Davide contro Golia: il mostro è stato abbattuto.
Table of Contents
GOLIA, SCONFITTO, ORA GIACE CON LA FACCIA NELLA POLVERE.
Golia (lo IAB) è un mostro gigantesco che si nutre di impunità, di "too big to fail", di rassegnazione perché tanto "lo fanno tutti" e di "è lo standard di mercato" ed è costantemente rinvigorito da "ma tanto sanno già tutto di noi". Ultimamente, leggendo alcuni testi delle autorità Garanti, il mostro pare sostenuto anche da un uso peculiare del principio di "libertà di impresa e sostenibilità dei modelli economici digitali".
Golia è un mostro gigantesco perché noi, la gente comune, lo abbiamo lasciato proliferare senza alzare un sopracciglio. Lo abbiamo accettato e nutrito con la nostra accondiscendenza perché, in fondo, se c'è qualcuno così stupido da regalarci qualcosa in cambio di un click, va benissimo così a tutti... perché l'alternativa è pagare.
Ma Golia non è stupido. Al contrario, sa fare molto bene il proprio interesse e ha saputo sfruttare ogni temporeggiamento, ogni zona grigia, ogni tentennamento. Golia ha fondato una cosca ed affiliarsi è facile, basta mettere un pezzo di codice sul proprio sito per farne parte. Affiliarsi è addirittura conveniente perché Golia è molto riconoscente e generoso con chi lo aiuta a depauperare i diritti della gente e sgraffignare dati personali a man bassa. Quanto grande è diventato Golia grazie alla compiacenza di una miriade di gestori di web che hanno deciso di far parte della sua ciurma?
Per fortuna esiste Davide (Johnny Ryan) che sa bene che "gratis" significa "inganno". Lui, da solo, ha portando la questione davanti ai tribunali del Belgio e, dopo anni di lotta, ci regala una sentenza che scardina il TCF - Transparency & Consent Framework (TCF), sviluppato da IAB e utilizzato per il Real Time Bidding (RTB) dalla massima parte dei siti inclusi Google, X e Amazon. Circa l'80% delle pubblicità online utilizza questo sistema torbido ed amorale, un sistema che può ora essere definito illecito.
CTF e RTB non sono parolacce, sono termini che descrivono un "normalissimo" sistema di acquisizione pervasiva e fraudolenta di dati personali, destinati alla più invasiva profilazione, alla più ampia condivisione e all'uso indiscriminato per la qualunque, alla mercede di chiunque voglia pagare. Nessuno si stupirebbe se il meccanismo fosse palese e consensuale ma, purtroppo, è basato sulla mistificazione e l'inganno oltre che sulla abnorme compressione (leggasi spregio) dei diritti delle persone coinvolte.
La sentenza Belga ha una portata pan Europea, vale per IAB e per tutti i suoi affiliati, quei siti della cosca che utilizzano il TCF nelle sue varie forme. Vale anche per quel sottobosco purulento di sistemi di "pay or ok", tanto amati dagli editori, e vale per tutti quei sistemi basati sulla stessa ipocrita e strampalata teoria di IAB che, in grande o in piccolo, non cambia mai. Iubenda, senti come fischiano le orecchie?
IN SINTESI
Cosa prevede la sentenza al centro di questa vicenda? Lo riassumerei partendo dalla fine e con le parole della corte perché mi sembrano abbastanza lapidarie:
«IAB è la parte ampiamente soccombente»
La sentenza non è stata ben accolta da IAB e nell'ambiente dell'advertisement stanno elaborando il lutto: negazione, rabbia, patteggiamento, depressione, accettazione. Lo capisco, ci vuole tempo. Ma anche questa è una mistificazione: quale sorpresa potrà mai esserci nell'animo di chi, per anni, ha corso sul filo del rasoio sbeffeggiando la norma e chi l'ha sempre osservata?
PICCOLO SPIEGONE su RTB
Per fare pubblicità online basta uno spazio dove appiccicare una bella immagine che attiri tanti click. Se su un sito di gattini viene messa la pubblicità dell'olio motore sintetico, probabilmente in pochi cliccheranno. Se sul sito di gattini viene messa la pubblicità di cibo per gatti, cliccheranno in molti. Per questo basta poco e, sicuramente, non servono dati personali dei visitatori: si chiama pubblicità contestuale e funziona benissimo. Ma c'è un problema: l'agenzia pubblicitaria (l'intermediario, il data broker, gente come IAB) ci guadagna poco.
