Per sopravvivere nell’enorme ecosistema digitale che ci circonda è necessario, prima di tutto, essere in regola con le normative disposte in materia di protezione dei dati personali. E spesso ciò non accade.
Vediamo cosa succede quando non si rispetta il regolamento generale sulla protezione dei dati, prendendo in esempio lo IAB Europe e la multa da 250.000 euro.
IAB Europe manca di trasparenza e correttezza richieste dal GDPR
Per capire al meglio la normativa europea sulla privacy e l’utilizzo di cookies dobbiamo far riferimento alla multa inflitta dal Garante Della Privacy Belga, coordinato dall’Irish Council for Civil Liberties, allo IAB Europe (Interactive Advertising Bureau), una delle principali associazioni europee di digital marketing e advertising, accusata di aver violato la direttiva GDPR ed ePrivacy in materia di dati personali.
L’oggetto della discussione è il “Transparency & Consent Framework” (TCF): si tratta di un metodo standardizzato per gli inserzionisti e i professionisti del marketing online, che li aiuta nella gestione dei consensi da parte degli utenti.
Dopo una lunga disputa, il 2 febbraio si è pronunciata la sentenza a favore del Garante Della Privacy che recita:
“L’approccio adottato finora non soddisfa le condizioni di trasparenza e correttezza richieste dal GDPR.
Infatti, alcune delle finalità di trattamento dichiarate sono espresse in modo troppo generico perché gli interessati possano essere adeguatamente informati sull’esatta portata e natura del trattamento dei loro dati personali.”
L’avvocato per la privacy Cobun Zweifel-Keegan spiega i punti cruciali delle violazioni da parte dello IAB nel seguente tweet.
The Belgian DPA decision on IAB Europe’s Transparency and Consent Framework is out. Finds issues with bases of processing for #adtech and accountability, among others.
— Cobun Zweifel-Keegan (@cobun) 2 febbraio 2022
The decision is worthy of a closer read, but here are a few initial thoughts: ? https://t.co/CtoNDQ3fBf
I cookies sono l’oro moderno
La vicenda ha radici lontane, quando già nel 2018 è stato introdotto il GDPR.
Da quel momento in poi, quando visitiamo un sito web, ci appare un pop-up che richiede il nostro consenso al trattamento dei dati di navigazione (e non dati sensibili o personali).
Accettando, il Consent Management Platform (CMP) entra in gioco: questa piattaforma ci permette di raccogliere e gestire la privacy degli utenti, così da memorizzarne i dati ogni volta che accedono al sito.
Tale collezione di dati avviene tramite la “Transparency and Consent String” (TC String) sviluppata dallo IAB Europe.
Di conseguenza il CMP collocherà il cookie “euconsent-v2” sul dispositivo dell’utente così da continuare a tracciarlo.

Multa allo IAB Europe: effetto a catena su marketers e advertisers
Gli effetti della multa allo IAB Europe rappresentano un domino a cui ogni azienda presente sul web non può che sottostare.
Tutti i dati raccolti attraverso il TCF devono ora essere cancellati da oltre 1.000 aziende che pagano IAB Europe per usare il TCF, tra cui Google, Amazon e Microsoft.
Una situazione catastrofica, soprattutto per quelle aziende che basano il loro core business sull’analisi dei dati e dei profili demografici del proprio pubblico per incontrare i loro bisogni.
La sanzione verso lo IAB Europe è solo l’atto finale di una battaglia iniziata nel 2018 da Johnny Ryan dell’Irish Council for Civil Liberties sul tema del “Real Time Bidding” (RTB).

L’RTB è il sistema d’aste pubblicitarie online che permette di acquisire gli spazi sul web per pubblicare i propri annunci di vendita: chiaramente si tratta di una procedura che acquisisce migliaia di dati personali.
Lo IAB Europe, in pieno contrasto con le normative GDPR, introducendo il TCF ha dato il “permesso” a più di 1000 aziende tech di entrare in possesso di questi dati . In base alla sanzione, ciò non potrà accadere nuovamente così da inficiare molte operazioni commerciali basate sui cookie e i dati online.
La privacy al centro del marketing futuro
La sentenza ha lasciato sei mesi di tempo allo IAB per sistemare la situazione e costringere i marketers a cancellare le centinaia di dati raccolti negli ultimi anni.
La vicenda rappresenta un punto di svolta sull’uso dei dati personali rilasciati dai consumatori senza troppe domande su dove finiscano effettivamente, e fisserà la necessità di trasparenza per le aziende tech e di digital adv.
Julien Hirth, co-fondatore e direttore generale di Scibids Julien Hirth, a tal proposito dice che:
“ci ricorda che la dipendenza del settore dai dati personali come carburante per le prestazioni di marketing è insostenibile ed esistenziale.
Confidiamo che lo IAB riveda il TCF che salvaguardi l’attribuzione scalare e l’interoperabilità tra le piattaforme mentre aumenta la trasparenza e la fiducia per i consumatori, che dovrebbe essere la stella polare dell’ecosistema”.
Fonte: The levy needed to crack’: Marketers consider IAB cookie consent conundrum
La stretta del Parlamento Europeo con il Digital Services Act
La stretta apposta dalla multa allo IAB è solo la naturale conseguenza del percorso intrapreso dall’UE per rendere il web un ecosistema sostenibile.
Il 20 gennaio scorso, il Parlamento Europeo ha approvato il testo per il Digital Services Act, una legge che avrà il compito di regolamentare gli spazi digitali.
Tale legge si occuperà principalmente di contrastare fonti di disinformazione, vendita di prodotti contraffatti, pubblicità mirate, rimuovere contenuti illeciti e discussioni d’odio su forum e social network.
Protezione dati? Diamo tempo al tempo
Come evolverà la salvaguardia della privacy e dei dati online?
Chiaramente, l’introduzione del DSA e la multa allo IAB Europe stanno cambiando le carte in tavola per la protezione dei dati personali: il tempo ci darà le risposte che cerchiamo.