Home

Pubblicità online: luci e ombre del nuovo IAB Europe Transparency Consent Framework

06 Settembre 2023

L’articolo esamina la nuova versione 2.2 del Transparency & Consent Framework (TCF) di IAB Europe, analizzandone le origini giurisprudenziali e confrontandone i contenuti con le versioni che l'hanno preceduto. L'analisi mette in evidenza le potenziali carenze e ombre dell’aggiornato framework rispetto agli orientamenti dell’Autorità di Controllo, riconoscendo al contempo i miglioramenti apportati e indicando le azioni di compliance pratiche per gli operatori.

Introduzione

Il Transparency & Consent Framework (TCF) di IAB Europe è una soluzione collaborativa progettata dall’associazione europea di categoria degli advertiser per aiutare le aziende (vendor, publisher, fornitori di CMP) a conformarsi al Regolamento Generale sulla Protezione dei Dati (“GDPR”) e alla cd. Direttiva ePrivacy nell’ambito della pubblicità online. Il nuovo TCF mira a standardizzare:

  • le macro-tipologie e le descrizioni dei trattamenti di dati attraverso tecnologie traccianti (es. cookie, SDK ecc.)
  • le categorie di dati utilizzabili;
  • le basi giuridiche per il trattamento;
  • il processo di ottenimento, validazione e condivisione dei dati nell'ecosistema della pubblicità digitale ed, infine,
  • le procedure di accreditamento ed auditing dei soggetti che intendono aderire al nuovo framework.

Il nuovo framework rappresenta dunque il tentativo, non sempre riuscito, da parte di IAB Europe di risolvere, tramite standardizzazione, le non conformità sollevate, pochi anni addietro, da alcune NGOs e dall’Information Commissioner’s Office britannico (ico.org.uk/media/about-the-ico/documents/4019050/opinion-on-data-protection-and-privacy-expectations-for-online-advertising-proposals.pdf) e sanzionate, da ultimo, dalla Autorité de protection des données belga (cfr. www.dataprotectionauthority.be/citizen/iab-europe-held-responsible-for-a-mechanism-that-infringes-the-gdpr).

Per ogni elemento caratterizzante, si illustrano le novità introdotte dal TCF confrontandole con gli orientamenti giurisprudenziali e l’esperienza di compliance sul campo dell’autore.

Luci e ombre sulla standardizzazione del TCF 2.2

  • Standardizzazione delle finalità e user-control

Una delle principali non conformità rilevate dalle Autorità di Controllo rispetto al precedente TCF (versione 2.0) era l'assenza di trasparenza e di controllo da parte degli utenti digitali sul trattamento dei loro all'interno dell'ecosistema della pubblicità online.

Colmare questo gap è uno dei miglioramenti più significativi del nuovo TCF: attraverso l'Appendice A del framework, IAB Europe propone attivamente un elenco delle macro-finalità; dei trattamenti che vi rientrano; dei tipi di dati personali che possono essere trattati, e delle rispettive basi giuridiche che possono essere adottate dagli operatori adtech.

L'obiettivo, suggerito anche dalle Autorità che si erano espresse a riguardo (ICO e l'Autorità di Controllo belga), era quello di far creare all'Industry standard comuni tra vendor, publisher e fornitori CMP, con l'effetto intermedio di fornire agli interessati informazioni trasparenti, esaustive, coerenti a prescindere da chi le presenta e ottenendo il risultato commerciale di una migliore e più fluida condivisione dei dati all'interno di quel mercato, oscuro agli utenti medi, chiamato Adtech/Real Time Bidding.

Il framework aggiornato prevede quindi che publisher e vendor forniscano agli utenti informazioni più granulari sulle finalità del trattamento dei dati e sulla base giuridica di ciascuna finalità (art. 12, TCF Policies versione 2.2). Inoltre, gli utenti devono avere la possibilità di fornire o ritirare il consenso od opporsi per ogni singola finalità (art. 13, TCF Policies versione 2.2).

Un'analisi attenta, tuttavia, potrebbe mettere in dubbio che questi miglioramenti siano sufficienti a risolvere le preoccupazioni sollevate dalle Autorità di Controllo che se ne sono occupate. Ad esempio, la granularità delle informazioni fornite agli utenti potrebbe essere ancora eccessiva, portando ad un affaticamento del consenso (c.d. consent fatigue) che ne mina l'efficacia. Questa preoccupazione sembra confermata anche dall'assenza, in tutto il TCF, di qualsiasi riferimento esplicito ai cd. dark pattern; alle opinioni di EDPB e delle singole Autorità sul tema, tra cui quella dell'Autorità Garante che avuto modo di occuparsene, inter alia, nel recente provv. Ediscom (doc. web n. 9870014).

