IAB TCF illegale? Tutti i fatti qui nelle FAQ
L’autorità belga per la protezione dei dati APD, in una procedura che va avanti da un buon anno, il 02. Febbraio 2022 ha preso una decisione. Il testo esplicativo di circa 130 pagine mostra molti punti deboli dell’IAB TCF, ma anche molte opportunità di riforma. Il Transparency and Consent Framework è ora illegale? Cosa devono considerare gli editori? E come continua? Le nostre FAQ spiegano.

Aggiornamento gennaio 2023
(Aggiornato gennaio 2023) Il piano d’azione presentato da IAB Europe è stato accettato da APD e sono stati avviati ulteriori passi verso la conformità al GDPR. Lo IAB Europe ha ora 6 mesi per attuare il piano d’azione.
Aggiornamento aprile 2022
(Aggiornamento aprile 2022) La IAB Europe ha nel frattempo presentato ricorso al tribunale competente (Market Court) e ha impugnato la procedura e la decisione in quanto tali. Allo stesso tempo, il piano d’azione richiesto è stato presentato da IAB Europe. L’APD esaminerà ora il piano d’azione; tuttavia, non è prevista una decisione prima della fine di giugno 2022. Se il piano d’azione viene accettato da APD, IAB Europe deve attuarlo entro 6 mesi.
Aggiornamento maggio 2022
(aggiornamento maggio 2022) IAB Europe ha ritirato la richiesta di sospensione del procedimento dopo che APD ha confermato la tempistica per la revisione del piano d’azione. Di conseguenza, l’APD non prenderà una decisione sul piano d’azione prima del 1 settembre 2022. A quel punto, anche il tribunale belga (tribunale del mercato) avrà deciso la procedura e l’attuazione del piano d’azione potrà aver luogo nei successivi 6 mesi.
Quello che è successo?
Nella sua relazione finale, l’autorità belga per la protezione dei dati APD ha formulato vari problemi per IAB Europe e IAB TCF. Il principale punto critico è che APD vede IAB Europe come il cliente. Inoltre, la stringa TC generata dal TCF (l’informativa sul consenso) è considerata un dato personale, che a sua volta richiederebbe il consenso.
Cosa c’entra il Belgio?
Da quando il GDPR è entrato in vigore nel 2018, ci sono stati diversi reclami in diversi paesi contro IAB Europe come organismo dietro lo standard IAB TCF e le relative politiche e CMP. Poiché IAB Europe ha sede a Bruxelles, l’autorità belga per la protezione dei dati era responsabile della procedura (regolamento “one-stop-shop” del GDPR).
La sentenza belga si applica anche in altri paesi?
Sì, tutte le autorità per la protezione dei dati devono orientarsi secondo il giudizio e non possono discostarsi da esso.
Cosa dice esattamente la sentenza?
Il verdetto è lungo più di 120 pagine e può essere scaricato qui come PDF (inglese). Diventa “interessante” dalla sezione 535, in cui vengono spiegati i reati effettivi:
- Il TCF non rappresenta una valida base giuridica per l’elaborazione delle decisioni degli utenti. Il consenso non è stato dato a sufficienza (vedi punto successivo)
- Il TCF non riflette in modo trasparente le informazioni di cui un utente ha bisogno per prendere una decisione.
- La sicurezza del TCF come meccanismo non è sufficiente (ad esempio per prevenire comportamenti scorretti delle CMP).
- L’IAB è visto come il cliente (controllore) e i dati. Ciò si traduce in alcuni obblighi per IAB Europe, che fino ad oggi non sono stati rispettati; in particolare, manca un elenco dei trattamenti di dati.
- L’IAB Europe non ha effettuato una DPIA, anche se sarebbe necessario farlo.
- L’IAB Europa non ha incaricato un responsabile della protezione dei dati, sebbene ciò sarebbe necessario.

Quali sono le conseguenze?
Le sanzioni contro l’IAB Europe risultano in definitiva dai reati (vedi sopra) e sono:
- (Ri)progettare il TCF in modo tale da risultare in una base giuridica valida.
- I dati che IAB Europe ha raccolto finora devono essere cancellati.
- La base giuridica “interesse legittimo” non può più essere utilizzata nel TCF.
- Riorganizzato il TCF in modo che le CMP abbiano un modo “armonizzato” per ottenere il consenso in modo conforme al GDPR. Le informazioni dovrebbero essere presentate in modo conciso, concreto ma comprensibile.
