Il caso

Privacy, ecco perché la sanzione del Garante belga a IAB farà scuola

Il 2 febbraio 2022 il Garante privacy belga ha comminato a IAB Europe, associazione che raggruppa inserzionisti e intermediari nel mondo digitale, una multa da 250.000 euro, per un’interpretazione ritenuta strumentale del GDPR: la sanzione è stata emanata applicando il meccanismo one-stop-shop previsto dal regolamento

Pubblicato il 16 Feb 2022

Riccardo Berti

Avvocato e DPO in Verona

Franco Zumerle

Avvocato Coordinatore Commissione Informatica Ordine Avv. Verona

Un provvedimento che, per molti commentatori, farà scuola a livello comunitario. Il 2 febbraio 2022 il Garante privacy belga ha comminato a IAB Europe, “Interactive Advertising Bureau”, associazione che raggruppa inserzionisti e intermediari nel mondo digitale, una sanzione da 250.000 euro.

La sanzione del Garante belga è stata emanata quale autorità capofila (lead authority) in applicazione del meccanismo cosiddetto “one-stop-shop” (o “dello sportello unico”) previsto dal GDPR agli articoli 56 e 60 nonché nei considerando 127, 128 e 130, per la determinazione della competenza in caso di trattamenti transfrontalieri effettuati da un singolo titolare o responsabile.

Se le pronunce delle varie Authority ci hanno abituati a importi ben più rilevanti, la sanzione in questione è in realtà molto significativa perché segna un punto di svolta per il Garante belga (Autorité de protection des données o APD in francese o Gegevensbeschermingsautoriteit GBA in olandese), finora ritroso ad applicare il principio del c.d. “one-stop-shop” previsto dal GDPR nel suo pieno potenziale.

Whatsapp e i Garanti europei: lo one stop shop “irlandese” mostra tutti i suoi limiti

Caso IAB, cosa dice il Garante privacy belga

Il Garante belga non era apparso ai più un’autorità incline all’applicazione del meccanismo specie perché in alcuni casi è sembrata contestare il ruolo di capofila dell’Autorità garante irlandese con riguardo alle varie compagnie USA con base nell’isola. La pervicacia del Garante belga nel sanzionare Facebook aveva in particolare portato ad un contenzioso giudiziale risolto dalla Corte di Giustizia UE ritagliando competenze residue non marginali per le autorità nazionali pur in presenza di una autorità capofila (Sentenza CGUE del 15.06.2021), statuizione che ha creato non pochi grattacapi nelle varie multinazionali il cui business include o riguarda il trattamento dei dati, che da allora sono ben consce della possibilità di “incursioni” (per trattamenti dati, pur transnazionali, che coinvolgono “sostanzialmente” soggetti presenti in un solo stato, per provvedimenti urgenti, etc.) da parte di ulteriori autorità.

In questo caso però il Garante belga ha fatto pieno uso della disciplina di cui agli artt. 56 e 60 GDPR, operando in condivisione con le ulteriori autorità privacy interessate (di fatto tutte quelle dell’Unione vista l’estensione delle attività di IAB). Quindi gli effetti di questo provvedimento vanno oltre il territorio belga e si ripercuotono di fatto sull’intera Unione e verso chi vuole trattare dati di persone presenti nell’Unione. L’importanza del provvedimento è quindi duplice, sia perché avrà effetto diretto nell’intera Unione, sia perché traccia una nuova via verso l’utilizzo di questo potente strumento previsto nel GDPR.

IAB e l’utilizzo dei dati

IAB raggruppa numerosi inserzionisti e intermediari del mercato dell’advertising digitale in Europa. L’associazione ha cercato di sviluppare soluzioni che tengano conto del GDPR ma che consentano comunque una profilazione il più possibile estesa degli utenti. Nel fare ciò IAB ha però evidentemente interpretato con particolare larghezza le disposizioni del GDPR, in particolare nascondendo sotto il “cappello” del legittimo interesse attività di profilazione dell’utenza non ammissibili a mente della normativa europea.

