La pubblicità online basata sul tracciamento degli utenti è finita nel mirino delle autorità europee. Già nel febbraio 2022, l’Autorità belga per la protezione dei dati (APD) aveva sanzionato IAB Europe, l’associazione – formalmente no profit ma composta da molte delle principali aziende dell’advertising digitale – che ha ideato il Transparency & Consent Framework (TCF). Secondo la APD, il sistema violava in diversi modi il GDPR. In particolare, la cosiddetta Transparency & Consent String (TC String), generata dal TCF per memorizzare il consenso dell’utente, andava trattata come un vero e proprio dato personale. Per questo IAB Europe fu multata per 250.000 euro.Dopo oltre tre anni di ricorsi, tra cui una pronuncia della Corte di Giustizia UE nel 2024, la Corte d’appello di Bruxelles ha confermato nel maggio 2025 che il TCF è illegittimo. In sostanza, il meccanismo standard usato dalla maggior parte dei siti web per ottenere il consenso alla pubblicità online personalizzata non può più essere utilizzato nella forma attuale. Pur trattandosi formalmente di una sentenza belga, le sue conseguenze sono di portata europea: il TCF è ampiamente adottato dai principali operatori pubblicitari del continente. La decisione rappresenta così un precedente giuridico che potrebbe essere seguito da altre autorità nazionali e dalla stessa Corte UE.Cos’è il TCF e come funziona nel mercato pubblicitarioIl Transparency & Consent Framework (TCF) è uno standard tecnico e giuridico introdotto nel 2018 da IAB Europe per regolare il modo in cui viene raccolto e condiviso il consenso degli utenti online. Il suo obiettivo era offrire un linguaggio comune per l’intero ecosistema pubblicitario, semplificando l’adempimento delle regole del GDPR in un mercato altamente frammentato.In pratica, quando un utente europeo visita un sito web e compare un banner sui cookie, dietro le quinte interviene il TCF. Una piattaforma di gestione del consenso (CMP) raccoglie le preferenze dell’utente (ad esempio se accetta o meno il tracciamento per pubblicità personalizzata, analisi, profilazione) e le codifica in una stringa alfanumerica standard: la TC String. Questa stringa viaggia con le richieste pubblicitarie nei meccanismi di Real-Time Bidding (RTB), le aste automatizzate in cui, in pochi millisecondi, vari operatori fanno offerte per mostrare annunci all’utente.Attraverso il TCF, aziende come inserzionisti, piattaforme e data broker leggono la TC String per sapere se possono utilizzare i dati di navigazione e per quali scopi. Sebbene il framework fosse pensato per tutelare il consenso, in pratica ha spesso facilitato la circolazione dei dati personali a vantaggio dell’industria pubblicitaria, più che della privacy degli utenti.Perché il TCF è stato giudicato non conforme al GDPRSecondo l’APD, la TC String va trattata come un dato personale, perché può essere ricondotta a un utente identificabile, soprattutto se associata ad altri dati come l’indirizzo IP o il cookie euconsent-v2. Il problema è che questa stringa veniva condivisa con decine, se non centinaia, di aziende, senza garanzie adeguate.Le informative presentate nei banner risultavano poco chiare, prolisse e costruite in modo da favorire l’accettazione rapida, spesso tramite interfacce manipolative (dark pattern). Così facendo, il consenso non poteva essere considerato né libero né informato, come invece richiesto dal GDPR.Inoltre, mancavano controlli per garantire che le preferenze dell’utente fossero effettivamente rispettate da tutti gli attori coinvolti. Il TCF non includeva sistemi per prevenire l’uso scorretto della TC String, né offriva strumenti per revocare facilmente il consenso. Anche sotto il profilo organizzativo, IAB Europe non aveva adempiuto agli obblighi previsti per i titolari del trattamento, come una valutazione d’impatto (DPIA), la nomina di un DPO e il mantenimento dei registri delle attività.La sentenza della Corte d’appello di BruxellesNel dettaglio, la Corte ha confermato che la TC String è a tutti gli effetti un dato personale e ha stabilito che IAB Europe deve essere considerata contitolare del trattamento, almeno per quanto riguarda la creazione e la diffusione della stringa. Questo significa che IAB Europe condivide la responsabilità – insieme a CMP, editori e vendor – per come viene gestito il consenso dell’utente.Anche se la sentenza ha formalmente annullato la decisione del 2022 per alcuni vizi procedurali, ha ribadito nel merito le violazioni individuate dall’APD. È stato escluso invece che IAB Europe sia responsabile diretta per i trattamenti successivi condotti tramite protocolli pubblicitari come OpenRTB. Il messaggio è chiaro: il modello attuale di consenso utilizzato nel digital advertising non è conforme al GDPR e deve essere profondamente rivisto.Impatti per aziende, editori e utentiPer le aziende dell’ad tech, la sentenza implica che non potranno più considerare il TCF una “copertura” legale sufficiente. Saranno costrette a rivedere i propri meccanismi di raccolta del consenso, abbandonando il ricorso al “legittimo interesse” per la personalizzazione degli annunci e puntando esclusivamente su un consenso esplicito, specifico e documentato. La TC String dovrà essere trattata con tutte le misure previste per i dati personali, comprese sicurezza, tracciabilità e revocabilità.IAB Europe, nel suo nuovo ruolo di contitolare, dovrà esercitare un controllo effettivo su come i partner applicano le regole. Dovrà inoltre predisporre accordi di contitolarità tra tutti i partecipanti al TCF, come già avvenuto in passato per Meta, che fu obbligata dalla giurisprudenza UE a introdurre contratti simili per la gestione delle pagine Facebook.Anche per gli editori – i siti web che mostrano la pubblicità – le conseguenze saranno concrete: occorrerà aggiornare i banner cookie e le CMP per renderli più chiari, dettagliati e privi di inganni. L’obiettivo sarà fornire agli utenti reali strumenti di scelta, spiegando in modo comprensibile chi raccoglie i dati e per quali scopi. È prevedibile l’eliminazione di interfacce che spingono al consenso rapido tramite pulsanti “Accetta tutto” evidenziati rispetto alle opzioni di rifiuto.Dal punto di vista dell’utente, questa decisione segna un progresso importante per la privacy. Tuttavia, comporterà un cambiamento nell’esperienza online: invece di cliccare distrattamente su un banner, sarà necessario leggere, comprendere e decidere consapevolmente. Un’interazione più attiva, ma anche più rispettosa dei diritti.Infine, il mondo della pubblicità digitale dovrà esplorare strade alternative. Tra queste, la pubblicità contestuale (che si basa sui contenuti della pagina, non sui dati dell’utente), oppure la raccolta di dati zero-party, forniti direttamente e consapevolmente dagli utenti. In passato, Google aveva proposto la Privacy Sandbox come via di mezzo tra personalizzazione e tutela della privacy, ma ha abbandonato il progetto nel 2025, lasciando attivi i cookie di terze parti su Chrome. Questo evidenzia le difficoltà tecniche, normative e commerciali legate a una reale transizione del settore.La direzione è comunque tracciata: il vecchio modello del tracciamento indiscriminato non è più sostenibile. Il futuro della pubblicità digitale dovrà essere costruito su trasparenza, equità e rispetto dei diritti delle persone.