juanin

Interessante documento qua https://techreg.org/article/view/11594/13212

kal

@juanin ha detto in Il Garante Privacy del Belgio multa IAB Europa per 250.000€ a causa di TCF:

Interessante documento qua https://techreg.org/article/view/11594/13212

Eh, quello che sospettavo sopra.

L'articolo è super lungo, me lo segno da leggere con attenzione nei prossimi giorni.

juanin

@kal la parte molto importante è sicuramente questa rispetto ai discorsi che anche io sopra facevo su protocolli etc

Secondly, IAB Europe determines the means of processing by deter-mining the recipients to whom the TC string may be shared with, and who not, by means of the dynamically updated Global Vendor List, the list of TCF-authorised adtech vendors approved and published by IAB Europe.31 Publishers are not allowed to both use the TCF standard and work with any vendor who has not registered with the IAB Europe.32 This in particular appears to distinguish the TCF from a “permissionless” standard such as HTTP or TCP/IP.This has lessons for the limits of controllership as well as its extent. IAB Europe does not merely set the rules of the road, but deter-mines, dynamically and contractually, which specific road all actors are allowed to use, and which not. While influence over means will remain a case-by-case test, this specific role of the IAB in this regard will mitigate concerns that standard-setting bodies like the ISO, IETF or W3C might find themselves data controllers: these merely provide documents with voluntary guidelines, whereas TCF is a mem-bers-only, centrally managed, and non-discretionary set of rules with an annual price tag of 1,200 EUR.

Non è sicuramente un aspetto secondario nella valutazione del garante.

juanin

E qui invece una serie di FAQ IAB https://iabeurope.eu/wp-content/uploads/2022/02/APD-Decision-FAQ-v2-1.pdf e il loro apparente intento di andare in appello

Will IAB Europe appeal to the Market Court?
The decision may be appealed before the Belgian Market Court within a period of thirty days
from its notification (i.e. before March 4th 2022). IAB Europe can also ask the Market Court
for the suspension of enforcement until the end of the appeal process (in other words, a
request to ensure that the APD decision is put on hold entirely until a decision on appeal is
handed down). We are still assessing options with respect to a legal challenge.

kal

@juanin mi da da pensare che non l'abbiano già annunciato.

Anche perché lo sapevano ancora a novembre che l'indagine sarebbe finita in una sanzione e c'era già la bozza del provvedimento. Tempo per prepararsi in anticipo lo avevano...

kal

Il Garante danese segue quello olandese nel raccomandare a tutti i siti di non utilizzare più TCF, ma di passare ad un sistema GDPR compliant:

https://twitter.com/mikarv/status/1494347539012796418

Nel frattempo, ancora non mi risulta ci siano notizie o aggiornamenti da parte di IAB Europe.

filtro

@kal lo Iab farà appello aannunciato l’11 febbraio e stanno preparando la roadmap di aggiornamento.

Ho partecipato al town hall dove ritengono di poter sistemare tutto

Fil

juanin

Aggiungo questo thread di un fanatico della privacy. Sicuramente rilevante https://twitter.com/johnnyryan/status/1503419723257729028

kal

@juanin ha detto in Il Garante Privacy del Belgio multa IAB Europa per 250.000€ a causa di TCF:

Aggiungo questo thread di un fanatico della privacy. Sicuramente rilevante https://twitter.com/johnnyryan/status/1503419723257729028

È rilevante sì.

Anche perché l'avevo osservato sopra

Per me il concetto stesso di marketplace RTB non è proprio sostenibile nel quadro normativo della GDPR. Opera da sempre nel regime di più assoluta illegalità.

Monitorare i comportamenti può ancora ancora avere senso legalmente parlando se raccogli e utilizzi il dato in un contesto di prima parte. Ma nel momento in cui di quel dato ne fai "mercato" al miglior offerente, beh...

filtro

A tutti abbiamo un'intervista al CEO di IAB Europe proprio sulla question TCF
sicuramente interessante in alcuni passaggi
https://digiday.com/marketing/it-was-surprising-iab-europes-ceo-on-the-uncertain-future-of-third-party-addressability/

The APD finds the definitions of the data processing purposes in the TCF to be both insufficiently granular and insufficiently concise – publishers could elect to provide additional wording to supplement the legal and “user-friendly” definitions that are laid down in the TCF Policies

