Consulenza legale per ecommerce con un Team di avvocati esperti in privacy e diritto digitale, dal 2011.

Riepilogo carrello

Il tuo carrello è vuoto

Prodotti nel carrello: 0
Totale prodotti: € 0,00

Prosegui al carrello

Il framework di IAB non rispetta il GDPR, dice il Garante Privacy belga

30/12/2021

Il framework di IAB non rispetta il GDPR, dice il Garante Privacy belga

 

In base a quanto riportato dal Garante Privacy belga, il framework di IAB relativo al consenso per il trattamento dei dati comportamentali non rispetta il GDPR.
 

Nello specifico, il Garante Privacy belga ha rilevato infatti che i pop-up di monitoraggio e di consenso utilizzati da Google e da altri importanti siti web e applicazioni non rispettano il GDPR.
 

 

Oggetto dell’indagine sul framework di IAB

 

Oggetto dell’indagine è stato il sistema noto come “Transparency & Consent Framework (TCF)”. 


Il sistema è stato introdotto dall’Interactive Advertising Bureau (IAB), come tentativo di convincere gli operatori economici che il controverso sistema di “Real-Time Bidding” (RTB) della pubblicità online fosse conforme al GDPR.


Google ha iniziato a utilizzare il TCF quest’anno.


Il Garante Privacy belga ha però rilevato che il framework di IAB permetterebbe alle aziende di scambiare dati personali e sensibili anche senza consenso delle persone. 


Secondo il Garante belga:
 

“L’approccio di IAB Europe ha dimostrato di trascurare i rischi sui diritti e sulle libertà degli interessati“.  


Come funziona il framework di IAB


RTB opera “dietro le quinte” su siti web e applicazioni. Il framework di IAB trasmette le informazioni inerenti la navigazione online alle aziende di tracking. L’utente non ha modo di controllare il “destino” di queste informazioni, che appunto vengono perse e rese disponibili a terzi.
 

Questo, quanto accertato dal Garante Privacy belga.
 

Tuttavia, gli editori e i siti internet (ecommerce e vetrina) sono sempre più preoccupati per la sottrazione dei dati dei loro utenti attraverso il sistema RTB.


Secondo il Garante Privacy belga, IAB non fornisce controlli adeguati per il trattamento dei dati sensibili.


I dati sono stati raccolti nell’ambito di una campagna di protesta contro la violazione dei dati trattati tramite RTB e lanciata due anni fa dal dottor Johnny Ryan del Consiglio irlandese per le libertà civili, che all’epoca era un dirigente tecnico. 
 

Secondo il dottor Johnny Ryan: 
 

“i pop-up che ci affliggono decine di volte al giorno sono un tentativo di dipingere una sottile patina legale sulla vasta violazione dei dati al centro del sistema di pubblicità comportamentale. L’autorità belga per la protezione dei dati personali sta giustamente togliendo questa patina e denunciando la massiccia illegalità della pubblicità comportamentale online”.


Framework di IAB e gestione dei cookie


Il framework di IAB permette agli utenti di gestire le impostazioni cookie. Sin da subito è stato descritto come un sistema (non specificatamente richiesto dalla cookie law) per agevolare gli utenti. Stando a quanto accertato dal Garante Privacy belga, però, il sistema permette il trasferimento di dati personali (nello specifico, dati comportamentali online) senza lo specifico consenso degli interessati.  


Una irregolarità di non poco conto.


Sopratutto perchè molti generatori di documenti legali hanno “spinto” per l’integrazione con questo sistema, mettendo di fatto a rischio i siti che ospitano il framework di IAB.


Leggi il nostro approfondimento sul Regolamento ePrivacy.


Coinvolto anche il CCPA negli USA


IAB ha iniziato a commercializzare un sistema basato sul TCF per la nuova legge sulla privacy della California, il CCPA. 


In agosto ha lanciato lo IAB Privacy Lab, per fare pressione sui legislatori e produrre varianti del TCF per le leggi federali.


Se vuoi sapere di cosa tratta, leggi il nostro articolo di approfondimento sul CCPA.  


In questo articolo, abbiamo inoltre chiarito per quali motivi è molto probabile che il tuo sito ecommerce o vetrina non sia soggetto a questa normativa.  Precisazione necessaria stante l’attività di marketing di alcune società che cercano di vendere servizi di “generazione” di documenti legali inducendo a credere che il CCPA sia obbligatorio per legge con riferimento a tutti i siti (ecommerce e vetrina). 
 

il framework di IAB non rispetta la privacy, dice il Garante Privacy belga
Il framework di IAB non rispetta la privacy, dice il Garante privacy belga.


