Il caso

Privacy, ecco perché la sanzione del Garante belga a IAB farà scuola

Il 2 febbraio 2022 il Garante privacy belga ha comminato a IAB Europe, associazione che raggruppa inserzionisti e intermediari nel mondo digitale, una multa da 250.000 euro, per un’interpretazione ritenuta strumentale del GDPR: la sanzione è stata emanata applicando il meccanismo one-stop-shop previsto dal regolamento

16 Feb 2022
Riccardo Berti

avvocato Centro Studi Processo Telematico

Franco Zumerle

Avvocato Coordinatore Commissione Informatica Ordine Avv. Verona

Un provvedimento che, per molti commentatori, farà scuola a livello comunitario. Il 2 febbraio 2022 il Garante privacy belga ha comminato a IAB Europe, “Interactive Advertising Bureau”, associazione che raggruppa inserzionisti e intermediari nel mondo digitale, una sanzione da 250.000 euro.

La sanzione del Garante belga è stata emanata quale autorità capofila (lead authority) in applicazione del meccanismo cosiddetto “one-stop-shop” (o “dello sportello unico”) previsto dal GDPR agli articoli 56 e 60 nonché nei considerando 127, 128 e 130, per la determinazione della competenza in caso di trattamenti transfrontalieri effettuati da un singolo titolare o responsabile.

Se le pronunce delle varie Authority ci hanno abituati a importi ben più rilevanti, la sanzione in questione è in realtà molto significativa perché segna un punto di svolta per il Garante belga (Autorité de protection des données o APD in francese o Gegevensbeschermingsautoriteit GBA in olandese), finora ritroso ad applicare il principio del c.d. “one-stop-shop” previsto dal GDPR nel suo pieno potenziale.

Whatsapp e i Garanti europei: lo one stop shop “irlandese” mostra tutti i suoi limiti

Caso IAB, cosa dice il Garante privacy belga

Il Garante belga non era apparso ai più un’autorità incline all’applicazione del meccanismo specie perché in alcuni casi è sembrata contestare il ruolo di capofila dell’Autorità garante irlandese con riguardo alle varie compagnie USA con base nell’isola. La pervicacia del Garante belga nel sanzionare Facebook aveva in particolare portato ad un contenzioso giudiziale risolto dalla Corte di Giustizia UE ritagliando competenze residue non marginali per le autorità nazionali pur in presenza di una autorità capofila (Sentenza CGUE del 15.06.2021), statuizione che ha creato non pochi grattacapi nelle varie multinazionali il cui business include o riguarda il trattamento dei dati, che da allora sono ben consce della possibilità di “incursioni” (per trattamenti dati, pur transnazionali, che coinvolgono “sostanzialmente” soggetti presenti in un solo stato, per provvedimenti urgenti, etc.) da parte di ulteriori autorità.

candidatura
Passione per la cybersecurity? Candidati per la squadra di IT & Cyber Security Governance di P4I!
Sicurezza
Cybersecurity

In questo caso però il Garante belga ha fatto pieno uso della disciplina di cui agli artt. 56 e 60 GDPR, operando in condivisione con le ulteriori autorità privacy interessate (di fatto tutte quelle dell’Unione vista l’estensione delle attività di IAB). Quindi gli effetti di questo provvedimento vanno oltre il territorio belga e si ripercuotono di fatto sull’intera Unione e verso chi vuole trattare dati di persone presenti nell’Unione. L’importanza del provvedimento è quindi duplice, sia perché avrà effetto diretto nell’intera Unione, sia perché traccia una nuova via verso l’utilizzo di questo potente strumento previsto nel GDPR.

IAB e l’utilizzo dei dati

IAB raggruppa numerosi inserzionisti e intermediari del mercato dell’advertising digitale in Europa. L’associazione ha cercato di sviluppare soluzioni che tengano conto del GDPR ma che consentano comunque una profilazione il più possibile estesa degli utenti. Nel fare ciò IAB ha però evidentemente interpretato con particolare larghezza le disposizioni del GDPR, in particolare nascondendo sotto il “cappello” del legittimo interesse attività di profilazione dell’utenza non ammissibili a mente della normativa europea.

