Il 2 febbraio 2022 l'Autorità belga per la Protezione dei Dati (APD) ha emesso una decisione molto importante con profonde conseguenze per il settore pubblicitario (editori, inserzionisti e vendors). Naturalmente, abbiamo ricevuto molte domande sull’argomento da parte di clienti, partner e potenziali clienti.

 

In quanto fornitori di una Consent Management Platform (CMP), siamo in prima linea nell’aiutare i nostri clienti a raccogliere e gestire il consenso, ed è fondamentale per noi intraprendere questa conversazione e fornire tutta la documentazione utile sul tema.

 

In questa ottica di trasparenza, il 10 Febbraio abbiamo dedicato un webinar alla decisione dell’APD e le sue conseguenze, per discuterne con clienti, prospetti e partner e raccomandare azioni appropriate ed immediate. Abbiamo inoltre parlato dei potenziali impatti sul business, e ipotizzato gli scenari futuri.

 

Il webinar è stato animato dal Chief Technology Officer (CTO) di Didomi Jawas Stouli, lo Chief Privacy Officer (CPO) Thomas Adhumeau, il Vice-President (VP) of Product Antonio Anguiano e il presidente di Agnostik Frank Ducret. Puoi guardare la registrazione del webinar qui, e scorrere per ulteriori informazioni sulla decisione dell’APD belga sul TCF di IAB Europa.

 

 

Sommario:

 

 

Che cosa è il Transparency and Consent Framework (TCF)?

 

Prima di analizzare in dettaglio la decisione dell’APD belga, è importante definire e capire il Transparency and Consent Framework (TCF).

 

Il TCF è stato creato per soddisfare alcuni dei requisiti GDPR in materia di trasparenza e consenso, al fine di rendere lecito qualsiasi trattamento dei dati che avvenga nel contesto della pubblicità digitale. In sintesi : affinché il settore della pubblicità digitale fornisse il necessario livello di trasparenza agli utenti, garantendo al contempo il livello di controllo appropriato agli editori, era necessario un modo standardizzato per gestire il consenso.

 

Creato da IAB Europe, il TCF consente un libero flusso di informazioni dai responsabili del trattamento dei dati agli editori e agli utenti e viceversa. Si compone di quattro pilastri:

 

  • Un insieme di politiche che gli editori, i fornitori e le CMP devono rispettare

  • Specifiche, che i partecipanti devono implementare

  • Una lista globale dei fornitori, in modo che ci sia un elenco centralizzato e aggiornato di tutti i partecipanti

  • Le CMP, non gestite direttamente da IAB Europe

Questa decisione dell'APD belga ha avuto un impatto su tutti e quattro i pilastri.

 

Comprendere la decisione dell’APD belga

 

Mercoledì 2 febbraio 2022, l’Autorità per la Protezione dei Dati (APD) del Belgio ha sanzionato IAB per la cifra di 250.000 €, dichiarando IAB Europe un titolare del

trattamento delle informazioni sul consenso (anche chiamate TC String) conservate dalle CMP e condivise con i venditori Adtech ("tecnologia pubblicitaria”), attraverso il Transparency and Consent Framework (TCF). Cosa significa concretamente e quali sono le implicazioni di questa decisione?

 

Partiamo dal presupposto che l’intero documento della decisione dell’ADP belga è abbastanza complesso. Per facilitarne la comprensione, abbiamo estratto un riassunto delle assunzioni, con 4 informazioni chiave.

 

  • La Transparency & Consent (TC) string, la prova di consenso registrata dagli attori del settore pubblicitario, è considerata un’informazione personale, per la quale i partecipanti necessitano di stabilire una base legale, che sia il consenso, il legittimo interesse od altro.

  • IAB Europe agisce come “data controller”  di tale informazione, indipendentemente dal fatto che non processi l’informazione di consenso.

  • IAB Europa è controllore insieme agli altri partecipanti del TCF (vendors, CMP, editori). Di conseguenza, l’APD considera che IAB Europa non abbia stabilito la base giuridica per l’utilizzo della TC string. 