Per aumentare il rendimento dei meccanismi pubblicitari, è stata inventata la pubblicità profilata che si nutre dei dati delle persone. Tutti gli utenti che visitano il sito dei gattini, poi visiteranno altri siti e, su questi, troveranno la pubblicità del cibo per gatti. Oh! Prodigio della tecnologia... Amazon sa cosa mi interessa, cosa mi serve, di cosa ho bisogno... Ma anche Google, ma anche X, ma anche il sito delle news e il mio quotidiano online preferito... ma tu guarda, persino la scuola di mio figlio mi propone il cibo per gatti!
La cosa diventa inquietante quando, visitando X o Facebook in periodo pre-elettorale, compaiono post e commenti al vetriolo su odiosissimi candidati (di un determinato partito) che hanno affamato centinaia di gattini per risparmiare sul budget del comune o che hanno maltrattato un tenero pelosetto. Ovviamente anche questo è un servizio a pagamento, basato sui dati acquisiti per finalità commerciali, facilmente utilizzabili anche per condizionare il consenso. Non avviene solo negli USA, ma anche da noi.
Questo è il TCF, un sistema che ha come scopo primario la raccolta occulta e non consensuale di dati personali per la profilazione dei singoli visitatori, per la condivisione con tutti gli affiliati della cosca e, di conseguenza, un polposo e grasso profitto mascherato da giusto compenso per l'advertising online.
Il sistema TCF si basa un un identificativo univoco che ti segue ovunque e che accumula ogni tua azione, ogni sito visitato, ogni acquisto, ogni articolo letto, ogni post inviato... tutto. Questo identificativo univoco si chiama Transparency and Consent String, in breve "TC-String" e funziona assieme ad un cookie "euroconsent-v2".
Il TC-String è stato qualificato dai Garanti d'Europa come dato personale mentre IAB, ovviamente, ha sempre sostenuto che fosse una cosuccia innocua, un gingillino puccioso e coccoloso e persino che non fosse affatto un dato personale.
Il GDPR vieta di raccogliere dati, profilare persone e condividere dati senza il consenso degli utenti e, naturalmente, il consenso è valido solo se è informato (consapevole), specifico (non generico), esplicito e libero. Dato che nessuno è così imbecille da acconsentire ai trattamenti invasivi del TCF, lo IAB ha fatto di tutto per ingannare la gente e per far finta di acquisire un consenso che, però, è stato ora dichiarato illecito e non valido. Una brutta faccenda per il mondo dell'advertising che si reggeva su questa ipocrita illusione. Niente informativa, niente chiarezza, niente specificità, inganni e sotterfugi tali da comprimere persino la libertà di scelta... la gente clicca "Ok" senza nemmeno voler sapere cosa comporti perché è stufa marcia di sentirselo chiedere in continuazione. La politica di IAB è stata quella di sfinire la gente, esasperando tutti con dark pattern e tecniche di privacy fatigue: "Ok" per sfinimento. Anzi, per scassamentos.
Ci si potrà fidare di IAB e della sua ciurma solo quando una bagascia cadrà in mare.
Ma da oggi cambia tutto.
Quello che segue è tutto un virgolettato. Il mio modesto parere conta poco, ma le parole della corte sono macigni e, soprattutto, si rispettano.
ITER
2017-2021 - L'inizio della fine: vari procedimenti vengono attivati in UK e Irlanda. Reclami specifici e mirati sono presentati nel 2019.
2 Febbraio 2022 – Arriva una fondamentale Decisione dei Garanti UE partita da un reclamo di ICCL (Irish Council for Civil Liberties, l'ente diretto da Johnny Ryan) che dichiara illeciti il “Transparency and Consent Framework” (TCF) and the Real-Time Bidding (RTB) di IAB. Questa decisione ha valore per tutta europa ed è vincolante per tutti i Garanti Europei perché è stato attivato un meccanismo particolare del GDPR. Non si tratta quindi di qualcosa di limitato al Belgio o all'Irlanda. Ci riguarda direttamente.
Giugno 2022 – Brussels Market Court (la corte) contro appello di IAB
Settembre 2022 – la corte chiede intervento della Corte di Giustizia Europea (CJUS)
Settembre 2023 – la corte respinge le richieste di sospensiva di IAB
Marzo 2024 – CJUS decide sulla natura di dato personale dell’identificativo TCF
Maggio 2025 – oggi – la corte respinge definitivamente l’appello di IAB confermando la sentenza che scardina, disarticola, affossa e demolisce il cuore del Transparency & Consent Framework (TCF) e il Real Time Bidding (RTB)
PREMESSE
(I testi sono virgolettati della sentenza, puliti dalle parti più tecniche o procedimentali, ripresi e pubblicati in modo da rappresentare il discorso giuridico sottostante. Nulla di interpretato o di fazioso, solo la nuda e cruda verità accertata dalle corti e dalle decisioni che hanno culminato con questa sentenza)"Transparency & Consent Framework (TCF) ambisce a definire uno standard per rendere conforme al GDPR l’utilizzo del protocollo OpenRTB attraverso una piattaforma di acquisizione e gestione del consenso Consent Management Platform (CMP).
