Leggi come il GDPR, la Cookie Law e il CCPA hanno reso le piattaforme di gestione del consenso (CMP) necessarie per le aziende operanti nell’UE e negli Stati Uniti, compresi gli editori. Questa guida spiega cos’è una piattaforma di gestione del consenso, perché gli editori ne hanno bisogno e come abilitare il Transparency and Consent Framework, lo standard del settore, all’interno della nostra soluzione Privacy Controls and Cookie Solution.
CMP è una sigla che, in inglese, sta per Consent Management Platform (piattaforma di gestione del consenso) o, meno comune, Consent Management Provider (fornitore di servizi per la gestione del consenso). Le CMP sono responsabili anche per il trasferimento del consenso lungo il Transparency and Consent Framework (TCF) e devono quindi essere registrate e allineate agli standard e alle politiche del TCF.
In altre parole, una CMP ti aiuta a fornire agli utenti più trasparenza riguardo l’accesso e l’archiviazione delle loro informazioni personali (attraverso i cookie e altri strumenti di tracciamento), in conformità con le principali leggi sulla privacy come il GDPR, la direttiva ePrivacy, il CCPA e altro.
Più precisamente, le CMP ti aiutano a raccogliere, archiviare e utilizzare le preferenze dei tuoi utenti per trattare le loro informazioni personali per finalità specifiche (ad esempio, statistiche, pubblicità e strategie di retargeting).
In qualità di CMP registrato, iubenda ti permette di gestire le preferenze di consenso per la direttiva ePrivacy, il GDPR e il CCPA.
La risposta breve è: sì, probabilmente ne hai bisogno.
A) Il GDPR / la direttiva ePrivacy o il GDPR/PECR del Regno Unito si applicano alla tua situazione (non sei sicuro? Fai questo quiz di 1 minuto), e il tuo sito/app (o qualsiasi servizio di terza parte presente nel tuo sito/app) usa cookie e altri strumenti di tracciamento per trattare le informazioni personali.
Perché secondo la direttiva ePrivacy (così come per il PECR britannico), devi informare gli utenti in modo chiaro e visibile se il tuo sito/app fa uso di qualsiasi tipo di cookie (o strumento di tracciamento) e devi ottenere il consenso informato prima d’installare gli script relativi ai cookie/strumenti di tracciamento non esenti.
Ad esempio, prendiamo in considerazione gli editori operanti in Europa. Cookie e strumenti di tracciamento sono il loro pane quotidiano, dal momento che aiutano a monetizzare il loro sito/app attraverso gli inserzionisti di terza parte. L’uso di strumenti di tracciamento per finalità quali behavioral advertising, statistiche, remarketing e personalizzazione dei contenuti richiede di ottenere il consenso informato dell’utente prima d’installare gli strumenti di tracciamento.
In genere, un editore è qualsiasi sito/app che monetizza i suoi contenuti attraverso gli inserzionisti di terza parte. I blog e i quotidiani online che mostrano annunci pubblicitari sul loro sito/app sono esempi di editori..
B) Il California Consumer Privacy Act (CCPA)si applica alla tua situazione(non sei sicuro? Fai questo quiz di 1 minuto), e condividi i dati degli utenti (ad esempio, l’indirizzo IP) con terze parti. Questo ti obbliga per legge a:
In generale, vista la rapida comparsa di leggi sulla privacy in tutto il mondo, è difficile immaginare che il tuo sito o app non abbia bisogno di una piattaforma di gestione del consenso.
In qualità di CMP registrato, abbiamo integrato il TCF di IAB Europe e il CCPA Compliance Framework con la nostra soluzione Privacy Controls and Cookie Solution, per aiutare gli editori ad adeguarsi alla legge, rispettando i requisiti del settore e massimizzando le entrate pubblicitarie.