  • Le misure di sicurezza adottate per proteggere l’integrità della prova di consenso non sono ritenute sufficienti

 

Di conseguenza, IAB Europa deve elaborare un piano d'azione entro i prossimi due mesi, seguiti da 6 mesi per mettersi in conformità dal momento in cui il piano d'azione viene convalidato dall'APD.

 

Cosa significa per i nostri clienti? Quali sono le conseguenze della decisione per i publishers e gli advertisers?

 

  • Sarà vietato l'uso del legittimo interesse come base giuridica per il trattamento dei dati da parte delle organizzazioni partecipanti al TCF nel suo formato attuale (almeno per quanto riguarda le finalità di pubblicità comportamentale).

  • Gli utenti non possono ragionevolmente fornire il consenso informato per centinaia di fornitori. Pertanto il consenso, così come attualmente ottenuto, non è valido.

  • Le informazioni attualmente fornite non sono sufficienti per consentire agli utenti di fornire il consenso informato.

 

Cosa possono fare i nostri clienti mentre IAB Europe lavora al suo piano d'azione?

 

Raccomandazioni e azioni suggerite per i nostri clienti

 

Recommendations-IT (1)

 

Per aiutarti ad orientarti nei prossimi mesi, il nostro team ha definito un elenco di sei raccomandazioni per i nostri clienti e partner in merito alla decisione dell'APD.

 

Consiglio n°1: Richiedi il consenso per tutti i venditori e gli scopi del TCF, applicando restrizioni agli editori

 

“L’Ufficio Contenziosi ritiene che il legittimo interesse delle organizzazioni partecipanti non possa essere considerato un fondamento giuridico adeguato per le attività di trattamento che operano nell'ambito dell'OpenRTB, sulla base delle preferenze e delle scelte degli utenti acquisite in ambito TCF”. (Paragrafo 461)

 

L'APD ha affermato che l'interesse legittimo non può essere una base giuridica ai fini del TCF. Di conseguenza, la nostra prima raccomandazione è di utilizzare la nostra funzione di limitazione degli editori per filtrare i fornitori in base a interessi legittimi e richiedere il consenso solo come base legale per il futuro.

 

Consiglio n°2: Limita il numero di venditori per cui stai raccogliendo il consenso

Ti consigliamo di limitare il numero di venditori che sono inseriti nei tuoi avvisi di consenso e che operano sui tuoi siti web e sulle tue applicazioni mobile. La lista dei venditori dovrebbe essere esaustiva (cioè dovrebbero essere elencati tutti i venditori che elaborano i dati personali dei tuoi utenti) e dovrebbe riflettere un alto livello di controllo della filiera e della modalità con cui i dati personali vengono raccolti ed elaborati. Nello specifico, raccomandiamo di identificare con trasparenza i trasferimenti internazionali di dati, questione al centro anche dell'attenzione delle autorità europee per la protezione dei dati (sono citati dall'APD nella loro sentenza, sebbene ne siano identificati al di fuori).

 

Il numero accettabile di venditori non è stato esplicitato dall'APD e probabilmente dipende dalla tua attività, dai tuoi vincoli di monetizzazione e da come operi; non ci è quindi possibile formulare una raccomandazione valida per tutti.

Se hai bisogno di aiuto per stabilire la tua lista di venditori e valutare quali sono i più importanti per la tua attività, i nostri amici di Agnostik possono valutare la tua attuale configurazione e il contributo che ogni fornitore ti porta in termini di utili, in modo che tu possa prendere decisioni consapevoli. 

 

Nel corso degli anni, Agnostik ha sviluppato una competenza eccezionale nella valutazione dell'identità e del comportamento dei venditori.

Se sei un cliente Didomi, puoi inoltre contattare il tuo Customer Success Manager per ricevere assistenza sull’argomento.

 

Consiglio n°3: Presenta le categorie dei dati raccolti nel testo dell’avviso di consenso o delle preferenze

L'APD afferma inoltre che le categorie di dati devono essere comunicate agli utenti nell’avviso della CMP:

 

L’Ufficio Contenziosi comprende che l'interfaccia utente delle CMP non fornisce una panoramica delle categorie di dati raccolti, il che rende impossibile agli utenti fornire il proprio consenso informato.

