Pubblicità online, terremoto in arrivo: IAB Europe nel mirino del Garante Privacy Belga | Agenda Digitale

l'analisi

Pubblicità online, terremoto in arrivo: IAB Europe nel mirino del Garante Privacy Belga

L’autorità di controllo del Belgio ha avviato una istruttoria con riferimento al Transparency and Consent Framework di IAB Europe. Sono osservazioni rilevanti, per le loro implicazioni sul mercato pubblicitario, anche italiano. Ecco le conseguenze

28 Ott 2020
Chiara Benvenuto

avvocato, Studio Previti

Vincenzo Colarocco

Responsabile del Dipartimento Data Protection, Compliance e Cyber Security, Studio Previti Associazione Professionale


Le fondamenta del mercato pubblicitario online europeo tremano, per l’indagine che il Garante Privacy Belga sta conducendo su IAB Europe.

Con l’entrata in vigore del GDPR, IAB Europe – l’associazione europea che riunisce IAB (“Interactive Advertising Bureau”, principale associazione di categoria delle aziende di comunicazione e pubblicità) dei singoli Paesi membri – ha predisposto il Transparency and Consent Framework (“TCF”), con il proposito di supportare tutti i soggetti della catena della pubblicità digitale a garantire la conformità al nuovo Regolamento, ma anche alla Direttiva ePrivacy, in occasione del trattamento dei dati personali posto in essere nell’erogazione dei propri servizi.

In ragione dei plurimi reclami pervenuti da parte degli interessati, l’autorità garante privacy del Belgio ha avviato una istruttoria con riferimento al TCF. E dato che questo framework è alla base del mercato, questi sviluppi avranno conseguenze importanti sugli attori.

Che cos’è il Transparency and Consent Framework di IAB Europe

Il TCF, tra le altre cose, consente di accedere ad un “ambiente” (Consent Management Platform – CMP) in cui gli editori di siti web possono comunicare ai visitatori quali dati vengono raccolti e con quali aziende collaborano per la loro elaborazione: lo scopo è quello del raggiungimento del maggior livello di trasparenza ed informazione per l’utente.

Gli aderenti al framework sono tenuti a predisporre le informative ed i canali di acquisizione in maniera uniforme: in questo modo, si intende perseguire l’adozione di un linguaggio comune per la fornitura di pubblicità e contenuti online pertinenti e a volte personalizzati.

Il 21 agosto 2019 è stata lanciata una versione riveduta del TCF, il TCF 2.0, a seguito di un’ampia consultazione di settore.

Tra le novità della versione 2.0 vi è la previsione della possibilità per gli utenti di fornire o negare il consenso in maniera ulteriormente granulare: in questo modo, gli utenti otterrebbero un maggiore controllo sull’utilizzo dei propri dati da parte degli operatori del settore.

Il nuovo framework non produrrebbe benefici solo ed esclusivamente nei confronti degli utenti: agli editori verrebbe offerta la possibilità di ottenere un maggior controllo sia sui dati raccolti attraverso le proprie piattaforme, sia sulle operazioni di trattamento poste in essere da parte dei partner tecnologici.

Che cosa ha rilevato l’autorità di controllo belga sulla privacy

All’esito dell’istruttoria, con apposito report, l’autorità belga ha qualificato IAB Europe come titolare del trattamento.

La conclusione a cui è giunta l’autorità si basa sulle seguenti considerazioni:

  • il TCF impone regole obbligatorie ai soggetti aderenti, tra cui figurano gli inserzionisti e tutti coloro i quali hanno adottato una CMP;
  • la partecipazione al TCF è soggetta a pagamento, dovendosi, quindi, ritenere integrata l’erogazione di un servizio a beneficio di IAB;
  • IAB detiene la gestione ed il controllo;
  • IAB ha predisposto un elenco di finalità del trattamento dei dati raccolti;
  • IAB determina i mezzi di elaborazione;
  • IAB esercita il proprio controllo anche mediante la verifica della conformità degli aderenti al framework, in particolare con la previsione della natura vincolante di Termini e Condizioni.

A fronte di tale qualifica, l’authority ha svolto una serie di considerazioni in relazione ad alcuni aspetti del TCF che indurrebbero a ritenere lo stesso in contrasto con il GDPR ed in generale con la normativa vigente.

WHITEPAPER
Gestione dei contratti e GDPR: guida all’esternalizzazione di attività dei dati personali
Legal

In particolare, a parere dell’autorità belga:

  • il TCF pone erroneamente gli obblighi informativi e di trasparenza nei confronti degli utenti sui soggetti aderenti e sugli editori, mentre IAB, in qualità di titolare del trattamento, dovrebbe essere tenuto all’assolvimento di detti obblighi;
  • IAB incoraggia il ricorso all’interesse legittimo per il trattamento dei dati per la profilazione degli utenti. L’autorità ritiene che l’interesse legittimo non sia una base giuridica accettabile per la profilazione. Inoltre, anche se lo fosse, l’autorità osserva che non vi è alcuna prova che IAB abbia eseguito un legitimate interest assessment;
  • i titolari del trattamento utilizzano il TCF per elaborare dati di natura particolare, nonostante il TCF non fornisca regole adeguate a tale elaborazione. In particolare, la disciplina di cui all’art. 9 GDPR, per il trattamento di detta categoria di dati, richiede la preventiva acquisizione di un consenso esplicito in forma scritta, concetto questo differente dal “consenso univoco” promosso dal TCF;
  • Il TCF violerebbe gli articoli 24 e 32 del GDPR (rispettivamente sulla responsabilità del titolare del trattamento dei dati e sulla sicurezza del trattamento) dal momento che gli attori del trattamento sono autorizzati ad intrattenere rapporti con terzi editori anche a fronte dell’evidenza della violazione da parte di questi policy interne predisposte da IAB e/o della normativa UE applicabile.

