Per rispondere all’evoluzione dei requisiti e delle aspettative in materia di protezione dei dati, il Gruppo Direttivo del Transparency and Consent Framework (TCF) ha approvato gli aggiornamenti di quest’ultimo. L’ultima versione, chiamata TCF 2.2, introduce cambiamenti significativi volti a soddisfare meglio i requisiti normativi e le esigenze degli utenti.
In questo articolo vedremo le principali policy e modifiche tecniche, con un calendario dettagliato per aiutare tutti gli stakeholder nell’attuazione del TCF 2.2.
La versione 2.2 del Transparency and Consent Framework (TCF) di IAB ha visto aggiornamenti e miglioramenti significativi rispetto alla versione 2.0. Queste modifiche, che rispecchiano i feedback ricevuti sulla versione precedente, intendono soddisfare le esigenze di tutti gli stakeholder della catena del valore della pubblicità digitale. Vediamo le differenze principali tra TCF 2.0 e TCF 2.2:
👉 Base giuridica: nel TCF 2.0, i Vendor avevano la possibilità di indicare come base giuridica per le finalità da 2 a 10 sia il consenso, sia il legittimo interesse. Invece, nel TCF 2.2, l’interesse legittimo non costituisce più una base giuridica accettabile per le finalità 3, 4, 5 e 6. Di conseguenza, per queste finalità, i Vendor ora possono affidarsi solo al consenso.
👉 Testo più comprensibile: il TCF 2.2 introduce miglioramenti nei nomi, nelle descrizioni e nelle spiegazioni delle finalità e delle funzionalità. Anziché un linguaggio giuridico complesso, gli utenti al suo interno troveranno spiegazioni facili da capire ed esempi concreti, semplificando la comprensione delle implicazioni del consenso.
👉 Nuova finalità 11: la finalità 11 (Uso di dati limitati per la selezione dei contenuti) è pensata per coprire attività di trattamento quali la selezione e la fornitura di contenuti non pubblicitari basati su dati in tempo reale (ad es. informazioni sul contenuto della pagina o dati di geolocalizzazione non precisi) e il controllo della frequenza o dell’ordine con cui i contenuti vengono presentati all’utente. Non copre la creazione o l’utilizzo di profili per selezionare contenuti personalizzati.
👉 Informazioni aggiuntive sui Vendor: secondo il TCF 2.2, i Vendor sono tenuti a fornire ulteriori informazioni su come trattano i dati, tra cui:
Gli utenti avranno accesso a queste informazioni, prendendo così decisioni più consapevoli sui propri dati.
👉 Trasparenza dei numeri dei Vendor: le piattaforme di gestione del consenso (CMP) ora sono obbligate a indicare il numero totale di Vendor che cercano di stabilire una base giuridica nella prima schermata delle loro interfacce e il numero totale di Vendor per ciascuna finalità nei secondi livelli. Questa trasparenza offre agli utenti una chiara comprensione delle entità coinvolte nel trattamento dei dati.
❗ ATTENZIONE: I Publisher dovrebbero considerare il numero di Vendor con cui lavorano e predisporre un processo di selezione (i Publisher possono utilizzare la lista delle informazioni aggiuntive sui Vendor per facilitare questa selezione). Offrire trasparenza e contribuire a stabilire basi giuridiche all’interno del Framework per un numero ingiustificatamente elevato di Vendor può influire sulla capacità degli utenti di compiere scelte consapevoli e aumentare il rischio legale dei Publisher e dei Vendor.
Di conseguenza, la CMP consentirà al Publisher che utilizza la propria CMP di effettuare scelte rispetto a ciascun Vendor che compare sui propri siti o app e non potrà imporre una lista di Vendor.
Nota: le policy TCF non impongono un numero massimo di Vendor per i quali un Publisher stabilisce basi giuridiche, perché tutto dipende dalla natura dei servizi e dei contenuti forniti dal Publisher nonché dal suo modello di business e perché non sono stati stabiliti criteri oggettivi al riguardo da parte delle autorità per la protezione dei dati.
👉 Requisiti specifici per facilitare la revoca del consenso: il TCF 2.2 sottolinea l’importanza del controllo dell’utente richiedendo ai Publisher e alle CMP di garantire che gli utenti possano far ricomparire l’interfaccia della CMP (ad es. tramite un’icona mobile o un link nel footer disponibile in ogni pagina web, ecc.) e revocare facilmente il consenso. Se la richiesta di consenso iniziale presentata agli utenti contiene una call to action che consente all’utente di acconsentire a tutte le finalità e ai Vendor in un solo clic (ad esempio “Accetta tutto”), quando gli utenti fanno ricomparire l’interfaccia CMP deve essere fornita una call to action equivalente che consente di revocare il consenso a tutte le finalità e ai Vendor in un solo clic (ad esempio “Rifiuta tutto”).
No, le nuove policy del TCF non impongono di ristabilire le basi giuridiche, perciò non richiedono alle CMP di far ricomparire l’interfaccia. Il TCF v2.2 prevede un’ulteriore standardizzazione delle informazioni e delle scelte minime da fornire agli utenti circa il trattamento dei loro dati personali. I Publisher devono riesaminare le informazioni fornite nelle loro interfacce CMP in aggiunta alle informazioni standard minime richieste dal TCF v2.1 e stabilire caso per caso se sia necessario ristabilire le basi giuridiche tenendo conto delle loro esigenze specifiche, del contesto in cui operano e dei requisiti della loro autorità locale per la protezione dei dati.
Oltre alle modifiche delle policy, il TCF 2.2 prevede anche aggiornamenti delle specifiche tecniche:
Questi aggiornamenti presenti nel TCF 2.2 mirano a incrementare la comprensione degli utenti, migliorare la trasparenza e fornire linee guida più chiare per Vendor, Publisher e CMP. Il Framework cerca di trovare un equilibrio tra la protezione della privacy e la possibilità di permettere la pubblicità mirata nel mutevole panorama della pubblicità digitale.
🔎 Per informazioni più dettagliate, consulta le specifiche tecniche aggiornate, le FAQ ufficiali di IAB e il post del blog di IAB Tech Lab.
⚠️ Ricorda le seguenti scadenze per l’attuazione:
30 giugno 2023: I Vendor devono aggiornare la loro registrazione nella GVL con le nuove informazioni richieste, incluse eventuali informazioni aggiornate in precedenza. Utilizza il portale di registrazione GVL aggiornato, che ora include nuovi campi di registrazione previsti dal TCF 2.2. Se non riesci a visualizzare i tuoi dati esistenti nel portale, cancella la cache o esegui il login da un browser diverso.
10 luglio 2023 (promemoria): Le CMP devono ospitare i loro script su un dominio diverso dai sottodomini consensu.org, come specificato nell’avviso.
31 luglio 2023: I Vendor devono compilare un modulo di valutazione della compliance al TCF e inviarlo tramite il portale di registrazione nel GVL all’interno dei programmi aggiornati di Compliance al TCF.
20 novembre 2023 (fine del periodo di attuazione): Sia le CMP che i Vendor sono tenuti ad attuare le nuove policy e specifiche entro questa data. IAB Europe ne verificherà il rispetto nell’ambito del suo monitoraggio periodico delle installazioni attive. Le CMP possono utilizzare l’estensione per Chrome CMP Validator, che include tutti i requisiti del TCF 2.2, per assicurare la compliance.
🚀 A presto con i prossimi aggiornamenti sui nuovi sviluppi!