Skip to content

Autorità belga c. IAB Europe

I bollettini di House of Data Imperiali sono degli estratti delle Puntate del Servizio di Informazione Giuridica (SIG), a cura dell’Avv. Rosario Imperiali d’Afflitto.

Il SIG è fruibile tramite abbonamento.

Autorità belga c. IAB Europe

Giunge al termine, con un provvedimento sanzionatorio adottato dall’autorità belga per 250.000 euro, una complessa indagine relativa alla conformità al GDPR della piattaforma Transparent and Consent Framework della federazione IAB Europe che riunisce portatori di interesse nell’ambito della pubblicità comportamentale.

Provvedimento dell’autorità belga

Il voluminoso provvedimento dell’autorità di supervisione belga nei riguardi di IAB Europe (oltre 120 pagine) ha per oggetto la piattaforma realizzata da quest’ultima – e messa a disposizione di aziende e organizzazioni – per la raccolta e la gestione del consenso nelle ipotesi di pubblicità comportamentale e, nello specifico, di quella particolare tipologia pubblicitaria che va sotto il nome tecnico di “Real Time Bidding o “RTB”.

One stop shop

Il provvedimento dell’autorità belga (Autorité de protection des données, “APD”) è stato emesso a seguito del meccanismo di cooperazione tra le diverse autorità GDPR coinvolte, in quanto  

  • IAB Europe ha il suo unico “stabilimento” in Belgio  
  • le attività in questione hanno un significativo impatto su interessati che si trovano in diversi Stati membri, tanto da considerarsi “trattamento transfrontaliero” [art. 4(23)(b), GDPR] 
  • l’APD è l’autorità di controllo capofila (art. 56, GDPR) competente ad agire per il trattamento transfrontaliero ai sensi del meccanismo di cooperazione (o dello “sportello unico” art. 60, GDPR) con le altre autorità di controllo interessate.

Real Time Bidding “RTB”

Il Real Time Bidding o sistema di offerte pubblicitarie in tempo reale, è una forma di pubblicità online automatizzata che avviene tramite un metodo di pubblicità programmatica o “programmatic advertising”. Il Real Time Bidding consiste in una rete di partners che utilizzano applicazioni di big data per ottimizzare la vendita di pubblicità commerciale e comportamentale tramite aste realizzate in via automatizzata e istantanea, cioè in tempo reale. Il RTB mette in collegamento l’offerta pubblicitaria (i fornitori di spazi pubblicitari, detti “editori” o “publishers”, cioè aziende che possiedono un sito web o un’app con spazi pubblicitari), con la domanda (gli acquirenti di spazi pubblicitari, detti “advertisers”, cioè aziende che vogliono mostrare pubblicità per i propri prodotti o servizi in maniera mirata ai visitatori dei siti web e agli utenti delle app). Tra gli attori della domanda e dell’offerta si collocano, poi, intermediari e piattaforme di gestione dei dati per il funzionamento del complesso processo globale.  

Le operazioni RTB, per mezzo delle richieste di offerta, costituiscono trattamenti di dati personali cui si applica il GDPR.

TCF di IAB Europe

IAB Europe è una federazione di aziende e associazioni nazionali che rappresenta l’industria della pubblicità digitale e del marketing a livello europeo. Il Transparency & Consent Framework “TCF” di IAB Europe costituisce un insieme separato di politiche, specifiche tecniche, termini e condizioni, creato, gestito e amministrato da IAB Europe, che dovrebbe essere in grado di informare gli utenti riguardo alle attività degli inserzionisti, nonché di ottenere il valido consenso di tali utenti in relazione al trattamento dei loro dati personali in un sistema di offerte pubblicitarie in tempo reale. Pertanto, i sistemi RTB e TCF sono tra loro interconnessi, in quanto il TCF avrebbe l’obiettivo di far sì che i trattamenti di dati personali operati tramite il RTB siano gestiti in conformità a GDPR e ePrivacy.

OpenRTB di IAB Inc.

Il TCF è strettamente connesso all’OpenRTB realizzato da IAB Inc., società madre americana di IAB Europe. «OpenRTB è un protocollo standard – come precisato nel provvedimento – che mira a semplificare l’interconnessione tra fornitori di spazio pubblicitario, editori (scambi pubblicitari, piattaforme lato vendita o reti che lavorano con editori) e acquirenti concorrenti di spazio pubblicitario (offerenti, piattaforme lato domanda o reti che lavorano con gli inserzionisti). L’obiettivo generale di OpenRTB è stabilire un linguaggio comune per la comunicazione tra acquirenti e venditori di spazi pubblicitari» (provv. cit., par. 24). Nonostante le maggiori criticità riguardo alla conformità al GDPR siano riscontrabili proprio nell’ambito di operatività dell’OpenRTB, lo stesso non ha formato oggetto del provvedimento dell’APD, in quanto i reclami presentati all’autorità belga erano limitati al TCF in quanto tale. Ma poiché – come affermato da IAB Europe nel corso del procedimento dinanzi all’APD – il TCF fornisce accountability e trasparenza a OpenRTB, le conclusioni cui è giunta l’autorità belga in questa circostanza, avranno inevitabili ripercussioni sui trattamenti di dati personali dell’ecosistema di offerte in tempo reale (come OpenRTB).

Oggetto del provvedimento di APD

Oggetto del provvedimento di APD e del connesso meccanismo di “one stop shop” con le altre autorità di supervisione interessate è solo la piattaforma TCF, per cui l’ordinanza che ne è scaturita è indirizzata unicamente a IAB Europe. Pertanto, il medesimo provvedimento lascia impregiudicata la valutazione relativa ai trattamenti operati dagli altri attori che si avvalgono del TCF o che operano nella galassia RTB. Sotto questo profilo, il provvedimento dell’APD – pur non interferendo sulle libere valutazioni delle altre autorità di controllo nazionali – costituisce un importante precedente riguardo all’ambito della pubblicità comportamentale e, in particolare, dello RTB: cioè, in aggiunta alle critiche al TCF già contenute nel provvedimento dell’APD, in futuro potrebbero essere intraprese azioni verso altri attori, rispetto a IAB Europe, ed ulteriori ambiti riguardo al mero TCF, come quello del più generale contesto del behavioral advertising e dello RTB (si veda al riguardo il comunicato stampa di IAB Europe). 

In aggiunta, il medesimo provvedimento intenzionalmente non ha affrontato alcuni aspetti rientranti nell’operatività del TCF, o per mancanza di adeguate informazioni istruttorie (come, ad esempio, l’impatto sui trasferimenti esteri di dati) oppure per la scelta di contenere il perimetro di intervento. Di conseguenza, anche sotto questo ulteriore versante, lo stesso TCF o il sistema RTB ad esso connesso potrebbero formare oggetto di ulteriori azioni.

Per continuare a leggere questo articolo devi essere abbonato al Servizio di Informazione Giuridica.

Sei già abbonato?