La Corte d'appello belga Marktenhof ha dichiarato illegale il sistema di gestione della trasparenza e del consenso (Transparency & Consent Framework, TCF) dell'associazione del settore pubblicitario online IAB Europe. Ciò fa seguito a una decisione dell'autorità belga per la protezione dei dati GBA (Gegevensbeschermingsautoriteit). La sentenza avrà probabilmente un impatto sulla pubblicità basata sul tracciamento nell'UE. Pubblicità hanno.
"Il "TC String" viola il GDPR
Con la decisione n. 21/2022 del 2 febbraio 2022, l'Autorità belga per la protezione dei dati (GBA) ha dichiarato che IAB Europe, con il TCF (versione 2.0) da essa sviluppato, ha violato le disposizioni essenziali della legge sulla privacy. GDPR era stato violato. Al centro di questa vicenda c'era la cosiddetta "stringa TC". Si tratta di una stringa di caratteri strutturata con la quale le preferenze dell'utente per la personalizzazione del Pubblicità sono memorizzati. Il GBA ha classificato la stringa TC come dati personali e ha considerato IAB Europe come (congiuntamente) Persone responsabili . Ha imposto una multa di 250.000 euro e ha fissato un termine di due mesi per un piano d'azione conforme al GDPR.
La decisione è stata presa nell'ambito della procedura One-Stop-Shop con il sostegno di altre autorità di vigilanza europee e ha avuto rilevanza a livello europeo.
IAB Europe ha presentato un ricorso contro la decisione del GBA.
La decisione del TCF al vaglio della Corte d'Appello
Con un'ordinanza provvisoria ("tussenarrest"), la corte d'appello competente "Marktenhof" di Bruxelles ha inizialmente confermato l'ammissibilità formale del ricorso di IAB Europe. Tuttavia, in quel momento non era ancora stata presa una decisione in merito.
Il Tribunale del Mercato ha inizialmente sospeso il procedimento e ha sottoposto alla Corte di Giustizia europea (CGUE) due questioni pregiudiziali ai sensi dell'art. 267 TFUE. Da un lato, la Corte d'Appello ha chiesto se la cosiddetta "TC String" - ossia una stringa strutturata di caratteri per la memorizzazione dei consensi e dei rifiuti degli utenti - possa essere considerata una Dati personali ai sensi dell'art. 4 n. 1 GDPR sia da considerarsi un responsabile del trattamento. D'altro canto, il Marktenhof ha voluto chiarire se un'organizzazione come IAB Europe, che standardizza e specifica un quadro tecnico per la gestione del consenso, possa essere considerata un (comune) responsabile del trattamento ai sensi dell'art. 4 n. 7 del GDPR. GDPR L'azienda deve essere considerata un'organizzazione indipendente, sebbene non abbia un controllo diretto sulle specifiche operazioni di trattamento.
La proposta mirava a creare certezza giuridica per le autorità nazionali di controllo della protezione dei dati e per gli operatori di mercato. La classificazione di tali quadri di settore nell'ambito della normativa sulla protezione dei dati non è ancora stata chiarita in modo definitivo né a livello europeo né dalla giurisprudenza.
La Corte di giustizia europea si pronuncia su TC String e responsabilità di IAB Europe
Nella sentenza del marzo 2024, la Corte di giustizia europea si è pronunciata sulle due questioni sollevate dal Tribunale del Mercato in merito alla qualifica di TC String ai sensi della legge sulla protezione dei dati e alla possibile responsabilità di IAB Europe.
Le stringhe TC come dati personali
In primo luogo, la Corte di giustizia europea ha chiarito che le stringhe TC Dati personali ai sensi dell'art. 4 n. 1 GDPR rappresentare. Il fattore decisivo è che questa stringa di caratteri, che da un punto di vista tecnico è solo un'informazione di preferenza codificata, può essere combinata con altri dati, come ad esempio la Indirizzo IPl'ID del cookie o le informazioni sul dispositivo possono essere collegate a un utente specifico o almeno identificabile. Pertanto, soddisfa i criteri di identificabilità. Questa interpretazione corrisponde a una definizione ampia di dati personali, che comprende anche informazioni pseudonime e trasmesse tecnicamente.
IAB Europe come responsabile (congiunto)
Inoltre, la Corte di giustizia europea ha stabilito che un'organizzazione settoriale come IAB Europe può essere considerata un responsabile del trattamento (congiunto) ai sensi dell'articolo 4, paragrafo 7, della direttiva. GDPR può essere classificato come responsabile del trattamento. La Corte ha sottolineato che, per essere classificati come responsabili del trattamento, non è necessario che l'organizzazione stessa sia direttamente responsabile. Dati personali elaborati. Il fattore decisivo è piuttosto se possono essere riconosciuti dalla definizione di mezzi e finalità della legge. Elaborazione influenzano in modo significativo le operazioni di elaborazione dei dati.