- Devono essere sviluppati meccanismi di sicurezza adeguati per proteggere il TCF.
- L’IAB Europe deve creare un registro del trattamento dei dati.
- L’IAB Europa deve condurre una DPIA.
- L’IAB Europe deve nominare un responsabile della protezione dei dati.
Inoltre, lo IAB Europe è tenuto a redigere un “Piano d’azione” entro 2 mesi. Questo per mostrare i passi da intraprendere per rendere conforme il TCF in futuro. Non appena il piano è stato accettato dall’APD, l’IAB ha altri 6 mesi per attuarlo di conseguenza.
Rimani aggiornato!
Iscriviti alla NewsletterTutti i CMP sono illegali ora?
No Un CMP come quello di consensomanager è generalmente indipendente da questo – dopotutto, un operatore di un sito web può configurare il CMP in modo tale che diventi conforme o disattivare completamente il TCF nel CMP.
Il TCF è illegale ora?
No La forma attuale è considerata insufficiente. Lo IAB Europe ha ora il compito di avviare misure appropriate e rendere nuovamente conforme il TCF.
Qual è il prossimo?
L’IAB Europa ha ora 2 mesi per sviluppare misure e/o presentare un’obiezione. Si presume che entrambi accadranno: ci sarà sicuramente un’obiezione alle singole componenti della decisione – allo stesso tempo, vedremo come il TCF può essere messo su una base sicura. In particolare, l’obiettivo qui è convertire il TCF in un Codice di Condotta (CoC). L’IAB lavora su questo da molto tempo. Un CoC avrebbe ulteriori vantaggi e una maggiore certezza del diritto.
A chi tocca il giudizio?
Innanzitutto, interessa direttamente solo IAB Europe. Indirettamente, colpisce le CMP, i fornitori e gli editori a medio termine, al più tardi quando è necessario definire nuove finalità e basi giuridiche nel livello di consenso o modificare la sottostruttura tecnica.
Come devo reagire adesso?
Come per tutto. non è sbagliato dare un’occhiata da vicino e aspettare e vedere come si comportano gli attori.
Come raccomandazione generale, si può dedurre che il “legittimo interesse” non è considerato una base giuridica sufficiente per la pubblicità online – questo era già stato annunciato in anticipo e in altre sentenze. Se utilizzi strumenti di marketing sul tuo sito web, dovresti verificare se richiedono il consenso.
In generale, consigliamo di utilizzare il TCF solo quando è veramente necessario. Questo potrebbe non essere il caso per la maggior parte dei siti di e-commerce, ad esempio. Allo stesso tempo, la maggior parte dei siti di notizie continuerà a fare affidamento sul TCF. In questa sezione consigliamo di controllare attentamente i testi descrittivi e gli elenchi dei fornitori e, se necessario, di fornire descrizioni più precise e ulteriori informazioni.
Ist Ihre Webseite konform? Finden Sie es heraus mit unserer Checkliste
Devo cancellare tutti i miei dati adesso?
No La sentenza belga riguarda solo IAB Europe per il momento. Indirettamente, tuttavia, si può presumere che anche una “CMP TCF pura” rientri nelle condizioni della sentenza e quindi non abbia ottenuto legalmente l’approvazione.
I siti Web che utilizzano il TCF ora sono a rischio?
No Da un lato, gli attori aspetteranno inizialmente – questo vale anche per le altre autorità di protezione dei dati in altri paesi. Finché la procedura è ancora “in sospeso”, non ha senso utilizzare la procedura come base per avvisi o nuove procedure.
D’altra parte, non è ancora chiaro se il TCF stesso possa essere utilizzato in modo conforme a determinate condizioni. Anche qui resta da vedere e, se necessario, tenere d’occhio lo sviluppo del TCF.
Cosa fa per me il gestore del consenso? Cosa dovrei fare?
In qualità di membro di IAB Europe e di varie associazioni nazionali e altri gruppi, consensomanager è attivamente coinvolto nelle deliberazioni e decisioni all’interno dello IAB. A tal proposito, consensomanager potrà mettere in atto tempestivamente tutti i passi necessari al fine di poter tutelare giuridicamente o tecnicamente i propri clienti.
In qualità di cliente consentmanager, non devi fare nulla di specifico (vedi sopra per le eccezioni). Tutti gli adeguamenti tecnici e procedurali richiesti da un “nuovo” TCF possono essere apportati internamente da noi: non è necessario scambiare codici ora.
Non vedi la tua domanda?
Sentiti libero di contattarci direttamente.