Si prepara un altro scossone all’utilizzo dei cookie online: il più diffuso framework di loro impiego – ovvero il Transparency & Consent Framework (TCF) dello IAB Europe e del suo IAB Tech Lab, ora nella sua ultima versione 2.0 del 2019 ma attivo fin dal 2018 (in risposta settoriale proprio all’entrata in vigore del GDPR), da tempo oggetto di critiche e attenzione da parte delle autorità di controllo privacy – sta per subire mutamenti fondamentali, proprio a seguito di un procedimento presso l’autorità privacy belga di controllo (APD).
Tale procedimento è in via di conclusione: il provvedimento finale, probabilmente sanzionatorio, avrà effetti che andranno ben oltre quelli del territorio belga, visto che sarà condiviso con tutte le autorità dell’Unione (meccanismo di cooperazione per l’uniformità applicativa tramite “one stop shop” ex art. 56 GDPR) così da spiegare effetto sull’intero territorio. Lo stesso IAB ha già ventilato la possibilità di venire dichiarata in violazione della normativa GDPR, con effetti a cascata per tutti gli utilizzatori.
Vediamo di cosa si tratta e con quale portata.
Indice degli argomenti
Cos’è il TCF di IAB, fondamentale per il digital marketing
Ricordiamo brevemente che IAB è l’Interactive Advertising Bureau, la maggior associazione internazionale del digital advertising. Nel suo percorso ha proposto uno schema di utilizzo dei cookie a scopo promozionale, il Transparent&Consent Framework (“TCF”), subito adottato dai player del settore come standard di riferimento.
Per rimarcare l’importanza e diffusione di tale framework basti dire che è adottato da Google per l’advertising, inoltre quasi tutti i fornitori di servizi per cookie (banner, consent management ecc.) offrono agli utenti la possibilità di aderirvi e implementare le corrispondenti funzionalità. Il framework consta di una API (una soluzione CMP, cioè Consent Management Platform) e di un protocollo condiviso per la gestione dei cookie e relativi consensi/utilizzi. Come spiega Google “per integrarsi con IAB TCF v2.0, un publisher deve implementare una CMP registrata TCF v2.0 sul proprio sito o app. Il CMP crea e invia la stringa TC (Transparency & Consent). Quindi, i tag degli annunci e gli SDK di Google utilizzano la stringa TC che ricevono dalla CMP”.
Il TCF offre dunque una standardizzazione (facoltativa) nella raccolta consensi e dati tramite cookie soprattutto di terza parte, oltre a fornire alla supply chain dell’advertising segnalazioni in un formato comune, rapidamente leggibile e utilizzabile in un flusso potenzialmente ininterrotto e tentacolare. IAB all’introduzione del suo framework ne dichiarò la finalità di supporto “all’ecosistema della pubblicità digitale nel rispettare gli obblighi previsti dal GDPR e dalla Direttiva ePrivacy“.
La prima versione del TCF è stata notevolmente espansa dalla versione 2.0 del 2019, includendovi numerosi dati in più circa l’interessato, come indicato dallo stesso IAB in questo schema che fa emergere, in particolare, l’uso cross-device e la combinazione di dati tra più fonti, l’uso di una più precisa geolocalizzazione ecc.:
Le criticità contestate dall’autorità privacy belga
Tra i principali propugnatori del reclamo avverso il TCF, avviato nel 2018, troviamo – assieme a varie associazioni come Panoptykon Foundation (Polonia), Stichting Bits of Freedom (Paesi Bassi), Ligue des Droits Humains (Belgio), oltre al ricercatore e attivista Jef Ausloos – l’Irish Council of Civil Liberties, nella persona di Johnny Ryan che afferma di stare per ottenere, con la pronuncia belga e dopo ben quattro anni di indagini e accertamenti, un grande risultato.
Tramite il riconoscimento della mancata adeguatezza al GDPR del meccanismo di banner e consenso utilizzato dal protocollo TCF con le funzioni di RTB (Real Time Bidding), “trasmettendo dati sul comportamento degli utenti di Internet e la loro geolocalizzazione nel mondo reale a migliaia di aziende, miliardi di volte al giorno. RTB è la più grande violazione dei dati mai registrata”, in difetto della dovuta trasparenza e di consensi specifici.
