Novembre 19, 2020
Autore: Avv. Andrea Baldrati
con il prezioso aiuto del Team Legal di Privacy Network
Il Transparency and Consent Framework V2.0 di IAB (Interactive Advertising Bureau), creato con il pregevole intento di stabilire uno standard per la gestione del consenso dei cookie di terze parti, ha in realtà comportato l’attuale diffusione di una prassi non conforme alla normativa europea sulla protezione dei dati personali.
Il tema non è nuovo per noi di Privacy Network. Ne avevamo già parlato due mesi fa con un post sulla nostra pagina Linkedin.
Il post aveva suscitato un’ampia discussione all’interno della community, con un coro pressocchè unanime a sostegno della nostra tesi, all’epoca solo accennata per i limiti di spazio imposti dalla piattaforma social.
Anche per questo abbiamo deciso di parlarne in profondità, cercando di elencare quelle che, a nostro avviso, sono le specifiche violazioni presenti all’interno del Framework da un punto di vista tecnico-giuridico.
Data l’ampia diffusione del Framework nel contesto digitale odierno e data anche l’autorevolezza della Società che lo ha emanato, ci sembra opportuno soffermarci con sguardo critico, tecnico e circostanziato alle singole violazioni.
Ma andiamo per ordine e chiariamo innanzitutto le funzionalità tecniche del Transparency and Consent Framework V2.0 (TFC), anche per agevolare la lettura per chi non ne ha familiarità.
1. A COSA SERVE IL FRAMEWORK
Inquadriamo il contesto: siamo nel mondo dei cookie, per lo più dei cookie di terze parti. Il Framework ha la finalità di agevolare gli adempimenti legali a cui è sottoposto il Titolare di un sito web o di una App quando vuole adottare questi strumenti.
Le attuali norme europee impongono un controllo della “filiera” privacy, e quindi anche dei fornitori esterni a cui condividiamo informazioni tramite Cookie di terze parti. Ma quando il fornitore si chiama Google o Facebook un controllo effettivo diventa, per ovvie ragioni, complesso.
Ed è proprio in questo contesto che il Framework si inserisce: il Titolare sa di poter fare affidamento su una filiera per così dire “tracciata” di fornitori terzi i quali aderiscono ad una serie di regole comuni che costituiscono l’essenza stessa del TCF.
Fra le varie funzionalità presenti, il Framework consente al Titolare (c.d Publisher), di gestire le basi giuridiche con i fornitori terzi (Vendors)
In sostanza, i Vendors si registrano al Framework inserendo le basi giuridiche specifiche per le singole finalità di trattamento dei loro cookie, e il Publisher – utilizzando un apposito Consent Management fornito da uno dei provider registrati al TFC – è così agevolato nel fornire tali informazioni all’utente finale all’interno del relativo banner.
2. IL LEGITTIMO INTERESSE COME BASE GIURIDICA DI DEFAULT
Ora che abbiamo compreso il meccanismo e le logiche del Framework concentriamoci su alcune delle finalità di trattamento dei dati selezionabili dai Vendors:
- creare un profilo di annunci personalizzati;
- creare un profilo di contenuto personalizzato;
- selezionare annunci basici;
- selezionare annunci personalizzati;
- selezionare contenuti personalizzati;
- valutare le performance degli annunci;
- valutare la performance dei contenuti;
- applicare ricerche di mercato per generare approfondimenti sul pubblico.
Come avrete intuito, si tratta di finalità di targeting, analisi o advertising, cioè di finalità tipiche dei cookie di terze parti.
Arriviamo quindi al punto centrale della questione: rispetto a queste finalità viene concessa la possibilità di applicare due basi giuriche.
All’interno del banner cookie sono infatti disponibili, per queste finalità:
- la base giuridica del consenso, che potremmo definire “primaria”, perché proposta all’utente quale prima base giuridica liberamente selezionabile con una sua azione positiva (c.d. opt-in);
- una base giuridica “di default”, vale a dire il legittimo interesse, applicabile nel caso in cui l’utente non effettui l’opt-in per le finalità di trattamento che abbiamo sopra elencato.
In altri termini, il legittimo interesse funge da base giuridica “di riserva” per lo scenario in cui l’utente non presti il suo consenso, con l’effetto di “legittimare” comunque, per impostazione predefinita, quelle finalità.
2. PERCHÈ PENSIAMO CHE IL FRAMEWORK NON RISPETTI LA SCELTA DEGLI UTENTI
L’elenco che proponiamo a supporto della nostra tesi è frutto del nostro lavoro di analisi, e desideriamo che sia il punto di partenza di una discussione più ampia che coinvolga titolari, parti interessate ed ogni stakeholder.
