L'UE sta intensificando il controllo della pubblicità digitale, prendendo di mira i modelli basati sul tracciamento e ridefinendo i dati personali. Le sentenze legali mettono in discussione il TCF di IAB Europe, confermano la responsabilità condivisa ai sensi del GDPR e mettono al bando le principali pratiche di consenso. Con l'aumento della pressione esercitata da DSA e DMA, il passaggio a modelli pubblicitari incentrati sulla privacy, basati sul consenso e meno invasivi sta accelerando in tutta Europa.
Pubblicità digitale UE sotto esame: dai quadri normativi sul consenso alla pubblicità basata sulla sorveglianza
Negli ultimi anni, l'Unione Europea ha rafforzato costantemente la sua presa sulle pratiche pubblicitarie digitali, in particolare per quanto riguarda le pubblicità basate sul tracciamento che si basano sulla profilazione degli utenti.
Una serie di sentenze legali e decisioni normative, tra cui sentenze epocali e interpretazioni in continua evoluzione di ciò che costituisce un dato personale, hanno creato sfide sostanziali per il settore. Al centro di questi sviluppi c'è il Transparency and Consent Framework (TCF) di IAB Europe, da tempo considerato il meccanismo di riferimento per la conformità alla pubblicità basata sul GDPR. Tuttavia, i tribunali hanno sempre più ritenuto che il framework fosse carente.
Fin dal suo lancio nel 2017, il TCF mirava a standardizzare il modo in cui editori, inserzionisti e partner tecnologici pubblicitari ottengono, registrano e condividono il consenso degli utenti in conformità al GDPR. Tuttavia, le ONG, tra cui l'Irish Council for Civil Liberties e Bits of Freedom, hanno presentato numerosi reclami per gravi violazioni del GDPR. Nel febbraio 2022, l'Autorità belga per la protezione dei dati (DPA) ha stabilito che i meccanismi di consenso del TCF non fornivano un consenso legalmente valido, liberamente prestato e informato e ha inflitto a IAB Europe una multa di 250.000 euro.
Il 7 marzo 2024, la Corte di giustizia dell'Unione europea (CGUE) ha confermato che la "stringa TC" – la codifica tecnica delle preferenze di consenso di un utente all'interno del TCF – si qualifica come dato personale ai sensi del GDPR, anche se non identifica direttamente un individuo. La CGUE ha inoltre stabilito che IAB Europe potrebbe essere considerata un contitolare del trattamento, a seconda che eserciti o meno il controllo per finalità proprie.
Il 14 maggio 2025, il tribunale del mercato belga ha emesso una sentenza articolata che delinea ulteriormente le responsabilità nell'ecosistema della pubblicità digitale. Ha ribadito che le stringhe TC sono dati personali quando collegate a persone identificabili tramite mezzi ragionevoli, come un indirizzo IP. Ha inoltre confermato che IAB Europe è un contitolare del trattamento, ma solo per il trattamento delle stringhe TC, non per OpenRTB o per le operazioni ad-tech più ampie.
Il tribunale ha inoltre sottolineato che anche altri attori (CMP, fornitori, editori) sono contitolari del trattamento ai sensi del GDPR, a meno che non vi sia una chiara ripartizione contrattuale delle responsabilità, quindi la responsabilità è condivisa equamente per impostazione predefinita. La responsabilità non può essere scaricata su una sola parte; la contitolarità richiede accordi strutturati in modo proattivo.
In un caso correlato ma indipendente, la Corte d'Appello di Bruxelles ha stabilito che il modello di consenso alla base della pubblicità basata sul tracciamento, incluso quello all'interno del TCF, è illegale ai sensi della normativa UE sulla privacy. Organizzazioni non governative come Amnesty International hanno salutato la decisione come una vittoria significativa per la privacy, definendola una "grande vittoria per il diritto alla privacy" e sollecitando l'abbandono della pubblicità basata sulla sorveglianza.
Le testate tecnologiche e le associazioni per le libertà civili hanno espresso opinioni simili. La sentenza ha preso di mira giganti del settore, da Google ad Amazon e Microsoft, che fanno ampio affidamento su sistemi di offerte in tempo reale basati sui dati degli utenti.
