L’ICO ha cambiato le regole del consenso pubblicitario
L'ICO ha pubblicato una consulenza per esentare dal consenso attività pubblicitarie a basso rischio, sfruttando i poteri del DUAA.
L’ICO propone di esentare la pubblicità contestuale dall’obbligo di consenso
Mentre l’attenzione del settore programmatic era concentrata sull’ennesimo rinvio del phase-out dei cookie di terze parti, l’Information Commissioner’s Office (ICO) ha silenziosamente completato una mossa destinata a cambiare le regole del gioco per la pubblicità online nel Regno Unito. Ieri, l’ICO ha pubblicato la consulenza al governo pubblicata ieri dall’ICO in cui identifica una serie di attività pubblicitarie a basso rischio per la privacy che potrebbero essere svolte senza richiedere il consenso previsto dal Regolamento 6. La novità non è tanto l’analisi tecnica, quanto il meccanismo normativo che si mette in moto: grazie ai poteri conferiti al Segretario di Stato dal Data Use and Access Act 2025 (DUAA), queste modifiche possono essere introdotte tramite legislazione secondaria, bypassando il percorso parlamentare ordinario.
Il meccanismo che pochi hanno visto
Il cuore normativo della vicenda è il Regolamento 6 del PECR, che vieta la memorizzazione o l’accesso a informazioni nell’apparecchiatura terminale di un abbonato o utente, salvo eccezioni previste dall’Allegato A1. Nella sua formulazione attuale, richiede il consenso per qualsiasi attività pubblicitaria online che comporti l’uso di cookie, script o tag, indipendentemente dal livello di rischio per la privacy. Lo scorso anno, l’ICO ha condotto una revisione per capire dove questi requisiti di consenso impediscono lo sviluppo di forme di pubblicità più rispettose della privacy. Il risultato è stato un’analisi che ha individuato attività a basso rischio – come la pubblicità contestuale basata sui contenuti della pagina, senza profilazione dell’utente – che potrebbero essere escluse dall’obbligo di consenso.
L’ICO ha inoltre condotto ricerche sugli utenti che indicano che un approccio basato sul contesto dei contenuti è allineato con le aspettative delle persone, offrendo un’alternativa alla pubblicità comportamentale per quei servizi online i cui utenti non acconsentono al tracciamento più invasivo. La chiave di tutto è il Data Use and Access Act 2025 (DUAA), che già a febbraio 2026 ha modificato il Regolamento 6 e conferisce al Segretario di Stato il potere di introdurre nuove eccezioni tramite legislazione secondaria, previa consultazione dell’ICO e di altri gruppi d’interesse. Il meccanismo è già in moto: l’ICO ha fatto i compiti, ha condotto la ricerca, ha individuato le attività a basso rischio. Ora la palla passa al governo, che può trasformare questa consulenza in legge senza un dibattito parlamentare esteso.
Chi guadagna e chi perde
Se il governo seguirà le indicazioni dell’ICO, le conseguenze per la supply chain pubblicitaria saranno significative. Da un lato, gli utenti potrebbero vedere ridursi la fatica da consenso – quei banner onnipresenti che chiedono di accettare centinaia di cookie per ogni sito visitato. L’ICO stessa riconosce che ridurre l’attrito del consenso potrebbe migliorare l’esperienza utente e aumentare la trasparenza percepita. Dall’altro lato, però, la modifica normativa rischia di ridurre gli incentivi a investire in tecnologie pubblicitarie realmente privacy-first. L’attuale struttura normativa, che applica il consenso indipendentemente dal livello di rischio, spinge gli operatori a cercare soluzioni a basso impatto per non perdere la possibilità di fare pubblicità. Se alcune attività a basso rischio vengono esentate, l’incentivo a sviluppare approcci ancora più sicuri (come le clean room o la pubblicità contestuale nativa) potrebbe attenuarsi.
Per gli inserzionisti e le piattaforme, il vantaggio è immediato: meno richieste di consenso significano tassi di opt-in potenzialmente più alti per le attività che rimangono soggette a consenso (come il retargeting comportamentale), e la possibilità di monetizzare spazi pubblicitari con un carico normativo ridotto. Le DSP e le SSP dovranno aggiornare i loro sistemi di targeting per distinguere tra attività che richiedono consenso e attività esentate, un compito non banale data la complessità delle catene di fornitura programmatica. Le aziende che hanno investito pesantemente in soluzioni basate su identità e tracciamento cross-site potrebbero vedere ridimensionato il loro vantaggio competitivo, mentre gli editori che fanno leva su pubblicità contestuale di qualità – magari in ambienti come le Retail Media Network (RMN) o la Connected TV (CTV) – potrebbero beneficiare di un campo di gioco più livellato.
Ma la tensione di fondo resta: il consenso è solo un pezzo del puzzle. La modifica al Regolamento 6 non tocca il Regolamento generale sulla protezione dei dati del Regno Unito (UK GDPR), che continua a richiedere una base giuridica per il trattamento dei dati personali. La pubblicità contestuale che non utilizza dati personali può beneficiare dell’esenzione, ma qualsiasi attività che comporti la profilazione o l’uso di identificatori univoci rimarrà soggetta al doppio regime di consenso (PECR e UK GDPR).
La tensione che resta aperta
Nonostante i progressi, il cuore del problema rimane irrisolto: come si concilia un ecosistema pubblicitario che vive di dati con il diritto alla privacy sancito dalle Privacy and Electronic Communications Regulations (PECR), che derivano dalla direttiva europea 2002/58/CE? L’ICO ha aperto un varco, ma la strada verso un bilanciamento stabile è ancora lunga. Il prossimo passo sarà vedere se il Segretario di Stato utilizzerà i poteri conferiti dal DUAA e con quali conseguenze per il mercato pubblicitario britannico. La partita non è finita: si è solo spostata su un nuovo tavolo, dove la posta in gioco è il modello stesso della pubblicità online basata sui dati.