Il Transparency and Consent Framework (TCF) di IAB è un’iniziativa di pubblicità digitale che aiuta gli editori, i fornitori di tecnologia, le agenzie e gli inserzionisti a soddisfare i requisiti di trasparenza, consenso e preferenze del GDPR e della direttiva ePrivacy quando si trattano, accedono e/o memorizzano informazioni sui dispositivi dell’utente (come cookie, identificatori pubblicitari, identificatori del dispositivo e altre tecnologie di tracciamento).
Il TCF di IAB standardizza il processo di ottenimento del consenso degli utenti e permette di segnalare in modo omogeneo le preferenze degli utenti lungo tutta la filiera di erogazione dei servizi pubblicitari(Puoi leggere le informative del framework qui).
Al momento, i requisiti del Regolamento generale sulla protezione dei dati (UK GDPR) e dei Regolamenti sulla privacy e sulle comunicazioni elettroniche (UK PECR) del Regno Unito sono identici alle loro controparti europee (il GDPR e la direttiva ePrivacy). Quindi il TCF aiuta le aziende a soddisfare anche gli attuali requisiti di entrambi i regolamenti del Regno Unito.
Il TCF fornisce un sistema (un’API JavaScript standard) che permette a tutti i soggetti coinvolti di usare lo stesso linguaggio per comunicare le preferenze degli utenti. Le figure principali che il TCF chiama in causa sono gli editori, i vendor (inserzionisti di terza parte che raccolgono il consenso degli utenti finali dal sito/app dell’editore, attraverso l’uso di cookie e altri strumenti di tracciamento, in relazione ai contenuti visibili agli utenti finali) e le CMP come iubenda.
Gli editori, i vendor e le CMP che decidono di partecipare al TCF di IAB devono aderire al protocollo e alle policy del framework. I vendor sono inoltre tenuti a iscriversi alla Global Vendor List (GVL), un elenco di vendor completo di finalità, durata massima d’archiviazione e accesso, e link alle rispettive privacy policy. All’interno del TCF e della GVL anche le finalità del trattamento sono standardizzate: ogni finalità infatti, così come ogni vendor, ha un ID univoco. Questo ID consente ai vendor di recuperare e interpretare le preferenze di consenso dell’utente in materia di servizi pubblicitari.
Le preferenze degli utenti e i segnali dei vendor raccolti attraverso la CMP sono rappresentati da valori binari, compressi in una struttura di dati il più piccola possibile (Base64) e sono quindi trasmessi su tutta la filiera di erogazione dei servizi pubblicitari attraverso una Daisy Chain.
Gli script dei vendor che fanno parte della GVL vengono automaticamente bloccati prima di ricevere il consenso dell’utente. Ogni vendor può controllare lo stato del proprio consenso effettuando prima un ping al CMP e aspettando poi una callback per l’id passato, che farà loro sapere se possono trattare dati personali.
Nonostante si tratti di un’iniziativa relativamente nuova, la versione 2.0 del TCF di IAB sta rapidamente diventando uno standard di settore, con vendor del calibro di Google, Adobe e AdRoll coinvolti nella sua implementazione.
Sebbene non sia obbligatorio, attivare il TCF 2.0 offre molti vantaggi agli editori e agli utenti: si massimizzano le entrate pubblicitarie e si permette agli editori di raccogliere e trasmettere le preferenze degli utenti alle terze parti con cui lavorano. Tutto questo mentre si esercita un controllo più severo su come vengono trattati i dati.
Scegliere di essere trasparenti e fornire una base giuridica per la maggior parte dei vendor all’interno del framework può ridurre la capacità degli utenti di compiere una scelta informata e può aumentare il rischio legale di editore e vendor. Quindi i vendor potrebbero rifiutarsi di lavorare con gli editori che elencano un numero eccessivo di fornitori pubblicitari e questo potrebbe avere un impatto negativo sui ricavi.
L’APD del Belgio, in una decisione riguardo IAB Europe e il TCF, ha dichiarato che elencare un gran numero di vendor richiederebbe all’utente una quantità di tempo eccessiva per leggere tutte le informazioni relative, e sarebbe quindi incompatibile con la condizione del consenso informato richiesta dal GDPR.