La privacy policy del sito di IAB


Il Garante Privacy belga ha avrebbe scoperto che anche la privacy policy del sito di IAB viola il GDPR, e che IAB non ha nominato un responsabile della protezione dei dati (DPO).


Pierre Dewitte, dell’Università belga di Lovanio, una delle persone che ha denunciato la vicenda, ha dichiarato:
 

“i risultati sulla scarsa conformità interna al GDPR da parte di IAB mostrano la sua mancanza di competenza, o di interesse, per gli aspetti più elementari della protezione dei dati e della legge sulla privacy”.  


Il rapporto dell’autorità belga ha affermato che:
 

“IAB Europe sta cercando di evitare la sua responsabilità nei confronti del GDPR, il che costituisce una circostanza aggravante”.


Ravi Naik, avvocato che ha lavorato sulle denunce originali, ha sostenuto che:

“IAB è responsabile delle violazioni al GDPR … IAB “trascura” i rischi per le persone interessate. La responsabilità di IAB è ora di fermare queste violazioni”.


Il dott. Jef Ausloos, dell’Università di Amsterdam, ha inoltre dichiarato che:
 

“Sono lieto di vedere un’autorità per la protezione dei dati decidere di affrontare il settore della tracciabilità. Questo potrebbe essere il primo passo per abbattere il capitalismo della sorveglianza”.


Il fatto che – come sembra da quanto accertato dal Garante Privacy belga – il framework di IAB non rispetti il GDPR rappresenta una grave fonte di responsabilità per questo ente, per le web agency che hanno implementato il framework di IAB e per i singoli titolari di siti ecommerce o vetrina.  


APPROFONDIMENTO: scopri il generatore di cookie policy di LegalBlink!


Non è un procedimento isolato


La tipologia di procedimento in esame non è l’unico.

Infatti, nel corso dei 2 anni passati ne sono stati intrapresi anche in UK e Irlanda.

 

I rischi per i siti di ecommerce e siti web


Quanto ritenuto dal Garante Privacy belga mette a rischio i siti ecommerce e vetrina che hanno installato il framework di IAB?


Dipende da diversi fattori.


Innanzitutto, i principi espressi dal Garante Privacy belga potrebbe essere ripresi anche dal Garante Privacy italiano.


Ciò potrebbe rappresentare un problema per i siti che hanno installato il framework di IAB qualora il Garante Privacy italiano dovesse ravvisare che questo strumento non rispetta il GDPR.


Infatti, il Garante Italiano potrebbe sia iniziare un procedimento direttamente contro IAB, sia contro il titolare del sito ecommerce oppure vetrina che ospita il pop-up di monitoraggio e di consenso utilizzati tramite il framework di IAB.


Ricordiamo che le sanzioni per violazione della privacy possono arrivare anche a 20 milioni di euro oppure il 4% del fatturato annuo … 


Questa responsabilità potrebbe anche estendersi verso le web agency che hanno permesso l’installazione del framework di IAB. 
 

Perché LegalBlink non ha mai integrato il framework di IAB


Da sempre LegalBlink ha dichiarato di non voler “incentivare” l’integrazione del framework di IAB nei siti (ecommerce e vetrina) che utilizzano il suo servizio.


Questa scelta è stata giustificata da diversi fattori:
 

  • la gestione dei dati comportamentali è una tematica legale, prima che informatica
  • la cookie law già spiega, in modo chiaro e senza l’uso di “framework” come permettere il consenso al rilascio di cookie
  • il framework di IAB è sembrato fin da subìto come un servizio non strettamente necessario hai bisogni degli ecommerce o dei siti vetrina.


Anche in considerazione di quanto ritenuto dal Garante Privacy belga, mai decisione fu più corretta!


Leggi il nostro approfondimento sul registro preferenze cookie.
 

Scopri il generatore di documenti di LegalBlink!
 

LegalBlink offre assistenza legale a web agency e siti di commercio elettronico. Se hai quindi dubbi su questioni di diritto digitale che interessano il tuo business online, contattaci! I nostri legali sono a tua disposizione.

 

Inoltre, se vuoi generare documenti legali per il tuo sito, puoi scegliere tra due innovativi servizi:


Fast Legal: generi in autonomia tutti i documenti legali per il tuo ecommerce o sito vetrina


Easy Merchant: tutti i documenti sono generati direttamente dai nostri legali.

 

Fonte: https://www.iccl.ie/news/gdpr-watchdogs-investigation-finds-that-tracking-and-consent-pop-ups-used-by-google-and-other-major-websites-and-apps-are-unlawful/

Team LegalBlink