Notizie sulla privacy

I cookie banner sono illegali?

La pubblicità basata sul tracciamento di Google e Amazon è sotto tiro nell'UE. In una decisione storica, la Corte d'Appello di Bruxelles ha invalidato i banner con consenso ai cookie costruiti sulla base del Transparency & Consent Framework di IAB Europe.

Are cookie banners illegal? Google's and Amazon's tracking-based advertising are under fire in the EU.

Il 14 maggio 2025, la Corte d'appello di Bruxelles ha confermato la decisione dell'Autorità belga per la protezione dei dati (DPA) del 2 febbraio 2022. La sentenza afferma che il Transparency & Consent Framework (TCF) di IAB Europe - in pratica il sistema che sta dietro ai cookie banner per le offerte pubblicitarie in tempo reale - viola il GDPR e, quindi, è illegale in tutta l'Unione Europea. Ma cosa significa questa sentenza per voi e per i fastidiosi cookie banner che vi saltano sempre addosso? Approfondiamo la questione!

Lo standard tecnico utilizzato dalle aziende pubblicitarie per raccogliere il consenso GDPR online è illegale. Le conseguenze potrebbero essere enormi - per i media, ma anche per i giganti del settore come Google, Amazon, Microsoft, X e altri.

Decisione dell’APD belga

L’autorità belga per la protezione dei dati APD ha stabilito - e la Corte d’Appello di Bruxelles lo ha ora confermato - che un meccanismo centrale per i cookie banner viola il Regolamento generale sulla protezione dei dati (GDPR). La decisione è stata presa in un cosiddetto procedimento unico. Ciò significa che si applica a tutta l’UE. La procedura deriva da una denuncia del Consiglio irlandese per le libertà civili e di altre organizzazioni europee per i diritti civili e potrebbe potenzialmente essere un duro colpo per l’industria pubblicitaria europea.

Per saperne di più sulla decisione, leggete qui.

Un duro colpo per l’industria dei dati

In base a questa sentenza, i cookie banner basati sul TCF sono ora illegali in tutta Europa perché violano il GDPR a più livelli:

  • Raccolta di consenso non valida (articoli 5(1)(a), 6 GDPR)
  • Mancanza di trasparenza (articoli 12-14 del GDPR)
  • Insufficiente sicurezza dei dati personali (articoli 5(1)(f), 25, 32 GDPR)

Anche gli inserzionisti che giustificano il tracciamento dei cookie come “interesse legittimo” violano il GDPR. Il tribunale ha esplicitamente respinto l’uso del “legittimo interesse” come base giuridica per il real-time bidding (RTB) e forme simili di tracciamento online, a causa dei gravi rischi per la privacy. Pertanto, i cookie banner che offrono la possibilità di selezionare il legittimo interesse per il tracciamento degli annunci sono illegali.

Johnny Ryan, direttore di Enforce presso l’Irish Council for Civil Liberties, ha dichiarato:

“La decisione odierna del tribunale dimostra che il sistema di consenso utilizzato da Google, Amazon, X, Microsoft, inganna centinaia di milioni di europei. L’industria tecnologica ha cercato di nascondere la sua vasta violazione dei dati dietro finti popup di consenso. Le aziende tecnologiche hanno trasformato il GDPR in una seccatura quotidiana piuttosto che in uno scudo per le persone”.

La pubblicità mirata su Internet funziona così (spiegazione semplificata): Ogni visita a un sito web che utilizza il tracciamento dei cookie per la pubblicità mirata scatena un’asta tra i fornitori di pubblicità. Nel giro di pochi millisecondi viene deciso quale pubblicità verrà visualizzata dall’utente in base al suo profilo e ad altri fattori (= offerta in tempo reale).

Offerta in tempo reale

Affinché il real-time bidding (RTB) funzioni, le aziende pubblicitarie vogliono sapere molte cose sulla persona che sta navigando sul loro sito web: Età, sesso, interessi, siti web visitati, luogo di residenza, potere d’acquisto e altro ancora. Questi dati vengono utilizzati per visualizzare l’annuncio più adatto, quello su cui l’utente molto probabilmente farà clic.

