I popup di consenso di IAB Europe sono illegali

La decisione dell’autorità Belga del 2 febbraio è destinata a scuotere il mondo dell’advertising online come lo conosciamo. La gestione della pubblicità “comportamentale” online è da sempre nelle mani del duopolio Google e IAB Europe (Interactive Advertising Bureau) ed utilizza il sistema chiamato “Real Time Bidding” avvalendosi di piattaforme di incrocio tra “domanda” e offerta pubblicitaria. Questo metodo di pubblicità online è utilizzato da numerosissimi e grandissimi operatori attivi nel mercato digitale, come, ad esempio Google, Amazon e Microsoft, solo per citarne alcuni.

Dal 2 Febbraio 2022, le autorità per la protezione dei dati dell’UE ritengono che i popup di consenso che hanno afflitto gli europei per anni siano illegali. A tale importante decisione si è arrivati dopo una lunga campagna promossa dall’Irish Council of Civil Liberties e coordinata da Liberties EU unitamente a numerose organizzazioni della società civile attive nel campo dei diritti digitali che nel 2019 hanno sottoposto una serie di reclami in Irlanda, Germania, Belgio, Francia, Italia, Estonia, Bulgaria, Ungheria, Slovenia e Repubblica Ceca.

Per l’Italia, il reclamo al Garante per la Protezione dei Dati Personali contro Google e IAB è stato inoltrato e seguito dai legali di CILD Coalizione Italiana Libertà e Diritti Civili e trasmesso, secondo il meccanismo “one stop shop” del GDPR alle rispettive autorità capofila in Irlanda (per Google) ed in Belgio (per IAB).

Nella decisione del 2 febbraio 2022, quindi, ben 28 autorità per la protezione dei dati dell’UE, guidate dall’Autorità belga per la protezione dei dati come principale autorità capofila, hanno riscontrato che l’organismo commerciale del settore della pubblicità online “IAB Europe” commette molteplici violazioni del GDPR nel trattamento dei dati personali nell’ambito del suo “Transparency and Consent Framework” (TCF) e del sistema di Real-Time Bidding (RTB). Il sistema di popup di raccolta del consenso utente noto come “Transparency & Consent Framework” (TCF) è presente sull’80% dei siti Internet in Europa. L’industria del monitoraggio ha da sempre affermato e sostenuto che si trattava di una misura necessaria per conformarsi al GDPR ma le Autorità per la Protezione dei Dati Personali hanno stabilito che questa metodologia di “raccolta” del consenso ha, di fatto, privato centinaia di milioni di europei dei loro diritti fondamentali.

L’Autorità Belga avendo rilevato “carenze sistematiche” nel TCF, ha stabilito nel provvedimento che “le operazioni di trattamento effettuate sulla base del protocollo OpenRTB non sono conformi ai principi base della limitazione delle finalità e della minimizzazione dei dati”. Ha, inoltre, dichiarato che: “il codice del TCF gioca un ruolo fondamentale nell’attuale architettura del sistema OpenRTB. In tal modo, il TCString supporta un sistema che presenta grandi rischi per i diritti e le libertà fondamentali degli interessati, in particolare in considerazione dell’ampia scala di dati personali coinvolti, delle attività di profilazione, della previsione del comportamento e della conseguente sorveglianza degli interessati”. Infine, ha rilevato che, in ogni caso, “il consenso dell’interessato non è una base giuridica valida per le operazioni di trattamento nell’OpenRTB facilitate dal TCF”.

Ora, in attesa dell’appello sul provvedimento già presentato da IAB Europe, tutti i dati raccolti attraverso il TCF devono essere cancellati dalle oltre 1.000 aziende che pagano IAB per utilizzare tale meccanismo per la pubblicità comportamentale. La decisione afferma che coloro che attuano il TCF devono “adottare le misure appropriate, in linea con gli articoli 24 e 25 GDPR, assicurando che i dati personali raccolti in violazione degli articoli 5 e 6 GDPR non siano più trattati e rimossi di conseguenza”. La Autorità ha, infine, concesso a IAB due mesi per adeguare il suo Transparency & Consent Framework alle regole europee cristallizzate nel GDPR.