Questo è un dato di fatto, poiché IAB Europe ha stabilito i parametri di base per il Consent Framework, progettandolo, standardizzandolo e facendolo rispettare. Elaborazione del TC Strings. Inoltre, coordina l'interazione tra i numerosi operatori del mercato e svolge quindi un ruolo di guida e strutturazione dell'intero ecosistema. Il fatto che IAB Europe non fornisca contenuti pubblicitari o crei profili individuali di utenti non è determinante per la responsabilità della protezione dei dati.
Significato della sentenza della Corte di giustizia europea
Questa storica decisione ha un impatto diretto su tutte le parti coinvolte nel mercato della pubblicità digitale e in altri settori in cui vengono applicati standard tecnici per il trattamento dei dati come il TCF. In particolare, la sentenza sottolinea che la responsabilità legale non può essere delegata o ridotta a neutralità tecnica quando un'istituzione interviene a livello centrale in un sistema rilevante per la protezione dei dati.
IAB Europe come corresponsabile del TCF
Conferma del punto di vista giuridico sostanziale
Sulla base della sentenza della Corte di giustizia europea, il Tribunale del Mercato ha ora stabilito che decisione finale sul ricorso di IAB Europe. Nonostante la decisione n. 21/2022 del GBA formalmente annullato a causa di errori proceduralituttavia:
- Tutte le valutazioni legali materiali del CCM sono state confermate.
- Il Ammenda di 250.000 euro rimane al suo posto.
- La Corte ha confermato che il Corde TC Dati personali rappresentare.
- IAB Europe continuerà ad operare come Responsabilità congiunta per il Elaborazione delle preferenze degli utenti nell'ambito del TCF.
Chiarimenti sul componente OpenRTB
Tuttavia, il Marktenhof ha anche chiarito che IAB Europe non è considerata un (co)responsabile del trattamento per quelle operazioni che avvengono esclusivamente nell'ambito del protocollo OpenRTB.. Questo è un Tracciare una linea di demarcazione tra il quadro di standardizzazione del TCF e l'attuazione pratica di singole campagne pubblicitarie in tempo reale fatto.
Suggerimento di lettura: La Corte di giustizia europea rafforza la trasparenza: le agenzie di credito devono rendere noti i processi decisionali
Decisione della GDA sul TCF con impatto sulle offerte in tempo reale
La decisione ha diversi implicazioni fondamentali per l'industria AdTech e per le organizzazioni di standardizzazione specifiche del settore:
- Stringhe TC come Dati personali: In futuro, gli operatori di mercato dovranno far rientrare questi dati nell'ambito di tutela della GDPR e il corrispondente Base giuridica e misure di protezione.
- Responsabilità delle organizzazioni settoriali: Organizzazioni come IAB Europe, che stabiliscono standard e regole tecniche, possono essere considerate responsabili ai sensi della legge sulla protezione dei dati, anche senza accedere direttamente ai dati personali o utilizzarli.
- Chiarezza sull'assegnazione dei ruoli: L'esclusione della responsabilità di IAB Europe per i processi OpenRTB indica che l'attenzione si concentra sulle aree organizzative di influenza, non sul trasferimento tecnico in sé.
Anche se il procedimento GBA originario è stato annullato a causa di carenze formali, il Marktenhof conferma pienamente in linea con il parere legale del CCM e della CGUE. Se altre autorità europee per la protezione dei dati seguiranno questa sentenza, ciò potrebbe avere un impatto sulla visualizzazione di immagini personalizzate. Pubblicità e il cross-device Tracciamento Particolarmente colpita è l'offerta in tempo reale (RTB), in cui le inserzioni vengono messe all'asta in tempo reale.
Il fatto che le corde TC Dati personali e la loro raccolta e divulgazione nell'ambito del TCF attraverso una Responsabilità condivisa suggerisce che molti soggetti interessati agli RTB devono rivalutare i propri ruoli e processi tecnici in materia di protezione dei dati. L'attenzione si concentra in particolare sulle questioni relative all'efficacia del consenso, Stanziamento di fondi, Trasparenza e la minimizzazione nella messa all'asta automatica degli spazi pubblicitari. La sentenza dovrebbe quindi portare indirettamente a una riforma o almeno a un profondo adattamento dei processi di RTB, sia dal punto di vista tecnico che organizzativo.
Il GBA ha già annunciato che analizzerà nel dettaglio le ragioni della sentenza.
German 
English 
Italian 
French