È la fine del TCF? E come possono gli editori rimanere conformi al GDPR?
Recentemente il Transparency Content Framework (TCF) di IAB è stato oggetto di una sentenza dell’autorità nazionale per la protezione dei dati belga, secondo cui la piattaforma è stata accusata di non essere conforme al GDPR. Cosa succederà adesso? È la fine del TCF? In questo post del blog discuteremo cosa potrebbe succedere al framework di IAB Europe per la gestione del consenso e come gli editori possono rimanere conformi al GDPR.
Riepilogo
- Cos’è il TCF?
- Le accuse al TCF
- Cosa succederà adesso?
- È la fine della TCF? Cosa significa tutto questo per gli editori?
- Cosa devono fare gli editori?
Cos’è il TCF
Dopo l’entrata in vigore, il 25 maggio 2018, del GDPR, un insieme di regole create per armonizzare la protezione dei dati degli utenti su internet all’interno dell’Unione Europea, IAB Europe ha creato uno strumento che servisse da standard di riferimento per la raccolta dei consensi degli utenti e la loro condivisione tra i vari attori della filiera. Questo strumento si chiama “Transparency and Consent Framework” (TCF), e grazie ad esso è possibile comunicare agli utenti quali dati sono stati raccolti su di loro, come il sito e i suoi vendor intendono utilizzarli e quali vendor li useranno. Lo strumento, nel tempo, è stato poi ulteriormente modificato e potenziato, con l’uscita del TCF v2.0, che rispetto al suo predecessore presenta una serie di arricchimenti, come abbiamo visto in questo blog post.
Le accuse al TCF
Nonostante sia stato creato con buone intenzioni, il TCF e la sua effettiva conformità al GDPR sono stati sotto osservazione da parte di molte autorità nazionali europee, che hanno sempre più rafforzato le loro linee guida sulla raccolta del consenso.
In Italia, ad esempio, a luglio del 2021, Il Garante della Privacy nazionale ha annunciato nuove linee guida sui cookie e altre tecnologie di tracciamento: i publisher avevano sei mesi di tempo per modificare i propri cookie banner, rendendo molto più esplicita l’opzione di non dare il consenso all’uso dei dati (ne abbiamo parlato in questo blog post).Nello stesso periodo, l’ente di protezione dei dati francese ha multato Google e Facebook di 210 milioni di euro e obbligato le due società a modificare le loro policy per rendere tanto facile e immediato per gli utenti rifiutare i cookie quanto lo è accettarli.
In questa generale attenzione dei Paesi europei al tema della data privacy, all’inizio di febbraio 2022 l’autorità per la protezione dei dati belga, insieme ad altre 27 autorità europee, si è espressa contraria alla validità del TCF. In particolare, la DPA ha dichiarato che “l’approccio assunto finora non risponde alle condizioni di chiarezza e trasparenza richieste dal GDPR. Infatti, alcuni degli scopi di utilizzo dei dati dichiarati sono espressi in modo troppo generico perché i titolari dei dati siano adeguatamente informati sull’esatto scopo e natura dell’utilizzo delle loro informazioni personali”. Insomma, il TCF non esprimerebbe col giusto grado di chiarezza e semplicità lo scopo per cui i dati dell’utente saranno utilizzati, e questo non renderebbe l’utente pienamente consapevole al momento di dover dare il suo consenso.
Altro tema è poi quello del legittimo interesse. Secondo l’autorità belga, il TCF sfrutterebbe il tema del “legittimo interesse” del GDPR per raccogliere e condividere ID con consenso anche a fini che non rientrerebbero nel “legittimo interesse”, come quelli di personalizzazione della pubblicità.
Infine, c’è il tema dei controlli. L’autorità ha dichiarato che IAB ha un ruolo di data controller per il TCF, e in quanto tale sarebbe responsabile di condurre rigidi controlli sulle varie CMP che fanno parte del sistema e garantire che non venga fatto un utilizzo improprio dei dati. Un ruolo che IAB ha sempre negato di avere.
Cosa succederà adesso?
In virtù di tutte queste accuse (a questo link è possibile leggere l’intero documento emesso dall’autorità belga), a IAB è stato ordinato di pagare una multa di 250 mila euro, nominare un Data Protection Officer e cancellare definitivamente i dati personali elaborati nel sistema. Oltre a tutto ciò dovrà anche attuare una serie di cambiamenti al TCF per rendere lo strumento realmente conforme al GDPR.
La DPA belga ha dato a IAB Europe sei mesi di tempo per mettersi in regola, e due mesi per presentare un piano d’azione. Nel frattempo, però, IAB Europe ha deciso di ricorrere in appello alla decisione dell’autorità, e dunque, fino al processo d’appello, le decisioni della DPA e le sue sanzioni verranno temporaneamente sospese.
È la fine del TCF? Cosa significa tutto questo per gli editori?
Il fatto che il TCF sia il sistema di gran lunga più usato dagli editori per la gestione dei consensi (è presente nell’80% delle property europee), rende questa causa a IAB, e le sue possibili conseguenze, molto importante. Infatti senza il TCF si perderebbe quello schema di riferimento utile alle varie CMP per avere un modo comune di richiedere il consenso all’uso dei dati, condiviso ormai dalla gran parte del mondo internet, incluse le grandi piattaforme come Google e Amazon.
Si tratta della fine del TCF? È difficile a dirsi. Quel che è certo è che le modifiche richieste a IAB imporranno dei radicali cambiamenti nel modo in cui i publisher, attraverso le loro CMP, dovranno richiedere il consenso agli utenti. Ma questo cambiamento potrebbe costituire in realtà un’evoluzione dello standard già esistente.
Una volta modificato, e accettato nella nuova versione dall’autorità belga e dagli altri Paesi europei coinvolti nella causa, il TCF potrebbe diventare infatti uno standard realmente approvato dagli enti preposti di tutta Europa, da adottare per l’utilizzo dei dati in tutto il continente, correttamente bilanciato tra performance di monetizzazione e rispetto della privacy degli utenti.
In ogni caso, i cambiamenti non avverranno immediatamente. Attualmente il procedimento è in stand-by per l’appello di IAB, e qualora la sentenza fosse riconfermata, ci sarebbero ancora sei mesi prima che il TCF per com’è ora venisse considerato ufficialmente illegale.
Cosa devono fare gli editori?
Cosa devono fare gli editori nel frattempo? È importante monitorare l’evoluzione della situazione e controllare se i loro strumenti di consenso sono conformi al nuovo sistema.
Inoltre, è fondamentale assicurarsi che le loro attuali CMP siano adattabili ai cambiamenti che potrebbero essere richiesti, e iniziare a testare formati diversi – più chiari e trasparenti – per le richieste di consenso.
A tal fine, è molto importante lavorare con un partner che sia all’avanguardia. Clickio è stata una delle prime aziende a sviluppare uno strumento di consenso conforme al TCF, e continuiamo ad adattarlo secondo le ultime normative. Per esempio, abbiamo recentemente aggiunto diverse nuove opzioni di “pulsante di chiusura” per aiutare gli editori in Italia a rispettare le nuove linee guida. Inoltre, testiamo costantemente diversi formati per garantire la conformità con il GDPR, mantenendo allo stesso tempo alti tassi di consenso e una buona esperienza utente.
Per inserire gratuitamente nel tuo sito lo strumento di gestione del consenso personalizzato di Clickio, clicca qui. Oppure contattaci se desideri maggiori informazioni.