IAB TCF illegale? Tutti i fatti qui nelle FAQ

L’autorità belga per la protezione dei dati APD, in una procedura che va avanti da un buon anno, il 02. Febbraio 2022 ha preso una decisione. Il testo esplicativo di circa 130 pagine mostra molti punti deboli dell’IAB TCF, ma anche molte opportunità di riforma. Il Transparency and Consent Framework è ora illegale? Cosa devono considerare gli editori? E come continua? Le nostre FAQ spiegano.

Aggiornamento settembre 2023

( Aggiornamento del 21 settembre 2023 ) Il 21 settembre si è svolta un’udienza pubblica davanti alla Quarta Sezione della Corte di giustizia della Corte di giustizia, durante la quale anche le parti coinvolte sono state interrogate dai giudici. Poiché non ci sarà alcun parere da parte dell’avvocato generale, si prevede che la Corte di giustizia annuncerà la sua sentenza tra la fine del 2023 e l’inizio del 2024. Una volta pubblicata la sentenza, il tribunale belga (Market Court) potrà finalizzare la propria valutazione sugli argomenti avanzati nella denuncia di IAB Europe.

( Aggiornamento da settembre 2023 ) Il tribunale belga (Market Court) ha deciso di attendere la sentenza della Corte di giustizia europea (CGCE) e di sospendere la valutazione del piano d’azione di IAB Europe convalidato dall’Autorità belga per la protezione dei dati (APD). Nel gennaio 2023 IAB Europe ha presentato ricorso contro la convalida anticipata del piano da parte di APD. Ciò dimostra che l’APD ha agito frettolosamente e la sentenza della Corte di giustizia europea influenzerà la legittimità della decisione originale dell’APD e il modo in cui il piano verrà attuato. Questa è una buona notizia per IAB Europe e i partecipanti al TCF poiché impedisce che vengano apportate modifiche non necessarie senza un’attenta considerazione. Townsend Feehan, CEO di IAB Europe, ha sottolineato che le modifiche al TCF devono essere apportate con estrema cautela e in conformità con la procedura della Corte di giustizia europea.

Aggiornato giugno 2023

(aggiornato giugno 2023) Con il TCF 2.2, l’IAB ha tracciato la strada per compiere i passi menzionati nel piano d’azione. Fino al 30 settembre 2023 durerà ora una fase di transizione durante la quale i fornitori e i siti web potranno aggiornarsi al nuovo Standard . Da ottobre 2023 si applicherà solo il TCF IAB nella versione 2.2.

Aggiornamento gennaio 2023

(Aggiornato gennaio 2023) Il piano d’azione presentato da IAB Europe è stato accettato da APD e sono stati avviati ulteriori passi verso la conformità al GDPR. Lo IAB Europe ha ora 6 mesi per attuare il piano d’azione.

Aggiornamento aprile 2022

(Aggiornamento aprile 2022) La IAB Europe ha nel frattempo presentato ricorso al tribunale competente (Market Court) e ha impugnato la procedura e la decisione in quanto tali. Allo stesso tempo, il piano d’azione richiesto è stato presentato da IAB Europe. L’APD esaminerà ora il piano d’azione; tuttavia, non è prevista una decisione prima della fine di giugno 2022. Se il piano d’azione viene accettato da APD, IAB Europe deve attuarlo entro 6 mesi.

Aggiornamento maggio 2022

(aggiornamento maggio 2022) IAB Europe ha ritirato la richiesta di sospensione del procedimento dopo che APD ha confermato la tempistica per la revisione del piano d’azione. Di conseguenza, l’APD non prenderà una decisione sul piano d’azione prima del 1 settembre 2022. A quel punto, anche il tribunale belga (tribunale del mercato) avrà deciso la procedura e l’attuazione del piano d’azione potrà aver luogo nei successivi 6 mesi.

Quello che è successo?

Nella sua relazione finale, l’autorità belga per la protezione dei dati APD ha formulato vari problemi per IAB Europe e IAB TCF. Il principale punto critico è che APD vede IAB Europe come il cliente. Inoltre, la stringa TC generata dal TCF (l’informativa sul consenso) è considerata un dato personale, che a sua volta richiederebbe il consenso.

Cosa c’entra il Belgio?

Da quando il GDPR è entrato in vigore nel 2018, ci sono stati numerosi reclami in vari paesi contro IAB Europe in quanto organismo dietro lo Standard TCF di IAB e le politiche e CMP associate. Poiché IAB Europe ha sede a Bruxelles, l’autorità belga per la protezione dei dati era responsabile della procedura (regolamento “one-stop-shop” del GDPR).

La sentenza belga si applica anche in altri paesi?

Sì, tutte le autorità per la protezione dei dati devono orientarsi secondo il giudizio e non possono discostarsi da esso.

Cosa dice esattamente la sentenza?

Il verdetto è lungo più di 120 pagine e può essere scaricato qui come PDF (inglese). Diventa “interessante” dalla sezione 535, in cui vengono spiegati i reati effettivi:

• Il TCF non rappresenta una valida base giuridica per l’elaborazione delle decisioni degli utenti. Il consenso non è stato dato a sufficienza (vedi punto successivo)
• Il TCF non riflette in modo trasparente le informazioni di cui un utente ha bisogno per prendere una decisione.
• La sicurezza del TCF come meccanismo non è sufficiente (ad esempio per prevenire comportamenti scorretti delle CMP).
• L’IAB è visto come il cliente (controllore) e i dati. Ciò si traduce in alcuni obblighi per IAB Europe, che fino ad oggi non sono stati rispettati; in particolare, manca un elenco dei trattamenti di dati.
• L’IAB Europe non ha effettuato una DPIA, anche se sarebbe necessario farlo.
• L’IAB Europa non ha incaricato un responsabile della protezione dei dati, sebbene ciò sarebbe necessario.