Non è dato sapere se il TCF abbia implicitamente incluso questo tema e/o se sia stato oggetto delle interazioni con l'Autorità belga durante le fasi di dialogo successive alla sanzione a IAB Europe. Nel dubbio, dovranno essere i singoli advisor a dover prendere in considerazione gli orientamenti delle Autorità competenti, non solo in tema di dark pattern, ma anche sulla validità e l'estensione di un consenso conferito come “merce di scambio” per l'accesso ad un sito o alla lettura di un articolo di giornale. Fino a che punto, all'interno della vasta catena di operatori adtech, potranno essere condivisi dati personali che rappresentino una giusta ed equa controprestazione al consenso raccolto da un singolo publisher?

  • Standardizzazione dei dati trattati

All'interno dell'opera di standardizzazione, IAB Europe ha incluso anche le categorie di dati personali che possono essere trattati per le diverse finalità. Al pari delle finalità, non si può che accogliere di buon grado una tabella “unica” di confronto tra gli operatori su quali dati è possibile raccogliere e condividere. Peraltro, da questo elenco sono escluse espressamente le speciali categorie di dati personali dell'art. 9 GDPR, quindi già in linea con il divieto generale introdotto dal futuro Digital Service Act.

All'occhio attendo, tuttavia, questa espressa tipizzazione non sembra togliere i dubbi rispetto a quelle categorie di dati che, per non entrando nel novero tipico dell'art. 9 GDPR, sono state fatte in qualche modo rientrare, a colpi di sentenze e decisioni, in un tertium genus di “dati altamente riservati” a metà via tra dati personali comuni e c.d. sensibili. Ne sono un esempio i dati finanziari (che anche ENISA considera “ad alto rischio” nella propria metodologia sui data breach; l'esempio della profilazione nel gambling indicata nelle linee guida 8/2020 di EDPB ecc.); i dati personali comuni da cui potrebbero ipoteticamente essere inferite speciali categorie di dati personali (es. acquisti di prodotti di brand vegani, senza lattosio, per celiaci, ecc.); i dati di geolocalizzazione (es. presso una clinica, una chiesa o in anche quanto tali, come pare dalla consultazione pubblica del CNIL sui veicoli connessi o da alcune recenti leggi statunitensi). Se già questo non bastasse ad interrogarsi caso per caso, l'operatore attento dovrà poi considerare il nascente orientamento sull'identificabilità o meno di dati pseudonimizzati condivisi con terzi, nonché l'emergere di alcuni tool paralleli come le c.d. data clean room che puntano a non utilizzare necessariamente dati identificativi in seno al digital marketing.

  • Standardizzazione delle basi giuridiche

La versione 2.2 del TCF amplia e consolida le basi giuridiche per gli advertiser: non solo il consenso (per la maggior parte delle finalità proposte) ma anche il legittimo interesse.

Non è certamente una novità: si era già visto in passato il ricorso a quest'ultima base giuridica da parte di alcune CMP e anche alcuni social media l'hanno di recente inclusa nei propri termini. Qui l'impressione però è che si sia fatto il passo più lungo della gamba. Ciò che non torna all'operatore accorto è come si sia risolta l'annosa questione sull'assenza del legittimo interesse tra le basi giuridiche possibili dell'art. 5(3) della Direttiva ePrivacy (che prevedono solo esecuzione di un servizio richiesto o il consenso), nonché sull'interplay tra questa e il GDPR. Ad aggiungere carne sul fuoco, ci sono poi le linee guida sulle eccezioni al consenso di WP29, le sentenze della CGUE (es. Planet49) nonché le interpretazioni/linee guida sui cookie rilasciate praticamente da ognuna delle Autorità di Controllo europee (compresa quella dell'Autorità Garante che la esclude in modo esplicito). Purtroppo, il TCF non se ne occupa ammettendolo in modo esplicito e lasciando, agli operatori, la determinazione della base giuridica corretta, del bilanciamento degli interessi e della conformità con la legge locale.

L'effetto di quanto precede appare pertanto evidente: da una parte, le organizzazioni (sia vendor che publisher) saranno portate statisticamente ad (ab)usare del legittimo interesse come base giuridica soprattutto se stabilite in giurisdizioni differenti; dall'altro, gli advisor dovranno far presente:

  • gli orientamenti di EDPB nelle linee guida 8/2020;
  • gli orientamenti delle Autorità (specie italiana ed olandese) che, oltre a non contemplare il legittimo interesse come base giuridica per i traccianti online, non vedono nel mero interesse commerciale un interesse degno di essere “legittimo”;
  • l'attuale e sempre più accesa giurisprudenza che qualifica le attività di profilazione commerciale, a prescindere dalle ricadute sui soggetti interessati, come attività soggette al consenso.