La replica di IAB

IAB, con dichiarazione rilasciata il 16 ottobre sul proprio sito web, ha sostenuto come le osservazioni dell’autorità si basino su un erroneo convincimento.

A parere di IAB, sarebbe in primo luogo erronea la qualificazione di titolare del trattamento: partendo da questo assunto, IAB non sarebbe tenuto a porre in essere gli adempimenti informativi prescritti dalla normativa nei confronti degli utenti in occasione dell’adesione al TCF.

A parere di IAB nulla osta al ricorso al legittimo interesse quale base giuridica in occasione del trattamento per profilazione, e comunque il ruolo di IAB, da questi identificato in quello di responsabile e non di titolare, esonererebbe lo stesso dallo svolgimento di un legitimate interest assessment, che infatti spetterebbe esclusivamente agli aderenti.

Con riferimento al trattamento di particolari categorie di dati, che a parere dell’autorità sarebbe avvenuto in assenza di uno specifico consenso espresso in forma scritta, IAB rappresenta come il report ignori la circostanza per cui le policy adottate in occasione dell’adesione al framework escludono specificamente il trattamento di dati particolari.

Infine, IAB sostiene che le determinazioni del report siano inesatte anche con riguardo a quanto affermato sull’intervenuta violazione degli artt. 24 e 32, atteso che i soggetti aderenti sono tenuti a segnalare la sospetta violazione del publisher e ad astenersi da qualsiasi istruzione che si ponga in violazione con il TCF e con la normativa vigente.

Lo stato del procedimento

Il report è adesso al vaglio della Litigation Chamber.

IAB ha termine sino al 7 dicembre per fornire osservazioni per iscritto.

A loro volta, le parti che hanno presentato i reclami avverso il TCF innanzi all’autorità, possono esaminare le osservazioni di IAB e presentare le proprie ulteriori osservazioni entro l’11 gennaio, che a sua volta avrà tempo fino al 15 febbraio per presentare una ulteriore replica.

IAB non esclude di sollevare una questione pregiudiziale innanzi alla Corte di Giustizia europea sui ruoli del trattamento in caso di decisione negativa della Litigation Chamber.

Quali conseguenze e responsabilità, le ricadute sulle attività pubblicitarie online

In attesa dell’esito della vicenda sopra descritta, alcune considerazioni possono essere svolte sulle possibili conseguenze in cui potrebbe incorrere il gestore della piattaforma laddove ospiti un sistema di acquisizione dei consensi non conforme alla normativa vigente. Si pensi al caso dell’appalto per l’adeguamento della piattaforma o all’inserimento di indicatori di tracciamento di soggetti terzi.

La normativa ascrive, infatti, al gestore della piattaforma un controllo diretto sulle modalità di predisposizione dell’informativa privacy e di ogni altra informazione inerente al trattamento di dati personali eseguito tramite detta piattaforma.

Presso la piattaforma potrebbero essere installati cookie di tracciamento di prima parte, per conto e nell’interesse del gestore della piattaforma, ma anche di terza parte, ad esempio da parte di una concessionaria pubblicitaria per la realizzazione di cluster appetibili per futuri inserzionisti.

In primo luogo, il gestore potrebbe essere chiamato a rispondere in qualità di titolare del trattamento con riferimento ai cookie di prima parte, laddove venisse accertata la violazione delle disposizioni sugli adempimenti informativi e sulla raccolta del consenso.

Sebbene, infatti, possa scegliere di esternalizzare la gestione degli adempimenti informativi (es. predisposizione del cookie banner) è questi a definire finalità e modalità del trattamento e, quindi, a mantenere la supervisione ed il controllo sui contenuti veicolati attraverso la propria piattaforma, dovendo il fornitore attenersi al rispetto delle sue istruzioni.

Per quanto concerne, invece, i cookie di terza parte, grava sulla piattaforma ospite l’obbligo di controllo preventivo in ordine a informative e moduli per il consenso, a prescindere dalla ricorrenza della titolarità autonoma del vendor inserzionista e/o della concessionaria.

Il Garante per la protezione dei dati personali, con provvedimento dell’8 maggio 2014, ha affermato che ai fini di mantenere distinta la responsabilità dei gestori di siti web da quella delle terze parti i medesimi gestori sono tenuti ad acquisire già in fase contrattuale i collegamenti alle pagine web contenenti le informative e i moduli per l’acquisizione del consenso relativo ai cookie delle terze parti, con la conseguenza che l’omissione di tale accertamento preliminare (si fa riferimento alla fase precontrattuale), o comunque l’accettazione di moduli per l’acquisizione del consenso predisposti in palese violazione della normativa vigente, si tradurrà nella responsabilità del gestore che, scientemente, abbia consentito tale acquisizione per il tramite della propria piattaforma.

In entrambi i casi sopra illustrati, il gestore dovrebbe opporsi all’inserimento, presso la propria piattaforma, di detta modalità, o quantomeno avanzare una proposta di modifica, in linea con le prescrizioni per la validità del consenso.

A fronte del pervenuto report, un simile scenario potrebbe indurre i titolari delle piattaforme ospiti delle estensioni del framework a presentare proposte di modifica e/o richieste di chiarimento in relazione alle criticità rappresentate dall’authority, al fine di non incorrere in eventuali profili di responsabilità.

WHITEPAPER
Come è cambiato in Italia il quadro normativo dei pagamenti digitali verso la PA?

@RIPRODUZIONE RISERVATA

Articolo 1 di 3