I cookie banner sono illegali in Europa?
Parte centrale del banner dei cookie dichiarata illegale dalla DPA belga.
Modulo centrale per il targeting e il cookie banner illegale
Lo standard tecnico utilizzato dalle aziende pubblicitarie per raccogliere il consenso GDPR online è illegale. Le conseguenze potrebbero essere enormi - per i media, ma anche per i giganti dell’industria come Google e Amazon.
Cosa ha deciso l’APD belga?
L’autorità belga per la protezione dei dati APD ha stabilito che un meccanismo centrale per i cookie banner viola il regolamento generale europeo sulla protezione dei dati (GDPR). La decisione è stata presa in una cosiddetta procedura one-stop. Ciò significa che si applica a tutta l’UE. La procedura deriva da una denuncia del Consiglio irlandese per le libertà civili e altre organizzazioni europee per i diritti civili e potrebbe potenzialmente essere un colpo enorme per l’industria pubblicitaria europea.
Leggi di più sulla decisione qui.
Un duro colpo per l’industria dei dati
”Questa è stata una lunga battaglia”, ha detto il dottor Johnny Ryan del Consiglio irlandese per le libertà civili, “La decisione di oggi libera centinaia di milioni di europei dallo spam del consenso e dal rischio più profondo che le loro attività online più intime vengano passate da migliaia di aziende”.
Come funziona il consenso dei cookie e la pubblicità mirata?
Consenso dei cookie
La pubblicità mirata su internet funziona così (spiegazione semplificata): Ogni visita a un sito web che utilizza il cookie tracking per la pubblicità mirata fa scattare un’asta tra i fornitori di pubblicità. In pochi millisecondi si decide quali annunci l’utente vedrà in base al suo profilo e ad altri fattori (= offerta in tempo reale).
Offerta in tempo reale
Affinché questa offerta in tempo reale (RTB) funzioni, le compagnie pubblicitarie vogliono sapere molto sulla persona che sta navigando sul loro sito web: Età, sesso, interessi, siti web visitati, luogo di residenza, potere d’acquisto e altro. Questi dati vengono utilizzati per mostrare l’annuncio più adatto, quello su cui l’utente più probabilmente cliccherà.
Leggi qui perché chiediamo di vietare gli annunci mirati.
Tracciamento senza consenso?
Tuttavia, secondo il GDPR tale tracciamento è consentito solo se l’utente vi acconsente. Il Transparent and Consent Framework (TCF) dell’associazione pubblicitaria IAB Europe chiede presumibilmente questo consenso: Se gli utenti cliccano su “accetta i cookie” o non obiettano che l’uso dei loro dati è nel legittimo interesse del fornitore, il TCF genera una cosiddetta stringa TC. Questo identificatore costituisce la base per la creazione di profili individuali. I profili vengono poi utilizzati per abbinarli agli annunci da visualizzare. Così facendo, la stringa TC viene inoltrata a centinaia e centinaia di partner nel sistema OpenRTB.
L’intera industria pubblicitaria (quando si parla di annunci mirati) si basa sulla stringa TC, il che la rende lo standard più importante nell’ecosistema della pubblicità online.
Come influenza la decisione l’industria pubblicitaria?
Ora l’APD belga ha deciso che la condivisione della stringa TC con centinaia di partner viola il regolamento generale sulla protezione dei dati. Secondo l’autorità di controllo, il sistema utilizzato dagli inserzionisti per raccogliere il consenso per la pubblicità mirata su Internet non è conforme ai principi di legalità e correttezza.
Nella sua sentenza, l’APD belga ha emesso una multa di 250.000 euro contro l’associazione pubblicitaria IAB Europe, che sviluppa e gestisce il meccanismo TCF. Inoltre, IAB deve ora cancellare i dati personali già raccolti. Molto più significative, tuttavia, sono le condizioni che l’APD sta imponendo all’industria pubblicitaria per continuare a utilizzare il Transparency and Consent Framework.