The APD ruling makes clear that what the APD wants is more TCF, not less — they want the TCF to deliver a broader range of compliance functionality, including ensuring wholesale GDPR compliance of all TCF vendors

Editor’s note: since the interview took place, the Danish DPA has confirmed in a mail to Danske Medier, the IAB Europe’s Danish member association, that it is prepared to give the media industry and other stakeholders using the TCF framework an appropriate period of time to implement necessary adjustments and solutions in the light of APD’s decision. It has made it clear that this would not preclude their processing complaints that may relate to (other) issues linked to the TCF framework.

kal

@filtro ha detto in Il Garante Privacy del Belgio multa IAB Europa per 250.000€ a causa di TCF:

including ensuring wholesale GDPR compliance of all TCF vendors

Questo mi pare il punto più complicato di tutti.

Ma se cambia lo standard sul mercato RTB passando da un mercato di audience al posto del mercato degli utenti, come detto nell'altro thread... potrebbe essere fattibile.

Questo perché il publisher definisce l'audience e quella viene venduta sul marketplace, eventualmente con il supporto di un fornitore... ma è comunque molto più semplice da gestire lato privacy che tutta la catena di matrioske che è il marketplace RTB oggi.

filtro

@kal il punto è che il garante ha identificato la stringa del consenso TCF string come un dato personale, che già questo voglio vedere come fa a sostenerlo in fase di appello perché una stringa che nel 90% del casi è sempre uguale è difficile chiamarla dato personale, ma vediamo come va avanti.

Perché se leggi la sentenza tutto si basa su questa cosa TCF string dato personale non mette in dubbio il resto perché 3rdparty cookie, ip, ecc. ecc. parte dopo il consenso.

Poi abbiamo la parte di Audit da parte dello IAB che lì facendo pagare una fee annuale ai vari player e non potendo veramente controllare si sono tirati la zappa sui piedi, ma va beh.
Però se trovano un modo di rendere la TCF string non personale il problema è risolto

juanin

@filtro banalmente la TCF string potresti rigenerarla ogni giorno o a ogni sessione ereditando i valori della precedente. In questo modo collezionandola non te ne fai nulla.

juanin

In ogni caso ne parlavamo pure al WMF se ricordi.

La TCF string è il Single Point Of Failure di tutto il castello...perché lo capiva anche un bambino che i vari attori della catena l'avrebbero utilizzato come identificatore univoco piuttosto che come oggetto di espressione del consenso

Io l'avevo detto eh...

filtro

@juanin Sì sì lo avevi detto, ma avevamo anche detto che identifichi ben poco con quello, certo se lo unisci ad altri elementi di statistical Identifier (il nuovo nome del fingerprinting) che tutto cambia, ma il problema non il la TCF String, ma è l'uso improprio che però lo IAB essendosi posto come controllore e chiedendo anche una fee non si è reso in grado di controllare.
Dovrebbe uscire a breve una proposta dello IAB proprio per permettere l'auditing dei dati personali raccolti. Questo dovrebbe risolvere in parte il problema dello IAB

juanin

@filtro ha detto in Il Garante Privacy del Belgio multa IAB Europa per 250.000€ a causa di TCF:

identifichi ben poco con quello, certo se lo unisci ad altri elementi di statistical Identifier

Beh...dai... una TCF string fissa per 1 anno è molto più utile di qualsiasi strumento di fingerprinting incluso l'IP.

filtro

@juanin si ma il 90% degli utenti ha la stessa stringa: ho accettato tutto

juanin

@filtro stanno calando....75%....

filtro

@juanin risaliranno appena passato questo momento di terrore come è capitato su iOS.

juanin

@filtro io vedo invece una tendenza opposta...ossia sono di fatto in aumento i rifiuti perché è normale che sia così visto che ora c'è il pulsante bello in evidenza.

Anche iOS il trend è sempre più orientato al rifiuto. Io misuro degli opt-in nel range di 15/20.

Tutt'altro che un trend positivo. Ovvia se rispetti le regole e sei onesto non puoi aspettarti numeri diversi. Poi ne vedo di tutti i colori come furbate....poi ovvio che se guardi benchmark di mercato generici troverai numeri più alti.

Se sei chiaro il trend sarà sempre in calo una volta che l'utente avrà la comprensione del meccanismo.