iusprivacy: funzionamento del tcf iab e consent mode
articoli e news


Di seguito descriviamo la modalità di gestione e raccolta del consenso ai cookie pubblicitari e la loro comunicazione al Transparency & Consent Framework (TCF) di IAB Europe:

1. Raccolta del consenso

Quando un utente visita un sito web che utilizza il TCF di IAB Europe, gli viene presentata una richiesta di consenso tramite una interfaccia utente (solitamente una "banner del consenso"). Questo banner informa l'utente sui tipi di cookie e altre tecnologie di tracciamento che il sito intende utilizzare e sui fini per i quali i dati verranno trattati (es. pubblicità personalizzata, misurazione, ottimizzazione del contenuto).

2. Comunicazione del consenso al TCF

Una volta che l'utente fornisce il proprio consenso (o lo nega), questa informazione viene comunicata al TCF di IAB Europe. Il TCF mantiene un registro delle preferenze di consenso dell'utente, che possono essere interrogate dagli editori e dagli inserzionisti per determinare quali tipi di tracciamento o attività pubblicitaria sono consentiti per quel particolare utente.

Di seguito un link su cui sono riportate le specifiche tecniche:

https://support.google.com/admanager/answer/9681920?hl=it

3. Conseguenze della comunicazione al TCF

Nell'ambito della gestione dei cookie per il consenso pubblicitario del Transparency & Consent Framework ( TCF ) di IAB Europe e Google, i cosiddetti  fornitori di tecnologia pubblicitaria sono aziende che forniscono servizi e tecnologie utilizzati per la raccolta, l'elaborazione e l'analisi dei dati degli utenti a fini pubblicitari. Questi fornitori possono includere piattaforme di annunci, reti pubblicitarie, piattaforme di dati (Data Management Platforms, DMP), piattaforme di demand-side (DSP), piattaforme di supply-side (SSP), e altre tecnologie correlate che supportano la consegna, la misurazione e l'ottimizzazione delle campagne pubblicitarie online.

Come le scelte del consenso finiscono ai fornitori di tecnologia pubblicitaria?

  • Nel TCF di IAB Europe, c'è un registro ufficiale dei fornitori di tecnologia pubblicitaria che hanno aderito al framework. Questo registro include gli identificatori univoci per ciascun fornitore e le specifiche categorie di dati che intendono raccogliere e trattare.

  • Quando un utente esprime le proprie preferenze di consenso attraverso il banner del consenso sul sito web, queste informazioni vengono codificate in una stringa di consenso (Consent String), che segue lo standard definito dal TCF. La stringa di consenso contiene dettagli sulle preferenze dell'utente riguardo al consenso per ciascuna categoria di trattamento dei dati e per ciascun fornitore di tecnologia pubblicitaria elencato nel registro.

  •  I fornitori di tecnologia pubblicitaria integrati con il TCF possono accedere alla stringa di consenso dell'utente attraverso le API del framework o altri meccanismi di consegna consentiti . Questo permette ai fornitori di verificare le preferenze di consenso dell'utente prima di eseguire operazioni di trattamento dei dati, come la raccolta di informazioni per la personalizzazione degli annunci o la misurazione delle performance. Di seguito l’elenco dei fornitori di tecnologie pubblicitarie:
    https://support.google.com/admanager/answer/9012903

  • Basandosi sulle informazioni contenute nella stringa di consenso, i fornitori di tecnologia pubblicitaria adeguano le loro attività in modo da rispettare le scelte dell'utente. Se un utente non ha dato il consenso per determinate categorie di trattamento dei dati o per specifici fornitori, queste parti non possono legalmente procedere con tali attività per quell'utente.

  • Per i siti che utilizzano Google Consent Mode, le preferenze di consenso dell'utente riguardanti i cookie e le tecnologie di tracciamento vengono comunicate anche agli script di Google. Questo permette a Google e ai suoi partner pubblicitari di adeguare il comportamento dei loro servizi (come Google Ads e Google Analytics) in base allo stato del consenso dell'utente.