Migliaia di operatori di siti web, quasi tutti i media online e anche le grandi compagnie pubblicitarie come Google e Amazon usano il meccanismo per trasmettere il presunto consenso degli utenti al trattamento dei loro dati personali per scopi pubblicitari.
Hielke Hijmans, presidente della Camera di contenzioso dell’APD belga dice:
“La gente è invitata a dare il consenso, mentre la maggior parte di loro non sa che i loro profili sono venduti un gran numero di volte al giorno per esporli ad annunci personalizzati. Anche se riguarda il TCF, e non l’intero sistema di offerte in tempo reale, la nostra decisione di oggi avrà un grande impatto sulla protezione dei dati personali degli utenti di Internet. L’ordine deve essere ripristinato nel sistema TCF in modo che gli utenti possano riprendere il controllo dei loro dati”.
Anche se la decisione non riguarda direttamente l’intero sistema pubblicitario su internet, avrà un grande impatto sulla protezione dei dati personali degli utenti del web, dice Hijmans.
Perché la decisione è significativa?
Le autorità belghe per la protezione dei dati sostengono che non solo i profili pubblicitari sono dati personali, ma anche la stringa TC - che viene utilizzata per la pubblicità mirata - deve essere considerata come dati personali. Questa stringa può essere combinata con l’indirizzo IP e, quindi, rendere qualsiasi utente identificabile.
Di conseguenza, lo IAB Europe viola il GDPR con il protocollo TCF utilizzato per generare stringhe TC. Inoltre, il consenso dato dagli utenti al tracciamento dei dati (cookie) è inefficace in quanto non esiste un interesse legittimo sufficiente da parte del proprietario del sito web per chiedere tale consenso in primo luogo.
Le autorità sostengono che l’interesse legittimo degli utenti supera l’interesse legittimo delle compagnie pubblicitarie a causa dell’alto rischio associato al tracciamento basato sulla pubblicità in tempo reale.
Inoltre, le informazioni fornite agli utenti al momento di dare il consenso erano troppo generiche e vaghe perché potessero comprendere la natura e la portata del trattamento dei loro dati, soprattutto data la complessità della pubblicità basata sul tracciamento.
Cosa succede dopo?
La decisione non riguarda immediatamente gli editori o le società di marketing che utilizzano pubblicità basate sul tracciamento.
Per ora, la decisione colpisce solo l’associazione pubblicitaria IAB Europe come fornitore del protocollo TCF.
Ora ci si possono aspettare due importanti sviluppi:
- Più informazioni: Le informazioni fornite agli utenti prima di dare il consenso saranno più specifiche e meno vaghe in futuro.
- Un’altra conseguenza di questa decisione potrebbe essere che in futuro sarà difficile per le aziende invocare un “legittimo interesse” come base legale per il trattamento dei dati. L’unica base legale possibile sarebbe allora il consenso dell’utente.
Prima conseguenza? Il nuovo pulsante “Rifiuta tutto” di Google
Un primo segno delle autorità europee che applicano i diritti dei clienti in modo più rigoroso è che Google sta finalmente aggiungendo un pulsante “Rifiuta tutto” ai suoi banner dei cookie.
Fino ad aprile 2022 era molto complicato limitare il tracciamento dei cookie da parte di Google a causa della mancanza del pulsante “Rifiuta tutto”.
Buone notizie per i fan della privacy
Per gli utenti di internet che tengono alla protezione dei dati, la decisione della DPA belga di dichiarare illegali i cookie banner è una buona notizia.
In primo luogo, perché le aziende ad tech dovranno cancellare i dati degli utenti che hanno raccolto attraverso il meccanismo TCF.
In secondo luogo - e più importante - la decisione delle autorità belghe per la protezione dei dati potrebbe portare al ribaltamento dell’intero sistema delle pubblicità personalizzate.
Questo potrebbe finalmente mettere fine alla pubblicità mirata.