Per limitare il numero di vendor, seleziona “Autorizza solo i vendor elencati nella tua privacy e cookie policy” dalle impostazioni del TCF all’interno della nostra soluzione Privacy Controls and Cookie Solution.
Una base giuridica è il fondamento giuridico per il trattamento dei dati personali. Secondo il GDPR, ci sono sei possibili basi giuridiche. Nel settore pubblicitario, due sono le basi giuridiche comunemente utilizzate:
Il TCF supporta entrambi, ma alcune autorità per la protezione dei dati, come quella italiana e belga, hanno escluso l’uso dell’interesse legittimo come una base giuridica valida. Ecco perché è importante limitare al “Solo consenso” se si opera in questi paesi (puoi scoprire di più riguardo i requisiti specifici di ogni paese nella nostra Tabella riassuntiva sul consenso ai cookie).
Google supporta pienamente il TCF 2.0 (e le versioni successive). Google fa ora parte della lista di vendor globali del TCF. Questo significa che, se utilizzi AdSense, AdMob o AdManager, non sono più necessarie delle impostazioni differenziate per la personalizzazione degli annunci di Google(puoi leggere il comunicato di Google sull’integrazione del publisher con la versione 2.0 del TCF qui).
E per quanto riguarda i vendor pubblicitari che non fanno ancora parte del TCF?
Sebbene il framework comprenda una lista sempre crescente di vendor pubblicitari, alcuni inserzionisti non fanno ancora parte del TCF. Questo è il caso di alcuni partner di Google. Per aggirare questo problema, Google ha definito una specifica tecnica temporanea chiamata Additional Consent Mode. Il suo scopo è quello di essere utilizzata accanto al TCF 2.0 e fare da ponte per i fornitori di tecnologia pubblicitaria di Google che non sono ancora registrati nella Global Vendor List del TCF 2.0.
📌 La CMP di iubenda supporta i requisiti d’integrazione del TCF stabiliti da Google, incluso l’Additional Consent Mode.
La nostra piattaforma per la gestione del consenso ai cookie per la direttiva ePrivacy, il GDPR e il CCPA ti permette di mostrare un cookie banner completamente personalizzabile, raccogliere il consenso ai cookie e attivare il blocco preventivo.
Inoltre, in qualità di CMP registrata (numero ID 123), Privacy Controls and Cookie Solution di iubenda permette agli utenti d’impostare le preferenze pubblicitarie ed è compatibile con il Transparency and Consent Framework di IAB. Questa funzionalità permette agli utenti di selezionare le preferenze pubblicitarie per gli inserzionisti inseriti nella global vendor list di IAB.
Per attivare il TCF 2.0+ all’interno della tua soluzione Privacy Controls and Cookie Solution, recati nella tua dashboard e clicca sul sito/app che desideri aggiornare. A questo punto, fai click su Modifica in corrispondenza della sezione Privacy Controls and Cookie Solution (se non hai ancora attivato Privacy Controls and Cookie Solution, ecco una guida su come farlo).
Inoltre, avrai la possibilità di attivare l’Additional Consent Mode di Google, una funzione che ti permette di acquisire il consenso per quei partner pubblicitari di Google che non fanno ancora parte del Transparency and Consent Framework, ma che sono inclusi nella lista di fornitori pubblicitari (ATP) di Google.
Ti ricordiamo che, a seguito di questi cambiamenti, l’attivazione del TCF annullerà ogni precedente modifica del testo del banner. Pertanto, se in precedenza hai modificato l’HTML o il testo del banner, ricontrolla con il testo predefinito e i pulsanti abilitati.
Se vuoi modificare l’HTML, devi necessariamente includere il testo di default inserendo lo shortcode %{banner_content} nel campo di input, un elemento con l’attributo class="iubenda-cs-accept-btn" e un elemento con l’attributo class="iubenda-cs-customize-btn".
