Attraverso il TCF, aziende come inserzionisti, piattaforme e data broker leggono la TC String per sapere se possono utilizzare i dati di navigazione e per quali scopi. Sebbene il framework fosse pensato per tutelare il consenso, in pratica ha spesso facilitato la circolazione dei dati personali a vantaggio dell’industria pubblicitaria, più che della privacy degli utenti.
Perché il TCF è stato giudicato non conforme al GDPR
Secondo l’APD, la TC String va trattata come un dato personale, perché può essere ricondotta a un utente identificabile, soprattutto se associata ad altri dati come l’indirizzo IP o il cookie euconsent-v2. Il problema è che questa stringa veniva condivisa con decine, se non centinaia, di aziende, senza garanzie adeguate.
Le informative presentate nei banner risultavano poco chiare, prolisse e costruite in modo da favorire l’accettazione rapida, spesso tramite interfacce manipolative (dark pattern). Così facendo, il consenso non poteva essere considerato né libero né informato, come invece richiesto dal GDPR.
Inoltre, mancavano controlli per garantire che le preferenze dell’utente fossero effettivamente rispettate da tutti gli attori coinvolti. Il TCF non includeva sistemi per prevenire l’uso scorretto della TC String, né offriva strumenti per revocare facilmente il consenso. Anche sotto il profilo organizzativo, IAB Europe non aveva adempiuto agli obblighi previsti per i titolari del trattamento, come una valutazione d’impatto (DPIA), la nomina di un DPO e il mantenimento dei registri delle attività.
La sentenza della Corte d’appello di Bruxelles
Nel dettaglio, la Corte ha confermato che la TC String è a tutti gli effetti un dato personale e ha stabilito che IAB Europe deve essere considerata contitolare del trattamento, almeno per quanto riguarda la creazione e la diffusione della stringa. Questo significa che IAB Europe condivide la responsabilità – insieme a CMP, editori e vendor – per come viene gestito il consenso dell’utente.
Anche se la sentenza ha formalmente annullato la decisione del 2022 per alcuni vizi procedurali, ha ribadito nel merito le violazioni individuate dall’APD. È stato escluso invece che IAB Europe sia responsabile diretta per i trattamenti successivi condotti tramite protocolli pubblicitari come OpenRTB. Il messaggio è chiaro: il modello attuale di consenso utilizzato nel digital advertising non è conforme al GDPR e deve essere profondamente rivisto.
Impatti per aziende, editori e utenti
Per le aziende dell’ad tech, la sentenza implica che non potranno più considerare il TCF una “copertura” legale sufficiente. Saranno costrette a rivedere i propri meccanismi di raccolta del consenso, abbandonando il ricorso al “legittimo interesse” per la personalizzazione degli annunci e puntando esclusivamente su un consenso esplicito, specifico e documentato. La TC String dovrà essere trattata con tutte le misure previste per i dati personali, comprese sicurezza, tracciabilità e revocabilità.
