Terze parti e mancato rispetto dei diritti GDPR nei media italiani

Esempi documentati di violazioni del GDPR da parte di terze parti

Numerosi casi recenti evidenziano come i third-party integrati nei siti dei principali media italiani non rispettino appieno i diritti garantiti dal GDPR. Ecco alcuni esempi significativi:

Cookie wall sui siti d’informazione

Diversi quotidiani online (ad es. La Repubblica del gruppo Gedi) hanno introdotto cookie wall che obbligano l’utente ad accettare i cookie di profilazione per accedere ai contenuti gratuiti, in alternativa alla sottoscrizione di un abbonamento. Questa pratica – essenzialmente un “accetta i tracker o paga” – solleva dubbi sulla libertà del consenso ed è oggetto di un’istruttoria formale del Garante Privacy avviata nel 2022, e nel 8/2024 l’European Data Protection Board si è così espresso):

EDPB Chair Anu Talus said: “Online platforms should give users a real choice when employing ‘consent or pay’ models. The models we have today usually require individuals to either give away all their data or to pay. As a result most users consent to the processing in order to use a service, and they do not understand the full implications of their choices.”

Violazioni nel framework di consenso TCF (IAB Europe)

Molti siti di news utilizzano il Transparency & Consent Framework (TCF) dell’IAB Europe per gestire i consensi agli adtracker. Tuttavia, il TCF stesso è stato dichiarato non conforme al GDPR dalla Data Protection Authority belga, decisione confermata in appello nel 2025, in quanto incapace di garantire trasparenza, un consenso valido e responsabilità nella condivisione dei dati (Leggi su EUToday).

Sanzioni ad aziende AdTech integrate nei media

Un caso emblematico è Criteo – piattaforma di retargeting pubblicitario – multata di 40 milioni di euro dall’autorità francese CNIL dopo una segnalazione di Privacy International (Privacy International). L’azienda non aveva ottenuto un valido consenso, né informato adeguatamente gli utenti, impedendo l’esercizio dei loro diritti fondamentali.

Diffusione occulta dei dati tramite advertising

L’Irish Council for Civil Liberties ha rivelato che un utente europeo subisce in media 376 diffusioni dei propri dati personali al giorno tramite real-time bidding (Accademia Italiana Privacy). Questa diffusione capillare, spesso senza un vero consenso informato, configura una violazione sistemica dei principi GDPR.

Diritti GDPR frequentemente negati o aggirati

Dall’analisi emergono alcuni diritti frequentemente negati dalle terze parti:

• Diritto di accesso ai dati: spesso ignorato o ostacolato (Privacy International).
• Diritto di opposizione e revoca del consenso: eluso tramite l’invocazione dell’interesse legittimo, anche quando l’utente ha negato il consenso (Studio NJIT).
• Trasparenza: informative spesso vaghe o incomplete, come dimostrato nel caso Criteo.
• Rettifica e cancellazione: difficili da esercitare per l’utente medio, soprattutto nel caso dei data broker.

Queste violazioni indicano una persistente asimmetria informativa tra utenti e AdTech.

Studi recenti su consensi e diritti

Studio della Commissione Europea (2023)

Ha evidenziato come il GDPR fatichi a contenere pratiche invasive nel mercato adtech (Study on the impact of recent developments in digital advertising on privacy, publishers and advertisers).

Questo studio ha raccolto evidenze che, nel complesso, indicano con forza la necessità di una riforma della pubblicità digitale. Indica che lo status quo è insostenibile per individui, editori e inserzionisti. La pubblicità digitale che si basa sulla raccolta di dati personali, il tracciamento e la profilazione su larga scala può avere conseguenze indesiderate sui diritti alla protezione dei dati, sulla sicurezza, sulla democrazia e sull’ambiente.

Tuttavia, vi sono poche prove indipendenti a sostegno delle affermazioni secondo cui l’uso esteso del tracciamento e della profilazione porti a un vantaggio significativo rispetto a modelli pubblicitari digitali che non adottano queste pratiche.

Ciò rafforza la posizione degli attori che hanno maggiore controllo e visibilità sul comportamento delle persone online, indebolendo la capacità degli altri – in particolare inserzionisti ed editori – di comunicare direttamente con i propri clienti.

Ha inoltre generato una crisi di responsabilità, in cui ci si aspetta che gli individui navighino in una rete complessa di aziende per poter controllare i tipi di annunci che visualizzano online.

Questo studio evidenzia lacune nel quadro normativo che potrebbero consentire il persistere di molti dei problemi segnalati. È necessario migliorare la trasparenza e la responsabilità, aumentare il controllo degli individui sull’uso dei propri dati personali nella pubblicità digitale, e affrontare una serie di ostacoli che rendono difficile per editori e inserzionisti “conoscere il proprio pubblico”.

Studio sul TCF (2024)

Presentato alla Web Conference 2024: su oltre 2.200 siti, il 72,8% aggira l’opt-out ricorrendo a basi giuridiche alternative (Studio NJIT).

Questo articolo presenta uno studio sulla conformità al GDPR all’interno del Transparency and Consent Framework (TCF) dell’Interactive Advertising Bureau Europe. Questo framework fornisce ai partecipanti del mercato della pubblicità digitale uno standard per condividere le scelte di consenso degli utenti in materia di privacy.

Il TCF è ampiamente utilizzato su Internet, e questo studio offre una valutazione sperimentale approfondita sia della conformità dei siti web al TCF, sia del suo impatto sulla privacy degli utenti.

Abbiamo esaminato 2.230 siti web che utilizzano il TCF, accettando automaticamente il rifiuto del consenso da parte del nostro sistema di raccolta dati.

A differenza di lavori precedenti sulla conformità al GDPR, abbiamo riscontrato che la maggior parte dei siti che adottano il TCF registra correttamente la scelta di consenso dell’utente. Tuttavia, abbiamo anche scoperto che il 72,8% dei siti conformi al TCF dichiara un interesse legittimo come giustificazione per ignorare la scelta di consenso.

Sebbene l’interesse legittimo sia legale ai sensi del GDPR, studi precedenti hanno dimostrato che la maggior parte degli utenti non è d’accordo con il modo in cui viene utilizzato per raccogliere dati.

Inoltre, l’analisi dei cookie impostati nei browser indica che il TCF potrebbe non proteggere pienamente la privacy dell’utente nemmeno quando i siti risultano formalmente conformi.

La nostra ricerca fornisce a regolatori ed editori un sistema di raccolta e analisi dei dati per monitorare la conformità, rilevare violazioni e analizzare pratiche discutibili che aggirano le scelte di consenso degli utenti ricorrendo alla base giuridica dell’interesse legittimo.