Sempre Ryan afferma che “IAB Europe ha creato un falso sistema di consenso che ha “spammato” tutti, ogni giorno, e non è servito a nulla se non a dare una sottile copertura legale alla massiccia violazione dei dati nel digital advertising. Speriamo che la decisione dell’autorità belga per la protezione dei dati costringa finalmente il settore della pubblicità online a riformarsi”.
Il RTB (Real Time Bidding) – meccanismo di asta in tempo reale tra gli operatori per mostrare agli utenti pubblicità mirata sulla base di profilazioni ad hoc – è da tempo anch’esso nel mirino delle autorità e pesanti dubbi di violazione delle normative aleggiano su molti aspetti applicativi.
Pubblicità online: così il “Real Time Bidding” viola i nostri dati e si beffa del Gdpr
Il tema è tra quelli affrontati dall’esame dell’autorità belga: non è ancora noto e ufficiale su cosa e come si pronuncerà estesamente, tuttavia sono emersi alcuni aspetti di probabile decisione (come già parzialmente esposti dalla stessa IAB Europe). Alcuni punti su cui pare l’APD belga si esprimerà sono i seguenti:
- l’identificare IAB Europe quale titolare del trattamento dei dati personali presenti nelle c.d. “TC Strings” (stringhe TC), ovvero informazioni digitali generate sui siti Web (cioè dai publisher) per registrare le scelte degli interessati-utenti sul trattamento dei loro dati personali circa il digital advertising; una stringa contiene caratteri codificati con tutte le informazioni rilevanti sul consenso dell’utente, avrebbe lo scopo di consentire un trattamento in linea con il GDPR in quanto rispettoso delle informazioni rese all’interessato e dei principi del Regolamento; la stringa viene altresì trasmessa a tutte le parti in gioco (cioè i bidder del RTB); tra i dati ivi inclusi ritroviamo metadati relativi al consenso, finalità possibili di utilizzo dei dati, basi di trattamento (consenso/legittimo interesse), quali provider hanno ricevuto il consenso, restrizioni del publisher (ad es. proprio sulle base giuridiche ammesse), Paese di giurisdizione del provider, ecc. – tutti memorizzati localmente sul dispositivo utente tramite apposito cookie; si veda anche lo schema di presentazione della TC string 2.0 dello stesso IAB:
- si badi che IAB ammette che una stringa TC venga creata sia dopo che l’utente abbia manifestato una volontà, un consenso positivo (tramite una chiara azione affermativa che significhi inequivocabilmente un consenso di quell’utente), sia con segnali connessi alla sussistenza di un interesse legittimo a cui l’utente non si sia opposto;
- l’APD considera queste stringhe TC come dati personali, in quanto contenenti, tra l’altro, un identificatore univoco dell’interessato utente, mentre IAB ha finora sostenuto, curiosamente, il contrario (la questione ricorda il passato percorso giurisprudenziale per arrivare a dichiarare tutte le forme di IP, statico o dinamico, quale dato personale – tuttavia da quanto sopra riportato pare evidente che le stringhe TC contengano ben di più dell’IP…);
- identificare IAB Europe quale contitolare del trattamento per l’uso di TC Strings nel contesto specifico di OpenRTB (la piattaforma RTB di IAB);
- pertanto, non essendosi considerata finora quale titolare di alcun trattamento, IAB non avrebbe adempiuto a determinati obblighi che spettano ai titolari del trattamento ai sensi del GDPR (informative, consensi, accordo di contitolarità nel caso sopra detto, ecc. – la liceità e trasparenza del trattamento sarebbero gravemente compremesse) e in tal caso dovrà adeguarsi compiendo ogni adempimento dovuto, oltre a essere probabilmente sanzionata per il pregresso;
Rispetto a tutto ciò sono noti altri temi da tempo oggetto di interesse da parte delle autorità di controllo, come ad es. l’uso di basi legali di trattamento non pertinenti (il legittimo interesse) invece di quella corretta consensuale per cookie per fini di marketing, se non in abusiva “sommatoria” con la base consensuale.
