Il contenzioso tra IAB Europe e la Data Protection Agency belga (DPA), iniziato a febbraio con una sentenza sulla legalità del Transparency & Consent Framework (TCF), si trascinerà almeno per un altro anno: la settimana scorsa la corte d’appello belga ha rinviato alla Corte di giustizia dell’Unione europea alcune questioni specifiche del caso, affermando che non delibererà finché non avrà ricevuto risposte alla sue domande inviate alla corte UE.
All’inizio di quest’anno, la DPA belga aveva stabilito che il TCF, una soluzione sostenuta da IAB Europe e utilizzata dal settore degli annunci in programmatic, è illegale nella sua forma attuale, stabilendo che IAB Europe avesse un termine di sei mesi per presentare un piano per un nuovo quadro normativo. IAB Europe ha rispettato tale scadenza e di conseguenza ha presentato un nuovo piano.
Ma prima che il tribunale belga prenda una decisione sull’appello, IAB Europe vuole che l’Alta Corte dell’UE si pronunci su due punti: uno, se IAB Europe è un responsabile del trattamento dei dati per il TCF e, due, se le TC Strings (il termine per i segnali di dati TCF confezionati con un’offerta RTB) possono essere considerate dati personali.
“Se non siamo un responsabile del trattamento dei dati nel contesto del TCF, allora non c’è alcun caso”, ha dichiarato pubblicamente Townsend Feehan, CEO di IAB Europe, e AD di AdExchanger. “È una questione fondamentale”.
Era praticamente inevitabile che le questioni sollevate dal garante dei dati belga finissero davanti alla massima corte dell’UE: se IAB Europe perdesse l’appello – ovvero se venisse confermata la sentenza che la classifica come responsabile del trattamento dei dati per il TCF – allora l’organizzazione sarebbe finanziariamente responsabile per qualsiasi reclamo GDPR presentato contro uno qualsiasi dei responsabili dell’intera catena programmatic.
Ma gli ingranaggi della giustizia macinano molto lentamente. Secondo Feehan, è improbabile che il tribunale dell’UE si pronunci prima di un anno e potenzialmente non prima del 2024. Quando ciò avverrà, il tribunale belga riprenderà a deliberare in base alle risposte che arriveranno dall’alto.
Se le stringhe TC sono considerate dati personali, ciò rafforzerebbe qualsiasi causa intentata, perché l’uso improprio delle stringhe TC sarebbe un motivo sufficiente per una decretare una violazione. Il regolatore o la parte lesa non avrebbero bisogno di dimostrare che la stringa possa essere collegata a un’eMail, a un altro identificatore o al dispositivo. Poiché i cookie di terze parti sono già considerati dati personali ai sensi del GDPR, è possibile che la Corte di giustizia decida che anche le stringhe TC costituiscono dati personali. Ma il destino del TCF dipende principalmente dal fatto che il tribunale dell’UE consideri IAB Europe responsabile del trattamento dei dati per il TCF. In tal caso, il progetto TCF potrebbe addirittura essere abbandonato.
Questo perché il GDPR prevede la responsabilità congiunta e solidale. Per farla breve, ciò significa che IAB Europe potrebbe essere ritenuta interamente responsabile di qualsiasi reclamo presentato contro un editore online, un’azienda di ad tech o un fornitore di dati collegato al TCF. IAB Europe sarebbe responsabile dell’identificazione dell’autore dell’infrazione per recuperare parte dei danni, ma non potrebbe opporre il suo essere ‘parte terza’ nei confronti dell’infrazione.
“Dal punto di vista finanziario, non è ovvio come si possa far funzionare la cosa”, ha commentato brevemente Feehan. “Le implicazioni sono sconcertanti per qualsiasi organizzazione come la nostra”.
Hielke Hijmans, head del Belgian DPA litigation group che ha intentato la causa contro IAB Europe, ha dichiarato in un comunicato che il caso “ha un impatto che va ben oltre il Belgio“. E va anche al di là di IAB Europe, se le organizzazioni di standardizzazione verranno considerate finanziariamente responsabili per i sistemi che supervisionano, anche guardando alla tecnologia open-source.
“Per questo riteniamo positivo che la questione venga discussa a livello europeo, presso la Corte di giustizia dell’UE”, ha dichiarato Hijmans. Ma mentre la Corte di giustizia dell’UE si concentra sullo status di IAB Europe e sul fatto che le stringhe di consenso siano dati personali, rimane un’altra questione critica da chiarire per il tribunale belga: nel frettempo il TCF può continuare a funzionare? La risposta ha grandi implicazioni per la pubblicità mirata sul web. La DPA belga non ha mai revocato l’uso del TCF da febbraio.
“È evidente che la decisione è di fatto sospesa”, ha concluso Feehan. “Ma non c’è una sospensione formale, quindi dovremo vedere nei prossimi giorni cosa comunicherà l’autorità belga riguardo alle sue intenzioni“.
In altre parole, la DPA belga potrebbe continuare a concedere una tregua in modo che gli editori e gli ad tech possano utilizzare le stringhe di consenso in conformità con il piano d’azione di sei mesi presentato da IAB Europe, mentre il tribunale dell’UE fa lentamente il suo lavoro. Ma se il TCF venisse sospeso, anche solo per qualche mese, si creerebbe un serio problema per l’intera categoria di seller di programmatic: le CPM, cioè le piattaforme di gestione del consenso. Le CMP sono soluzioni tecnologiche per gli editori che raccolgono dati sulla privacy e sul consenso e li gestiscono per l’utilizzo nella pubblicità: sono basate molto sul TCF. Per ora si tratta di aspettare e vedere cosa succede: una sorta di suspense non voluta da nessuna, ma richiesta paradossalmente da tutti, involontariamente, si capisce.
