La Corte di Giustizia dell’Unione Europea (“CGUE”) si è recentemente espressa in relazione all’applicazione del GDPR al Transparency & Consent Framework (“TCF”) elaborato da IAB Europe, la più importante associazione di categoria nel campo della pubblicità digitale a livello mondiale.
Il TCF è uno standard utilizzato dalla maggior parte degli editori, ed influisce sulla modalità di configurazione dei consensi all’installazione dei cookie sulle piattaforme web, attraverso la Consent Management Platform. Per questo motivo cui la decisione della CGUE potrebbe avere un importante impatto sulla pubblicità online.
È interessante notare come la decisione della CGUE si pone in controtendenza con la recente sentenza del 26 aprile 2023 (causa T-557/20) del Tribunale di cui si è parlato nell’articolo “I dati pseudonimizzati non sono sempre dati personali: l’importante chiarimento del Tribunale dell’Unione Europea” e che stabiliva che per qualificare un’informazione come pseudonimizzata o anonima, si dovesse fare una valutazione delle circostanze concrete, volta a verificare se il soggetto che tratta i dati sia in grado di risalire all’identità degli individui a cui questi dati si riferiscono.
La decisione dell’Autorità di controllo belga
La decisione della CGUE scaturisce da un provvedimento adottato dall’Autorità di controllo belga adottata in cooperazione con altre autorità di controllo ai sensi dell’art. 60 del GDPR. In particolare, l’Autorità belga ha ritenuto che IAB Europe:
- agisce come titolare del trattamento del TCF e delle relative operazioni di trattamento dei dati personali, nonostante lo stesso si consideri un responsabile del trattamento dei dati;
- utilizza erroneamente il legittimo interesse come base per il trattamento dei dati personali nell’ambito del TCF, dove in alcuni casi possono essere trattate anche categorie speciali di dati (violazione degli artt. 5(1)(a), 5(2), 6(1), 9(1) e 9(2) del GDPR); e
- fornisce informazioni agli utenti non conformi agli artt. 12, 13 e 14 del GDPR.
Successivamente, il 4 marzo 2022, IAB Europe ha presentato un ricorso contro la decisione dell’Autorità di controllo belga al tribunale belga di competenza, il quale, ha sospeso il procedimento ed ha presentato domanda di pronuncia pregiudiziale alla CGUE.
Il giudizio davanti alla CGUE
Il giudice del rinvio ha posto due quesiti all’attenzione della CGUE:
- se l’articolo 4, punto 1, del GDPR debba essere interpretato nel senso che una stringa composta da una combinazione di lettere e di caratteri, come la TC String, contenente le preferenze di un utente di Internet o di un’applicazione relative al consenso di detto utente al trattamento dei dati personali che lo riguardano, costituisce un dato personale ai sensi della disposizione citata;
- se un’organizzazione di settore, nella misura in cui propone ai suoi membri un quadro di norme da essa stabilito relativo al consenso in materia di trattamento di dati personali, che contiene non solo norme tecniche vincolanti, ma anche norme che precisano dettagliatamente le modalità di stoccaggio e di diffusione dei dati personali relativi a tale consenso, deve essere qualificata come titolare del trattamento.
In riferimento alla prima questione pregiudiziale, la CGUE si è espressa stabilendo che la TC String debba essere considerata dato personale, in quanto, associata ad un indirizzo IP, permetterebbe di risalire all’identità dell’interessato. Difatti, secondo la CGUE l’associazione di una stringa composta da una combinazione di lettere e di caratteri, come la TC String, a dati supplementari, in particolare all’indirizzo IP del dispositivo di un utente o ad altri identificatori, consente di individuare tale utente, e quindi, si deve ritenere che la TC String contenga informazioni riguardanti un utente identificabile e costituisca quindi un dato personale. Non ha ritenuto meritevoli di accoglimento le controargomentazioni di IAB, che riteneva che la TC String non potesse considerarsi come dato personale in quanto essa stessa non potrebbe combinare la TC String con l’indirizzo IP del dispositivo di un utente e non disporrebbe della possibilità di accedere direttamente ai dati trattati dai suoi membri nell’ambito del TCF.
In riferimento, invece alla seconda questione pregiudiziale, la CGUE ha ritenuto che IAB Europe debba essere qualificata come contitolare del trattamento se, tenuto conto delle circostanze particolari del caso di specie, essa influisce, per scopi che le sono propri, sul trattamento di dati personali di cui trattasi e determina, pertanto, congiuntamente con i suoi membri, le finalità e i mezzi di un tale trattamento. In particolare, la CGUE non ha ritenuto rilevante la circostanza che IAB Europe non abbia accesso diretto ai dati personali trattati dai suoi membri, in quanto anche in questo caso potrà comunque essere considerata contitolare del trattamento. La contitolarità, tuttavia non potrà estendersi automaticamente ai trattamenti successivi di dati personali effettuati da terzi.
Conclusioni
Considerando l’inversione di tendenza rispetto a quanto stabilito in precedenza dal Tribunale dell’Unione Europea, il quadro giurisprudenziale appare confuso e poco chiaro in relazione all’approccio che le società dovranno adottare per essere conformi alla normativa privacy. Sarà quindi necessaria un’attenta valutazione caso per caso in merito alle misure da adottare per assicurare la compliance alle disposizioni in materia.
Su un argomento simile può essere di interesse il seguente articolo: “Cookieless web: verso un mondo senza cookie grazie all’AI?”.
Autori: Tommaso Ricci e Roxana Smeria
Autore: Tommaso Ricci