Le sentenze non solo hanno colpito le pratiche pubblicitarie, ma hanno anche ampliato il concetto di dati personali. Riepilogando:
Le stringhe TC sono state confermate come dati personali se possono essere collegate a un individuo identificabile, spostando l'attenzione dagli identificatori diretti alla potenziale identificazione tramite inferenza.
Diverse sentenze dell'UE, come quelle relative all'utilizzo di Google Analytics in Austria, hanno inoltre ampliato le prospettive su cosa costituisca identificabilità e sui meccanismi di trasferimento dei dati consentiti.
Oltre agli annunci web, studi accademici dimostrano che il GDPR ha avuto un impatto limitato ma misurabile nel ridurre i tracker per editore, sebbene molte app non riescano ancora a ottenere un consenso significativo per il tracciamento di terze parti.
Il contesto giuridico si sta quindi adattando per comprendere non solo identificatori evidenti, ma anche segnali comportamentali che, nel complesso, rivelano profili personali.
L'ecosistema normativo più ampio aggiunge ulteriori vincoli:
Il Digital Services Act (DSA), in vigore da novembre 2022, si rivolge in modo più diretto alla pubblicità digitale. Richiede trasparenza (ad esempio, archivi pubblicitari), vieta la profilazione basata su dati sensibili e impone limitazioni più severe al targeting degli annunci per i bambini.
Il Digital Markets Act (DMA), in vigore da maggio 2023, prende di mira le piattaforme "gatekeeper" (ad esempio Google e Meta). Meta ha dovuto affrontare sanzioni per il suo modello "consentorpay", che prevedeva il pagamento di un abbonamento agli utenti europei per esperienze senza pubblicità, senza offrire una versione gratuita ma rispettosa della privacy. Apple e Meta sono state multate nell'aprile 2025 ai sensi delle norme del DMA.
L'effetto combinato di queste decisioni e normative segnala un profondo cambiamento:
La pubblicità basata sulla sorveglianza è sempre più a rischio. I sistemi che si basano sulla profilazione di massa con dati utente poco trasparenti Il tracciamento non è mai stato tecnicamente sicuro ai sensi del GDPR, ma è più probabile che venga rilevato ora rispetto a prima.
Responsabilità estesa ai sensi del GDPR: IAB Europe e altri attori dell'ecosistema ora si trovano ad affrontare una responsabilità congiunta e potenzialmente paritaria senza chiari accordi di condivisione delle responsabilità.
I meccanismi di consenso devono essere realmente informati e forniti liberamente. Consensi frammentati, contrattualmente isolati o predefiniti non sono più sufficienti, soprattutto quando le tattiche di consenso/pagamento sono viste come coercitive.
Le definizioni legali dei dati personali si stanno evolvendo. Anche i metadati o le preferenze utente codificate sono ammissibili se reidentificabili con mezzi ragionevoli.
Spingere verso modelli pubblicitari che privilegiano la privacy. Aspettatevi che l'ecosistema ad-tech dell'UE si orienti verso annunci contestuali, modelli meno invasivi e una maggiore trasparenza.
L'Unione Europea sta ricalibrando il suo approccio alla pubblicità digitale, passando dalla regolamentazione passiva all'interferenza attiva. La corte d'appello di Bruxelles ha inferto un colpo decisivo ai modelli basati sul tracciamento, mentre il Tribunale del mercato belga ha chiarito i quadri normativi in materia di responsabilità. Nel frattempo, l'ambito di applicazione del GDPR, articolato in obblighi DSA e DMA, sta rendendo le tradizionali metodologie di aste in tempo reale e di sorveglianza giuridicamente rischiose.
Gli operatori del settore ad-tech devono ripensare i meccanismi di consenso, ristrutturare i rapporti con i titolari del trattamento dei dati e concentrarsi nuovamente su modelli pubblicitari incentrati sulla privacy. Una piattaforma completa di gestione del consenso è un passo nella giusta direzione.
©2025 CookieHub ehf.
