Mesi fa avevamo dato notizia di un’imminente pronuncia in ambito privacy, di dirompente importanza, circa la liceità dello standard TCF (Transparency & Consent Framework) adottato da IAB Europe e utilizzato da migliaia di inserzionisti online: ora è giunta la pronuncia definitiva del caso DOS-2019-01377, in data 2 febbraio, in territorio belga, da parte della Autorité de protection des données – Gegevensbeschermingsautoriteit. A conferma dei molti aspetti che si lamentavano – da anni – non in regola con il GDPR e la Direttiva ePrivacy. Con effetti potenzialmente rivoluzionari per l’intero settore della promozione online, se pensiamo ad es. che tra i partecipanti al TCF si annoverano Google e Amazon.
Non è tanto l’importo della sanzione di 250.000 euro a dare il polso di questa decisione, lo è invece ciò che è stato accertato e dichiarato dall’autorità e cosa potrà avvenire di conseguenza, pensando agli operatori che si basano sull’attuale utilizzo di questo strumento.
Il framework dovrà trovare un nuovo equilibrio con la normativa europea, secondo le prescrizioni dell’autorità e così potenzialmente dover limitare, arrestare o comunque mutare sensibilmente molte delle sue prassi. Con prevedibili effetti commerciali, di perdita dell’attuale efficacia di certe strategie promozionali basate sui cookie.
Cookie, il framework IAB viola il GDPR: in arrivo una nuova rivoluzione nel digital marketing
Indice degli argomenti
Puntate precedenti: il Transparency & Consent Framework
Riepiloghiamo il punto di partenza: nel 2018 IAB (Interactive Advertising Bureau) Europe, una delle più importanti associazioni di categoria, tramite il suo IAB Tech Lab diffonde il proprio Transparency & Consent Framework v. 1.0, oggi arrivato alla versione 2.0, onde supportare il rispetto della normativa privacy appena entrata in vigore del GDPR e al contempo aiutare l’ecosistema del marketing digitale soprattutto nelle attività di retargeting. Questo nelle dichiarazioni di IAB.
L’obiettivo di favorire degli inserzionisti è parso da subito prevalente, pur affermando IAB di voler aiutare “tutte le parti della catena della pubblicità digitale a garantire che rispettino il GDPR dell’UE e la direttiva ePrivacy durante il trattamento dei dati personali o l’accesso e/o la memorizzazione di informazioni sul dispositivo di un utente, come cookie, identificatori pubblicitari, identificatori di dispositivi e altre tecnologie di tracciamento”. La parte tecnica si è compiuta nella creazione di un ambiente condiviso in cui publisher e inserzionisti possono condividere dati, annunci e spazi pubblicitari digitali, applicando uno standard comune per la raccolta e gestione del consenso e “preferenze” degli utenti, a fini pubblicitari. Di fatto il titolare di un sito web che voglia pubblicare nell’Unione annunci non solo propri ma di terzi, gestiti tramite network pubblicitari, è quasi costretto dal mercato a sposare il TCF di IAB. Uno standard comunque non rigido ma che offre diverse scelte e opzioni agli utilizzatori per il suo settaggio.
L’utente dei siti web partecipanti al TCF è scarsamente consapevole del suo uso: a parte la mancata trasparenza informativa, ciò che l’utente sperimenta è solo la comparsa di un banner o altra interfaccia grafica per i vari opt-in o opt-out richiesti per l’utilizzo dei dati raccolti (tramite cookie o altro). Questa interfaccia rappresenta la Consent Management Platform (“CMP”) sfruttata da IAB per registrare le preferenze espresse dall’utente in un file, la “TC string”, condiviso tra i partecipanti al network TCF assieme a un cookie specifico e così contribuire al Real Time Bidding di IAB (denominato “OpenRTB”).
L’RTB è un sistema di asta elettronica di piazzamento degli annunci digitali (display advertising) presso terzi, una forma di programmatic advertising.
Di fatto sono subito emerse notevoli criticità di compliance rispetto alla normativa dell’Unione, lamentate anche da associazioni di attivisti ed enti no profit a tutela della privacy: un’attea giunta a compimento con la prima pronuncia formale da parte di un’autorità di controllo.
Il provvedimento dell’autorità è articolato e complesso, sforando le cento pagine di lunghezza: in questa sede presentiamo una prima panoramica dei principali punti critici emersi dal lavoro di indagine.
L’intervento dell’autorità belga e i punti di merito
A premessa va segnalato che la decisione è sì formalmente dell’autorità di controllo belga ma emessa in qualità di capofila (cioè come lead authority che guida e decide in casi che coinvolgono teoricamente più territori dell’Unione – c.d. “one-stop-shop” previsto dal GDPR per i casi transfrontalieri) in consultazione e condivisione con le autorità di tali territori, ben 27 in questa occasione. Quindi gli effetti di questa pronuncia vanno oltre il territorio belga e si ripercuotono di fatto sull’intera Unione e verso chi vuole trattare dati di persone presenti nell’Unione. Vedremo se e come le altre autorità coinvolte si esprimeranno nel proprio territorio di competenza, collegandosi alla decisione capofila.
