La Corte di Giustizia dell’Unione Europea sulle stringhe di consenso
26/03/2024
Stampa la paginaCon la sentenza del 7 marzo 2024, resa nella causa C-440/22, la Corte di Giustizia dell’Unione Europea ha stabilito che costituisce un dato personale, ai sensi dell’articolo 4 del GDPR, la stringa composta da una combinazione di lettere e di caratteri, come la TC String (Transparency and Consent String), contenente le preferenze di un utente di internet o di un’applicazione relative al consenso di tale utente al trattamento dei dati personali che lo riguardano, da parte di fornitori di siti internet o di applicazioni, nonché da parte di broker di tali dati e di piattaforme pubblicitarie.
La Corte ha infatti ritenuto che la stringa alfanumerica sia un dato personale, per la semplice ragione che consente l’identificazione dell’utente e consente, per di più, di associare a quest’ultimo determinati comportamenti e preferenze personali.
Per tale motivo, la Corte ha anche concluso per la qualifica di contitolare del trattamento in capo a IAB Europe (Interactive Advertising Bureau Europe è l’associazione a livello europeo che rappresenta l’ampio ecosistema della pubblicità e del marketing digitale), con la specifica che la contitolarità non si estende automaticamente ai trattamenti successivi di dati personali effettuati da terzi, quali i fornitori di siti internet o di applicazioni, per quanto riguarda le preferenze degli utenti ai fini della pubblicità mirata online.
I principi di diritto espressi dalla Corte di Giustizia sono i seguenti:
“1) L’articolo 4, punto 1, del Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati), deve essere interpretato nel senso che una stringa composta da una combinazione di lettere e di caratteri, come la TC String (Transparency and Consent String), contenente le preferenze di un utente di Internet o di un’applicazione relative al consenso di tale utente al trattamento dei dati personali che lo riguardano, da parte di fornitori di siti Internet o di applicazioni nonché da parte di broker di tali dati e di piattaforme pubblicitarie, costituisce un dato personale ai sensi della suddetta disposizione, nella misura in cui, qualora essa possa essere associata, con mezzi ragionevoli, ad un identificativo, quale in particolare l’indirizzo IP del dispositivo di detto utente, essa consente di identificare l’interessato. In tale contesto, la circostanza che, senza un contributo esterno, un’organizzazione di settore che detiene tale stringa non possa né accedere ai dati trattati dai suoi membri nell’ambito delle norme da essa stabilite né combinare detta stringa con altri elementi non osta a che la stessa stringa costituisca un dato personale ai sensi della disposizione in parola.
2) L’articolo 4, punto 7 e l’articolo 26, paragrafo 1, del Regolamento 2016/679 devono essere interpretati nel senso che:
da un lato, un’organizzazione di settore, nella misura in cui propone ai suoi membri un quadro di norme, da essa stabilito, relativo al consenso in materia di trattamento di dati personali, che contiene non solo norme tecniche vincolanti, ma anche norme che precisano dettagliatamente le modalità di stoccaggio e di diffusione dei dati personali relativi a detto consenso, deve essere qualificata come «contitolare del trattamento», ai sensi di tali disposizioni se, tenuto conto delle circostanze particolari del caso di specie, essa influisce, per scopi che le sono propri, sul trattamento di dati personali di cui trattasi e determina, pertanto, congiuntamente con i suoi membri, le finalità e i mezzi di un tale trattamento. La circostanza che tale organizzazione di settore non abbia essa stessa accesso diretto ai dati personali trattati dai suoi membri nell’ambito di dette norme non osta a che essa possa assumere la qualità di contitolare del trattamento, ai sensi delle disposizioni summenzionate;
dall’altro, la contitolarità di detta organizzazione di settore non si estende automaticamente ai trattamenti successivi di dati personali effettuati da terzi, quali i fornitori di siti Internet o di applicazioni, per quanto riguarda le preferenze degli utenti ai fini della pubblicità mirata online”.
La recente pronuncia della Corte di Giustizia conferma e ribadisce l’impostazione europea per cui il tracciamento degli utenti, per quanto sia lecito e monetizzabile, deve essere effettuato con garanzie stringenti.