 

Questa raccomandazione riguarda la chiarezza. Ti consigliamo vivamente di visualizzare le categorie di dati che stai raccogliendo sul tuo sito, cosa che puoi facilmente implementare con la nostra CMP. La maggior parte dei nostri clienti lo fa già, ma poiché questo è esplicitamente menzionato nella decisione ci teniamo comunque a ricordarlo.

 

Consiglio n°4: Organizza gli scopi di IAB in categorie

Uno dei punti evidenziati dall'APD è che le finalità del TCF non sono sufficientemente chiare, il che potrebbe compromettere la validità del consenso raccolto in quanto l'utente finale potrebbe non capire cosa sta accettando.

 

“L’Ufficio Contenziosi ritiene che le finalità di trattamento proposte non siano sufficientemente chiare così come descritte e che, in alcuni casi, siano addirittura ingannevoli”.

 

Suggeriamo di indicare gli scopi in categorie, utilizzando un linguaggio semplice, rendendolo più chiaro e facile da capire per i tuoi utenti. Tutto questo si puo’ facilmente configurare sulla nostra piattaforma.

 

Consiglio n°5: Rendi la revoca del consenso facile e accessibile

Uno dei punti evidenziati dall'APD è che le finalità del TCF non sono sufficientemente chiare, il che potrebbe compromettere la validità del consenso raccolto in quanto l'utente finale potrebbe non capire cosa sta accettando.

 

Un’opzione di revoca del consenso non chiara mette in pericolo la validità del consenso, poiché gli utenti potrebbero non sapere come revocarlo. Il nostro consiglio è di renderlo facile da individuare per gli utenti, direttamente disponibile nelle impostazioni o nel profilo dell'utente.

 

Consiglio n°6: Riproponi ai tuoi clienti l’avviso della CMP

 

“È responsabilità delle CMP e degli editori che implementano il TCF quella di adottare misure appropriate, in conformità con gli Articoli 24 e 25 del GDPR, assicurandosi che i dati personali raccolti in violazione degli Articoli 5 e 6 del GDPR non siano più processati e quindi rimossi.” (Paragrafo 535)

 

Infine, e poiché la decisione dell'APD suggerisce che tutti i segnali di consenso raccolti prima della sua decisione potrebbero violare il GDPR, ti consigliamo di riproporre l'avviso CMP ai tuoi utenti dopo che tutte le altre raccomandazioni sono state implementate.

 

Per ulteriori dettagli sui nostri consigli in merito alla decisione dell'APD belga, vai alla documentazione del nostro Centro assistenza dedicato (in inglese).

 

Possibili scenari futuri : come adattare il tuo business

 

Alla luce della decisione dell'APD, riteniamo che ci siano due possibili scenari nel prossimo futuro.

 

  • Scenario n. 1: il TCF, dopo aver lavorato con l'APD e aver implementato i miglioramenti richiesti, viene accettato.

  • Scenario n. 2: anche dopo aver implementato i miglioramenti richiesti, il TCF viene rifiutato dall'APD.

Qualunque sia il risultato, abbiamo bisogno di soluzioni alternative per le aziende che sviluppano il proprio business grazie alla pubblicità, sia come editori che come inserzionisti. Alla luce della decisione, la pubblicità tramite l'openRTB è discutibile dal punto di vista della conformità.

 

Per concludere, abbiamo elencato di seguito alcune delle migliori domande poste durante il webinar come riferimento. Per ulteriori domande, contatta il tuo account manager se sei un cliente Didomi.

 

Domande frequenti (Q&As)

 

 

Domande Generali

 

È una decisione esclusiva del Belgio? Anche le imprese di altri paesi europei dovrebbero applicare la decisione APD?

Una bozza della decisione è stata inizialmente condivisa con altre Data Protection Authorities, e l'APD che ha ricevuto commenti da due autorità su alcuni punti:

 

  • La co-titolarità istituita dall'APD

  • L'utilizzo del legittimo interesse per determinate operazioni di trattamento

  • La portata delle misure correttive

  • La sanzione amministrativa e il rapporto tra IAB Inc. e IAB Europe.

