utilizzate dai vendor (utilizzando i nomi standardizzati e/o i nomi degli stack previsti dalla GVL);
  • informazioni sul fatto che l’utente può revocare il proprio consenso in qualsiasi momento e su come far ricomparire l’UI del Framework a tal fine;
  • una call-to-action affinché l’utente esprima il proprio consenso
  • una call-to-action per consentire all’utente di personalizzare le proprie scelte 

Inoltre, avrai la possibilità di abilitare l’opzione Modalità di Consenso aggiuntivo di Google, una funzionalità che ti consente di raccogliere il consenso per i partner pubblicitari di Google che non fanno ancora parte del Transparency and Consent Framework, ma che fanno parte dell’elenco di fornitori di tecnologia pubblicitaria (Ad Technology Providers, ATP) di Google.

Modifica del cookie banner

Ricorda che le eventuali modifiche precedenti al testo del banner verranno annullate una volta abilitato il TCF. Di conseguenza, se in precedenza hai modificato il testo HTML o del banner, esegui nuovamente il test con il testo predefinito e i pulsanti abilitati.

HTML

Se vuoi modificare l’HTML, devi necessariamente includere il nostro testo predefinito inserendo lo shortcode %{banner_content} nell’input, un elemento con l’attributo class="iubenda-cs-accept-btn" e un elemento con l’attributo class="iubenda-cs-customize-btn".

Testo

Abilitando il TCF, il testo del banner sarà modificabile solo su richiesta. Se desideri modificare il testo del cookie banner, assicurati di controllare i requisiti IAB e contattaci tramite chat o e-mail per far approvare le modifiche.

Codice di Privacy Controls and Cookie Solution

Una volta abilitata questa funzionalità, il codice di integrazione di Privacy Controls and Cookie Solution cambierà da così:

<script type="text/javascript">
    var _iub = _iub || [];
    _iub.csConfiguration = {
        "lang": "en",
        "siteId": XXXXXX, //use your siteId
        "cookiePolicyId": YYYYYY, //use your cookiePolicyId
        "consentOnContinuedBrowsing": false,
        "perPurposeConsent": true,
        "invalidateConsentWithoutLog": true,
        "floatingPreferencesButtonDisplay": "bottom-right",
        "banner": {
            "acceptButtonDisplay": true,
            "rejectButtonDisplay": true
            "closeButtonRejects": true,
            "customizeButtonDisplay": true,
            "explicitWithdrawal": true,
            "listPurposes": true,
            "position": "float-top-center"
        }
    };
</script>
<script type="text/javascript" src="//cdn.iubenda.com/cs/iubenda_cs.js" charset="UTF-8" async></script>

A così (nota lo script stub-v2.js, "enableTcf": true e altre opzioni del TCF):

<script type="text/javascript">
var _iub = _iub || [];
_iub.csConfiguration = {
  "askConsentAtCookiePolicyUpdate":true,
  "enableTcf":true,  //enable IAB TCF 
  "tcfVersion":"2.2", //use this parameter to switch the version of the TCF / use the new 2.2 version
  "tcfVendors":"628,1111,92", //(OPTIONAL) use this parameter to select manually the vendors you're using
 
  /*
  (OPTIONAL) Limit the legal basis and choose which TCF purposes to prompt 
  "tcfPurposes": {
    "1":"true",
    "2":"consent_only",
    "3":"consent_only",
    "4":"consent_only",
    "5":"consent_only",
    "6":"consent_only",
    "7":"consent_only",
    "8":"consent_only",
    "9":"consent_only",
    "10":"consent_only",
    "11":"consent_only"
  },
  */
  "floatingPreferencesButtonDisplay":"bottom-right",
  "googleAdditionalConsentMode":true,
  "lang":"en",
  "perPurposeConsent":true, //enable per-category consent
  "siteId":3156898, //use your siteId
  "cookiePolicyId":36614288, //use your cookiePolicyId
 
  "banner":{ 
    "acceptButtonDisplay":true,
    "closeButtonDisplay":false,
    "customizeButtonDisplay":true,
    "explicitWithdrawal":true,
    "listPurposes":true,
    "position":"float-top-center",
    "rejectButtonDisplay":true 
  }
};



</script>
<script type="text/javascript" src="//cdn.iubenda.com/cs/beta/iubenda_cs.js" charset="UTF-8" async></script>

Ora che hai incollato il codice di Privacy Controls and Cookie Solution all’interno del body delle tue pagine, vediamo il blocco preventivo degli script dei vendor.

