La Corte d'appello belga Marktenhof ha dichiarato illegale il sistema di gestione della trasparenza e del consenso (Transparency & Consent Framework, TCF) dell'associazione del settore pubblicitario online IAB Europe. Ciò fa seguito a una decisione dell'autorità belga per la protezione dei dati GBA (Gegevensbeschermingsautoriteit). La sentenza avrà probabilmente un impatto sulla pubblicità basata sul tracciamento nell'UE.
Il "TC String" viola il GDPR
Nella decisione n. 21/2022 del 2 febbraio 2022, l'Autorità belga per la protezione dei dati (GBA) ha dichiarato che IAB Europe ha violato disposizioni essenziali del GDPR con il TCF (versione 2.0) che aveva sviluppato. Al centro c'era la cosiddetta "stringa TC". Si tratta di una stringa di caratteri strutturata che viene utilizzata per memorizzare le preferenze degli utenti per la pubblicità personalizzata. Il GBA ha classificato la TC String come dati personali e ha considerato IAB Europe il (congiunto) responsabile del trattamento. Ha imposto una multa di 250.000 euro e ha fissato un termine di due mesi per un piano d'azione conforme al GDPR.
La decisione è stata presa nell'ambito della procedura One-Stop-Shop con il sostegno di altre autorità di vigilanza europee e ha avuto rilevanza a livello europeo.
IAB Europe ha presentato un ricorso contro la decisione del GBA.
La decisione del TCF al vaglio della Corte d'Appello
Con un'ordinanza provvisoria ("tussenarrest"), la corte d'appello competente "Marktenhof" di Bruxelles ha inizialmente confermato l'ammissibilità formale del ricorso di IAB Europe. Tuttavia, in quel momento non era ancora stata presa una decisione in merito.
Il Tribunale del Mercato ha inizialmente sospeso il procedimento e ha sottoposto alla Corte di Giustizia europea (CGUE) due questioni pregiudiziali ai sensi dell'art. 267 TFUE. Da un lato, la Corte d'Appello chiedeva se la cosiddetta "TC String" - ovvero una stringa di caratteri strutturata per la memorizzazione dei consensi e dei rifiuti degli utenti - dovesse essere classificata come dato personale ai sensi dell'art. 4 n. 1 GDPR. D'altro canto, il Marktenhof voleva chiarire se un'organizzazione come IAB Europe, che standardizza e specifica un quadro tecnico per la gestione del consenso, debba essere considerata un (comune) responsabile del trattamento ai sensi dell'art. 4 n. 7 GDPR, sebbene non abbia un controllo diretto sulle specifiche operazioni di trattamento.
La proposta mirava a creare certezza giuridica per le autorità nazionali di controllo della protezione dei dati e per gli operatori di mercato. La classificazione di tali quadri di settore nell'ambito della normativa sulla protezione dei dati non è ancora stata chiarita in modo definitivo né a livello europeo né dalla giurisprudenza.
La Corte di giustizia europea si pronuncia su TC String e responsabilità di IAB Europe
Nella sentenza del marzo 2024, la Corte di Giustizia europea si è pronunciata sulle due questioni sollevate dal Tribunale del Mercato in merito alla qualifica di protezione dei dati di TC String e alla possibile responsabilità di IAB Europe.
Le stringhe TC come dati personali
In primo luogo, la Corte di giustizia europea ha chiarito che le stringhe TC costituiscono dati personali ai sensi dell'art. 4 n. 1 del GDPR. Il fattore decisivo è che questa stringa, che da un punto di vista tecnico è una semplice informazione codificata sulle preferenze, può essere collegata a un utente specifico o almeno identificabile combinandola con altri dati come l'indirizzo IP, l'ID del cookie o le informazioni sul dispositivo. Pertanto, soddisfa i criteri di identificabilità. Questa interpretazione corrisponde a una definizione ampia di dati personali, che comprende anche informazioni pseudonime e tecnicamente trasmesse.
IAB Europe come responsabile (congiunto)
Inoltre, la Corte di Giustizia europea ha stabilito che un'organizzazione settoriale come IAB Europe può essere classificata come responsabile del trattamento (congiunto) ai sensi dell'art. 4 n. 7 del GDPR. La Corte ha sottolineato che non è necessario che l'organizzazione stessa tratti direttamente i dati personali per essere classificata come responsabile del trattamento. Piuttosto, il fattore decisivo è se ha un'influenza significativa sulle operazioni di trattamento dei dati definendo i mezzi e le finalità del trattamento.