 

La bozza rivista è stata quindi condivisa con le altre DPA correlate, ma non sono stati aggiunti ulteriori commenti. Questo ci dice che queste altre DPA erano concordi con le assunzioni, ed è probabile che terranno conto di questa decisione per valutare qualsiasi reclamo in futuro.

 

Quali sono le tempistiche della decisione?

La decisione dell'APD (i) può essere impugnata e (ii) IAB ha diritto ad un periodo di due mesi per presentare un piano all'APD per prendere in considerazione le sue conclusioni e altri sei mesi per attuarle.

 

Incorro in concreti rischi legali continuando a utilizzare una CMP integrata con il TCF?

Se non hai attivato il TCF, la decisione non avrà alcuna conseguenza sul tuo business. Se utilizzi il TCF tramite la tua CMP, ti consigliamo di consultare le nostre raccomandazione per minimizzare i rischi.

 

Didomi e la decisione di ADP

 

Le CMP sono state definite dall’ADP dei “joint controllers”. Qual è la vostra visione?

Ci siamo sempre visti come data processor. Questo perché non dettiamo come i nostri clienti dovrebbero interagire con i loro utenti. In futuro potremmo eventualmente cambiare questa prospettiva e vederci come responsabili del trattamento dei dati per rispettare la decisione dell'APD. 

 

Quali sono gli impatti della decisione APD su Didomi in quanto CMP nell’ambito del TCF?

Stiamo ancora valutando gli impatti della decisione, ma sembrerebbe che l'APD assuma la posizione secondo cui i CMP sono co-titolari del trattamento delle informazioni sul consenso (la stringa TC in questo caso). Le CMP dovrebbero quindi stabilire una base giuridica come farebbe qualsiasi titolare del trattamento.

 

Avete intenzione di implementare delle azioni o dei cambiamenti nella,CMP?

Ci siamo sempre considerati come data processor. Supportiamo un'integrazione con il TCF, ma non ne imponiamo l'uso.

 

In definitiva, non crediamo di dover imporre una visione su cosa significhi la conformità per editori specifici e per il loro pubblico.

 

Questa è stata ed è ancora la nostra posizione per ora. Dato che l'APD sembra ritenere che i CMP siano anche i controllori delle informazioni sul consenso, tuttavia, potremmo dover cambiare alcune cose.

 

Per noi è importante comunicare in modo trasparente con i nostri clienti, potenziali clienti e partner su grandi novità del settore come questa, ma siamo ancora nelle prime fasi.

 

Comunicheremo, in tempi ragionevoli, se decideremo di apportare modifiche alla CMP che potranno applicarsi a tutti gli editori.

 

Didomi eliminerà i dati personali che sono stati raccolti sulla base di una TC string?

Nella decisione, l'APD chiede a IAB Europe di cancellare i dati a cui ha accesso nel contesto dell'ambito di applicazione globale del TCF. Non è chiaro se si applichi ad altri partecipanti al quadro.

 

La nostra posizione è che i nostri editori dovrebbero probabilmente raccogliere nuovamente il consenso, cancellando di conseguenza la TC string che è stata raccolta in precedenza.

 

La base giuridica del legittimo interesse sarà rimossa dalla CMP di Didomi?

Il ricorso all'interesse legittimo è stato definito inadeguato dall'APD per finalità relative alla pubblicità mirata o alla profilazione degli utenti, ad eccezione di finalità non legate al marketing come la misurazione dell'audience e delle prestazioni.

Al momento, non è chiaro se l'obbligo di vietare il ricorso al legittimo interesse per il trattamento dei dati personali da parte dei partecipanti al TCF si applichi a tutte le finalità del TCF o solo alla pubblicità personalizzata e alla profilazione.

Fino a quando questo non sarà chiarito, ti consigliamo di aggiungere restrizioni ai publisher per imporre il consenso come base legale.

 

Il Transparency & Consent Framework (TFC)

 

Dovrei disattivare il TFC sul mio sito?