Attivando il TCF, il testo del banner potrà essere modificato solo su richiesta. Se intendi modificare il testo del cookie banner, verifica di avere i requisiti dell’IAB e contattaci via chat o e-mail per ottenere l’approvazione.
Una volta abilitata questa funzionalità, il codice di integrazione di Privacy Controls and Cookie Solution passerà da così:
<script type="text/javascript">
var _iub = _iub || [];
_iub.csConfiguration = {
"lang": "en",
"siteId": XXXXXX, //use your siteId
"cookiePolicyId": YYYYYY, //use your cookiePolicyId
"consentOnContinuedBrowsing": false,
"perPurposeConsent": true,
"invalidateConsentWithoutLog": true,
"floatingPreferencesButtonDisplay": "bottom-right",
"banner": {
"acceptButtonDisplay": true,
"rejectButtonDisplay": true
"closeButtonRejects": true,
"customizeButtonDisplay": true,
"explicitWithdrawal": true,
"listPurposes": true,
"position": "float-top-center"
}
};
</script>
<script type="text/javascript" src="//cdn.iubenda.com/cs/iubenda_cs.js" charset="UTF-8" async></script>A così (nota lo script stub-v2.js, "enableTcf": true e altri parametri del TCF):
<script type="text/javascript">
var _iub = _iub || [];
_iub.csConfiguration = {
"lang": "en",
"siteId": XXXXXX, //use your siteId
"cookiePolicyId": YYYYYY, //use your cookiePolicyId
"consentOnContinuedBrowsing": false,
"perPurposeConsent": true,
"invalidateConsentWithoutLog": true,
"floatingPreferencesButtonDisplay": "bottom-right",
"enableTcf": true,
"googleAdditionalConsentMode": true,
"tcfPurposes": {
"1": true,
"2": "consent_only",
"3": "consent_only",
"4": "consent_only",
"5": "consent_only",
"6": "consent_only",
"7": "consent_only",
"8": "consent_only",
"9": "consent_only",
"10": "consent_only"
},
"banner": {
"acceptButtonDisplay": true,
"rejectButtonDisplay": true
"closeButtonRejects": true,
"customizeButtonDisplay": true,
"explicitWithdrawal": true,
"listPurposes": true,
"position": "float-top-center"
}
};
</script>
<script type="text/javascript" src="//cdn.iubenda.com/cs/tcf/stub-v2.js"></script>
<script type="text/javascript" src="//cdn.iubenda.com/cs/iubenda_cs.js" charset="UTF-8" async></script>Ora che hai inserito il codice della tua soluzione Privacy Controls and Cookie Solution nel body delle tue pagine, passiamo al blocco preventivo degli script dei vendor.
La CMP di iubenda fornisce la funzione __tcfapi per permettere ai vendor di leggere il consenso correttamente.
Usiamo uno script (safe-tcf-v2.js) che ha la sola funzione di leggere i cookie del TCF e rilasciare la funzione __tcfapi, senza bloccare direttamente gli script dei vendor. Si tratta di un attivatore sincrono che viene eseguito all’apertura della pagina, e garantisce che il consenso sia letto entro 500ms dall’esecuzione degli script dei vendor.
Questo è il comportamento predefinito quando si attiva l’opzione IAB TCF all’interno del nostro configuratore.
Questo metodo funziona dalla seconda visita della pagina (quando il consenso è già presente) ed è molto performante in termini di velocità di caricamento.
Tuttavia, potrebbe comportare delle incompatibilità con Google Ad Manager, AdSense, e AdMob. Se vuoi bloccare direttamente gli script dei vendor, continua a leggere.
I vendor hanno un tempo massimo (di solito 500ms, spesso non configurabile) d’attesa per ricevere il consenso dalla CMP.
Nei casi in cui la CMP non risponda entro 500ms, la Sell-Side Platform dei vendor utilizza lo status di opt-out dell’utente. Questo significa che, in casi come questo, il tuo utente finale vedrà degli annunci non personalizzati.