Queste, dunque, le violazioni che abbiamo individuato rispetto ad alcuni principi della normativa europea:
a) Principio di specificità del trattamento in combinato disposto con il principio di accountability (art. 5, pgf 1 lett. a) e pgf 2 GDPR).
Riteniamo che questa prassi vanifichi del tutto la libera volontà dell’utente, che pur non prestando il proprio consenso è comunque soggetto a tracking e profilazione sulla base del legittimo interesse del Titolare.
A nostro avviso, il Titolare del trattamento non può legittimamente invocare attraverso il legittimo interesse una base giuridica “di riserva”, peraltro subdola, poco trasparente e difficilmente comprensibile all’utente medio.
b) Principio di liceità del trattamento (art. 6 GDPR; C. n. 47).
Siamo dell’avviso che la base giuridica del legittimo interesse, oltre a non poter mai fungere quale base giuridica di riserva, non sia neppure un valido criterio di liceità per le finalità sopra indicate e, in primis, per le finalità di advertising e/o profilazione.
Mancano infatti tutti gli elementi necessari per la sua corretta applicazione: come noto, infatti, il legittimo interesse richiede una relazione pertinente e appropriata tra titolare e interessato e, in ogni caso, un bilanciamento degli interessi in gioco.
Dato il meccanismo tecnico-informatico dei cookie di terze parti e dei sistemi di tracking, nessun titolare sarebbe mai in grado di dimostrare tale bilanciamento, nè tantomeno è possibile provare una qualche relazione tra l’utente finale e il fornitore terzo (c.d. vendor).
Tale prassi deve infine ritenersi palesemente in violazione del Provv. generale n. 229 dell’8 maggio 2014 del Garante Privacy Italiano, in cui si afferma l’obbligo di acquisizione del consenso per i cookie di terze parti.
c) Principio di trasparenza (art. 5 pgf 1 lett a) GDPR; art. 12 GDPR).
Il Titolare del trattamento deve essere chiaro e onesto sin dall’inizio con l’interessato sulla base giuridica che verrà utilizzata per legittimare le singole finalità del trattamento.
Prevedere il legittimo interesse, quale base giuridica di riserva, vanifica l’eventuale scelta dell’utente di non concedere il consenso, illudendo quest’ultimo di avere un effettivo controllo sui dati che in realtà non ha.
Inoltre, la disponibilità di due basi giuridiche per una stessa finalità mina altresì il concetto di privacy by default, impedendo al Titolare di conoscere ex ante quale sia la base giuridica effettivamente applicabile al caso concreto, rendendo di fatto impossibile qualsiasi valutazione sul rischio.
d) Principio di protezione dei dati fin dalla progettazione e per impostazione predefinita (art. 25, pgf 2 GDPR).
Il Titolare dovrebbe adottare misure tecniche e organizzative adeguate per garantire che siano tutelati in modo efficace i diritti degli interessati.
In particolare, i cookie e sistemi di tracking e profilazione dovrebbero essere disattivati per impostazione predefinita, e attivati esclusivamente sulla base del consenso libero e facoltativo dell’utente.
Attraverso l’utilizzo del framework IAB accade l’esatto contrario, poiché le finalità di tracking e profilazione sopra elencate sono perseguite per impostazione predefinita, ed è necessaria un’azione attiva dell’utente per disattivarli (talvolta anche in modo estremamente difficoltoso).
3. CONCLUSIONI
L’espediente del legittimo interesse quale base giuridica “di riserva” per consentire tracking e profilazione anche in caso di diniego del consenso da parte dell’interessato, certamente viola la normativa europea.
Ma prima di tutto crediamo che sia contrario allo spirito del GDPR, nato con l’intento di creare un nuovo patto di fiducia tra Titolare e interessati, a sua volta fondato sul principio di trasparenza.
Ci rendiamo conto che gli adempimenti oggi richiesti dal GDPR, e in particolare la richiesta di un opt-in da parte dell’utente, minano alla base le regole del mercato dell’advertising, oggi dipendente dai cookie di terze parti e sistemi di tracking.
Tuttavia è tempo di affrontare il cambiamento in atto, provando ad adottare nuove strategie di consenso o, in alternativa, migrando gradualmente verso un maggiore utilizzo dei cookie di prima parte.
Ad oggi, però, il Framework IAB non appare la soluzione corretta a questo cambiamento.