Cosa fa effettivamente il DPF

Il DPF è una decisione di adeguatezza emessa dalla Commissione Europea ai sensi dell'articolo 45 del GDPR. Una decisione di adeguatezza afferma che un paese terzo — in questo caso gli Stati Uniti — garantisce un livello di protezione dei dati personali sostanzialmente equivalente a quello dell'UE, ma solo per le organizzazioni che aderiscono a un framework specifico. Il DPF è il meccanismo di opt-in. Le aziende statunitensi si auto-certificano con il Department of Commerce, si impegnano a rispettare un insieme di Privacy Principles e diventano soggette all'applicazione da parte di FTC o DOT di tali impegni.

Per un editore EU, l'effetto pratico è che i dati personali possono essere trasferiti a un vendor statunitense certificato DPF senza Standard Contractual Clauses (SCCs) separate, Transfer Impact Assessment ritagliate su quel vendor o misure supplementari del tipo richiesto dopo la sentenza Schrems II. Il DPF svolge il lavoro pesante a livello di base giuridica.

Tre cose che il DPF non fa, e che gli editori fraintendono sistematicamente:

• Non sostituisce il consenso. Impostare un cookie non essenziale su un visitatore EU richiede ancora il consenso a norma GDPR/ePrivacy indipendentemente da dove finiscono i dati.
• Non copre i trasferimenti verso vendor statunitensi non certificati. Se il tuo SSP o fornitore di analisi non è nell'elenco DPF attivo, hai ancora bisogno di SCCs e TIA.
• Non copre i trasferimenti verso filiali statunitensi che operano al di fuori dell'ambito certificato. Molti grandi vendor certificano solo specifiche linee di business.

Il consenso ai cookie è ancora la porta d'ingresso

Il DPF risolve la componente di trasferimento del percorso. Non fa nulla riguardo al momento in cui un cookie viene impostato, un ID pubblicitario viene letto o un evento viene inviato a un tag. Quel momento è disciplinato dalla Direttiva ePrivacy (art. 5(3)) e dal GDPR (artt. 6 e 7). Entrambi richiedono consenso preventivo, informato, specifico e liberamente dato per qualsiasi accesso non strettamente necessario all'archiviazione del dispositivo terminale.

In altre parole, anche se ogni vendor nel tuo stack è certificato DPF, hai ancora bisogno di una Consent Management Platform che:

• Blocchi cookie e tag non essenziali prima che il consenso sia acquisito.
• Presenti una scelta chiara con parità rifiuta-tutto rispetto ad accetta-tutto (l'EDPB è stato esplicito in merito dal 2022).
• Registri l'evento di consenso con un timestamp a prova di manomissione e una copia dell'informativa che l'utente ha effettivamente visualizzato.
• Trasmetta lo stato del consenso a ogni strumento downstream attraverso TCF v2.3, Google Consent Mode v2 o API native dei vendor.

Il DPF sostituisce la base giuridica per il trasferimento; la CMP fornisce la base giuridica per la raccolta. Saltare uno dei due lati ti espone al rischio.

Come verificare lo stato DPF di un vendor

Il U.S. Department of Commerce mantiene l'elenco DPF ufficiale su dataprivacyframework.gov. Prima di fare affidamento sulla dichiarazione DPF di un vendor, verifica tre elementi nella loro scheda.

Stato di certificazione attiva

Le certificazioni devono essere rinnovate annualmente. Un vendor il cui stato risulta Inattivo, Ritirato o Scaduto non può essere considerato il tuo meccanismo di trasferimento, anche se le sue pagine di marketing mostrano ancora un badge DPF. Inserisci la scheda nel tuo inventario vendor e ricontrolla trimestralmente.

Entità e affiliate coperte

Molte holding certificano alcune affiliate e non altre. L'entità contrattuale nel tuo DPA deve corrispondere all'entità certificata. Un errore comune è firmare con Acme Marketing UK Ltd quando la certificazione DPF è detenuta da Acme Inc. in Delaware — il flusso di dati sfugge quindi all'ambito certificato.