Quali sono le conseguenze?

Le sanzioni contro l’IAB Europe risultano in definitiva dai reati (vedi sopra) e sono:

• (Ri)progettare il TCF in modo tale da risultare in una base giuridica valida.
• I dati che IAB Europe ha raccolto finora devono essere cancellati.
• La base giuridica “interesse legittimo” non può più essere utilizzata nel TCF.
• Riorganizzato il TCF in modo che le CMP abbiano un modo “armonizzato” per ottenere il consenso in modo conforme al GDPR. Le informazioni dovrebbero essere presentate in modo conciso, concreto ma comprensibile.
• Devono essere sviluppati meccanismi di sicurezza adeguati per proteggere il TCF.
• L’IAB Europe deve creare un registro del trattamento dei dati.
• L’IAB Europa deve condurre una DPIA.
• L’IAB Europe deve nominare un responsabile della protezione dei dati.

Inoltre, lo IAB Europe è tenuto a redigere un “Piano d’azione” entro 2 mesi. Questo per mostrare i passi da intraprendere per rendere conforme il TCF in futuro. Non appena il piano è stato accettato dall’APD, l’IAB ha altri 6 mesi per attuarlo di conseguenza.

Tutti i CMP sono illegali ora?

No Una CMP come quella di consentmanager è generalmente indipendente da ciò: infatti un gestore di un sito web può configurare la CMP in modo che diventi conforme o disattivare completamente il TCF nella CMP.

Il TCF è illegale ora?

No La forma attuale è considerata insufficiente. Lo IAB Europe ha ora il compito di avviare misure appropriate e rendere nuovamente conforme il TCF.

Qual è il prossimo?

L’IAB Europa ha ora 2 mesi per sviluppare misure e/o presentare un’obiezione. Si presume che entrambi accadranno: ci sarà sicuramente un’obiezione alle singole componenti della decisione – allo stesso tempo, vedremo come il TCF può essere messo su una base sicura. In particolare, l’obiettivo qui è convertire il TCF in un Codice di Condotta (CoC). L’IAB lavora su questo da molto tempo. Un CoC avrebbe ulteriori vantaggi e una maggiore certezza del diritto.

A chi tocca il giudizio?

Innanzitutto, interessa direttamente solo IAB Europe. Indirettamente, colpisce le CMP, i fornitori e gli editori a medio termine, al più tardi quando è necessario definire nuove finalità e basi giuridiche nel livello di consenso o modificare la sottostruttura tecnica.

Come devo reagire adesso?

Come per tutto. non è sbagliato dare un’occhiata da vicino e aspettare e vedere come si comportano gli attori.

Come raccomandazione generale, si può dedurre che il “legittimo interesse” non è considerato una base giuridica sufficiente per la pubblicità online – questo era già stato annunciato in anticipo e in altre sentenze. Se utilizzi strumenti di marketing sul tuo sito web, dovresti verificare se richiedono il consenso.

In generale, consigliamo di utilizzare il TCF solo quando è veramente necessario. Questo potrebbe non essere il caso per la maggior parte dei siti di e-commerce, ad esempio. Allo stesso tempo, la maggior parte dei siti di notizie continuerà a fare affidamento sul TCF. In questa sezione consigliamo di controllare attentamente i testi descrittivi e gli elenchi dei fornitori e, se necessario, di fornire descrizioni più precise e ulteriori informazioni.

Devo cancellare tutti i miei dati adesso?

No La sentenza belga riguarda solo IAB Europe per il momento. Indirettamente, tuttavia, si può presumere che anche una “CMP TCF pura” rientri nelle condizioni della sentenza e quindi non abbia ottenuto legalmente l’approvazione.

I siti Web che utilizzano il TCF ora sono a rischio?

No Da un lato, gli attori aspetteranno inizialmente – questo vale anche per le altre autorità di protezione dei dati in altri paesi. Finché la procedura è ancora “in sospeso”, non ha senso utilizzare la procedura come base per avvisi o nuove procedure.

D’altra parte, non è ancora chiaro se il TCF stesso possa essere utilizzato in modo conforme a determinate condizioni. Anche qui resta da vedere e, se necessario, tenere d’occhio lo sviluppo del TCF.

Cosa fa per me consentmanager ? Cosa dovrei fare?

In qualità di membro di IAB Europe e di varie associazioni regionali e altri gruppi, consentmanager è attivamente coinvolto nelle consultazioni e nelle decisioni all’interno dello IAB. A questo proposito, consentmanager sarà in grado di attuare tempestivamente tutte le misure necessarie per poter tutelare i propri clienti dal punto di vista legale o tecnico.

Come cliente consentmanager , all’inizio non devi fare nulla di concreto (vedi sopra per le eccezioni). Tutti gli adeguamenti tecnici e procedurali richiesti da un “nuovo” TCF possono essere apportati internamente da noi: non è necessario scambiare codici ora.

Non vedi la tua domanda?

Sentiti libero di contattarci direttamente.