Retroscena
Revisione OSCPT: il Consiglio federale vuole bypassare la sorveglianza con un'ordinanza
di Florian Bodoky
Consenso senza controllo: i banner dei cookie violano la protezione dei dati
21.5.2025
Traduzione: Rebecca Vassella
Dopo diversi anni di controversie legali, è ormai chiaro che il «Transparency and Consent Framework» viola il Regolamento generale sulla protezione dei dati dell'UE. Fare clic su «OK» di un banner dei cookie non è sufficiente per elaborare i dati come fanno molte aziende.
Il dibattito sul cosiddetto Transparency and Consent Framework (TCF) ha per anni tenuto col fiato sospeso i vari attivisti, le aziende e le autorità europee per la protezione dei dati. Già nel 2022, l'Irish Council for Civil Liberties (ICCL) ha presentato un'accusa all'autorità belga per la protezione dei dati, in quanto il TCF consentirebbe di violare sistematicamente il Regolamento generale sulla protezione dei dati (RGPD).
Fonte: iccl.ie
Ora è stata presentata una sentenza dichiarativa da Bruxelles: la Corte d'appello belga si è pronunciata d'accordo su alcuni punti chiave dell'accusa dei protezionisti dei dati. In particolare, ha confermato che la cosiddetta TC string memorizza «dati personali ai sensi del Regolamento generale sulla protezione dei dati (RGPD)». Il tribunale segue quindi la valutazione della Corte di giustizia dell'Unione europea (CGUE), che si era già pronunciata al riguardo nel 2024. È improbabile che i banner dei cookie scompaiano dall'oggi al domani; tuttavia, questa sentenza potrebbe sconvolgere il sistema pubblicitario digitale in Europa.
Che cos'è il TCF?
Il Transparency and Consent Framework è stato lanciato dall'associazione pubblicitaria IAB Europe e consente agli inserzionisti di ottenere il consenso degli utenti per il trattamento dei dati e di trasmetterli ad altri inserzionisti in tempo reale. La cosiddetta TC string svolge un ruolo fondamentale in questo caso. Si tratta di un set di lettere e caratteri che memorizza tutti i consensi che un utente ha concesso (o rifiutato). Questo viene generato dalle cosiddette piattaforme di gestione del consenso (CMP) e memorizzato insieme ai cookie nel browser dell'utente. Viene poi riutilizzato all'interno della rete pubblicitaria da altre società pubblicitarie.
La rete pubblicitaria opera a sua volta con il cosiddetto real-time bidding (RTB), un processo in cui gli spazi pubblicitari sui siti web vengono messi all'asta in pochi millisecondi. Di solito vince chi ha una pubblicità che corrisponde al profilo dell'utente che visita maggiormente il sito web – per cui sul sito XY potresti vedere una pubblicità diversa da quella che vedo io. Il profilo di un utente è costituito dalle informazioni contenute nella TC string. Più informazioni ci sono, più prezioso è lo spazio pubblicitario per gli inserzionisti.
Fonte: Florian Bodoky
Qual è il problema?
I protezionisti dei dati hanno a lungo criticato diversi aspetti. In primo luogo, la mancanza di trasparenza del sistema. I consumatori comuni non sono generalmente in grado di capire quali dati vengono trattati e a quale scopo. All'utente viene negato un controllo effettivo sul consenso perché non può capire realmente a cosa sta dando il suo consenso quando clicca su «Accetta tutto» su un banner dei cookie.
In un ecosistema in cui i dati vengono trasmessi a centinaia di enti in frazioni di secondo, il principio del «consenso informato» sembra più una finzione che una realtà. La questione fondamentale è se i dati memorizzati in una TC string siano dati personali. Il tribunale ha risposto a questa domanda in modo affermativo.
Di conseguenza, il TCF viola alcuni articoli del RGPD.
Articolo 5, paragrafo 1, lettere a e b
- La raccolta e l'utilizzo delle TC string sono spesso incomprensibili per gli utenti.
- Spesso non è possibile riconoscere quali dati vengono inviati a chi, il che viola il principio della trasparenza.
- Le finalità del trattamento dei dati sono spesso formulate in modo troppo generico o poco chiaro.
