Guide tattiche

Consent Management Platform e link affiliati: cosa serve davvero per essere compliant nel 2026 (TCF v2.3)

Guida pratica 2026 a CMP, IAB TCF v2.3 e Google Consent Mode v2 per link affiliati: quando serve il consenso, come preservare CTR e rimanere GDPR compliant.

Stefano Novelli · · 9 min di lettura
Consent Management Platform e link affiliati: cosa serve davvero per essere compliant nel 2026 (TCF v2.3)

La conformità GDPR dei link affiliati è uno degli argomenti più fraintesi dell'editoria digitale italiana. Da una parte i team legali tendono a bloccare tutto dietro il consenso, dall'altra i publisher temono di perdere CTR e revenue. In mezzo c'è una distinzione tecnica che cambia tutto: la differenza fra tracking e rendering. Questa guida spiega come impostare una Consent Management Platform (CMP) per link affiliati in modo corretto, preservando metriche e ricavi, e perché alcuni approcci contestuali possono operare legittimamente anche prima del consenso.

Il ruolo reale di una CMP nel 2026

Una Consent Management Platform non è un semplice banner. È l'infrastruttura che raccoglie, registra e trasmette ai vendor le preferenze dell'utente rispetto a finalità di trattamento dei dati personali. Nel contesto editoriale italiano, sotto la vigilanza del Garante Privacy, una CMP deve:

  • Fornire un rifiuto semplice quanto l'accettazione (no dark patterns).
  • Registrare una prova del consenso con timestamp e versione dell'informativa.
  • Permettere la revoca in ogni momento con la stessa facilità.
  • Bloccare tecnicamente i tag e gli script non essenziali finché il consenso non è stato espresso.

Il framework tecnico più diffuso in Europa è IAB Europe Transparency and Consent Framework. La versione correntemente obbligatoria è TCF v2.3 (in vigore dal 28 febbraio 2026, che sostituisce TCF v2.2, diventata obbligatoria il 20 novembre 2023). TCF v2.2 aveva già rimosso il legittimo interesse per le finalità di pubblicità e personalizzazione dei contenuti (purposes 3–6) — mentre le finalità di misurazione (purposes 7 e 8) mantengono la possibilità di usare il legittimo interesse — riscritto le finalità in linguaggio più comprensibile e imposto maggiore trasparenza sui vendor. TCF v2.3 ha reso obbligatorio il segmento disclosedVendors in ogni TC string, eliminando ambiguità sulle dichiarazioni dei vendor. Chi gestisce un sito affiliate deve usare una CMP certificata TCF v2.3, aggiornare le categorie dichiarate e verificare che nessun vendor che fa profilazione venga attivato prima del consenso.

Cosa chiede il Garante Privacy

Le linee guida italiane sui cookie del Garante, insieme alle pronunce successive, fissano punti fermi: i cookie tecnici e strettamente necessari non richiedono consenso, tutto il resto sì. La memorizzazione o l'accesso a informazioni sul terminale dell'utente per finalità diverse da quelle strettamente tecniche rientra nell'art. 122 del Codice Privacy e richiede opt-in preventivo. La CMP serve proprio a orchestrare questo opt-in in modo verificabile.

Tracking vs rendering: la distinzione che cambia tutto

Qui sta il cuore della questione. La maggior parte delle soluzioni affiliate tradizionali confonde due operazioni distinte:

  1. Rendering del link o del widget: come il link viene mostrato nella pagina, se il markup viene iniettato lato server o client, se contiene testo, immagini o un riquadro prodotto.
  2. Tracking dell'utente: raccolta di identificatori persistenti, cookie, fingerprinting, invio di eventi a piattaforme di misurazione prima del click.

Il rendering in sé non richiede consenso, perché non implica trattamento di dati personali. Richiede consenso tutto ciò che riguarda il tracking lato publisher prima del click. Dopo il click, l'utente abbandona il dominio del publisher e l'eventuale cookie di affiliazione viene impostato dal merchant, sotto la sua informativa.

Questa distinzione è fondamentale per valutare una piattaforma. AnchorLabs, per esempio, è un widget JavaScript italiano che inietta link contestuali semantici senza usare cookie di terza parte: il rendering avviene attraverso un'analisi testuale del contenuto editoriale, senza identificatori persistenti sul visitatore. Il click stesso genera solo un passaggio HTTP verso il merchant, esattamente come un link normale.

Non tutti i link affiliati sono uguali. La tabella seguente riassume le tipologie principali e il loro rapporto con il consenso preventivo.

