Multa di 250.000 euro ad Iab Europe, la principale associazione di categoria nel campo della pubblicità digitale, dal Dpa belga, l’autorità nazionale per la protezione dei dati: secondo l’accusa, il suo quadro di trasparenza e consenso, utilizzato da gran parte dell’industria pubblicitaria nell’Unione europea, non è conforme a diverse disposizioni del regolamento generale sulla protezione dei dati dell’Ue.
Attraverso l’elaborazione dei dati ai sensi del Tcf (Transparency and consent framework) di Iab, che “facilita la gestione delle preferenze degli utenti per la pubblicità personalizzata online”, il Dpa ha ritenuto che Iab Europe agisca come titolare del trattamento dei dati e possa essere ritenuto responsabile di potenziali violazioni del Gdpr. L’autorità ha inoltre stabilito che Iab Europe non ha stabilito una base giuridica per il trattamento e non ha nominato un responsabile della protezione dei dati, non ha condotto una valutazione d’impatto sulla protezione dei dati o tenuto un registro delle attività di trattamento. Il Dpa ha anche affermato che è difficile per gli utenti “mantenere il controllo sui propri dati personali” nell’ambito del quadro, poiché le informazioni fornite sono “troppo generiche e vaghe per consentire agli utenti di comprendere la natura e la portata del trattamento”.
Ordine di eliminazione di tutti i dati elaborati
La Camera di contenzioso del Dpa ha quindi concesso a Iab Europe due mesi per presentare un piano d’azione che rendesse conforme l’attuale versione del Transparency and Consent Framework. A Iab Europe è stato inoltre ordinato di eliminare definitivamente i dati personali già elaborati nel sistema Tcf “da tutti i suoi sistemi informatici, file e supporti dati, e dai sistemi informatici, file e supporti dati dei responsabili del trattamento contrattati da Iab Europe”.
Iab Europe ha affermato di respingere la conclusione del Dpa: “Riteniamo che questa conclusione sia sbagliata per legge e avrà gravi conseguenze negative non intenzionali che vanno ben oltre il settore della pubblicità digitale”. L’organizzazione ha quindi affermato che sta “considerando tutte le opzioni rispetto a una sfida legale” e che è ansiosa di lavorare con l’autorità “su un piano d’azione”.
Giro di vite dalle Autorithy europee
La sentenza del Dpa belga, d’intesa con altre 27 autorità per la protezione dei dati dell’Ue, fa seguito ai reclami provenienti dal 2019 sulla conformità al Gdpr del Tcf. Il senior fellow dell’Irish council for civil liberties Johnny Ryan ha affermato che “è stata una lunga battaglia”. “La decisione odierna libera centinaia di milioni di europei dallo spam di consenso e dal rischio più profondo che le loro attività online più intime vengano divulgate da migliaia di aziende”, ha affermato.
Sulla scia della recente decisione dell’autorità austriaca per la protezione dei dati secondo cui l’uso di Google Analytics viola il Gdpr e delle notizie di altre autorità sull’argomento, tra cui il Dpa norvegese, Datatilsynet, che consigliano alle aziende di cercare alternative, il responsabile europeo della privacy e della protezione dei dati di Cooley, Patrick Van Eecke, ha affermato che la decisione evidenzia che le autorità europee per la protezione dei dati stanno utilizzando il 2022 per “ripulire l’ambiente”. “Abbiamo assistito ad alcune multe e decisioni nelle ultime settimane che stanno davvero incidendo in profondità nelle pratiche di elaborazione dei dati non solo di un’azienda, ma di un intero settore industriale”, ha affermato. La decisione del Dpa che Iab Europe si qualifichi come responsabile del trattamento dei dati “è un messaggio molto forte e un avvertimento ai fornitori di servizi di creare sistemi di elaborazione dei dati conformi al Gdpr“, ha affermato Van Eecke. La decisione rappresenta una sfida per l’industria su come andare avanti al meglio, ha affermato Kibel, in attesa di un ricorso e di misure correttive da parte di Iab Europe.
Pachl (Beuc): “Un cambio di marcia era atteso da tempo”
La decisione del garante della privacy del Belgio contro Iab Europe “potrebbe cambiare il modo in cui opera l’intero settore della pubblicità mirata, il che è atteso da tempo”. Così la vice direttrice generale dell’organizzazione europea dei consumatori (Beuc), Ursula Pachl, in una nota a commento della multa inflitta dall’Autorità belga. “Vediamo violazioni sistematiche del Gdpr da parte di società di pubblicità online, che raccolgono illegalmente grandi quantità di dati personali” grazie a “meccanismi di consenso poco trasparenti e manipolatori” che “non offrono ai consumatori una reale possibilità di dire ‘no'”. Tali meccanismi “consentono la trasmissione dei dati dei consumatori a migliaia di altre società di cui gli utenti non hanno mai sentito parlare, a loro insaputa e senza dar loro alcun controllo”, spiega ancora Pachl, lamentando il fatto che la sanzione inflitta dal Garante “è irrisoria, considerato che si tratta di un sistema di consenso utilizzato nella stragrande maggioranza dei siti web europei, e tenuto conto della gravità delle violazioni individuate“.
“La pubblicità di sorveglianza va contro i principi e i diritti fondamentali che il Gdpr deve proteggere – conclude la vice direttrice del Beuc -. Questo deve essere un campanello d’allarme per l’intero settore della pubblicità digitale” perché si conformi alla legge, “mentre le autorità di protezione dei dati devono intraprendere un’azione decisiva contro le entità che continuano a violare il Gdpr“.
