Le decisioni dei garanti mettono in crisi la pubblicità on line

A inizio febbraio le cronache dei media hanno riportato la notizia che Meta –la società madre di Facebook- starebbe minacciando il suo ritiro dall’Europa, se per caso le istituzioni comunitarie dovessero insistere sull’obbligo di localizzazione dei dati sul Continente.
La notizia ha destato grande scalpore ma non tutti l’hanno ricollegata con i due fatti che hanno scatenato questa reazione d’Oltreoceano: il pronunciamento del 5 gennaio dell’Autorità europea di protezione dei dati personali (EDPS), firmato dall’attuale presidente, Wojciech Rafal Wievorowski, dal titolo “Decisione sul caso 2020-1013” e il pronunciamento del 2 febbraio 2022 da parte del coordinamento delle autorità europee per la Privacy sul trattamento dei “cookies”.
Partiamo dalla decisione dell’EDPS – che è l’autorità in questione, nata per iniziativa e dietro la pressione morale del giurista italiano Stefano Rodotà, retta nella sua fase iniziale dal piu stretto collaboratore di Rodotà, Giovanni Buttarelli, prematuramente scomparso nel 2019- che si è pronunciata su un caso sottoposto da sei membri del Parlamento Europeo contro il Parlamento Europeo stesso.
I parlamentari avevano denunciato nel 2020 il Parlamento Europeo all’autorità sulla protezione dei dati sostenendo che alcuni dati sensibili (in particolare quelli riguardanti la salute e le infezioni da COVID 19) fossero stati trasmessi fuori dall’Unione Europea, in violazione di quanto previsto dalle norme del Regolamento Generale sulla protezione dei dati (RGPD) per tutte le informazioni di questo tipo. Nonostante le assicurazioni fornite dai prestatari dei servizi informatici che hanno trattato queste informazioni sensibili, che nulla fosse stato trasferito fuori dalla giurisdizione europea, l’Autorità ha accertato invece che questo trasferimento in alcuni casi è avvenuto davvero e che in diversi altri è impossibile verificare se ciò sia avvenuto oppure no, per l’opacità dei meccanismi attuali che regolano il trasferimento dei dati.
La Decisione –anche se formalmente riguarda un caso specifico e molto ristretto- in realtà riapre il vaso di pandora che si credeva chiuso con l’adozione del RGPD, laddove si era raggiunto il compromesso di dare per buone le assicurazioni dei grandi gestori di dati, che non ci sarebbe stata esportazione di dati sensibili fuori dalla zona europea. Assicurazioni che questa indagine ha dimostrato essere infondate o, quantomeno, indimostrabili.
I sospetti dell’EDPS sono stati confermati da un secondo pronunciamento, di pochi giorni dopo (il 2 febbraio 2022), stavolta del coordinamento delle 28 autorità nazionali sulla protezione dei dati, che ha dichiarato non conforme al RGPD, il meccanismo automatico definito TCF (Transparency and Consent Framework), che è quello che ha legittimato sinora l’80% del traffico dati su internet in Europa.
In particolare la decisione punta il dito contro i famosi “cookies”, quei meccanismi automatici che memorizzano una serie di operazioni e che facilitano l’accesso ed il riaccesso alle informazioni che transitano o sono pubblicate sul web.
Come ogni buon internauta che si sia cimentato con le regole sulla privacy di un qualsiasi servizio fornito sul web conosce benissimo, quando si chiede di conoscere le condizioni sulla riservatezza dei dati, ogni sito o servizio fornisce un pannello da cui è possibile disattivare alcune di queste funzioni. Si arriva poi però ad una sezione (spesso in coda a tutto) finale che riporta le funzioni (o cookies) necessarie per la fornitura del servizio. Una sezione in cui non esiste l’opzione di scelta: senza di questi, cioè, il servizio richiesto non puo essere erogato. In alcuni siti, si rimanda ad una pagina dell’IAB (Interactive Advertising Bureau, che rappresenta le grandi piattaforme Internet), dove chi proprio volesse cimentarsi, viene invitato a disabilitare una per una centinaia di cookies e funzioni, appartenenti a società diverse.
La Decisione dell’Autorità Europea punta il dito soprattutto su Google analytics, ( il sistema di misurazione pressocché unico degli accessi su Internet per tutto il mondo digitale), che –in base alle risultanze dell’indagine- non può garantire che i dati di cui entra in possesso (inclusi quelli sensibili) vengano trattati esclusivamente all’interno dell’Unione Europea, mentre quella del Coordinamento delle Autorità europea si concentra sulle regole IAB. I due pilastri su cui oggi si fonda la pubblicità on line vedono messi in discussione i principi del loro funzionamento attuale.
Di qui la dura reazione di alcuni dei giganti del Net che intravvedono in questa decisione, l’imminente rilettura delle regole del RGPD in chiave molto piu restrittiva e soprattutto la possibilità per gli utenti di richiedere il diritto di opting out anche per alcune delle funzioni per le quali finora questo diritto è stato negato.
PER SAPERNE DI PIU:
LINK ALLA DECISIONE DELL’EDPS: https://noyb.eu/sites/default/files/2022-01/Case%202020-1013%20-%20EDPS%20Decision_bk.pdf
LINK ALL’ANNUNCIO DECISIONE DELLE 28 AUTORITA NAZIONALI: GDPR enforcer rules that IAB Europe’s consent popups are unlawful – Irish Council for Civil Liberties
LINK ALLA PAGINA IAB SUI TCF: https://github.com/InteractiveAdvertisingBureau/GDPR-Transparency-and-Consent-Framework/blob/master/TCFv2/IAB%20Tech%20Lab%20-%20CMP%20API%20v2.md

Cookie	Durata	Descrizione
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

IGF si unisce a #RepubblicaDigitale

L’indice di trasformazione digitale di 107 città italiane

La Russia esce da Internet?

La sostenibilità digitale a IGF Italia 2021

Il MID supporta il modello multi-stakeholder di IGF Italia

Internet Governance Forum 2023 sarà KYOTO JPN

IGF Italia

Newsletter

Articoli simili

IGF Italia

Newsletter