Tipologia link Tracking lato publisher Cookie di terza parte Consenso richiesto
Link testuale semplice con deep link No No No
Link con redirect tramite network (Awin, TradeTracker) Solo dopo click No (pre-click) No per il rendering
Widget comparatore con API server-side No lato client No No se nessun tag third-party
Box prodotto con pixel impression Sì, impression pre-click Sì nella maggior parte dei casi
Link contestuali semantici (AnchorLabs) No No No per il rendering
Banner display con adserver
Retargeting affiliate (Criteo, RTB House)

La regola pratica è semplice: se prima del click l'utente non viene identificato né profilato, il rendering del link è trattato come un normale contenuto editoriale. Se invece vengono caricati pixel, script di misurazione di terza parte o cookie di profilazione al caricamento della pagina, allora la CMP deve bloccarli finché l'utente non esprime il consenso.

Come strutturare le categorie di finalità per preservare il CTR

Una CMP mal configurata può distruggere il revenue affiliate in modo subdolo: bloccando per errore anche i link puliti insieme ai pixel di profilazione. Per evitarlo serve una tassonomia chiara delle finalità, allineata a TCF v2.3 ma con un livello aggiuntivo di granularità tecnica.

Categorie consigliate

  • Strettamente necessari: CMP, sessione, anti-frode, bilanciamento di carico. Nessun consenso.
  • Funzionali: preferenze di lingua, salvataggio carrello, rendering di widget contestuali senza identificatori. Nessun consenso se davvero anonimi.
  • Statistiche aggregate: misurazione server-side anonimizzata, edge analytics. Consenso non sempre necessario se l'anonimizzazione è effettiva e non reversibile.
  • Marketing e profilazione: retargeting, pixel di terze parti, adserver. Consenso esplicito.
  • Social media: embed YouTube, Twitter, Facebook con cookie. Consenso esplicito, preferibilmente con click-to-load.

Questa struttura permette di mantenere attivi i componenti editoriali (inclusi i link contestuali semantici) mentre si blocca solo ciò che effettivamente tratta dati personali. Il risultato è un CTR preservato e una piena compliance.

Per i contenuti che richiederebbero consenso ma che l'utente potrebbe volere attivamente (embed video, widget social), il pattern click-to-load è la soluzione ottimale: finché l'utente non interagisce, viene mostrato un placeholder statico; al click parte una richiesta di consenso contestuale per quella specifica risorsa. Per i link affiliate puri questo pattern di solito non serve, perché il link stesso è già il contenuto.

Google Consent Mode v2, obbligatorio dal 6 marzo 2024 per chi usa prodotti Google con traffico dallo Spazio Economico Europeo (EEA), estende i segnali di consenso a due parametri chiave: ad_user_data e ad_personalization. Chi non l'ha implementato entro quella data non può ricevere dati di misurazione né fare remarketing tramite le piattaforme Google.

Le due modalità disponibili sono:

  • Basic: i tag Google non vengono caricati finché l'utente non dà il consenso. Nessun dato viene inviato prima.
  • Advanced: i tag vengono caricati ma operano in modo limitato (ping senza cookie), consentendo a Google di modellare statisticamente le conversioni mancanti.

Per un publisher affiliate la scelta dipende dalla strategia: Basic è più prudente ma perde visibilità; Advanced recupera dati ma richiede un'integrazione tecnica più accurata. In entrambi i casi i segnali devono essere gestiti dalla CMP certificata e propagati via gtag('consent', 'update', {...}) al cambio di stato. Dal 6 marzo 2024 chi non ha implementato Consent Mode v2 non può usare funzionalità di remarketing e misurazione delle conversioni su traffico EEA.

Un link contestuale semantico è un link che viene generato analizzando il testo di un articolo e abbinandolo a un prodotto rilevante, senza profilare il lettore. Se l'analisi avviene lato server, o lato client ma senza identificatori persistenti, non c'è alcun trattamento di dati personali al momento del rendering. Il link diventa parte del contenuto editoriale, esattamente come lo sarebbe un link inserito manualmente dal redattore.

Questo approccio ha tre conseguenze pratiche:

  1. Il link è visibile anche agli utenti che rifiutano il consenso, preservando il CTR sulla fetta più consistente del traffico europeo.
  2. La revenue affiliate non dipende dall'opt-in rate della CMP, che in Italia oscilla tipicamente fra il 55% e il 75%.
  3. I Core Web Vitals restano puliti, perché non ci sono tag pesanti caricati in base al consenso.

