kal

@filtro ha detto in Il Garante Privacy del Belgio multa IAB Europa per 250.000€ a causa di TCF:

se io nel mio contratto scrivo che accettando quel contratto accetto anche i termini e condizioni dei vendor A, B, C
e quindi nel momento in cui vendo il dato ad A che nei suoi termini e condizioni c'è scritto che lo può vendere a sua volta, il problema diventa legale non di audit, ma di quando sono bravi i legali a scrivere i contratti.

O di quanto sono brave le Autorità Garanti a stracciare i contratti scritti dai suddetti avvocati

Perché a occhio, visti i principi fondativi della GDPR, una terza parte non può tanto legittimamente rivendere oltre senza il consenso diretto (libero, informato, inambiguo, etc.) del proprietario dei dati personali.

aMorloi

@kal è che il dato lo puoi anche vendere, è il consenso che non vendi. Nei fatti i dati, se lo specifichi nei termini, possono essere ceduti (a meno che non siano sensibili), ma poi chi li riceve, diventando titolare del trattamento, deve ottenere il consenso ex-novo, sottoponendo all'utente i termini del trattamento, le policy etc.

sitovivo

@juanin concordo con la poca chiarezza nella "forma" di implementazione di diverse scelte del GDPR, ad esempio quella relativa a come registrare il consenso.

Di fatto stiamo ancora aspettando a breve la eDirective che dovrebbe chiarire diversi aspetti.

In ogni caso la mia interpretazione della questione "come registrare il consenso", è, per analogia con i cookie tecnici:
tutto ciò che serva per far funzionare il sito web o per tenere fede al motivo legale sono costretto a renderlo indispensabile e quindi di conseguenza registrabile.

Ci sono però due cose molto "sottili" da notare.

1- il Garante italiano ha precisato in una delle FAQ sui cookie, che il cookie tecnico sia una modalità necessaria e sufficiente come prova del consenso (anche se lascia sott'inteso che il titolare non è obbligato a questa sola modalità tecnologica).

2- nel GDPR si precisa che in caso di utilizzo di dati personali come l'ip, si debba separare certe informazioni e renderle anonimizzate a sufficienza, e dimostrare di aver evitato di ricondurle a sistemi che possano profilare o comunque associare l'informazione personale al profilo di comportamento (in caso di assenza di consenso in tal senso) sopratutto se girate a terze parti.

Quindi la conseguenza è che è da evitare l'utilizzo di esportazione dati fuori EU, (cosa che avviene con i cloud americani), senza seguire le 48 pagine di Raccomandazioni di giugno 2021 dei Garanti europei (EDPB), o in assenza di specifiche deroghe (come il privacy US shield prima della sua invalidazione il 16 luglio 2020), ed evitare il trasferimento dati personali a terze parti (diverse da chi informa, richiede il consenso, e gestisce il consenso dietro le quinte, a meno di avere dei meccanismi per supervisionare cosa si fa con i dati) in modi che possano essere riconducibili alle persone e associabili ad altre informazioni connesse (es. comportamenti, dati finanziari, sanitari, ecc. insomma anche dati sensibili o di profilazione).

Ti dò però ragione sul fatto che il GDPR dica che la PROVA del consenso, comunque sia a carico del titolare del trattamento.

Quindi, è ragionevole chiedersi se non sia il caso di registrare una prova lato server, di quel cookie tecnico, come prova del consenso (in caso ci sia qualche problema con il cookie del browser...).

Il gatto SI MORDE LA CODA, come dici tu.

Non è chiaro, ma la mia interpretazione quando una cosa non è chiara è il "buon senso" e trovare una spiegazione ragionevole in caso di ispezione che precisi le scelte compiute e per quale ragione (principio di accountability).

juanin

Chissà se sarà il caso di iniziare a montarsi un ad server in casa

Sarebbe interessante iniziare a fare un bell'elenco. Il successore di OpenX è questo https://www.revive-adserver.com/

kal

@juanin ha detto in Il Garante Privacy del Belgio multa IAB Europa per 250.000€ a causa di TCF:

Chissà se sarà il caso di iniziare a montarsi un ad server in casa

Secondo me anche in questo caso, come nell'altro di GA, è utile iniziare a pensarci.

Saranno sicuramente soluzioni legnose e certamente sub-par da un punto di vista tecnico... ma il giorno in cui diventeranno l'unica alternativa legalmente applicabile per me è all'orizzonte.

filtro

@kal si certo e come mi collego alle altre DSP in open market visto che sono illegali perché il 95% esporrà dati in US?

juanin

@filtro la risposta è non mi ci collego

Se si paventa quello scenario l'unica è che tutti si mettono a vendere in autonomia oppure che nasce una sorta di associazione che fa da commerciale per N siti (oppure lo fa la concessionaria).

E' uno scenario sicuramente apocalittico! Ah ah ah.

filtro

@juanin vedo prospettive grandiose per l’Europa che crea il firewall cinese senza aver foraggiato l’industria interna per creare alternative.

Torniamo agli anni 90 del web, Mediaset e Rai faranno da padrone

sitovivo

@juanin infatti noi, per esempio, abbiamo evitato cloud stranieri da sempre.

In particolare usiamo cloud proprietari solo sul territorio Nazionale Italiano.