IAB ha in particolare sviluppato e proposto nel 2018 ai suoi associati il Transparency & Consent Framework (TCF), giunto ora alla versione 2.0, ovvero uno strumento che si occupa sia della gestione dell’informativa e del consenso degli utenti digitali al trattamento dati da parte di siti web ed app e in particolare al trattamento costituito da attività di profilazione. Il principale “veicolo” di queste preferenze (e dei limiti sul loro utilizzo) è raccolto sul dispositivo dell’utente sotto forma di cookie (che IAB chiama TC Strings) e può essere consultato da ogni ulteriore aderente al framework ove autorizzato (con il consenso dell’interessato o per legittimo interesse).

La forza di IAB sta nella successiva condivisione dei dati fra i vari soggetti aderenti al framework, consentendo così una efficace attività di retargeting (pubblicità mirata sulla base del precedente comportamento su app o web dell’utente) garantita dalla estesa diffusione degli associati IAB e dal funzionamento del sistema OpenRTB (Real Time Bidding) una piattaforma su cui gli inserzionisti possono condurre aste istantanee per vendere pubblicità sui siti web da mostrare ai naviganti, pubblicità che costa di più quando nel framework sono inseriti dati dell’utente destinatario che consentono all’inserzionista di avere maggiori garanzie circa l’interesse dell’utente ai prodotti o servizi sponsorizzati.

È evidente che per ottenere questi risultati (sebbene il progetto TCF nasca, nelle dichiarazioni di IAB, con l’obiettivo della ricerca di un equilibrio fra diritti degli utenti e interessi di inserzionisti e intermediari) sia necessario ottenere quanti più dati possibili e questo obiettivo è raggiunto da IAB sia interpretando generalmente l’estensione del trattamento dati consentito sulla base del legittimo interesse, sia offrendo un quadro poco chiaro agli utenti sull’estensione della condivisione dei dati a cui gli utenti possono assentire sul singolo sito web aderente al framework.

La sanzione del Garante privacy belga

La ridotta portata economica della sanzione del Garante belga rispecchia il fatto che IAB, ha lavorato tenendo conto del GDPR, avallandone però un’interpretazione strumentalmente favorevole ai propri interessi (oltre al fatto che la stessa IAB, per la sua particolare natura associativa, non genera ricavi paragonabili a quelli di altre aziende commerciali).

Le enormi sanzioni a cui ci hanno abituato i garanti europei sono invece solitamente caratterizzate dal rilievo che le aziende sanzionate si sono spesso disinteressate in toto del GDPR, salvo promuoverne un rispetto formale disatteso però dall’effettivo comportamento dei loro software. L’intervento del Garante belga non è quindi una integrale bocciatura del sistema TCF promosso da IAB, quanto piuttosto l’imposizione di una profonda revisione del meccanismo (entro sei mesi).

Innanzitutto, il Garante corregge IAB riguardo alla propria posizione riguardo al trattamento dei dati, affermando che la stessa è contitolare del dato e non mero responsabile esterno

Essendo che IAB nel gestire il TCF definisce i mezzi del trattamento dei dati da parte dei soggetti aderenti al framework, la stessa non può essere qualificata come responsabile esterno del trattamento dei dati, ma piuttosto deve essere qualificata come contitolare del dato. Questo impone in capo a IAB una completa revisione della propria impostazione privacy, con conseguenti responsabilità più estese ed incisive (innanzitutto la nomina di un DPO, la stesura di una Valutazione di Impatto con riferimento al meccanismo delle TC Strings e la revisione delle policy e dei registri).

Oltre a questo, IAB dovrà procedere ad una revisione delle misure tecnologiche ed organizzative a tutela dei dati personali contenuti nelle sue TC Strings, conducendo altresì un audit sui vari soggetti a cui verrà consentito accesso al framework. Infine, viene imposta una revisione delle informative e dei moduli per la raccolta del consenso, eliminando la base di trattamento del legittimo interesse quale valido fondamento per la raccolta delle preferenze degli utenti.

La reazione di IAB

Dal proprio sito web IAB ha reagito (quantomeno in apparenza) in maniera costruttiva di fronte al provvedimento dell’APD, affermando che questa costituisce stimolo per trasformare il Transparency & Consent Framework (TCF) in un vero e proprio codice di condotta ai sensi dell’art. 40 GDPR. IAB evidenzia poi come le richieste rivolte al Garante belga erano più ampie rispetto a quelle effettivamente accolte dall’APD e che, in particolare, l’Autorità non ha dichiarato illegale il TCF.

l’Associazione ha anche precisato che non ha ancora deciso se impugnare o meno il provvedimento (i termini scadono a inizio marzo). La IAB critica però la decisione dell’Autorità belga principalmente in due punti:

  • dove l’ha riconosciuta quale titolare del dato (secondo IAB il TCF non tratta dati personali e comunque IAB potrebbe al più essere considerata un responsabile esterno dei vari inserzionisti e intermediari che si sono associati creando IAB);
  • dove ha affermato che le cosiddette TC Strings costituiscono dati personali.