Non lo consigliamo necessariamente, ma occorre considerare l’opzione di disattivare il TCF. I rischi associati con la decisione di APD saranno opportunamente chiarificati ma occorre che ogni business consideri i potenziali impatti sulla propria attività, e decida autonomamente come procedere. Naturalmente, siamo a disposizione per fornire informazioni dettagliate sul contesto, suggerire raccomandazioni e sostenere la tua attività, qualunque sia lo scenario futuro. Ci impegniamo inoltre a tenere al corrente i nostri clienti delle evoluzioni in corso.

 

Perché continuate a raccomandare il TCF?

Non stiamo raccomandando il TCF. Serviamo come facilitatori per gli editori che si affidano a noi per implementare la struttura TCF.

 

Detto questo, crediamo che se il TCF verrà rimosso, gli utenti si ritroveranno in una situazione ancora più oscura, in quanto il quadro di trasparenza e consenso è stato progettato per fornire maggiori informazioni su ciò che sta accadendo dietro le quinte.

 

Probabilmente è tutt'altro che perfetto al momento, ed è necessario perferzionarlo, ma è l'unico strumento che esiste al momento per garantire la trasparenza nella raccolta e gestione dei dati.

 

Suggerite di usare gli stack TCF?

L'APD ha indicato che il linguaggio TCF non è sufficientemente chiaro per consentire agli utenti di fornire consensi informati. Gli stack possono ancora essere utilizzati, ma dovrebbero essere integrati con più (e più chiare) spiegazioni agli utenti in un linguaggio semplice, poiché gli stack stessi non sono sufficienti per fornire informazioni granulari all'utente.

 

Se non ho fornitori IAB che eseguono pubblicità (come misurazione dell'audience), sono comunque impattato dalla decisione del’ADP?

Se non hai vendors che si adeguano al TCF la decisione dell’ADP non ha alcuna conseguenza per te. Dovresti disattivare il TCF sui tuoi siti/applicazioni/Smart TV. 

 

Azioni specifiche e raccomandazioni

 

Qual è il numero massimo di vendors autorizzati dall’APD?

Sfortunatamente, l'APD non esprime chiaramente quanti fornitori sono troppi o quanti sono accettabili.

È difficile formulare una raccomandazione chiara in merito e deve essere valutata da ciascun sito Web/app/editore in modo specifico, anche come compromesso con i tuoi vincoli di monetizzazione. Ai fini della monetizzazione, vediamo che i siti Web di solito funzionano in modo ideale con circa 200 fornitori e le app con circa 50 vendors. È probabile che 200 siano ancora troppi per l'APD, anche se è difficile esserne sicuri.

 

Come puoi presentare le categorie dei dati raccolti nel testo della CMP?

Se sei un cliente Didomi, c’è un campo speciale sulla nostra console per aggiungere il testo sugli scopi, o puoi fare come noi: mostrare  le categorie nella prima linea della tua notifica di consenso, per essere il più trasparente possibile.

 

Suggerite di eliminare il legittimo interesse da tutti gli scopi?

No. La decisione dell’ADP concerne soltanto l'interesse legittimo come base legale per il real-time bidding. Stiamo parlando solo del perimetro del TCF. Il legittimo interesse per altre aree non è al momento in discussione.

 

Quando si tratta delle caratteristiche speciali del TCF, è sempre richiesto il consenso. Per quanto riguarda le finalità speciali, l'interesse legittimo è ancora l'unica base giuridica disponibile nel contesto del TCF. Gli editori non sono obbligati ad intraprendere alcuna azione attualmente: sarà su IAB Europe ad apportare modifiche se necessario.

 

Quale soluzione per le funzionalità, le funzionalità speciali o gli scopi speciali? 

Questa è una buona domanda a cui dovrà rispondere l'IAB Europa nei suoi aggiornamenti al TCF.

 

Le finalità speciali si basano sull'interesse legittimo al momento ed il framework non fornisce alcun controllo su di esse a CMP/editori. Le funzionalità e le funzionalità speciali si basano sull'attivazione (non necessariamente sul consenso) e dovrebbero essere comunque accettabili.

 

Richiedi una demo