- Gli utenti non possono dare un consenso differenziato, ad esempio per la pubblicità sì, ma non per il tracciamento per le ricerche di mercato.
Articolo 6, paragrafo 1, lettera a
- Il trattamento dei dati personali è consentito solo con un consenso effettivo.
- Le TC string possono anche essere state forzate da banner dei cookie non trasparenti o da dark pattern.
Articolo 7, paragrafo 1
- La mera memorizzazione di una TC string non è sufficiente come prova di un consenso valido.
- Spesso mancano informazioni su quando, come e da chi è stato dato il consenso.
Di chi è la colpa e quali sono le conseguenze?
L'IAB Europe, ideatore del TCF, è stato inizialmente considerato responsabile della debacle della protezione dei dati. Questo non è del tutto vero: è vero che il tribunale d'appello belga vede l'IAB nel ruolo di «Contitolare del trattamento», ma solo per la raccolta e la gestione dei consensi all'interno del sistema. Le piattaforme di gestione del consenso e i rispettivi inserzionisti sono inoltre responsabili del successivo trattamento dei dati fino alla visualizzazione delle pubblicità.
Ai sensi del RGPD (articolo 26), il termine «Contitolari del trattamento» significa che più parti sono congiuntamente responsabili di determinate fasi della procedura di trattamento. Insieme decidono quali finalità e quali mezzi di elaborazione dei dati vengono utilizzati. Deve essere chiaramente regolamentato chi svolge quali compiti, poiché gli utenti devono avere un referente specifico per poter rivendicare i propri diritti.
Fonte: iebeurope.com
La sanzione attualmente decretata è una sanzione di 250 000 euro nei confronti di IAB Europe. Tuttavia, è stata sospesa poiché l'IAB Europe ha già sviluppato una versione rivista del TCF. Questa versione 2.2 intende correggere i punti criticati. Il «legittimo interesse», utilizzato in precedenza come base giuridica per la pubblicità personalizzata, non è più applicabile. Inoltre, è necessario aumentare la trasparenza e migliorare la comprensibilità. L'autorità per la protezione dei dati ha accolto la revisione.
Tuttavia, questa sentenza potrebbe avere altre conseguenze. Dopo tutto, la maggior parte dei siti web europei si affida al TCF. Ciò significa che il trattamento illecito dei dati riguarda un numero molto elevato di utenti, il che solleva la questione delle possibili richieste di risarcimento. Tuttavia, è probabile che queste vengano fatte agli inserzionisti che hanno trattato questi dati senza una base legale.
Cosa succederà ora?
La decisione può essere considerata una pietra miliare. Si pone ora la questione di come procederà. La sfida consiste nel creare soluzioni tecniche che soddisfino i requisiti del RGPD. La protezione dei dati «by design» e «by default», ovvero la protezione dei dati fin dalla fase di progettazione, deve essere valida per essere conforme al RGPD. La nuova versione del TCF è la pietra di paragone per l'IAB Europe.
Fonte: DSGVO-Team.de
Cosa significa questo per la Svizzera?
La sentenza del tribunale belga non ha effetti giuridici diretti. La Svizzera è soggetta alla propria legge sulla protezione dei dati, che si applica indipendentemente dal RGPD. Tuttavia, le aziende svizzere, ad esempio, devono rendere i loro siti web conformi al RGPD se si rivolgono a utenti dell'UE, inseriscono pubblicità su siti web dell'UE o trattano i dati di cittadini dell'UE. In caso contrario, c'è il rischio di sanzioni da parte delle autorità dell'UE. Naturalmente, le autorità per la protezione dei dati possono utilizzare questa sentenza come guida quando si tratta di verificare la conformità del TCF alla propria legge sulla protezione dei dati.
Immagine di copertina: Shutterstock
Da quando ho scoperto come attivare entrambi i canali telefonici sulla scheda ISDN per ottenere una maggiore larghezza di banda, sperimento con le reti digitali. Con quelle analogiche, invece, da quando so parlare. A Winterthur per scelta, con il cuore rossoblu.
Sicurezza
Segui gli argomenti e ricevi gli aggiornamenti settimanali relativi ai tuoi interessi.
30 commenti
later