Vedremo se questo provvedimento andrà ad appurare questi ulteriori frangenti delle prassi IAB. Il provvedimento definitivo dell’autorità belga a chiusura della vicenda è realisticamente atteso non prima dell’inizio del 2022.
Il progetto di conversione nel codice di condotta IAB
Stupisce un poco (ma riflettendoci meglio si può pensare sia frutto di una più articolata strategia protratta fin dall’inizio del TCF) che a fronte di quanto sopra – cioè di una ormai prossima dichiarazione di illiceità protratta per anni – IAB rilanci dichiarando di voler rendere il proprio TCF, ovviamente con le dovute correzioni concordate con le autorità di controllo, un Codice di condotta transfrontaliero per il digital advertising, pare ai sensi dell’art. 40 GDPR.
Non poco per un progetto che è prosperato per quattro anni potenzialmente in violazione di varie norme e principi del GDPR e che ciononostante può divenire non solo un benchmark di mercato – come attualmente è – bensì anche una best practice a norma di legge, riconosciuta dalle autorità dell’Unione. Sarà curioso monitorare l’evoluzione di questo percorso paradossale.
Conclusioni
Quanto sopra ci insegna diverse cose.
Anzitutto che i titolari che impiegano il TCF di IAB dovrebbero mutare indirizzo: in attesa delle innovazioni conseguenti all’accordo con l’autorità irlandese, gli stessi titolari hanno gioco nel modificare una serie di parametri e opzioni nell’uso del framework.
Ci si dovrà adeguare al nuovo ruolo di IAB quale contitolare/titolare autonomo, tenendone conto nei propri adempimenti (informative, consensi, DPIA ecc.).
Ma, soprattutto, si dovrebbero trovare altre modalità, meno invasive e non stridenti con la trasparenza e liceità richieste dal GDPR, per fare digital advertising. Ci si può chiedere, peraltro, se in sede di accountability gli utilizzatori del TCF abbiano mai compreso e realizzato quali fossero i rischi e le violazioni implicati dal funzionamento del framework stesso, (innumerevoli) utilizzatori che si potranno vedere indicati al pari di IAB quali violatori del GDPR. Qualcuno ha mai svolto ad es. una DPIA per l’uso dell’interesse legittimo tramite TCF? E sull’uso delle stringhe TC?
Poi ci insegna che se si porta avanti, come IAB, una strategia di “quasi-compliance”, con un protocollo ampiamente condiviso e sostenuto nel settore, di fatto si può riuscire a gestire (e far gestire) per anni i dati personali non in regola (se confermato dalla pronuncia della DPA belga) senza sanzioni o blocchi rilevanti.
Certo qualcuno potrà lamentarsi, persino “abbaiare” (l’ICO inglese anni fa aveva avviato accertamenti poi “interrotti” per via del Covid e dunque non turbare un mercato online che sarebbe stato penalizzato da ulteriori accertamenti – un’ammissione implicita di non voler inoltrarsi su un terreno che sapeva di bruciato) ma le vere conseguenze potrebbero arrivare dopo molti anni (e molti profitti dopo) e per importi inferiori all’incassato.
Addio ai cookie di terze parti: ecco le nuove strategie di promozione dei brand
E si potrà infine cercare di negoziare con le autorità per arrivare a un compromesso accettabile, chiedendo loro di avvicinarsi alle proprie posizioni e non il contrario.
Non è una bella vicenda, da questo punto di vista, per la protezione dei dati personali, anzi rafforza quanto la Zuboff sostiene da tempo circa le strategie dei big player del digitale per imporre la propria visione della privacy e della sorveglianza di massa.
Non si può che concludere che in ogni caso l’utilizzo dei cookie di terze parti è destinato a un breve tramonto e dunque si potrebbero considerare queste discussioni quasi crepuscolari. Dovrebbero insegnarci però molto su come affrontare le prossime sfide: il digital marketing non sparirà di certo, nonostante le proposte di divieti di legge ecc., potrà cambiare pelle e tecniche. La storia del TCF dovrebbe mettere in guardia sul come gestire le prossime novità, sono già qui.