Ciò potrebbe accadere se si utilizzano i servizi pubblicitari di Google, come Ad Manager, AdSense e AdMob.
Per prevenire questi problemi, puoi bloccare direttamente gli script dei vendor utilizzando uno dei metodi per il blocco preventivo supportati dalla nostra soluzione Privacy Controls and Cookie Solution, e poi eseguirli solo dopo che il consenso è stato raccolto.
Puoi usare questo metodo per avere più controllo sulla conformità legale e mostrare annunci personalizzati già alla prima visita, quando il consenso non è stato ancora raccolto. Ti permette anche di evitare l’errore 2.1a (per gli utenti Google Ad Manager, AdSense, e AdMob).
La nostra Privacy Controls and Cookie Solution offre varie opzioni per bloccare preventivamente gli script che potrebbero installare cookie. Per maggiori informazioni leggi l’introduzione al blocco preventivo dei cookie. Per bloccare gli script di Google, puoi fare riferimento direttamente agli esempi per Google AdSense e Google Publisher Tag.
Tieni presente che se hai attivato la funzionalità consenso per categoria, dovrai taggare gli script del TCF come appartenenti alla categoria 1 (“necessari”).
stub-v2.js e safe-tcf-v2.js possono essere integrate inline o self-hosted, se necessario. Leggi questa guida per altri consigli di ottimizzazione.
Per leggere il consenso dalla funzione __tcfapi, puoi aprire la console del browser e lanciare questi comandi
window.__tcfapi('getTCData', 2, function(result,success) { console.log(result) });
window.__tcfapi('getTCData', 2, function(result,success) { console.log(result) }, [1,2]);
window.__tcfapi('ping', 2, function(result) { console.log(result) });Infine, come richiesto da IAB, devi fornire un link o un pulsante (ad esempio, nel footer) che permetta ai visitatori di aggiornare le loro preferenze di tracciamento dopo aver chiuso il cookie banner.
Vediamo come.
Per farlo, ti basta aggiungere la classe iubenda-advertising-preferences-link a un link o pulsante personalizzato:
<a href="#" class="iubenda-advertising-preferences-link">
Update your advertising tracking preferences
</a>Posizionalo sul tuo sito (di solito si aggiunge al footer). Al click si aprirà un pannello con le impostazioni di tracciamento della pubblicità salvate in precedenza:
Per soddisfare i requisiti di IAB, ricorda che in assenza della classe iubenda-advertising-preferences-link, sulle tue pagine verrà mostrato in automatico un widget “fluttuante”:
Alla voce IAB TCF, troverai le seguenti impostazioni avanzate per gli editori:
Alla voce IAB TCF, troverai le seguenti impostazioni avanzate per gli editori:
Per farlo, seleziona “Autorizza solo i vendor elencati nella tua privacy e cookie policy” alla voce “Limitazioni” nelle impostazioni del TCF.
Attivando questa opzione, solo i vendor inclusi nella tua privacy e cookie policy generata con iubenda saranno mostrati nel pannello TCF. Ricorda che, perché questa opzione funzioni, devi aver aggiunto almeno un vendor TCF nella tua privacy e cookie policy. Puoi aggiungere i vendor facilmente dal nostro Generatore di Privacy e Cookie Policy: fai clic su “Aggiungi servizi”, seleziona la sezione “Pubblicità” e aggiungi tutti i servizi pubblicitari con i quali lavori.
Ti consigliamo di attivare questa opzione anche se preferisci utilizzare la tua documentazione di privacy e cookie policy. Se questo è il caso, puoi comunque generare una privacy e cookie policy con iubenda e beneficiare di questa funzione senza dover necessariamente aggiungere il link nel banner o nel tuo sito/app. Tuttavia, ricorda che, qualsiasi documentazione tu scelga di utilizzare, deve comunque rispecchiare ciò che è dichiarato nel cookie banner.