  • I ruoli privacy nel TCF

Il TCF ha il merito di fornire la propria interpretazione sui ruoli di titolare o responsabile di vendor, publisher e CMP, con lo sperato effetto di stabilire chiarezza ed evitare interpretazioni divergenti. L'intento è certamente lodevole tuttavia, anche qui, non sembra essere stato coordinato con gli orientamenti della CGEU (ex pluribus, Fashion ID) e le recenti linee guida 8/2020 di EDPB che, pur velatamente, avevano paventato l'estensione dei ruoli privacy dei social media (contitolarità) a quello oggettivamente simile degli operatori adtech. La stessa Autorità belga, nel citato provvedimento contro IAB Europe, segnalava la contitolarità di quest'ultima nella creazione proprio degli standard TCF. Anche di questo non si parla nel nuovo TCF.

Purtroppo, di nuovo, saranno gli advisor a dover fare i conti con il necessario coordinamento tra standard proposti dall'associazione di categoria e la normativa giurisprudenziale fornita dalla CGUE, EDPB e dalle singole Autorità.

  • Gli adempimenti previsti dal TCF

Il TCF 2.2 introduce nuovi requisiti e meccanismi di adesione/certificazione per vendor, publisher e CMP per dimostrare la loro conformità al framework, tra cui l'obbligo di sottoporsi ad audit annuali da parte di terze parti indipendente (art. 24, TCF Policies versione 2.2). Questo era stato richiesto anche dall'Autorità belga nel provvedimento più volte citato. Si tratta quindi di uno sviluppo positivo, in quanto rafforza la responsabilità degli operatori e aumenta in potenza la fiducia nel TCF.

Ne siamo convinti? Si potrebbero sollevare alcuni dubbi sull'efficacia di questi audit come mezzo per garantire la conformità. Invero, il TCF non pare fornire indicazioni dettagliate sul processo di audit, lasciando spazio a variazioni nella qualità e a potenziali conflitti di interesse. Inoltre, il TCF non stabilisce un meccanismo di applicazione centralizzato, affidandosi invece alle Autorità di Controllo nazionali per far rispettare la normativa. Questo, assieme alle 27 implementazioni della Direttiva ePrivacy, potrebbero portare a un'applicazione incoerente in tutta l'UE, compromettendo gli obiettivi di armonizzazione. In assenza del c.d. Regolamento ePrivacy, la creazione di organismo di autoregolamentazione centralizzato per garantire un'applicazione coerente delle politiche TCF in tutta l'UE e/o la ripresa dei lavori su un codice di condotta europeo potrebbero essere la soluzione. In assenza di tutto questo, ognuno dovrà fare il meglio che può all'interno del proprio “orticello”, con la costante presenza del principio di accountability come velata minaccia. 

  • Gli adempimenti normativi su tutti gli operatori

Il TCF ricorda a tutti gli operatori che le attività di digital advertising comportano la necessità di svolgere valutazioni di impatto (DPIA); sul legittimo interesse (LIA) nonché, se del caso, sui trasferimenti extra SEE (DTIA). A fronte di una standardizzazione delle finalità, non è seguito tuttavia un template aggiornato di DPIA o di LIA che potesse fungere da base elementare di analisi e discussione comune con EDPB o le Autorità, lasciando quest'ultime e gli advisor in balia di peculiarità e orientamenti nazionali contrari agli intenti del TCF stesso, nonchè di quelli generali di armonizzazione del mercato UE.

Ulteriore tema sottaciuto è la continuità dei trattamenti dei dati raccolti pre-TCF, che lascia più domande che risposte. Se il precedente framework è stato considerato in violazione della normativa per assenza di trasparenza (e, dunque, validità dei consensi), si dovrà procedere con una nuova raccolta una volta implementato il TCF 2.2? Come rendere compatibile l'unico consenso alla pubblicità comportamentale online raccolto in passato con le nuove macro-finalità dell'Appendice A? Un test di compatibilità ex art. 6.4 GDPR darà davvero i risultati attesi dall'organizzazione alla luce dell'interpretazioni della Commissione UE? (“Se la tua azienda/organizzazione ha raccolto i dati in base al consenso o a seguito di un obbligo previsto dalla legge, non è possibile alcun ulteriore trattamento al di fuori dei settori coperti dal consenso originale o dalla disposizione di legge. Un ulteriore trattamento richiede un nuovo consenso o una nuova base giuridica.” (commission.europa.eu/law/law-topic/data-protection/reform/rules-business-and-organisations/principles-gdpr/purpose-data-processing/can-we-use-data-another-purpose_it).  