Se senti le dichiarazioni del Ministro Brunetta, la voglia è quella di seguire il modello francese che chiede alle imprese di usare cloud solo francesi.

sermatica

@juanin ha detto in Il Garante Privacy del Belgio multa IAB Europa per 250.000€ a causa di TCF:

Chissà se sarà il caso di iniziare a montarsi un ad server in casa

Questo commenta tutto

juanin

Interessante documento qua https://techreg.org/article/view/11594/13212

kal

@juanin ha detto in Il Garante Privacy del Belgio multa IAB Europa per 250.000€ a causa di TCF:

Interessante documento qua https://techreg.org/article/view/11594/13212

Eh, quello che sospettavo sopra.

L'articolo è super lungo, me lo segno da leggere con attenzione nei prossimi giorni.

juanin

@kal la parte molto importante è sicuramente questa rispetto ai discorsi che anche io sopra facevo su protocolli etc

Secondly, IAB Europe determines the means of processing by deter-mining the recipients to whom the TC string may be shared with, and who not, by means of the dynamically updated Global Vendor List, the list of TCF-authorised adtech vendors approved and published by IAB Europe.31 Publishers are not allowed to both use the TCF standard and work with any vendor who has not registered with the IAB Europe.32 This in particular appears to distinguish the TCF from a “permissionless” standard such as HTTP or TCP/IP.This has lessons for the limits of controllership as well as its extent. IAB Europe does not merely set the rules of the road, but deter-mines, dynamically and contractually, which specific road all actors are allowed to use, and which not. While influence over means will remain a case-by-case test, this specific role of the IAB in this regard will mitigate concerns that standard-setting bodies like the ISO, IETF or W3C might find themselves data controllers: these merely provide documents with voluntary guidelines, whereas TCF is a mem-bers-only, centrally managed, and non-discretionary set of rules with an annual price tag of 1,200 EUR.

Non è sicuramente un aspetto secondario nella valutazione del garante.

juanin

E qui invece una serie di FAQ IAB https://iabeurope.eu/wp-content/uploads/2022/02/APD-Decision-FAQ-v2-1.pdf e il loro apparente intento di andare in appello

Will IAB Europe appeal to the Market Court?
The decision may be appealed before the Belgian Market Court within a period of thirty days
from its notification (i.e. before March 4th 2022). IAB Europe can also ask the Market Court
for the suspension of enforcement until the end of the appeal process (in other words, a
request to ensure that the APD decision is put on hold entirely until a decision on appeal is
handed down). We are still assessing options with respect to a legal challenge.

kal

@juanin mi da da pensare che non l'abbiano già annunciato.

Anche perché lo sapevano ancora a novembre che l'indagine sarebbe finita in una sanzione e c'era già la bozza del provvedimento. Tempo per prepararsi in anticipo lo avevano...

kal

Il Garante danese segue quello olandese nel raccomandare a tutti i siti di non utilizzare più TCF, ma di passare ad un sistema GDPR compliant:

https://twitter.com/mikarv/status/1494347539012796418

Nel frattempo, ancora non mi risulta ci siano notizie o aggiornamenti da parte di IAB Europe.

filtro

@kal lo Iab farà appello aannunciato l’11 febbraio e stanno preparando la roadmap di aggiornamento.

Ho partecipato al town hall dove ritengono di poter sistemare tutto

Fil

juanin

Aggiungo questo thread di un fanatico della privacy. Sicuramente rilevante https://twitter.com/johnnyryan/status/1503419723257729028

kal

@juanin ha detto in Il Garante Privacy del Belgio multa IAB Europa per 250.000€ a causa di TCF:

Aggiungo questo thread di un fanatico della privacy. Sicuramente rilevante https://twitter.com/johnnyryan/status/1503419723257729028

È rilevante sì.

Anche perché l'avevo osservato sopra

Per me il concetto stesso di marketplace RTB non è proprio sostenibile nel quadro normativo della GDPR. Opera da sempre nel regime di più assoluta illegalità.

Monitorare i comportamenti può ancora ancora avere senso legalmente parlando se raccogli e utilizzi il dato in un contesto di prima parte. Ma nel momento in cui di quel dato ne fai "mercato" al miglior offerente, beh...

filtro

A tutti abbiamo un'intervista al CEO di IAB Europe proprio sulla question TCF
sicuramente interessante in alcuni passaggi
https://digiday.com/marketing/it-was-surprising-iab-europes-ceo-on-the-uncertain-future-of-third-party-addressability/

The APD finds the definitions of the data processing purposes in the TCF to be both insufficiently granular and insufficiently concise – publishers could elect to provide additional wording to supplement the legal and “user-friendly” definitions that are laid down in the TCF Policies

The APD ruling makes clear that what the APD wants is more TCF, not less — they want the TCF to deliver a broader range of compliance functionality, including ensuring wholesale GDPR compliance of all TCF vendors

Editor’s note: since the interview took place, the Danish DPA has confirmed in a mail to Danske Medier, the IAB Europe’s Danish member association, that it is prepared to give the media industry and other stakeholders using the TCF framework an appropriate period of time to implement necessary adjustments and solutions in the light of APD’s decision. It has made it clear that this would not preclude their processing complaints that may relate to (other) issues linked to the TCF framework.