Questo perché IAB Europe stabilisce i parametri di base per l'elaborazione delle stringhe TC progettando, standardizzando e applicando il Consent Framework. Inoltre, coordina l'interazione tra i numerosi operatori del mercato e svolge quindi un ruolo di guida e strutturazione dell'intero ecosistema. Il fatto che IAB Europe stessa non fornisca contenuti pubblicitari o crei profili individuali di utenti non è determinante per la sua responsabilità ai sensi della legge sulla protezione dei dati.
Significato della sentenza della Corte di giustizia europea
Questa storica decisione ha un impatto diretto su tutte le parti coinvolte nel mercato della pubblicità digitale e in altri settori in cui vengono applicati standard tecnici per il trattamento dei dati come il TCF. In particolare, la sentenza sottolinea che la responsabilità legale non può essere delegata o ridotta a neutralità tecnica quando un'istituzione interviene a livello centrale in un sistema rilevante per la protezione dei dati.
IAB Europe come corresponsabile del TCF
Conferma del punto di vista giuridico sostanziale
Sulla base della sentenza della Corte di giustizia europea, il Tribunale del Mercato ha ora stabilito che decisione finale sul ricorso di IAB Europe. Nonostante la decisione n. 21/2022 del GBA formalmente annullato a causa di errori proceduralituttavia:
- Tutte le valutazioni legali materiali del CCM sono state confermate.
- Il Ammenda di 250.000 euro rimane al suo posto.
- La Corte ha confermato che il Dati personali di TC Strings rappresentare.
- IAB Europe continuerà ad operare come Responsabilità congiunta per il trattamento delle preferenze degli utenti nell'ambito del TCF.
Chiarimenti sul componente OpenRTB
Tuttavia, il Marktenhof ha anche chiarito che IAB Europe non è considerata un (co)responsabile del trattamento per le operazioni di trattamento che avvengono esclusivamente nell'ambito del protocollo OpenRTB.. Questo è un Tracciare una linea di demarcazione tra il quadro di standardizzazione del TCF e l'attuazione pratica di singole campagne pubblicitarie in tempo reale fatto.
Suggerimento di lettura: La Corte di giustizia europea rafforza la trasparenza: le agenzie di credito devono rendere noti i processi decisionali
Decisione della GDA sul TCF con impatto sulle offerte in tempo reale
La decisione ha diversi implicazioni fondamentali per l'industria AdTech e per le organizzazioni di standardizzazione specifiche del settore:
- TC Strings come dati personali: In futuro, gli operatori di mercato dovranno includere questi dati nell'ambito di protezione del GDPR e fornire basi giuridiche e misure di protezione adeguate.
- Responsabilità delle organizzazioni settoriali: Organizzazioni come IAB Europe, che stabiliscono standard e regole tecniche, possono essere considerate responsabili ai sensi della legge sulla protezione dei dati, anche senza accedere direttamente ai dati personali o utilizzarli.
- Chiarezza sull'assegnazione dei ruoli: L'esclusione della responsabilità di IAB Europe per i processi OpenRTB indica che l'attenzione si concentra sulle aree di influenza organizzativa, non sul trasferimento tecnico in sé.
Anche se il procedimento GBA originario è stato annullato a causa di carenze formali, il Marktenhof conferma pienamente in linea con il parere legale del CCM e della CGUESe altre autorità europee per la protezione dei dati seguiranno questa sentenza, ciò potrebbe avere un impatto sulla visualizzazione di pubblicità personalizzata e sul tracciamento cross-device, in quanto ciò riguarda principalmente il "real-time bidding" (RTB), in cui gli annunci pubblicitari vengono messi all'asta in tempo reale.
Il fatto che le stringhe TC rappresentino dati personali e che la loro raccolta e il loro trasferimento nell'ambito del TCF debbano essere regolati da una responsabilità condivisa suggerisce che molti stakeholder del RTB devono rivalutare i propri ruoli e processi tecnici di protezione dei dati. In particolare, l'attenzione si concentra sulle questioni dell'efficacia del consenso, della limitazione delle finalità, della trasparenza e della minimizzazione nella messa all'asta automatizzata degli spazi pubblicitari. La sentenza dovrebbe quindi portare indirettamente a una riforma o almeno a un profondo adattamento dei processi di RTB, sia dal punto di vista tecnico che organizzativo.
Il GBA ha già annunciato che analizzerà nel dettaglio le ragioni della sentenza.
German 
English 
Italian 
French