In sintesi, le scelte del consenso degli utenti vengono comunicate, tramite le cosiddette piattaforme CMP certificate con IAB, ai fornitori di tecnologia pubblicitaria attraverso meccanismi standardizzati definiti dal TCF di IAB Europe.

Perché il servizio cookie Banner di IusPrivacy non aderisce allo standard del TCF IAB?

Ci sono stati dei provvedimenti da parte di autorità per la protezione dei dati, tra cui il Garante per la protezione dei dati personali in vari paesi e l'European Data Protection Board (EDPB), riguardanti l'uso improprio o le preoccupazioni relative al Transparency & Consent Framework (TCF) di IAB Europe.

Per esempio:

1. A febbraio 2022, l'Autorità per la protezione dei dati del Belgio ha emesso una decisione contro IAB Europe, affermando che il TCF non rispettava il GDPR. L'autorità ha rilevato che IAB Europe agiva come un controllore dei dati nella raccolta e nel trattamento delle preferenze di consenso degli utenti e che non aveva implementato misure adeguate per garantire la conformità del GDPR. IAB Europe è stata invitata a portare modifiche sostanziali al TCF entro un determinato periodo di tempo per risolvere le questioni relative alla privacy.

Vedi https://www.autoriteprotectiondonnees.be/citoyen/iab-europe-est-tenue-responsable-d-un-mecanisme-qui-viole-le-rgpd

2. Al di là del caso specifico in Belgio, ci sono state preoccupazioni generali espresse da diverse autorità di protezione dei dati in Europa riguardo al TCF di IAB e alla sua capacità di garantire un consenso valido secondo i requisiti del GDPR. Queste preoccupazioni includono la trasparenza, la specificità del consenso e il trattamento legale dei dati personali.

3. Sebbene l'EDPB non abbia emesso decisioni dirette contro il TCF di IAB Europe, ha fornito linee guida e raccomandazioni sul consenso nell'ambito del GDPR che indicano come il TCF dovrebbe operare. L'EDPB enfatizza sull'importanza del consenso libero, specifico, informato e univoco come base legale per il trattamento dei dati personali in contesti pubblicitari.

4. Ultimo, ma non meno importante fattore, è costituito dalle aspettative dell’utente che fornisce il consenso: all’interno dell’informativa vengono citati i network pubblicitari più importanti come Google, Facebook, Linkedin. Il Consorzio IAB conta centinaia di piattaforme per la distribuzione pubblicitaria che estende l’ambito d’uso del consenso ad una platea di attori a livello planetario, al di sopra di ogni comprensibile comprensione dell’interessato.

IusPrivacy non aderisce allo standard del TCF IAB: la piattaforma per la raccolta e gestione dei consensi all’uso dei cookie di IusPrivacy è un servizio erogato ai proprietari dei siti secondo il ruolo di Responsabile del Trattamento ai sensi dell’Art. 28 del GDPR: la trasmissione dei dati al consorzio IAB comporterebbe un trattamento abnorme, superiore non solo alle aspettative ma anche alla ragionevole comprensione degli utenti che navigano il sito web.

I Titolari del Trattamento dovrebbero essere consapevoli degli effetti della trasmissione al consorzio IAB, i quali si ritroverebbero un sistema preconfigurato di trasmissione dei dati personali degli interessati.

Rimangono valide le impostazioni tecniche di gestione del consent mode di Google, anche v2, per la gestione dei parametri per comunicazione alla piattaforma google della scelta dei consensi operata dagli utenti.

 

Redazione in collaborazione con Roberto Pagano (https://www.linkedin.com/in/robertopaganowrp/)

 



Hai un dubbio o un problema su questo argomento?

Scrivi alla nostra redazione giuridica e ricevi la tua risposta entro 5 giorni

Non condivideremo mai la tua email con nessuno.