IAB ha in particolare sviluppato e proposto nel 2018 ai suoi associati il Transparency & Consent Framework (TCF), giunto ora alla versione 2.0, ovvero uno strumento che si occupa sia della gestione dell’informativa e del consenso degli utenti digitali al trattamento dati da parte di siti web ed app e in particolare al trattamento costituito da attività di profilazione. Il principale “veicolo” di queste preferenze (e dei limiti sul loro utilizzo) è raccolto sul dispositivo dell’utente sotto forma di cookie (che IAB chiama TC Strings) e può essere consultato da ogni ulteriore aderente al framework ove autorizzato (con il consenso dell’interessato o per legittimo interesse).

La forza di IAB sta nella successiva condivisione dei dati fra i vari soggetti aderenti al framework, consentendo così una efficace attività di retargeting (pubblicità mirata sulla base del precedente comportamento su app o web dell’utente) garantita dalla estesa diffusione degli associati IAB e dal funzionamento del sistema OpenRTB (Real Time Bidding) una piattaforma su cui gli inserzionisti possono condurre aste istantanee per vendere pubblicità sui siti web da mostrare ai naviganti, pubblicità che costa di più quando nel framework sono inseriti dati dell’utente destinatario che consentono all’inserzionista di avere maggiori garanzie circa l’interesse dell’utente ai prodotti o servizi sponsorizzati.

È evidente che per ottenere questi risultati (sebbene il progetto TCF nasca, nelle dichiarazioni di IAB, con l’obiettivo della ricerca di un equilibrio fra diritti degli utenti e interessi di inserzionisti e intermediari) sia necessario ottenere quanti più dati possibili e questo obiettivo è raggiunto da IAB sia interpretando generalmente l’estensione del trattamento dati consentito sulla base del legittimo interesse, sia offrendo un quadro poco chiaro agli utenti sull’estensione della condivisione dei dati a cui gli utenti possono assentire sul singolo sito web aderente al framework.

La sanzione del Garante privacy belga

La ridotta portata economica della sanzione del Garante belga rispecchia il fatto che IAB, ha lavorato tenendo conto del GDPR, avallandone però un’interpretazione strumentalmente favorevole ai propri interessi (oltre al fatto che la stessa IAB, per la sua particolare natura associativa, non genera ricavi paragonabili a quelli di altre aziende commerciali).

Le enormi sanzioni a cui ci hanno abituato i garanti europei sono invece solitamente caratterizzate dal rilievo che le aziende sanzionate si sono spesso disinteressate in toto del GDPR, salvo promuoverne un rispetto formale disatteso però dall’effettivo comportamento dei loro software. L’intervento del Garante belga non è quindi una integrale bocciatura del sistema TCF promosso da IAB, quanto piuttosto l’imposizione di una profonda revisione del meccanismo (entro sei mesi).

Innanzitutto, il Garante corregge IAB riguardo alla propria posizione riguardo al trattamento dei dati, affermando che la stessa è contitolare del dato e non mero responsabile esterno

Essendo che IAB nel gestire il TCF definisce i mezzi del trattamento dei dati da parte dei soggetti aderenti al framework, la stessa non può essere qualificata come responsabile esterno del trattamento dei dati, ma piuttosto deve essere qualificata come contitolare del dato. Questo impone in capo a IAB una completa revisione della propria impostazione privacy, con conseguenti responsabilità più estese ed incisive (innanzitutto la nomina di un DPO, la stesura di una Valutazione di Impatto con riferimento al meccanismo delle TC Strings e la revisione delle policy e dei registri).

Oltre a questo, IAB dovrà procedere ad una revisione delle misure tecnologiche ed organizzative a tutela dei dati personali contenuti nelle sue TC Strings, conducendo altresì un audit sui vari soggetti a cui verrà consentito accesso al framework. Infine, viene imposta una revisione delle informative e dei moduli per la raccolta del consenso, eliminando la base di trattamento del legittimo interesse quale valido fondamento per la raccolta delle preferenze degli utenti.