La CMP iubenda prevede la funzione __tcfapi per permettere ai vendor di leggere il consenso correttamente.
Usiamo uno script (safe-tcf-v2.js) che ha il solo compito di leggere il cookie TCF e rilasciare la funzione __tcfapi, senza bloccare direttamente gli script dei vendor. È un attivatore sincrono che viene eseguito all’apertura della pagina, garantendo che il consenso venga letto entro 500 ms dall’esecuzione degli script dei vendor.

Questo è il comportamento predefinito quando si abilitano le opzioni TCF di IAB del nostro configuratore.
Questo meccanismo funziona a partire dalla seconda pageview (quando il consenso nella pagina è già presente) ed è molto performante in termini di velocità di caricamento.

Tuttavia, potrebbe comportare alcune incompatibilità con Google Ad Manager, AdSense e AdMob. Se vuoi bloccare direttamente gli script dei vendor, continua a leggere.

Ulteriori implementazioni e ottimizzazioni: utenti Google Ads

I vendor hanno un tempo massimo di attesa (di solito 500 ms, di norma non configurabile) per ricevere il consenso dalla CMP. 
Nei casi in cui la CMP non risponde entro il tempo massimo di 500 ms, la Sell-Side Platform dei vendor utilizza invece lo stato opt-out dell’utente, il che significa che in questi casi agli utenti finali verranno mostrati annunci non personalizzati.

Ciò potrebbe accadere se utilizzi i servizi pubblicitari di Google come Ad Manager, AdSense e AdMob.
Per evitare questi problemi, puoi bloccare direttamente gli script dei vendor utilizzando uno dei metodi blocco preventivo supportati dalla nostra Privacy Controls and Cookie Solution, per eseguirli solo dopo aver raccolto il consenso.

Puoi usare questo metodo per avere un controllo più diretto sulla compliance e sulla visualizzazione di annunci personalizzati dalla prima pageview quando il consenso non è stato ancora raccolto. Ti permette inoltre di evitare l’errore 2.1a (per gli utenti di Google Ad Manager, AdSense e AdMob).

La nostra Privacy Controls and Cookie Solution offre vari strumenti per il blocco preventivo degli script che potrebbero installare cookie. Scopri di più nella nostra introduzione al blocco preventivo degli script. Per bloccare gli script di Google, puoi fare riferimento direttamente agli esempi per Google AdSense e Google Publisher Tag.

Consenso per categoria

Ricorda che, se hai abilitato la funzionalità consenso per categoria di Privacy Controls and Cookie Solution, dovrai taggare gli script TCF come rientranti nella “finalità 1” (necessari).

stub-v2.js e safe-tcf-v2.js possono anche essere integrati inline o self-hosted, se necessario. Leggi questa guida per ulteriori consigli sull’ottimizzazione.

Per leggere il consenso dalla funzione __tcfapi, puoi aprire la console del browser e lanciare questi comandi:

window.__tcfapi('getTCData', 2, function(result,success) { console.log(result) });
window.__tcfapi('getTCData', 2, function(result,success) { console.log(result) }, [1,2]);
window.__tcfapi('ping', 2, function(result) { console.log(result) });

Infine, come richiesto da IAB, devi fornire un link o un pulsante (ad esempio nel footer) che consenta ai tuoi visitatori di aggiornare le loro preferenze di tracciamento della pubblicità anche dopo aver chiuso il cookie banner. 

Vediamo come.

Per farlo, devi solo aggiungere la classe iubenda-advertising-preferences-link a un link o pulsante personalizzato:

<a href="#" class="iubenda-advertising-preferences-link">
    Update your advertising tracking preferences
</a>

Posizionalo dove preferisci sul tuo sito (di solito si aggiunge nel footer). Cliccandoci sopra, si aprirà una finestra modale con le impostazioni di tracciamento pubblicitario:

open-preferences

Per soddisfare i requisiti di IAB, ricorda che se non implementi la classe iubenda-advertising-preferences-link, mostreremo automaticamente un piccolo widget fluttuante nelle tue pagine:

Funzionalità e impostazioni aggiuntive

Nel riquadro TCF di IAB troverai le seguenti opzioni avanzate per i publisher:

Per farlo, scorri fino all’opzione “Limitazioni delle finalità e della base giuridica”, decidi quali finalità vuoi abilitare e infine seleziona la base giuridica in base alla quale i dati personali possono essere trattati per le finalità attive. 

limita le finalità

Nota: se hai dei dubbi su questo aspetto, ricorda che “Solo consenso” di solito è l’opzione più sicura e in definitiva è la best practice per le finalità relative alla profilazione.