  • Interoperabilità e collaborazione

Il TCF 2.2 introduce nuove specifiche tecniche e protocolli di comunicazione standardizzati per facilitare lo scambio di informazioni sul consenso tra editori, venditori e piattaforme di CMP (art. 20, TCF Policies versione 2.2). Questo, a sommesso avviso di chi scrive, rappresenta la principale attività che ci si aspettava da IAB Europe: ridurre la necessità di clausole e manleve legali (attivate di rado a detta dell'Autorità belga) attraverso l'uniformità di standard tecnici e di comunicazione che evitino la frammentazione e incompatibilità tra le diverse CMP e gli altri componenti dell'ecosistema pubblicitario digitale.

Come già segnalato, l'istituzione di un'autorità o di un gruppo di lavoro centralizzato per supervisionare lo sviluppo e l'implementazione di standard tecnici per il TCF, potrebbe garantire coerenza e interoperabilità in tutto l'ecosistema, facilitando lo scambio efficace di informazioni sul consenso e migliorando il controllo degli utenti sul trattamento dei propri dati.

  • Formazione ed enforcement

Sebbene il TCF 2.2 introduca diversi miglioramenti rispetto alle precedenti versioni, il successo del framework dipende in ultima analisi dalla consapevolezza e dalla comprensione dei suoi requisiti da parte degli stakeholder. Sul punto, si è già notata in rete una certa confusione e incomprensione, in particolare tra i publisher e vendor più piccoli che potrebbero non avere le risorse e le competenze necessarie per comprendere e implementare appieno le politiche del TCF, affidandosi ad advisor altamente qualificati e/o a CMP di terze parti già allineate al TCF 2.2.

Va notato che IAB Europe ha già reso disponibile un'estensione per il browser Chrome chiamata "CMP Validator", che include tutti i requisiti della versione 2.2 e che può essere utilizzata per verificare la conformità di una CMP alla nuova versione del framework. IAB Europe ha, inoltre, in programma lo sviluppo di materiali e risorse educative mirate, come webinar, workshop e documenti di orientamento, per aiutare le parti interessate a comprendere e attuare meglio le politiche del TCF. Saranno davvero utili e chiari anche per le SME o le organizzazioni saranno portate a cercare soluzioni chiavi in mano ricamate di disclaimer e manleve fornite da terzi?

In conclusione

Il nuovo TCF 2.2 di IAB Europe rappresenta un passo avanti significativo verso la standardizzazione e la conformità nel campo della pubblicità online. Le nuove caratteristiche del framework, come la standardizzazione delle macro-finalità, delle categorie di dati trattati e delle basi giuridiche consentite, offrono una maggiore trasparenza o, quanto meno, coordinamento tra gli operatori e dovrebbero consentire agli utenti di avere un maggiore controllo sui propri dati personali.

Tuttavia, nonostante i miglioramenti apportati, ci sono ancora alcune ombre riguardo all'efficacia del TCF 2.2. Ad esempio, la granularità delle informazioni fornite agli utenti potrebbe essere eccessiva e portare a un affaticamento del consenso. Inoltre, l'assenza di riferimenti espliciti ai "dark pattern" solleva interrogativi sulla protezione degli utenti da pratiche manipolative o se queste modalità siano in realtà già state prese in considerazione.

La standardizzazione delle basi giuridiche, incluso il legittimo interesse, è un altro aspetto che solleva dubbi. Le questioni sull'interplay tra il legittimo interesse e il GDPR, nonché gli orientamenti delle Autorità di Controllo, potrebbero causare incertezze e discrepanze nell'applicazione del TCF nell'UE.

Inoltre, la definizione dei ruoli privacy di vendor, publisher e CMP all'interno del TCF non sembra essere completamente allineata con gli orientamenti giurisprudenziali. È necessario un coordinamento più stretto per evitare interpretazioni divergenti e garantire una chiara attribuzione delle responsabilità.

Infine, sebbene l'obbligo di sottoporsi ad audit annuali da parte di terze parti indipendenti rappresenti un passo nella giusta direzione, rimangono dubbi sull'efficacia di tali audit e sulla mancanza di dettagli sul processo di audit stesso. L'assenza di un meccanismo di applicazione centralizzato e l'eterogeneità delle implementazioni della Direttiva ePrivacy nei diversi Stati membri potrebbero compromettere la coerenza e l'armonizzazione dell'applicazione del TCF in tutta l'Unione Europea.

In definitiva, il TCF 2.2 rappresenta un progresso importante nel promuovere la trasparenza e il controllo nell'ecosistema della pubblicità digitale, ma è necessario affrontare le lacune e le sfide ancora presenti per garantire una protezione adeguata dei dati personali degli utenti e una conformità uniforme nelle pratiche dell'industria della pubblicità online.

Vuoi leggere tutti i contenuti?

Attiva la prova gratuita per 15 giorni, oppure abbonati subito per poter
continuare a leggere questo e tanti altri articoli.