Il framework IAB viola il GDPR. L’equilibro tra GDPR e Marketing digitale è negli ultimi anni tema caldissimo. Questa volta a finire sotto i riflettori del Garante è IAB Europe, contro la quale il Garante del Belgio ha avviato un procedimento che interessa il Transparency & Consent Framework, utilizzato per la gestione dei cookie.
Cos’è il TCF di IAB (e perché è fondamentale per il Digital Marketing)
IAB è l’Interactive Advertising Bureau, la più importante associazione internazionale del digital advertising. Il TCF è lo schema di utilizzo a scopo promozionale dei cookie, proposto ed utilizzato dai player del settore. Un nome su tutti? Google ADV lo utilizza, così come quasi tutti i fornitori di servizi per cookie.
Le criticità contestate dall’autorità belga
Il richiamo al Garante arriva da più parti, ed è datato 2019. La voce più “grossa” in questa vicenda è senza dubbio quella di Johnny Ryan, all’epoca dirigente tecnico del Consiglio Irlandese per le libertà civili. La sua segnalazione, in sostanza, sottolineava la non conformità del sistema al GDPR. Le motivazioni? Secondo Ryan il meccanismo di banner e consenso utilizzato consente la trasmissione di dati sui comportamenti degli utenti in internet. Aggravante, sempre secondo il dirigente irlandese, utenti e aziende con questo sistema sono geolocalizzabili.
Possibili sviluppi della vicenda
Il Garante Belga ha dato quattro settimane di tempo a Iab per adeguare i sistemi o giustificarne l’utilizzo nel rispetto del GDPR. Un primo importante passo per una riforma del settore delle pubblicità on line che ha ricevuto il plauso dello stesso Jhon Ryan:
IAB ha creato un falso sistema di consenso. Ha spammato ogni giorno, tutti i giorni. Speriamo che la decisone dell’autorità belga costringa il settore ad adeguarsi alle regole.
RTB (Real Time Bidding)
Per concludere, spendiamo due parole per analizzare il funzionamento dell’RTB, il sistema sotto “accusa”. Trattasi di un meccanismo di asta in tempo reale tra gli operatori, per svelare agli utenti pubblicità mirata sulla base di profilazioni personalizzate. Proprio i passaggi per arrivare a questo tipo di profilazione sono l’oggetto del contendere.
Cosa accadrà?
Difficile dirlo, anche se pare delineata la strada intrapresa dal Garante Belga che porta come nel caso di Whatsapp (già analizzato in precedenza) all’applicazione del meccanismo di coerenza per cui un’Autorità capofila discute assieme alle altre potenzialmente coinvolte nel caso di come gestirlo e quanto sanzionare eventualmente Iab. L’illiceità del sistema sembra abbastanza acclarata.
C’è ora da capire quali saranno le mosse di IAB. Pare piuttosto improbabile che l’associazione internazionale non avesse previsto l”intoppo”. È, oltre che auspicabile, possibile dunque che nel tempo che intercorrerà dall’inizio del procedimento al giudizio, IAB proponga una revisione del proprio TFC, correggendolo e adeguandolo. Così come indicato dall’art.40 del GDPR. Se così non fosse, è facile intuire il terremoto che scatenerebbe una sentenza. Una oscillazione tellurica non soltanto legata all’eventuale entità economica della sanzione, ma soprattutto alle ripercussioni in tutto il settore dell’ADV on line.