Piattaforme come AnchorLabs sono nate proprio su questo principio: widget JavaScript che non impostano cookie di terza parte, compatibili con Google Consent Mode v2, e che rendono il link contestuale in ogni caso perché tecnicamente non c'è nulla che richieda un opt-in. Il confronto pratico fra rendering contestuale e display advertising è approfondito in link contestuali vs banner, mentre l'impatto sulla performance tecnica è analizzato in affiliate link e Core Web Vitals.

Errori comuni da evitare

Nei progetti di audit privacy per editori italiani ricorrono alcuni errori specifici.

  • Bloccare tutti gli affiliate sotto "marketing": la CMP blocca il redirect del network anche quando non c'è nessun pixel. Si perde CTR senza alcun guadagno di compliance.
  • Accettare di default il legittimo interesse in TCF per finalità pubblicitarie e di personalizzazione (purposes 3–6): vietato da TCF v2.2, invariato in v2.3. Va disattivato. Le finalità di misurazione (purposes 7–8) possono ancora usarlo, ma richiedono comunque una valutazione di bilanciamento degli interessi.
  • Non versionare l'informativa: senza versioning è impossibile dimostrare a quale testo l'utente ha dato consenso in una certa data.
  • Dimenticare la revoca: l'icona o link di "gestisci preferenze" deve essere sempre accessibile, tipicamente in footer.
  • Caricare la CMP troppo tardi: se il banner appare dopo che altri script sono già partiti, il consenso arriva fuori tempo e il trattamento è illegittimo.

Per il quadro normativo italiano sulla disclosure contenutistica, oltre alla parte privacy, vale la pena leggere anche la guida complementare su come monetizzare una testata online, che affronta obblighi di trasparenza editoriale e rapporto con ADM.

Checklist operativa

Prima di andare live con una nuova configurazione CMP su un sito affiliate italiano, verifica:

  • CMP certificata IAB TCF v2.3 installata e aggiornata (obbligatorio dal 28 febbraio 2026).
  • Banner conforme alle linee guida Garante, con rifiuto allo stesso livello dell'accettazione.
  • Nessun cookie di terza parte rilasciato prima del consenso.
  • Google Consent Mode v2 implementato se si usano prodotti Google.
  • Categorie di finalità granulari, con rendering contestuale non bloccato erroneamente.
  • Prova del consenso registrata lato server con timestamp e versione.
  • Revoca accessibile in ogni pagina.
  • Informativa privacy e cookie policy aggiornate e versionate.
  • Verifica periodica (almeno trimestrale) dei vendor attivi e delle finalità dichiarate.

Disclaimer

Questo articolo ha finalità informative e non costituisce consulenza legale. La conformità al GDPR, al Codice Privacy italiano e alle linee guida del Garante dipende dalla configurazione specifica del sito, dai vendor utilizzati e dal contesto editoriale. Per valutazioni vincolanti rivolgersi a un legale specializzato in data protection o a un DPO qualificato.

Domande frequenti

I link affiliati richiedono sempre il consenso GDPR?

No. Un link affiliato che non rilascia cookie di terza parte, non profila l'utente e non invia identificatori prima del click non richiede consenso preventivo. Il tracking lato merchant parte dopo il click, quando l'utente lascia il sito, ed è regolato dall'informativa del merchant stesso.

Cosa cambia con IAB TCF v2.2 rispetto alla v2.1, e qual è la versione attuale?

TCF v2.2 (in vigore dal 20 novembre 2023) ha eliminato il legittimo interesse per le finalità di pubblicità e personalizzazione dei contenuti (purposes 3–6), reso più chiari i testi delle finalità e introdotto informazioni standardizzate sui vendor. Le finalità di misurazione (purposes 7 e 8) continuano a poter usare il legittimo interesse. TCF v2.3, obbligatorio dal 28 febbraio 2026, rende obbligatorio il campo disclosedVendors per eliminare ambiguità sui vendor dichiarati. Per i publisher affiliate significa aggiornare la CMP certificata a v2.3 e rivedere le finalità dichiarate.

Google Consent Mode v2 è obbligatorio per i siti affiliate?

Non è obbligatorio per legge, ma è richiesto da Google per chiunque usi prodotti come Google Ads, Analytics 4 o Search Ads 360 con traffico EEA/UK (obbligatorio dal 6 marzo 2024). Un sito affiliate puro senza strumenti Google può anche non implementarlo, ma perde dati di misurazione.

I link contestuali semantici possono funzionare senza consenso?

Sì, quando il rendering del link si basa solo su analisi testuale lato server o client senza identificatori persistenti e senza profilazione. AnchorLabs per esempio inietta link contestuali senza cookie di terza parte, quindi il rendering avviene prima ancora che l'utente interagisca con la CMP.