Abbiamo già parlato dell’importanza di limitare il numero di vendor con cui intendi collaborare. Un altro vantaggio dell’offrire trasparenza con un numero limitato di vendor è la possibilità di eliminare il problema sostanziale della richiesta di un nuovo consenso quando la Global Vendor List viene aggiornata. Infatti, la Vendor List di IAB viene aggiornata quasi ogni settimana. 

Se invece decidi di non limitare il numero di vendor con cui collabori, probabilmente vorrai scegliere come gestire le nuove richieste di consenso, evitando di mostrare il cookie banner agli utenti che hanno già prestato il consenso pochi giorni o settimane prima.

All’interno del riquadro TCF di IAB v. 2.2, troverai una sezione chiamata Quando la preferenza del Framework IAB non esiste, richiedi un nuovo consenso all’utente anche se è stato già fornito

richiedi un nuovo consenso

Alcuni vendor potrebbero chiederti di indicare esplicitamente i parametri gdpr e gdpr_consent nella loro richiesta. Ecco uno codice per soddisfare questo requisito:

<script type="text/javascript">
    __tcfapi('addEventListener', 2, function(tcData) {
        if (tcData.eventStatus !== 'useractioncomplete' && tcData.eventStatus !== 'tcloaded') {
            return;
        }
        var gdpr = tcData.gdprApplies ? 1 : 0;
        var gdpr_consent = tcData.tcString;
        console.log({ gdpr: gdpr, gdpr_consent: gdpr_consent });
        // Remove event listener to avoid invoking the ads multiple times
        __tcfapi('removeEventListener', 2, function(success) {
            console.log('event listener removed', success);
        }, tcData.listenerId);
    });
</script>

Una volta sostituita la riga console.log con la richiesta al vendor utilizzando le variabili gdpr e gdpr_consent, aggiungi questo codice sotto lo script iubenda_cs.js e verrà richiamato automaticamente lo script dei vendor con i dati di consenso corretti.

D’ora in poi, quando i tuoi utenti cliccheranno sul pulsante Scopri di più e personalizza nel tuo cookie banner per gestire le proprie preferenze, vedranno le seguenti opzioni:

Nota: quando l’utente indica di voler gestire le preferenze aprendo la finestra delle preferenze, tutti i cookie vengono “disattivati” automaticamente perché la legge richiede un’azione di opt-in/affermativa attiva per un consenso valido.

Domande frequenti

I publisher devono far ricomparire il banner per ottenere un nuovo consenso?

In linea con le linee guida di IAB, non forzeremo alcun nuovo consenso; tuttavia, i publisher dovrebbe la situazione caso per caso. I publisher devono limitare i vendor a quelli con cui collaborano attivamente e devono indicarlo chiaramente nella privacy policy. In questo modo ed evitando di aggiungere nuovi vendor, non dovrebbe essere necessario far ricomparire il banner o ristabilire il consenso, soprattutto perché stanno già limitando il legittimo interesse. Ciò significa che non dovrebbero esserci problemi con i cambiamenti nella base giuridica. Tuttavia, i publisher dovrebbero valutare le singole circostanze specifiche e decidere di conseguenza.

Ho già una mia Privacy e Cookie Policy: posso usare il generatore iubenda per specificare solo i servizi/vendor relativi al TCF e la mia policy per il resto?

Sì, puoi farlo. Ti consigliamo però un’azione in più: quando viene rilevata una Privacy e Cookie Policy iubenda, le finalità mostrate nel secondo layer derivano dai servizi aggiunti. Per garantire la corretta gestione di tutte le finalità, gli utenti dovrebbero scegliere l’opzione personalizzata di controllo granulare per categoria secondo il GDPR.

IAB - Interactive Advertising Bureau

Consulta anche