Dooffy, CC0, via Wikimedia Commons
IAB Europe è stata multata per 250.000 euro dal DPA (Data Protection Authority) belga. Sotto accusa è il Transparency and Consent Framework (TCF) sviluppato da IAB Europe, che secondo l’Authority non è conforme a diverse disposizioni del regolamento sulla protezione dei dati dell’Unione Europea (GDPR).
Sulla base del TCF di IAB Europe sono stati sviluppati i pop-up delle "preferenze sulla gestione dei dati” dell’80% dei siti web europei, inclusi quelli gestiti da Amazon, Google e Microsoft.
IAB Europe ha affermato che questi pop-up consentono agli utenti di fare scelte informate su ciò che accade ai propri dati.
Il Garante, tuttavia, non è d'accordo, riscontrando molteplici violazioni del GDPR, inclusa la mancata attuazione della "protezione dei dati fin dalla progettazione e per impostazione predefinita" e il non aver stabilito una base giuridica per il trattamento e la condivisione dei dati.
Il DPA belga ha concluso, inoltre, che le attività condotte attraverso il framework rendono di fatto IAB Europe responsabile della protezione dei dati personali e responsabile delle potenziali violazioni del GDPR. In quanto tale, è stata contestata anche la mancata determinazione di una base giuridica per il trattamento dei dati, il non aver nominato un responsabile della protezione dei dati, il non aver condotto una valutazione d’impatto sulla protezione dei dati e il non aver tenuto un registro delle attività di trattamento.
"Il TCF è un meccanismo diffuso che facilita la gestione delle preferenze degli utenti per la pubblicità personalizzata online e che svolge un ruolo fondamentale nel cosiddetto Real Time Bidding (RTB). Il BE DPA ha imposto una multa di 250.000 euro all'organismo e concede a IAB Europe due mesi per presentare un piano d'azione per rendere conformi le sue attività", recita il documento con cui il DPA belga ratifica la sua decisione.
La risposta di IAB Europe
Non si è fatta attendere la risposta di IAB Europe alle accuse mosse dal DPA belga sul suo Transparency and Consent Framework.
L’organismo respinge di fatto la conclusione secondo cui sarebbe da identificare come responsabile del trattamento dei dati nel contesto del TCF: “Riteniamo che questa annotazione sia legislativamente sbagliata e avrà ripercussioni negative non intenzionali che vanno ben oltre il settore della pubblicità digitale”.
L’associazione dichiara inoltre che sta prendendo in considerazione tutte le opzioni rispetto a una battaglia legale.
Ma, intanto, si apre al confronto: “Nonostante le nostre gravi riserve sulla sostanza della decisione, non vediamo l'ora di lavorare con l'APD su un piano d'azione da eseguire nel periodo prescritto, che possa garantire la continua utilità del TCF sul mercato. Come precedentemente comunicato, è sempre stata nostra intenzione presentare il Framework sul Consenso come Codice di condotta transnazionale GDPR. La decisione odierna sembrerebbe spianare la strada all'inizio dei lavori in materia”.