Categorie di dati coperte

Il DPF consente certificazioni circoscritte a soli dati HR, soli dati non-HR o entrambi. Una certificazione solo non-HR copre i tuoi dati pubblicitari e analitici; una certificazione solo HR non lo fa. Leggi attentamente la scheda.

Cosa fare quando un vendor non è certificato DPF

Molti vendor statunitensi utili — in particolare i player ad-tech più piccoli e gli strumenti di analisi di nicchia — non si sono mai certificati o hanno lasciato scadere la certificazione. Per questi il DPF è irrilevante e si torna al toolkit pre-2023:

• Standard Contractual Clauses (SCCs) — le versioni 2021 del modulo 2 o del modulo 3, firmate da entrambe le parti e incorporate nel DPA.
• Transfer Impact Assessment (TIA) — un'analisi specifica per vendor delle leggi di sorveglianza statunitensi, delle categorie di dati a rischio e delle misure tecniche e organizzative che mitigano l'esposizione.
• Misure supplementari — cifratura in transito e a riposo, pseudonimizzazione, impegni contrattuali di trasparenza e un piano di risposta documentato per le richieste di accesso del governo statunitense.

Mantieni un registro che elenca ogni vendor statunitense nel tuo stack, la base giuridica utilizzata per ciascuno (DPF, SCCs, deroga) e la data dell'ultima revisione. Regolatori e revisori chiederanno questo registro; non averlo è di per sé una constatazione.

Il rischio Schrems III e come rendere il sistema a prova di futuro

L'attivista per la privacy Max Schrems e la sua organizzazione NOYB hanno presentato ricorso contro il DPF poco dopo la sua adozione, sostenendo che la riforma della sorveglianza statunitense ai sensi dell'Executive Order 14086 sia ancora al di sotto degli standard dei diritti fondamentali dell'UE. Un rinvio alla CJEU è ampiamente atteso e il framework ha una probabilità non trascurabile di essere annullato — il terzo in vent'anni.

Gli editori che hanno trattato Privacy Shield come unico meccanismo di trasferimento nel 2020 hanno dovuto adeguarsi dall'oggi al domani quando Schrems II lo ha invalidato. Lo stesso caos è evitabile questa volta trattando il DPF come meccanismo primario con un piano di riserva pronto ad entrare in gioco.

Mantieni le SCCs in ogni DPA

Insisti affinché i tuoi DPA includano le SCCs 2021 come clausola di riserva che si attiva automaticamente se la decisione di adeguatezza DPF viene invalidata o la certificazione del vendor scade. Questo è ora linguaggio standard; se un vendor rifiuta, è un segnale di allerta.

Esegui comunque un TIA

Il DPF elimina il requisito legale per un TIA, ma eseguirne uno leggero — in particolare per vendor che gestiscono segnali pubblicitari sensibili o grandi popolazioni EU — ti fornisce documentazione difendibile se il framework crolla. Riutilizza lo stesso modello tra i vendor per contenere i costi.

Localizza dove i calcoli tornano

Per alcuni casi d'uso — analisi di prima parte, dati comportamentali su utenti registrati o siti con contenuti sensibili — passare a un vendor ospitato nell'UE e controllato dall'UE elimina completamente la questione del trasferimento. Il rapporto costo-beneficio funziona solo per flussi ad alto rischio o ad alto volume, ma dovrebbe figurare nella roadmap come opzione.

Integrare il DPF nella tua CMP

Una CMP moderna non applica il DPF direttamente — non esiste un campo GPP o TCF che dica "questo trasferimento è coperto dal DPF." Ciò che la CMP deve fare è raccogliere il consenso per ogni vendor in un modo che supporti la documentazione che un regolatore richiederà eventualmente.

Granularità per vendor

Raggruppare tutti i vendor ad-tech statunitensi in un unico toggle "Marketing" non è più difendibile. L'elenco vendor TCF v2.3, che la maggior parte delle CMP certificate sincronizzano, fornisce finalità e basi giuridiche per vendor. Usalo. Quando un regolatore chiede "su quale base i dati personali sono fluiti al Vendor X nella data Y," dovresti essere in grado di indicare una stringa TCF, un record di certificazione DPF e un DPA.

