Con la sentenza del 7 marzo 2024, resa nella causa C-440/22, la Corte di Giustizia dell’Unione europea ha stabilito che una stringa composta da una combinazione di lettere e di caratteri, come la TC String (Transparency and Consent String), contenente le preferenze di un utente di Internet o di un’applicazione relative al consenso di tale utente al trattamento dei dati personali che lo riguardano, da parte di fornitori di siti Internet o di applicazioni nonché da parte di broker di tali dati e di piattaforme pubblicitarie, costituisce un dato personale ai sensi dell’articolo 4 del GDPR.
Questo principio di diritto ha svariate implicazioni concrete: vediamole, dopo aver dato qualche premessa (doverosa).
La multa a UniCredit ci ricorda che anche il responsabile del trattamento risponde del data breach
Indice degli argomenti
La causa ed il meccanismo che vi sta dietro
Se si accede ad un sito Internet o una app contenente pubblicità, dobbiamo ricordare che vi sono imprese – veri e propri broker di dati, che operano per conto di migliaia di inserzionisti – che possono presentare offerte in tempo reale per ottenere lo spazio pubblicitario che si sta guardando.
Questo meccanismo avviene mediante una vera e propria asta, finalizzata a mostrare all’utente la pubblicità più adatta al suo profilo (Real Time Bidding).
Tutto questo a patto che l’utente abbia prestato – oggi espressamente – il proprio consenso alla profilazione.
La sentenza del 7 marzo 2024 si occupa di questa macrotematica, a partire dalla segnalazione effettuata ne 2022, dall’autorità belga per la protezione dei dati nei confronti di IAB Europe, associazione senza scopo di lucro che rappresenta le imprese del settore dell’industria della pubblicità e del marketing digitali a livello europeo.
La IAB Europe aveva elaborato una soluzione ritenuta – all’epoca – idonea a rendere GDPR compliant il sistema di vendita all’asta di cui sopra.
L’autorità belga aveva, a sua volta, ritenuto che la TC String costituisse un dato personale ai sensi del RGDP e che la IAB Europe fosse, conseguentemente, titolare del trattamento dei dati, in violazione del GDPR e come conseguenza aveva sanzionato l IAB Europe.
Quest’ultima ha impugnato il provvedimento sanzionatorio avanti alla Corte d’appello di Bruxelles, la quale ha sollevato questione pregiudiziale avanti alla Corte di Giustizia dell’Unione europea.
Le questioni vertevano sulla qualificazione delle TC String come dato personale e sulla qualifica di IAB Europe come titolare del trattamento.
Stringhe di consenso: la sentenza della Corte di Giustizia
La Corte ha ritenuto che la stringa alfanumerica sia un dato personale, per la – banale – ragione che consente l’identificazione dell’utente e consente – per di più – di associare a quest’ultimo determinati comportamenti e preferenze personali.
Per tale ragione, la Corte ha anche concluso per la qualifica di contitolare del trattamento in capo a IAB Europe, con la specifica che la contitolarità non si estende automaticamente ai trattamenti successivi di dati personali effettuati da terzi, quali i fornitori di siti Internet o di applicazioni, per quanto riguarda le preferenze degli utenti ai fini della pubblicità mirata online.
I principi di diritto espressi in conclusione sono, quindi, i seguenti:
“1) L’articolo 4, punto 1, del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), deve essere interpretato nel senso che:
- una stringa composta da una combinazione di lettere e di caratteri, come la TC String (Transparency and Consent String), contenente le preferenze di un utente di Internet o di un’applicazione relative al consenso di tale utente al trattamento dei dati personali che lo riguardano, da parte di fornitori di siti Internet o di applicazioni nonché da parte di broker di tali dati e di piattaforme pubblicitarie, costituisce un dato personale ai sensi della suddetta disposizione, nella misura in cui, qualora essa possa essere associata, con mezzi ragionevoli, ad un identificativo, quale in particolare l’indirizzo IP del dispositivo di detto utente, essa consente di identificare l’interessato. In tale contesto, la circostanza che, senza un contributo esterno, un’organizzazione di settore che detiene tale stringa non possa né accedere ai dati trattati dai suoi membri nell’ambito delle norme da essa stabilite né combinare detta stringa con altri elementi non osta a che la stessa stringa costituisca un dato personale ai sensi della disposizione in parola.
2) L’articolo 4, punto 7, e l’articolo 26, paragrafo 1, del regolamento 2016/679 devono essere interpretati nel senso che:
- da un lato, un’organizzazione di settore, nella misura in cui propone ai suoi membri un quadro di norme, da essa stabilito, relativo al consenso in materia di trattamento di dati personali, che contiene non solo norme tecniche vincolanti, ma anche norme che precisano dettagliatamente le modalità di stoccaggio e di diffusione dei dati personali relativi a detto consenso, deve essere qualificata come «contitolare del trattamento», ai sensi di tali disposizioni se, tenuto conto delle circostanze particolari del caso di specie, essa influisce, per scopi che le sono propri, sul trattamento di dati personali di cui trattasi e determina, pertanto, congiuntamente con i suoi membri, le finalità e i mezzi di un tale trattamento. La circostanza che tale organizzazione di settore non abbia essa stessa accesso diretto ai dati personali trattati dai suoi membri nell’ambito di dette norme non osta a che essa possa assumere la qualità di contitolare del trattamento, ai sensi delle disposizioni summenzionate;
- dall’altro, la contitolarità di detta organizzazione di settore non si estende automaticamente ai trattamenti successivi di dati personali effettuati da terzi, quali i fornitori di siti Internet o di applicazioni, per quanto riguarda le preferenze degli utenti ai fini della pubblicità mirata online”.
Implicazioni e considerazioni conclusive
La sentenza impatterà direttamente sul sistema di registrazione dei consensi e delle decisioni prese degli utenti che hanno fatto accesso a siiti internet che impiegano il Trasparency and Consent Framework (TCF), uno standard elaborato proprio da IAB per rendere GDPR compliant il sistema che precede l’interazione dell’utente con il cookie banner.
Per quanto l’affermazione che la TC String costituisca dato personale può essere data, in certa misura, come affermazione ovvia, lo è meno affermare che AB Europe è contitolare del trattamento, con tutte le implicazioni del caso per l’associazione e per il contesto di business in cui AB Europe opera.
In sintesi, sarà tutto il sistema di aste ad essere messo in discussione e non è da escludere che altri soggetti vengano sanzionati dall’Autorità garante belga.
La decisione si colloca in continuità con l’impostazione europea per cui il tracciamento degli utenti deve essere effettuato con garanzie stringenti, per quanto sia lecito e monetizzabile.
In sé, infatti, non é in discussione la liceità delle aste pubblicitarie, ma la modalità concreta con cui viene effettuato, a monte del cookie banner, il salvataggio delle preferenze.
La sentenza, in conclusione, è condivisibile su tutta la linea.