Leggete qui perché noi di Tuta chiediamo di vietare del tutto le pubblicità mirate e perché crediamo che il modello commerciale basato sugli annunci debba morire.

Turn ON Privacy in one click.

Tracciamento senza consenso?

Tuttavia, secondo il GDPR questo tipo di tracciamento è consentito solo se l’utente vi acconsente. Il Transparent and Consent Framework (TCF) dell’associazione pubblicitaria IAB Europe richiede presumibilmente questo consenso: Se gli utenti cliccano su “accetta i cookie” o non si oppongono al fatto che l’uso dei loro dati è nel legittimo interesse del fornitore, il TCF genera una cosiddetta stringa TC. Questo identificatore costituisce la base per la creazione di profili individuali. I profili vengono poi utilizzati per abbinarli agli annunci pubblicitari da visualizzare. In questo modo, la stringa TC viene inoltrata a centinaia e centinaia di partner del sistema OpenRTB.

L’intero settore pubblicitario (quando si parla di annunci mirati) si basa sulla stringa TC, il che la rende lo standard più importante nell’ecosistema della pubblicità online.

Come influisce la decisione sul settore pubblicitario?

Con una sentenza storica, l’APD belga ha deciso nel 2022 - ora confermata dal tribunale di Bruxelles - che la condivisione della stringa TC con centinaia di partner viola il Regolamento generale sulla protezione dei dati. Secondo l’autorità di controllo, il sistema utilizzato dagli inserzionisti per raccogliere il consenso alla pubblicità mirata su Internet non rispetta i principi di legalità e correttezza.

Nella sua sentenza, l’APD belga ha emesso una multa di 250.000 euro contro l’associazione pubblicitaria IAB Europe, che sviluppa e gestisce il meccanismo TCF. Inoltre, IAB dovrà cancellare i dati personali già raccolti, che per l’industria pubblicitaria valgono una miniera d’oro. A quanto ammonta? Si può stimare guardando a una sentenza simile imposta a Google nel 2024, che ha costretto il gigante tecnologico a cancellare 5 miliardi di dollari di dati degli utenti raccolti illegalmente in modalità Incognito. Ancora più significative, tuttavia, sono le condizioni che l’APD belga impone al settore pubblicitario per continuare a utilizzare il Transparency and Consent Framework.

Migliaia di operatori di siti web, quasi tutti i media online e anche grandi aziende pubblicitarie come Google, Microsoft, Amazon, X e altri utilizzano il meccanismo per trasmettere il presunto consenso degli utenti al trattamento dei loro dati personali a fini pubblicitari.

Hielke Hijmans, presidente della Camera di contenzioso dell’APD belga , afferma che:

“Le persone sono invitate a dare il consenso, mentre la maggior parte di loro non sa che i loro profili vengono venduti un gran numero di volte al giorno per esporli a pubblicità personalizzate”. Anche se riguarda il TCF, e non l’intero sistema di offerte in tempo reale, la nostra decisione odierna avrà un impatto importante sulla protezione dei dati personali degli utenti di Internet. È necessario ripristinare l’ordine nel sistema TCF, in modo che gli utenti possano riprendere il controllo dei propri dati”.

Anche se la decisione non riguarda direttamente l’intero sistema pubblicitario su Internet, avrà un impatto importante sulla protezione dei dati personali degli utenti del web, afferma Hijmans.

Perché la decisione è importante?

Le autorità belghe per la protezione dei dati sostengono che non solo i profili pubblicitari sono dati personali, ma anche la stringa TC, utilizzata per la pubblicità mirata, deve essere considerata un dato personale. Questa stringa può essere combinata con l’indirizzo IP e, quindi, rendere identificabile qualsiasi utente.

La sentenza del tribunale è assolutamente chiara:

La stringa TC è un dato personale. Come confermato dalla CGUE in questo stesso caso, ciò vale indipendentemente dal fatto che IAB Europe vi abbia accesso o meno”.