Le scelte e le preferenze di ogni utente sono registrate, cifrate e viene generata una stringa univoca Transparency and Consent String (TC String) e un cookie (euroconsent-v2).
Questi dati sono condivisi con le aziende che aderiscono al TCF per la gestione del marketing basato su RTB.
IAB influenza (leggasi definisce) l’intero mercato del RTB.
IL GIUDIZIO DEI GARANTI
Nell'ambito del processo, è stato attivato il Garante, anzi, tutti i garanti dato che la decisione è basata sul meccanismo di cooperazione – decisione congiunta che vincola tutte le Autorità Garanti d'Europa. Cosa ha deciso il Garante?
Che il Transparency and Consent String è un dato personale, collegabile ad un utente identificabile
IAB agisce come titolare del trattamento
IAB agisce come co-titolare assieme agli inserzionisti limitatamente ad alcuni trattamenti
I Garanti stabiliscono una sanzione (250.000€) e una serie di misure correttive.
COSA DICE LA SENTENZA
I PUNTI CONTESTATI
La sentenza ha stabilito che:
a) IAB deve fornire una base giuridica valida per TCF come il consenso (valido)
b) IAB non può utilizzare il Legittimo interesse come base giuridica
c) IAB deve adottare misure tecniche di verifica per garantire l'integrità della Stringa-TC
d) IAB deve verificare la compliance dei partner che aderiscono al TCF
e) IAB deve adottare misure per impedire la spunta automatica (by default) del consenso
f) IAB deve imporre ai partner uniformità e conformità al GDPR delle informative sui loro trattamenti, questo è un onere specifico di IAB come cotitolare e soggetto preminente.
g) IAB deve adempiere ad alcuni obblighi di legge basilari come il registro dei trattamenti, la DPIA e la nomina del DPO.
ARGOMENTAZIONI
Cosa dice la corte? Cosa scrive nella sentenza? Come argomenta la propria decisione?
Direi che, al netto di una traduzione approssimativa, il senso è chiaro.
«IAB Europe determina lo scopo e i mezzi essenziali del trattamento dei dati personali. Inoltre, IAB Europe è congiuntamente titolare di queste operazioni di trattamento dei dati personali con gli altri partecipanti che intervengono.»
«Sebbene la Corte comprenda che non è stato stabilito in modo definitivo che la stringa-TC, a causa dei metadati e dei valori limitati in essa contenuti, consenta di per sé l'identificazione diretta dell'utente, la Corte ritiene che quando il pop-up di consenso viene richiesto tramite uno script da un server gestito dal CMP, esso elabora inevitabilmente anche l'indirizzo IP dell'utente, che è espressamente classificato come dato personale nel GDPR.»
«I cotitolari (partner) hanno i mezzi tecnici e trattano gli indirizzi IP (come indicato nel loro pop-up) e possono combinare qualsiasi informazione relativa a una persona identificabile»
«Inoltre, dal fascicolo in possesso della Corte - e in particolare dalla decisione del 2 febbraio 2022 - risulta che i membri di IAB Europe sono tenuti a fornire a tale organizzazione, su richiesta, tutte le informazioni che le consentirebbero di identificare gli utenti i cui dati sono memorizzati in una stringa TC.»
«La Corte comprende inoltre che il TCF mira intrinsecamente a memorizzare una combinazione di preferenze di ciascun utente sotto forma di una stringa univoca nella Stringa TC, al fine di comunicare tali preferenze a un gran numero di fornitori di tecnologia pubblicitaria.»
«Sia la memorizzazione della stringa TC in un cookie condiviso, sia la messa a disposizione della stringa TC ai partecipanti al TCF attraverso il dominio centrale consensu.org, costituivano chiaramente un trattamento di dati personali ai sensi del GDPR.»
«le preferenze dell'utente vengono raccolte tramite un CMP (Nota: una piattaforma per la raccolta e la gestione del consenso) e in quel momento il CMP ottiene anche l'indirizzo IP dell’utente»
«dopo la verifica da parte della Corte, è chiaro che IAB Europe ha un reale potere decisionale, sia sulle finalità che sui mezzi delle operazioni di trattamento, e questo grazie al suo controllo preponderante sul funzionamento del TCF:
a) IAB Europe riconosce la propria titolarità per il TCF nella propria documentazione. IAB Europe stessa afferma nelle sue "Frequently Asked Questions" sul TCF (versione 2.0) di essere titolare delle politiche del TCF»
«IAB Europe ha una finalità condivisa con gli altri partecipanti al trattamento dei dati personali che è quella di garantire che le preferenze degli utenti siano acquisite in modo strutturato e poi condivise con tutti gli altri partecipanti.»
