Skip to main content

IAB Europe multata dalla DPA belga per violazioni del GDPR

    L'ultima decisione di violazione del GDPR viene dal Belgio, poiché la DPA belga ha multato IAB Europe di 250.000 euro per violazioni del GDPR derivanti dal loro Transparency and Consent Framework (TCF). Esploriamo il background di questo caso e la gamma di impatti che avrà sulle agenzie di marketing e pubblicità in tutta Europa.

    Cos'è IAB Europe?

    IAB (Interactive Advertising Bureau) Europe è un'associazione di marketing e pubblicità digitale composta da IAB nazionali, aziende di media, aziende tecnologiche e agenzie di marketing e pubblicità. La loro missione è quella di promuovere la collaborazione tra i politici e l'industria della pubblicità e del marketing, al fine di creare standard e pratiche a livello industriale che aiutino lo sviluppo del business in tutta Europa.

    Cos'è il Transparency and Consent Framework (TCF)?

    Uno dei loro più grandi successi è stata la creazione e l'implementazione del TCF. Lo descrivono come "l'unica soluzione di consenso GDPR costruita dall'industria per l'industria, creando un vero approccio standard di settore".

    Fondamentalmente, il TCF crea un ambiente in cui i proprietari di siti web possono informare i visitatori su quali tipi di dati personali vengono raccolti, come i dati saranno trattati e utilizzati, e quali altre terze parti hanno accesso ad essi. La TCF dà anche ai professionisti un linguaggio comune da usare quando si forniscono informazioni sul consenso informato riguardo alla raccolta di dati personali.

    Lo scopo era quello di aiutare a garantire che tutti coloro che sono coinvolti nel processo di marketing e pubblicità digitale fossero conformi al GDPR e all'ePrivacy quando elaborano dati personali o memorizzano informazioni sui dispositivi attraverso l'uso di cookie, ID e altre tecnologie di tracciamento.

    Questo è stato particolarmente importante per le aziende che utilizzano il protocollo OpenRTB - uno dei protocolli di offerta in tempo reale più utilizzati, importante per gli inserzionisti che fanno offerte per spazi pubblicitari sui siti web. Gli utenti quotidiani sono spesso all'oscuro di questi protocolli e algoritmi, che li prendono di mira e controllano i processi dietro le quinte, ma hanno familiarità con i pop-up. Questi pop-up o banner - di solito gestiti da piattaforme di gestione del consenso (CMP) - permettono agli utenti di acconsentire alla raccolta e all'uso dei loro dati personali. La TCF aiuta a catturare, attraverso la CMP, le preferenze degli utenti.

    In seguito, le preferenze sono memorizzate in una TC String che può essere condivisa con altre organizzazioni nel sistema OpenTRB. Questa stringa, insieme ai cookie, è legata all'indirizzo IP di un utente - rendendolo identificabile.

    Il caso contro IAB Europe

    Dal 2019, la DPA belga ha ricevuto numerose denunce su IAB Europe, specifiche per il TCF e come viola il GDPR. Proprio questa settimana, hanno concluso il caso e concordato con gli argomenti delle denunce.

    Sulla base dell'uso del TCF, la DPA ha dichiarato che IAB Europe sta "agendo come responsabile del trattamento dei dati per quanto riguarda la registrazione del segnale di consenso dei singoli utenti, le obiezioni e le preferenze per mezzo di una stringa unica di trasparenza e consenso (TC), che è collegata a un utente identificabile". Questo significa che sono vincolati dal GDPR e responsabili di eventuali violazioni. Hanno continuato ad elencare varie violazioni del GDPR:

    • Legalità: IAB Europe non ha stabilito una base giuridica per il trattamento della TC String.
    • Trasparenza: Le informazioni fornite dal CMP sono troppo generiche e vaghe, il che rende difficile per gli utenti avere il controllo dei loro dati personali.
    • Responsabilità e sicurezza: Non ci sono misure organizzative o tecniche in linea con la protezione dei dati by design e by default.
    • Altri obblighi: IAB Europe non aveva nominato un DPO, completato una DPIA (valutazione d'impatto sulla protezione dei dati), o tenuto un registro delle attività di trattamento.

    Sulla base di questi risultati, la DPA belga ha multato IAB Europe di 250.000 euro, dando loro due mesi per creare un piano d'azione per porre rimedio a queste infrazioni e sei mesi per attuarlo. La DPA ha anche dichiarato che IAB Europe deve, senza indugio, cancellare tutti i dati degli utenti che sono stati elaborati sotto l'attuale sistema TCF.

    IAB Europe ha intenzione di appellarsi a questa decisione, dicendo alla rivista Forbes: "Rifiutiamo la constatazione che siamo un controllore di dati nel contesto del TCF. Crediamo che questa constatazione sia sbagliata dal punto di vista giuridico e avrà importanti conseguenze negative non volute che vanno ben oltre l'industria della pubblicità digitale. Stiamo considerando tutte le opzioni per quanto riguarda una sfida legale".

    L'impatto della decisione della DPA belga

    Proprio come la decisione della DPA austriaca contro Google Analytics, la recente decisione belga avrà effetti di vasta portata in tutta Europa e negli Stati Uniti.

    Come Hielke Hijmans, presidente della Camera del contenzioso della DPA belga, ha dichiarato in merito alla decisione, "Il trattamento dei dati personali (ad esempio la cattura delle preferenze degli utenti) sotto la versione attuale del TCF è incompatibile con il GDPR, a causa di una violazione intrinseca del principio di equità e legalità. Le persone sono invitate a dare il consenso, mentre la maggior parte di loro non sa che i loro profili vengono venduti un gran numero di volte al giorno per esporli ad annunci personalizzati. Anche se riguarda il TCF, e non l'intero sistema di offerte in tempo reale, la nostra decisione di oggi avrà un grande impatto sulla protezione dei dati personali degli utenti di Internet. L'ordine deve essere ripristinato nel sistema TCF in modo che gli utenti possano riprendere il controllo dei loro dati".

    Sulla base del meccanismo dello sportello unico, questa decisione in Belgio è immediatamente applicabile in tutta l'UE. Attualmente, circa l'80% di internet in Europa si basa sul TCF, secondo il Consiglio irlandese per le libertà civili. La decisione di sanzionare IAB Europe e limitare l'uso del TCF, insieme all'obbligo di cancellare tutti i dati attuali, avrà un impatto su editori, inserzionisti, aziende tecnologiche e grandi aziende tecnologiche come Google e Amazon.

    Molti inserzionisti stanno cercando un modo per andare avanti, ma per gli editori e i proprietari di siti web i prossimi passi potrebbero essere l'implementazione di opzioni cookieless che non tracciano più gli indirizzi IP, memorizzano i dati sui dispositivi degli utenti o richiedono preferenze di consenso attraverso i CMP.

    Noi di Visitor Analytics costruiamo tutto con una mentalità incentrata sulla privacy, il che significa che il nostro prodotto è conforme al GDPR/CCPA e in grado di funzionare senza l'obbligo di cookie, banner di consenso o memorizzazione dei dati.