Di conseguenza, IAB Europe viola il GDPR con il protocollo TCF utilizzato per generare le stringhe TC. Inoltre, il consenso dato dagli utenti al tracciamento dei dati (cookie) è inefficace in quanto non esiste un interesse legittimo sufficiente del proprietario del sito web per richiedere tale consenso.

Le autorità sostengono che l’interesse legittimo degli utenti è superiore all’interesse legittimo delle società pubblicitarie a causa dell’elevato rischio associato alla pubblicità basata sul tracciamento delle offerte in tempo reale.

Inoltre, le informazioni fornite agli utenti al momento del consenso erano troppo generiche e vaghe per consentire loro di comprendere la natura e la portata del trattamento dei loro dati, soprattutto in considerazione della complessità della pubblicità basata sul tracciamento.

La domanda principale che emerge da questa discussione sui dettagli legali del tracciamento è quindi la seguente: I cookie banner sono illegali? Come per la domanda se Google Analytics sia illegale nell’UE, la risposta è sì e no.

Mentre molte delle attuali implementazioni di cookie banner nell’UE sono ora illegali - ad esempio perché giustificano il tracciamento degli annunci come interesse legittimo o perché sono troppo vaghe su quali dati vengono raccolti e perché - l’uso dei cookie banner in generale non è illegale nell’UE.

Ma cosa significa questo per il futuro dei cookie?

I cookie banner sono diventati una vera e propria seccatura online, a volte addirittura fastidiosa quanto gli annunci stessi, che possono essere bloccati tramite gli ad-blocker, anche all’interno di Gmail. L’aspetto più fastidioso dei banner sui cookie è che di solito è molto facile “Accettare tutto”, mentre spesso non viene data la possibilità di “Rifiutare tutto”. Tuttavia, questa procedura degli editori - mostrare solo un pulsante “Accetta tutto” - è ora sotto accusa anche in Germania, per cui si spera che il pulsante “Rifiuta tutto” sia presto disponibile ovunque.

In ogni caso, a seguito dell’attuale sentenza di Bruxelles, gli editori devono adeguare l’uso dei cookie banner. Gli editori devono:

  • utilizzare un vero e proprio consenso opt-in per i cookie di tracciamento (senza caselle pre-selezionate)
  • fornire informazioni chiare e concise su quali dati vengono raccolti e perché
  • Non fare affidamento sul “legittimo interesse” come base per il tracciamento degli annunci.

La prima conseguenza? Il nuovo pulsante “Rifiuta tutto” di Google

Un primo segnale dell’applicazione più rigorosa dei diritti dei clienti da parte delle autorità europee è l’aggiunta da parte di Google del pulsante “Rifiuta tutto” ai suoi banner sui cookie.

Ist das alte Google-Cookie-Banner in Europa illegal? Google hat inzwischen eine Schaltfläche "Alle ablehnen" hinzugefügt. Ist das alte Google-Cookie-Banner in Europa illegal? Google hat inzwischen eine Schaltfläche "Alle ablehnen" hinzugefügt. Il vecchio banner sui cookie di Google è illegale in Europa? Google ha già aggiunto il pulsante “Rifiuta tutto”.

Buone notizie per gli amanti della privacy

Per gli utenti di Internet che tengono alla protezione dei dati, la decisione della DPA belga e della Corte d’Appello di Bruxelles di dichiarare illegali i cookie banner nella loro forma attuale è un’ottima notizia.

In primo luogo, perché le società di ad tech dovranno cancellare i dati degli utenti raccolti attraverso il meccanismo del TCF.

In secondo luogo, e soprattutto, la decisione delle autorità belghe per la protezione dei dati potrebbe portare al ribaltamento dell’intero sistema di pubblicità personalizzata.

Questo potrebbe finalmente porre fine alla pubblicità mirata.

Illustration of a phone with Tuta logo on its screen, next to the phone is an enlarged shield with a check mark in it symbolizing the high level of security due to Tuta's encryption.