IAB Europe e il TCF
IAB Europe (International Advertising Bureau) è un’associazione a livello europeo che si occupa di digital marketing e, più in generale, di tutto l’ecosistema dell’advertising digitale. Tra le sue iniziative principali c’è proprio il Transparency & Consent Framework, il framework che raccoglie le varie parti definite nelle sue policy con l’obiettivo di aiutare tutte le parti della catena del digital advertising, editori, CMP e fornitori a rispettare il GDPR e la direttiva ePrivacy quando elaborano dati personali e/o accedono e memorizzano informazioni sul dispositivo di un utente.
In pratica, il TCF traduce gli obblighi normativi in un linguaggio tecnico condiviso: un editore che pubblica un annuncio, una CMP come Avacy che raccoglie il consenso, e un fornitore pubblicitario che riceve quel consenso possono “parlarsi” attraverso lo stesso segnale (il TC String), evitando che ogni attore interpreti a modo proprio cosa l’utente ha effettivamente accettato.
La versione attualmente in vigore è il TCF v2.3, che aggiorna le politiche di trasparenza verso gli utenti e i requisiti per le CMP certificate. Se il framework è integrato nella CMP, l’adeguamento di versione non richiede interventi da parte del sito: avviene lato piattaforma, come per il cookie banner configurato con Avacy.
Le Finalità nel TCF
Per Finalità si intendono le finalità definite per il trattamento dei dati, compresi i dati personali degli utenti, da parte dei partecipanti al Framework, definite nelle Politiche o nelle Specifiche IAB. Per ciascuna Finalità i fornitori dichiarano una Base Legale nella GVL (Global Vendor List, l’elenco pubblico dei fornitori aderenti al TCF), e per queste finalità l’utente ha la possibilità di scegliere, cioè di acconsentire o di opporsi, a seconda della base legale del trattamento attraverso una CMP.
Sono, ad esempio, le finalità legate alla selezione e alla misurazione della pubblicità personalizzata: quelle attività per cui il cookie banner deve mostrare all’utente un’opzione reale di accettazione o rifiuto, non una spunta preimpostata.
Le Finalità Speciali
Per Finalità Speciali si intende una delle finalità definite per il trattamento dei dati, compresi i dati personali degli utenti, da parte dei partecipanti al Framework, definite nelle Politiche o nelle Specifiche, per le quali i fornitori dichiarano comunque una Base Legale nella GVL, ma per le quali all’utente non è data scelta da una CMP.
La differenza con le Finalità “ordinarie” è proprio questa: qui la base giuridica del trattamento, tipicamente il legittimo interesse, non richiede un consenso opt-in, perché riguarda attività come garantire la sicurezza, prevenire le frodi o correggere errori tecnici, necessarie al funzionamento stesso del servizio più che a un profitto commerciale diretto.
Il GDPR consente il trattamento dei dati personali senza consenso quando è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato.
Fonte: Regolamento (UE) 2016/679, art. 6, par. 1, lett. f
Le Funzionalità nel TCF
Per Funzionalità si intende una delle caratteristiche del trattamento dei dati personali utilizzate dai partecipanti al Framework, definite nelle Politiche o nelle Specifiche, impiegate nel perseguimento di una o più Finalità, per le quali non viene data all’utente una scelta separata rispetto a quella già concessa per le Finalità a cui sono collegate.
In altre parole, una Funzionalità non è mai autonoma: esiste solo in appoggio a una o più Finalità già accettate (o rifiutate) dall’utente, e non compare quindi come voce separata su cui esprimere un consenso a sé stante.
Le Funzionalità Speciali
Per Funzionalità Speciali si intende una delle caratteristiche del trattamento dei dati personali utilizzate dai partecipanti al Framework, definite nelle Politiche o nelle Specifiche, impiegate per perseguire una o più Finalità per le quali si dà invece all’utente la scelta di un opt-in separato, distinto da quello offerto per le Finalità che supportano.
Qui il rapporto si ribalta rispetto alle Funzionalità “ordinarie”: trattandosi di caratteristiche più invasive per la privacy dell’utente, tipicamente quelle legate all’identificazione precisa del dispositivo, il TCF impone che vengano presentate come una scelta a sé, e non implicite nell’accettazione di una Finalità più generale.
Gli Stack nel TCF
Per Stack si indica una delle combinazioni di Finalità e/o Funzionalità Speciali del trattamento dei dati personali utilizzate dai partecipanti al Framework, che può essere impiegata per sostituire o integrare descrizioni più granulari di finalità e funzionalità nel livello iniziale di un’interfaccia utente.
Gli Stack esistono per un motivo molto pratico: elencare separatamente ogni singola Finalità e Funzionalità Speciale in un cookie banner di primo livello renderebbe l’esperienza illeggibile. Raggruppandole in blocchi coerenti, l’utente vede una sintesi comprensibile al primo layer, mantenendo comunque la possibilità di scendere nel dettaglio granulare nei layer successivi.
I Fornitori nel TCF
Per Fornitore si indica una società che partecipa all’erogazione di pubblicità digitale all’interno del sito web, dell’app o di altri contenuti digitali di un Editore, nella misura in cui tale società non agisce essa stessa come Editore o come CMP, e che accede al dispositivo di un utente finale o tratta i dati personali degli utenti finali che visitano i contenuti dell’Editore, aderendo alle Politiche del Framework.
Un Fornitore può essere considerato, ai sensi del GDPR, un Titolare del trattamento, un Responsabile del trattamento, o entrambi, a seconda delle circostanze specifiche del trattamento che effettua. L’elenco ufficiale dei fornitori aderenti è pubblicato da IAB Europe nella GVL (Global Vendor List), aggiornata periodicamente: è quell’elenco, non un testo statico, a determinare quali fornitori una CMP come Avacy può presentare in consenso nel cookie banner in un dato momento.
Il tema riguarda da vicino chi monetizza con la pubblicità: dal 2024 Google richiede agli editori che usano AdSense, Ad Manager o AdMob nello Spazio Economico Europeo una CMP certificata TCF, integrata con Google Consent Mode v2. Senza, gli annunci personalizzati non vengono serviti.
Uno sguardo d’insieme sui sei elementi del TCF
Una sintesi per orientarsi rapidamente tra i sei elementi, e su cosa richiedono davvero in termini di consenso.
| Elemento | Richiede scelta separata dell’utente? | A cosa serve |
|---|---|---|
| Finalità | Sì, tramite CMP (accetta/rifiuta). | Trattamenti per cui l’utente può scegliere, es. pubblicità personalizzata. |
| Finalità Speciali | No. | Trattamenti necessari al servizio, es. sicurezza e prevenzione frodi. |
| Funzionalità | No, segue la Finalità collegata. | Caratteristiche tecniche a supporto di una o più Finalità. |
| Funzionalità Speciali | Sì, opt-in separato. | Caratteristiche più invasive, es. identificazione precisa del dispositivo. |
| Stack | (raggruppamento) | Semplificano la UI del banner unendo più Finalità/Funzionalità. |
| Fornitori | — | Aziende della filiera ads che aderiscono alle Politiche del TCF. |

Il TCF è integrato nativamente nel cookie banner di Avacy in tutti i piani, incluso il piano Free: puoi confrontarli nella pagina prezzi.