Se sul ruolo formale di IAB (titolare o responsabile) si può discutere, pare invece difficile revocare in dubbio la statuizione del Garante belga con riguardo alla natura di dato personale delle TC Strings, che sono raccolte di preferenze create dalle piattaforme di gestione del consenso (CMP) che lavorano per i singoli proprietari di siti web e app riuniti in IAB al fine di acquisire le scelte degli interessati per attività di personalizzazione della pubblicità digitale, peraltro potenzialmente condivise fra i vari componenti del network al fine di diffondere il dato sulle preferenze fra vari player del mercato digitale.

Sebbene le TC Strings non riconducano di per sé a soggetti individuati, è abbastanza chiaro (visto lo scopo per cui sono stati raccolti) come l’obiettivo della loro raccolta sia quello di individuare e “seguire” sul web un soggetto, con ciò di fatto potendolo individuare aggiungendo al dato della TC String ulteriori dati (ad esempio l’IP).

Le conseguenze

Le conseguenze di questo provvedimento sono senz’altro di grande impatto sia per la centralità che viene di nuovo riconosciuta all’autorità capofila nei procedimenti relativi a trattamenti dati transfrontalieri, sia perché mette in discussione un framework per la gestione delle informative e dei consensi che sembrava ed era promosso come più rigoroso e trasparente degli altri presenti sul mercato. Le ramificazioni dello IAB sono tentacolari nell’Unione e pertanto le ricadute del provvedimento vedranno ora coinvolti i singoli (con)titolari dei dati con IAB, ovvero i singoli gestori di siti ed app che provvedono a informare gli utenti e a raccogliere i loro consensi.

Il termine di adeguamento di sei mesi concesso a IAB verosimilmente farà da “moratoria” anche per i vari fruitori del suo servizio consentendo all’associazione di adeguarsi e diffondere questo adeguamento a tutti i CMP (ad esempio dando direttive sulla limitazione dell’uso del legittimo interesse come base del trattamento anche relativo ai singoli siti).

Le ricadute del provvedimento saranno però soprattutto economiche, in quanto il servizio offerto da IAB, la vera forza del suo framework, consiste nella possibilità di personalizzare l’advertisement sulla base delle preferenze del singolo utente. Con meno dati a disposizione è evidente il declinare dell’interesse di un’azienda a investire economicamente in pubblicità online. Il web dei cookie viene depotenziato ogni giorno, con un’azione congiunta da parte dei fornitori di OS e browser e dei regolatori, imponendo ai grandi player di ripensare il modo di declinare la propria attività pubblicitaria online in vista dell’ormai inevitabile tramonto dei cookie.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

EU Stories - La coesione innova l'Italia

Tutti
Iniziative
Social
Analisi
Video
Finanza sostenibile
BEI e E-Distribuzione: investimenti per la sostenibilità energetica
Professioni
Servono competenze adeguate per gestire al meglio i fondi europei
Master
Come formare nuove professionalità per governare e gestire al meglio i fondi europei?
Programmazione UE
Assunzioni per le politiche di coesione: prossimi passi e aspettative dal concorso nazionale. Il podcast “CapCoe. La coesione riparte dalle persone”
innovazione sociale
Rigenerazione urbana: il quartiere diventa un hub dell’innovazione. La best practice di San Giovanni a Teduccio
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Finanza sostenibile
BEI e E-Distribuzione: investimenti per la sostenibilità energetica
Professioni
Servono competenze adeguate per gestire al meglio i fondi europei
Master
Come formare nuove professionalità per governare e gestire al meglio i fondi europei?
Programmazione UE
Assunzioni per le politiche di coesione: prossimi passi e aspettative dal concorso nazionale. Il podcast “CapCoe. La coesione riparte dalle persone”
innovazione sociale
Rigenerazione urbana: il quartiere diventa un hub dell’innovazione. La best practice di San Giovanni a Teduccio
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati