I popup per il tracciamento pubblicitario di IAB Europe sono illegali. La sentenza del Garante belga

I popup per il tracciamento pubblicitario di IAB Europe sono illegali. La sentenza del Garante belga

Il Garante per la Protezione dei Dati del Belgio ha emesso una sentenza, valida per tutta l'UE, in cui dichiara i popup per il consenso al tracciamento pubblicitario illegali. Un precedente importante, forse financo storico

di pubblicata il , alle 16:21 nel canale Market
Data ManagementTutela privacy
 

Una sentenza del Garante per la Protezione dei Dati del Belgio, valida in tutta Europa, stabilisce come i popup per ottenere il consenso al tracciamento a scopo pubblicitario sviluppati da IAB Europe, l'associazione europea delle aziende che operano nel campo della pubblicità e del marketing, siano illegali. I dati ottenuti tramite essi dovranno essere cancellati.

I popup per il consenso al tracciamento di IAB Europe sono illegali

TCF, Transparency and Consent Framework

Nel giugno dello scorso anno l'Irish Council for Civil Liberties aveva avviato una segnalazione presso l'Autorità Garante della Protezione dei Dati in Belgio contro IAB Europe per mancato rispetto del GDPR.

L'Autorità Garante della Protezione dei Dati belga ha ora sentenziato che i popup mostrati da molti siti per raccogliere il consenso al tracciamento sono, in realtà, illegali in quanto commettono molteplici violazioni del GDPR. Attualmente il "Transparency and Consent Framework" (TCF), ovvero appunto il sistema di popup oggetto della sentenza, è usato sull'80% dei siti Internet europei.

Secondo la sentenza, il sistema TCF viola il GDPR in quanto non assicura che i dati personali siano mantenuti al sicuro e confidenziali; non richiede il consenso in maniera appropriata e usa una base lecita, il legittimo interesse, che non è ammissibile a causa del grande rischio posto dal tracciamento online; non è trasparente riguardo ciò che avviene ai dati delle persone; non mette in essere misure per assicurare che l'elaborazione dei dati avvenga secondo il GDPR; non rispetta i requisiti per la "data protection by design".

Il Garante belga afferma che IAB Europe "era al corrente dei rischi collegati al mancato rispetto delle regole" ed "è stata negligente". IAB Europe non ha rispettato i suoi obblighi di protezione dei dati, non tenendo traccia dell'elaborazione dei dati, non ha condotto uno studio sull'impatto sulla protezione dei dati derivante dalla sua condotta e non ha nominato un Data Protection Officer come prevede il GDPR.

Tutti i dati raccolti tramite il TCF da più di 1.000 aziende dovranno ora essere cancellati al più presto. Ciò include colossi del settore come Amazon, Google e Microsoft. Viene comminata una sanzione di 250.000 euro e viene richiesta la presentazione di una soluzione alternativa al comportamento in essere entro sei mesi, pena una sanzione di 2.000 euro per ogni giorno in più di violazione delle norme. Ogni ulteriore uso dei dati è proibito.

La sentenza è valida in tutta l'Unione Europea, grazie al meccanismo "one-stop shop" del GDPR per cui l'Autorità competente è solo quella dove risiede la sede principale dell'azienda, ma le sentenze si applicano in tutto il territorio dell'Unione. Specifichiamo che il Garante italiano aveva espresso il proprio supporto e aveva inviato documentazione al Garante belga.

La sentenza stabilisce come il cosiddetto "legittimo interesse" non possa in realtà essere applicato e vieta che possa essere usato come base legale per il trattamento dei dati. "Secondo il Servizio d'Indagine," afferma la sentenza, "IAB Europe non riesce a fornire prove che gli interessi, in particolare i diritti e le libertà fondamentali, degli intestatari dei dati siano stati adeguatamente considerati nel processo [di definizione degli interessi legittimi]."

Viene incluso nella sentenza anche OpenRTB, il sistema di acquisto in tempo reale degli spazi pubblicitari. RTB sta per "real-time bidding" (letteralmente "offerta in tempo reale") ed è il sistema con cui vengono fatte incontrare domanda e offerta degli spazi pubblicitari; OpenRTB è un protocollo usato da molti membri di IAB Europe. Quest'ultima afferma di non essere responsabile di pratiche illegali adottate dai partecipanti al sistema OpenRTB, ma il Garante scrive nella sentenza che "il TCF è offerto con l'intento di promuovere indirettamente l'uso di OpenRTB. A tale proposito, IAB EUrope, nel suo ruolo di organizzazione dirigente, agisce come un cardine tra TCF e OpenRTB, che, incidentalmente, è stato sviluppato da IAB Tech Lab."

IAB Europe ha ora trenta giorni di tempo per ricorrere in appello.

I consumatori non sono ben disposti verso le pubblicità mirate

Autore: Frederic Guimont

La sentenza richiederà una profonda riorganizzazione del modo in cui le aziende ottengono il consenso al tracciamento da parte degli utenti. I problemi sottostanti la situazione odierna resteranno, però, anche dopo tale riorganizzazione.

IAB sosteneva recentemente come "il 69% degli europei è disposto a condividere i dati di navigazione perché vengano usati per la pubblicità, così da accedere a contenuti digitali come notizie e video online gratuitamente". Si può lungamente discutere su quanto "gratuitamente" tali contenuti siano distribuiti, quando si parla esplicitamente di un pagamento sotto forma di dati.

Al di là di questo aspetto più filosofico, però, uno studio condotto dall'Autorità per la Competizione e il Mercato del Regno Unito va direttamente contro quanto affermato da IAB (punto 4.68, enfasi non nell'originale): "una ricerca di Ipsos MORI ha scoperto che solo il 5% degli intervistati pensava di ottenere grandi benefici dal fatto che le aziende usassero le informazioni personali per inviare loro pubblicità personalizzate e materiale di marketing. In più, solo una piccola minoranza di tutti i consumatori afferma di essere contenta di condividere i propri dati per ricevere pubblicità rilevanti. Ad esempio, Ofcom ha scoperto che solo il 13% degli intervistati afferma di essere contento che le società che operano online raccolgano e usino i loro dati per mostrare loro pubblicità o informazioni più rilevanti."

Il rapporto prosegue con un punto particolarmente significativo: "[...] le indagini indicano come quando i consumatori capiscono meglio come funziona la pubblicità mirata, diventino più preoccupati rispetto all'elaborazione dei dati a essa collegata e possano potenzialmente essere meno disposti a ricevere pubblicità personalizzate. [...] Anche una ricerca per Which? [una realtà simile, per certi versi, all'italiana Altroconsumo] ha scoperto che più i consumatori capiscono come funzionano le pubblicità mirate, più si trovano a disagio con esse."

Da tale rapporto appare evidente come, in realtà, gli utenti siano ben poco disposti a essere tracciati. E sebbene il rapporto si riferisca specificamente al mercato britannico, sono diversi gli elementi che è lecito ritenere validi anche altrove: tra questi segnaliamo la difficoltà degli utenti privati di agire razionalmente in base alle informazioni in proprio possesso, l'impossibilità di poter effettuare scelte attive (spesso i termini sono presentati senza possibilità di scelta: accetta o lascia il sito), una conoscenza e una comprensione limitate del modo in cui i dati vengono trattati e usati.

A ulteriore conferma del fatto che, quando la scelta viene offerta loro realmente, gli utenti decidono di non essere tracciati, il 96% di essi ha deciso di sfruttare l'opzione di non essere tracciati introdotta da Apple in iOS 14.5 (val la pena notare che proprio tale funzionalità farà sì che Facebook perda 10 miliardi di dollari nel 2022). Tale percentuale di utenti si riferisce agli Stati Uniti, Paese che culturalmente appare generalmente meno attento alla privacy dell'Europa, dunque il dato reale delle persone effettivamente disposte a condividere i propri dati per farsi tracciare in Rete è probabilmente molto, molto più basso di quello espresso da IAB Europe.

Un fatto che, per inciso, non sorprende affatto. L'idea di vivere sotto la costante sorveglianza di società private il cui unico scopo è il profitto, e dunque lo sfruttamento economico dei cittadini proprio tramite tale sorveglianza continua, è probabilmente indigesta ai più, una volta che viene da essi compresa.

Un problema di scelta e di interessi

Il CEO di IAB, David Cohen, ha affermato che "bandire le pubblicità personalizzate avrebbe un impatto significativo su un settore economico sempre più importante, frenerebbe l'innovazione e danneggerebbe drammaticamente la comunità delle piccole imprese che usa la pubblicità guidata dai dati per promuovere i suoi beni e servizi e raggiungere i clienti in tutto il mondo."

Per rispondere a quest'affermazione, citiamo integralmente un passaggio della spiegazione di DuckDuckGo, un motore di ricerca attento alla privacy dei suoi utenti, sul suo modello di business: "è in realtà un bel mito quello che i motori di ricerca abbiano bisogno di tracciare la tua cronologia delle ricerche per fare soldi o fornire risultati delle ricerche di qualità. Quasi tutti i soldi che i motori di ricerca fanno (inclusa Google) derivano dalle parole chiave che digiti, senza sapere nulla su di te, inclusa la tua cronologia delle ricerche o l'apparentemente infinita quantità di dati aggiuntivi che hanno raccolto su utenti tanto registrati quanto non registrati. In effetti, chi fa pubblicità sui motori di ricerca acquista spazi pubblicitari pagando per le parole chiave, non per le persone. Ha anche senso a livello intuitivo. Se cerchi 'macchina', è più probabile che tu reagisca alla pubblicità di una macchina che a una su qualcosa che hai cercato la scorsa settimana."

L'alternativa alle pubblicità mirate esiste, e si chiama pubblicità contestuale: all'utente vengono mostrate pubblicità basate su quello che sta visualizzando, anziché in base a un suo profilo personalizzato. Su un sito come Hardware Upgrade, dunque, verrebbero visualizzate pubblicità relative alla tecnologia, anziché relative ai cappotti o ai guanti da forno, o a qualunque altro tema di interesse del lettore, come avviene ora.

Il problema di fondo resta quello di trovare un equilibrio tra gli interessi delle aziende e quelli dei cittadini: sostituendo "pubblicità personalizzate" nel discorso di Cohen con "lavoro minorile" e "settimana lavorativa di sei giorni" si possono facilmente notare somiglianze con i discorsi di chi si opponeva alle loro abolizioni all'epoca. Non è poi andata così male in tali casi: la pubblicità personalizzata potrebbe essere il prossimo passo. Bisogna capire, a livello di società, quali siano gli interessi prevalenti: se quelli dei cittadini e della loro privacy, o quelli dei colossi multinazionali che hanno in mano il mercato delle pubblicità su Internet. L'indirizzo attuale sembra essere, fortunatamente, verso i primi.

6 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
giovanni6904 Febbraio 2022, 17:15 #1
Mo' vediamo come verranno cancellati i dati così raccolti....

Ho sempre pensato che quel legittimo interesse sempre ben nascosto nelle pieghe dei pop-up sulla privacy fosse nient'altro che un altro modo per legalizzare il tracciamento dell'utente che avesse risposto a NO alle altre opzioni facoltative.
Sandro kensan04 Febbraio 2022, 18:56 #2
Cancellazione dei dati? Se fossero aziende europee allora certamente sarebbero obbligat ee lo farebbero ma le aziende USA come Google e le altre? Anche se le cancellassero formalmente i dati andranno alle agenzie governatrici americane, ho letto che ci sono leggi apposite negli USA che obbligano aziende come Amazon a dare i loro dati a queste agenzie e sono obbligate al silenzio. Visto che le istituzioni europee valgono come il due di picche in terra USA è ovvio che la cancellazione dei dati imposta dal garante per la privacy è una chimera.
Axios200604 Febbraio 2022, 23:06 #3
Viene comminata una sanzione di 250.000 euro e viene richiesta la presentazione di una soluzione alternativa al comportamento in essere entro sei mesi, pena una sanzione di 2.000 euro per ogni giorno in più di violazione delle norme. Ogni ulteriore uso dei dati è proibito.


Wow... con tali cifre
Amazon, Google e Microsoft
saranno talmente spaventati che neanche scomoderanno i loro avvocati...

Bello comunque citare solo 3 aziende USA... Tutte quelle europee un popolo di santi...
yeppala05 Febbraio 2022, 13:10 #4
Con tutti gli strumenti di anti-tracciamento messi a disposizione dai vari browser ed OS moderni, penso che ormai sia veramente superfluo mostrare questi banner che finiscono per diventare più fastidiosi del problema che intenderebbero "risolvere". Detto in altre parole, le varie leggi su questi banner obbligatori sono ormai obsolete
giovanni6905 Febbraio 2022, 13:16 #5
Originariamente inviato da: Axios2006
Wow... con tali cifre saranno talmente spaventati che neanche scomoderanno i loro avvocati...

Bello comunque citare solo 3 aziende USA... Tutte quelle europee un popolo di santi...


Infatti lo scandalo è proprio questo!

Sono ammende amministrative che già sono state eventualmente calcolate dagli avvocati come parte del costo di un eventuale contenzioso vs ruberia dei dati personali e fanno ridere!
Slater9107 Febbraio 2022, 12:17 #6
Originariamente inviato da: Axios2006
Wow... con tali cifre saranno talmente spaventati che neanche scomoderanno i loro avvocati...

Bello comunque citare solo 3 aziende USA... Tutte quelle europee un popolo di santi...

Possiamo cortesemente smettere di mettere in bocca ad altri cose mai dette? Quelle tre aziende da sole hanno in mano la maggior parte del mercato pubblicitario ed è il motivo per cui sono citate. Faccio altresì presente che il pezzo riporta chiaro e tondo come "[a]ttualmente il "Transparency and Consent Framework" (TCF), ovvero appunto il sistema di popup oggetto della sentenza, è usato sull'80% dei siti Internet europei."

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^