Nota bene: stando alle specifiche del TCF, “per i vendor che registrano solo per finalità speciali (Special Purposes) e nessun altra finalità, e che sono mostrati dalla CMP, il valore deve essere impostato su 1”. L’obiettivo è semplicemente quello di segnalare che questi vendor sono visibili e che possono perseguire queste finalità speciali (che non sono di natura tecnica) sulla base del legittimo interesse.
Le finalità speciali, a differenza delle finalità normali, non possono essere limitate. Tuttavia, l’opzione “Autorizza solo i vendor elencati nella tua privacy e cookie policy” ti permette di selezionare i vendor che vuoi mostrare nella tua Privacy Controls and Cookie Solution. In questo modo, puoi decidere di escludere i vendor che sono registrati solo per finalità speciali e il loro valore sarà impostato su 0.
Ai vendor sarà poi richiesto di fornire informazioni aggiuntive all’interno della Global Vendor List (GVL), così che sia più semplice per gli editori scegliere con chi lavorare.
Per farlo, seleziona l’opzione “Limita finalità”, decidi quali finalità abilitare e infine seleziona la base giuridica per il trattamento dei dati per le finalità attive.
Nota: se non sei sicuro di questo aspetto, tieni a mente che di solito il “Solo consenso” è l’opzione più sicura e la prassi migliore per le finalità relative al tracciamento.
Abbiamo già parlato dell’importanza di limitare il numero di vendor con i quali intendi lavorare. Un altro vantaggio del limitare il numero dei vendor è la possibilità di eliminare il problema della richiesta di un nuovo consenso, quando la Global Vendor List viene aggiornata. Infatti la vendor list di IAB viene aggiornata quasi ogni settimana.
Tuttavia, se scegli di non limitare il numero di vendor con cui lavori, è probabile tu voglia scegliere come gestire le richieste di consenso per i nuovi vendor, evitando di mostrare il cookie banner agli utenti che hanno prestato il consenso solo qualche giorno o settimana prima.
In IAB TCF, troverai una sezione chiamata Richiedi nuovo consenso all’aggiornamento della vendor list, dove potrai scegliere tra queste tre opzioni:
Questa funzionalità non è disponibile se punti a una versione specifica di Privacy Controls and Cookie Solution (ad esempio cdn.iubenda.com/cs/versions/iubenda_cs-1.7.0.js), ma solo se ti appoggi a una release dei canali Current/Beta.
Alcuni fornitori di servizi pubblicitari chiedono di indicare esplicitamente i parametri gdpr e gdpr_consent nella loro richiesta. Ecco uno script per soddisfare questo requisito:
<script type="text/javascript">
__tcfapi('addEventListener', 2, function(tcData) {
if (tcData.eventStatus !== 'useractioncomplete' && tcData.eventStatus !== 'tcloaded') {
return;
}
var gdpr = tcData.gdprApplies ? 1 : 0;
var gdpr_consent = tcData.tcString;
console.log({ gdpr: gdpr, gdpr_consent: gdpr_consent });
// Remove event listener to avoid invoking the ads multiple times
__tcfapi('removeEventListener', 2, function(success) {
console.log('event listener removed', success);
}, tcData.listenerId);
});
</script>Dopo aver sostituito la riga console.log con la richiesta al vendor usando le variabili gdpr e gdpr_consent, aggiungi questo snippet dopo lo script iubenda_cs.js e lo script del vendor verrà richiamato con i dati di consenso corretti.
D’ora in poi, quando gli utenti faranno click sul pulsante Scopri di più e personalizza (o sul link pannello delle preferenze pubblicitarie) all’interno del tuo cookie banner, per gestire le loro preferenze, vedranno le seguenti opzioni:
Nota: quando l’utente indica di voler gestire le preferenze dal pannello delle preferenze, tutti i cookie sono disattivati di default, poiché un’azione positiva di opt-in è necessaria per raccogliere un consenso valido.