Sostanzialmente i punti censurati dall’autorità rispecchiano quelli già preannunciati nei mesi precedenti e che possiamo riassumere come segue:
- mancanza di liceità, in assenza di una base legale di trattamento per l’utilizzo dei dati acquisiti tramite TCF, inclusa la condivisione con gli utilizzatori del framework; viene fortemente criticata l’ammissibilità della base del legittimo interesse da parte degli utilizzatori (è esperienza comune ravvisare banner cookie che invocano il legittimo interesse, spesso persino come base aggiuntiva rispetto al consenso), incompatibile con l’assetto combinato della Direttiva ePrivacy (basata sul consenso) e del GDPR, viziando la stessa conservazione e l’utilizzo dei dati personali confluiti nel TCF;
- mancanza di trasparenza, in assenza di un’informativa adeguata fornita tramite il CMP, troppo vaga sui complessi trattamenti attuati dal TCF, specie pensando all’uso di identificatori nella TCF string e nei cookie oltre che alle operazioni di tracciamo tra i vari siti web del network;
- carenze di accountability, security e privacy by default/by design, poiché IAB non ha comprovato all’autorità di poter garantire l’esercizio dei diritti da parte degli interessati e di poter monitorare la validità e integrità delle preferenze espresse dagli utenti;
- mancanza di corretto inquadramento di IAB Europe come titolare e, pertanto, dei correlati adempimenti quanto a nomina del DPO, di redazione dei registri di trattamento e di una DPIA afferente al TCF (sicuramente un trattamento su larga scala).
Cosa seguirà alla decisione
Come già detto sopra, il provvedimento commina una sanzione pecuniaria a IAB e intima alla stessa – entro un periodo massimo di sei mesi – di provvedere a “mettersi in regola”, ovvero:
- fornire una valida base giuridica per il trattamento dei dati personali, cioè l’elaborazione e la diffusione delle preferenze degli utenti nel contesto del TCF (nello specifico, sotto forma di TC String e del cookie euconsent-v2) nonché vietare ai propri utilizzatori (attraverso una modifica ai propri termini contrattuali di utilizzo del TCF) l’uso della base del legittimo interesse nel TCF; ovviamente ciò dovrà trovare un riscontro anche nell’informativa privacy di IAB;
- assicurare efficaci misure di monitoraggio tecnico e organizzativo al fine di garantire l’integrità e la riservatezza del TC String;
- svolgere e perpetuare un rigoroso audit degli utilizzatori aderenti al TCF, sì da garantire che soddisfino i requisiti del GDPR (in particolare quanto richiesto circa le misure di sicurezza citate al punto precedente);
- adottare misure tecniche e organizzative per impedire che il consenso sia pre-impostato “by default” nelle interfacce CMP e bloccando l’automatico accesso agli utilizzatori che utilizzino la base del legittimo interesse;
- costringere le CMP degli utilizzatori ad adottare un approccio uniforme e conforme al GDPR circa le informative da rendere agli utenti;
- aggiornare i propri attuali registri dei trattamenti, includendovi il trattamento dei dati personali praticato dal TCF;
- effettuare una valutazione d’impatto sulla protezione dei dati (DPIA) per quanto riguarda le attività di trattamento nell’ambito del TCF e nel sistema OpenRTB, adattando tale DPIA alle versioni future o alle modifiche dell’attuale TCF;
- nominare un proprio DPO, finora assente.
Il tutto dovrà avvenire in conformità a un piano di azione, da concordare con l’autorità belga. Non solo: è stato anche ordinata la cancellazione definitiva dei dati personali già trattati nel proprio sistema TCF, aspetto che si estende a tutti gli utilizzatori del framework.
Alla luce di tutto ciò, chiunque utilizzi o abbia utilizzato il TCF come partecipante dovrebbe avviare una riflessione sul da farsi lato compliance privacy, soprattutto quanto ai dati personali già raccolti e tuttora utilizzati in eventuale violazione della normativa. Come minimo saranno necessarie ri-valutazioni di rischi e dell’impatto privacy nell’uso del TCF e che considerino quanto sopra, oltre a comportare un necessario aggiornamento delle informative utilizzate.
Precisato il ruolo di titolare di IAB Europe, i partecipanti dovranno configurarsi come contitolari, a seguito di apposito contratto di contitolarità ex art. 26 GDPR che dovrebbe essere realisticamente messo a disposizione da IAB (come accaduto in passato nel caso di Facebook e delle fanpage).
Non citiamo neanche la doverosa e molto attesa cessazione dell’uso dell’interesse legittimo come base di trattamento e opzione opt-out nei vari banner cookie. Quanti si adegueranno nell’immediato, come sarebbe corretto, e quanti preferiranno aspettare ancora, magari i sei mesi visti sopra, per scoprire il nuovo TCF “3.0”? Il Garante effettuerà controlli a tale proposito?
A fronte di tutto questo, IAB da una parte sta valutando eventuali impugnazioni legali della decisione, dall’altro dichiara di voler lavorare con l’autorità per addivenire a un codice di condotta ex art. 40 GPDR basato sul TCF, come già aveva annunciato in precedenza. D’altronde, puntualizza IAB, il provvedimento belga non ha comunque sancito un divieto d’utilizzo del TCF ma solo una sua “correzione”.
Gli effetti dirompenti di questa decisione si potranno toccare con mano nelle prossime settimane, in parallelo a ciò che sta accadendo circa la sempre maggiore chiusura da parte delle autorità europee di tutela della privacy verso i fornitori di servizi di marketing di diritto USA e alla crescente lotta ai dark pattern per acquisire consensi commerciali. Sommando sia la decisione di rilevanza europea appena descritta con la quasi-preclusione ai trasferimenti USA il mercato del digital marketing deve affrontare una sfida forse mai incontrata prima, una vera e propria rivoluzione più volte annunciata e che renderà il 2022 un punto di svolta.
Dark pattern, come evitarli per la tutela dei consumatori europei e dei loro dati personali