Rispecchia l'informativa sulla privacy nel banner

L'elenco dei destinatari nella tua informativa sulla privacy dovrebbe corrispondere esattamente all'elenco dei vendor caricati dopo il consenso. Le discrepanze sono il bersaglio più facile per l'applicazione — l'AEPD spagnola e la CNIL francese hanno entrambe sanzionato editori nel 2024 per elenchi di vendor che omettevano partner attivi.

Registra lo stato del vendor al momento del consenso

Conserva, per ogni evento di consenso, lo snapshot di quali vendor erano nel TCF GVL, quali erano certificati DPF e su quale base giuridica ciascuno faceva affidamento. Questo è il tracciato di audit che trasforma una lettera stressante del regolatore in una risposta di routine. FlexyConsent e altre CMP certificate Google offrono questa registrazione fuori dalla scatola; molti banner più vecchi no.

Checklist pratica di migrazione

Se stai spostando un sito esistente da una configurazione pre-DPF o DPF parziale a una configurazione 2026 pulita, lavora su questo elenco:

• Inventaria ogni vendor statunitense nel tuo tag manager, nello stack pubblicitario e nel container lato server.
• Confronta ciascuno con l'elenco DPF attivo. Categorizza come coperto DPF, coperto SCC o azione necessaria.
• Aggiorna i DPA per includere le SCCs 2021 come riserva automatica.
• Esegui un TIA per i vendor ad alto rischio indipendentemente dallo stato DPF.
• Conferma che la tua CMP esponga un'interfaccia utente di consenso per vendor e supporti TCF v2.3.
• Verifica che Google Consent Mode v2 sia collegato a GA4, Ads e qualsiasi strumento di perdita di segnale.
• Imposta una revisione trimestrale in calendario per ricontrollare certificazioni, iscrizione al GVL e versioni DPA.
• Informa insieme i team legali e ad ops su cosa cambia se il DPF viene invalidato, così il piano di risposta non viene inventato sotto pressione.

Malintesi comuni

Alcuni errori ricorrono nelle verifiche degli editori e necessitano di correzione esplicita.

"Certificato DPF significa che non abbiamo bisogno del consenso." No. Il DPF è un meccanismo di trasferimento. Il consenso è un requisito di raccolta. Si collocano su diversi livelli legali.

"Il nostro CDN è basato negli U.S., quindi il DPF lo copre." Solo se il CDN stesso è certificato DPF per le categorie di dati rilevanti. Molti provider di infrastrutture offrono regioni UE che evitano del tutto la questione.

"Il Vendor X dice di essere DPF-ready." Linguaggio di marketing. Controlla l'elenco ufficiale, il nome dell'entità certificata e le categorie di dati.

"Il DPF sostituisce il banner cookie." No. La regola del consenso preventivo della Direttiva ePrivacy è indipendente dalle regole di trasferimento del GDPR. Entrambe si applicano.

In sintesi

Il DPF rende l'ad-tech transatlantica del 2026 operativamente più semplice rispetto al 2021, ma non esonera gli editori dal consenso cookie, dalla diligenza sui vendor o dalla documentazione dei trasferimenti. Tratta il DPF come un valido meccanismo di trasferimento tra diversi, mantieni le SCCs come riserva contrattuale, utilizza una CMP che registra il consenso per vendor rispetto a un inventario vendor aggiornato e considera che la stabilità giuridica del framework è condizionata. Gli editori che costruiscono questa resilienza ora non dovranno riarchitettare dall'oggi al domani se una sentenza Schrems III arriva come le due precedenti. Chi tratta il DPF come risposta permanente si sta preparando per lo stesso caos che ha seguito l'invalidazione del Privacy Shield — solo che questa volta i regolatori sono meno pazienti e le sanzioni sono più elevate.