La reazione di IAB

Dal proprio sito web IAB ha reagito (quantomeno in apparenza) in maniera costruttiva di fronte al provvedimento dell’APD, affermando che questa costituisce stimolo per trasformare il Transparency & Consent Framework (TCF) in un vero e proprio codice di condotta ai sensi dell’art. 40 GDPR. IAB evidenzia poi come le richieste rivolte al Garante belga erano più ampie rispetto a quelle effettivamente accolte dall’APD e che, in particolare, l’Autorità non ha dichiarato illegale il TCF.

l’Associazione ha anche precisato che non ha ancora deciso se impugnare o meno il provvedimento (i termini scadono a inizio marzo). La IAB critica però la decisione dell’Autorità belga principalmente in due punti:

  • dove l’ha riconosciuta quale titolare del dato (secondo IAB il TCF non tratta dati personali e comunque IAB potrebbe al più essere considerata un responsabile esterno dei vari inserzionisti e intermediari che si sono associati creando IAB);
  • dove ha affermato che le cosiddette TC Strings costituiscono dati personali.

Se sul ruolo formale di IAB (titolare o responsabile) si può discutere, pare invece difficile revocare in dubbio la statuizione del Garante belga con riguardo alla natura di dato personale delle TC Strings, che sono raccolte di preferenze create dalle piattaforme di gestione del consenso (CMP) che lavorano per i singoli proprietari di siti web e app riuniti in IAB al fine di acquisire le scelte degli interessati per attività di personalizzazione della pubblicità digitale, peraltro potenzialmente condivise fra i vari componenti del network al fine di diffondere il dato sulle preferenze fra vari player del mercato digitale.

Sebbene le TC Strings non riconducano di per sé a soggetti individuati, è abbastanza chiaro (visto lo scopo per cui sono stati raccolti) come l’obiettivo della loro raccolta sia quello di individuare e “seguire” sul web un soggetto, con ciò di fatto potendolo individuare aggiungendo al dato della TC String ulteriori dati (ad esempio l’IP).

Le conseguenze

Le conseguenze di questo provvedimento sono senz’altro di grande impatto sia per la centralità che viene di nuovo riconosciuta all’autorità capofila nei procedimenti relativi a trattamenti dati transfrontalieri, sia perché mette in discussione un framework per la gestione delle informative e dei consensi che sembrava ed era promosso come più rigoroso e trasparente degli altri presenti sul mercato. Le ramificazioni dello IAB sono tentacolari nell’Unione e pertanto le ricadute del provvedimento vedranno ora coinvolti i singoli (con)titolari dei dati con IAB, ovvero i singoli gestori di siti ed app che provvedono a informare gli utenti e a raccogliere i loro consensi.

Il termine di adeguamento di sei mesi concesso a IAB verosimilmente farà da “moratoria” anche per i vari fruitori del suo servizio consentendo all’associazione di adeguarsi e diffondere questo adeguamento a tutti i CMP (ad esempio dando direttive sulla limitazione dell’uso del legittimo interesse come base del trattamento anche relativo ai singoli siti).

Le ricadute del provvedimento saranno però soprattutto economiche, in quanto il servizio offerto da IAB, la vera forza del suo framework, consiste nella possibilità di personalizzare l’advertisement sulla base delle preferenze del singolo utente. Con meno dati a disposizione è evidente il declinare dell’interesse di un’azienda a investire economicamente in pubblicità online. Il web dei cookie viene depotenziato ogni giorno, con un’azione congiunta da parte dei fornitori di OS e browser e dei regolatori, imponendo ai grandi player di ripensare il modo di declinare la propria attività pubblicitaria online in vista dell’ormai inevitabile tramonto dei cookie.

dal 14 al 17 giugno 2022
FORUM PA 2022: Le sfide globali della cybersecurity e della sovranità digitale
Sicurezza
Privacy
@RIPRODUZIONE RISERVATA

Articolo 1 di 4