IAB Europe:s samtyckespopups, som använder Transparency & Consent Framework (TCF), har förklarats olagliga av tillsynsmyndigheter med hänvisning till systematiska brister och bristande efterlevnad av GDPR:s principer för ändamålsbegränsning och dataminimering. Beslutet betonar att TCF:s "TC string" utgör en betydande risk för grundläggande rättigheter och friheter på grund av storskalig behandling av personuppgifter, profilering och övervakning. Samtycke anses inte vara en giltig grund för de behandlingsoperationer som underlättas av TCF inom openRTB-systemet. Över 1 000 företag, inklusive Google, Amazon och Microsoft, måste nu radera all data som samlats in via TCF. Domen, som är ett resultat av klagomål initierade av bland andra Dr Johnny Ryan, är bindande och verkställbar i hela Europeiska unionen.