«IAB Europe è quindi congiuntamente titolare con i partecipanti al TCF per la memorizzazione delle preferenze di consenso degli utenti interessati nella stringa TC.»
«IAB non sembra coinvolta nei trattamenti successivi effettuati dai membri del framework IAB basato sulle preferenze registrate nella stringa TC.»
«il consenso degli interessati non è attualmente fornito in modo sufficientemente specifico, informato e granulare.
In secondo luogo, l'interesse legittimo delle organizzazioni che partecipano al TCF non supera gli interessi degli interessati»
«Il modo in cui vengono fornite le informazioni agli interessati non soddisfa il requisito di una "forma trasparente, comprensibile e facilmente accessibile".»
«Gli interessati non possono determinare in anticipo la portata e le conseguenze del trattamento»
«assenza di sistemi di monitoraggio e automatizzati di monitoraggio del partner e dei vendor partecipanti, l'integrità della stringa TC non è sufficientemente garantita, in quanto è possibile per i partner falsificare il segnale per generare un cookie euconsent-v2 e riprodurre così un "falso consenso" »
«IAB Europe non ha informato gli interessati prima delle operazioni di trattamento. »
«L'obbligo di trasparenza grava sul titolare del trattamento dei dati, che è IAB Europe, e non può essere trasferito ai partner e agli editori.»
«il Tribunale ritiene ragionevolmente imporre una multa di 250.000,00 euro.»
«Le spese del procedimento, comprese quelle di lite per un importo di 7.848,84 euro sono a carico di IAB Europe, in quanto parte ampiamente soccombente»
DISSING
Come accennato, nell'ambiente dell'advertising online l'elaborazione del lutto si è manifestata in modo preciso partendo dalla negazione. Un indignato stupore che, a tratti, sembra quasi un tono di grottesca vittoria.
Su Linkedin è comparso un fantastico "dissing" tra Johnny Ryan e uno degli avvocati che assistono IAB. Negazione pura, oltre ogni evidenza, oltre la ragionevolezza, ben oltre ai doveri d'ufficio.
Riporto i post e i documenti citati:
Ci vuole tempo per arrivare all'accettazione, dovremo vedere il tempo della rabbia, il momento dello squallido patteggiamento, la profonda depressione che si annuncia come una deprimente geremiade incentrata su una presunta perdita di una quantità di posti di lavoro. Probabilmente vedremo una profusioni di cuccioli di foca morti di inedia poiché rimasti senza pubblicità profilata.
Rabbia, patteggiamento, depressione, accettazione. Ci vuole tempo.
IMHO
IAB adotta l’antica tattica di apportare marginali modifiche al framework contestato al fine di neutralizzare l’azione giudiziaria o renderla inefficace rispetto alla versione successiva, costringendo le autorità a ricominciare ogni volta tutto dal principio.
La sentenza giudica come ILLECITO il trattamento effettuato e solo uno sciocco può pensare che alcune modifiche marginali possano incidere sulla sostanza.
La sentenza ha conseguenze a livello dell’intera UE (vincolante per le altre autorità garanti per la protezione dei dati) perché si tratta di un ricorso contro una decisione ai sensi dell'articolo 60 par 6 del GDPR. Vale quindi anche in Italia
Chi stia usando il TCF farebbe bene a riconsiderare la propria scelta.
Editori, gestori di siti, portali... chiunque vada a braccetto con IAB dovrebbe prendere le distanze molto rapidamente.
In parallelo, le autorità Garanti dovrebbero attivarsi per sanzionare chiunque abbia adottato questo modello di business che, anche se mantiene tanti cuccioli di foca e panda in via di estinzione, viola il GDPR in modo radicale.
«IAB è la parte ampiamente soccombente»
Grazie per il tuo tempo. Se ti è piaciuto l'articolo o ti ha dato spunti utili, prendi in considerazione l'idea di ringraziarmi.
Puoi farlo in tre modi:
- Condividendo il mio lavoro sui tuoi social. Così facendo aiuterai altre persone,
- Dicendomi cosa ne pensi, mi aiuterai a migliorare,
- Con una donazione. In questo modo aiuterai me.
Se sei un professionista della privacy, fammi sapere come la pensi, il confronto è essenziale per migliorarsi. Se non hai tempo per farlo, rifletti su questo: il mio contributo ti ha aiutato? Ha evitato che facessi una sconfinata figura di mer#a con un cliente? Ti ha permesso di fare bella figura in una riunione? Ti ha agevolato nella stesura di un parere?
Bene... allora mi devi una birra.
