Una recente decisione sugli identificatori dei cookie pubblicitari del Conseil d’État ha riacceso un dibattito fondamentale nel diritto europeo della protezione dei dati: quando gli identificatori online possono essere qualificati come dati personali ai sensi del GDPR?
La sentenza ha confermato la legittimità di una sanzione imposta dall’autorità francese per la protezione dei dati (CNIL) in relazione ad attività di pubblicità comportamentale su larga scala.
L’aspetto più significativo della decisione riguarda la qualificazione giuridica degli identificatori pubblicitari raccolti tramite cookie e tecnologie di tracciamento.
Oltre alla sua rilevanza per il settore AdTech, la decisione solleva anche questioni più ampie sulla pseudonimizzazione e sull’identificabilità, temi sempre più centrali nel dibattito sull’addestramento dell’intelligenza artificiale e sul futuro della regolazione digitale nell’UE.
L’approccio del tribunale agli identificatori online
Ai sensi dell’articolo 4, comma 1, del GDPR, per dato personale si intende qualsiasi informazione riguardante una persona fisica identificata o identificabile. L’identificazione può avvenire direttamente o indirettamente, anche attraverso un identificatore come:
- nome;
- numero di identificazione;
- dati relativi all’ubicazione;
- identificatori online.
Il considerando 30 del GDPR menziona esplicitamente identificatori dei cookie, identificatori dei dispositivi e tecnologie simili come elementi che possono rendere identificabili le persone.
Nel caso esaminato dal Conseil d’État, gli identificatori pubblicitari erano associati a un grande volume di ulteriori dati, tra cui:
- indirizzi IP e posizione geografica;
- identificatori del dispositivo;
- identificatori associati ai siti web partner;
- cronologia di navigazione e comportamento dell’utente;
- interazioni con annunci pubblicitari e acquisti.
Attraverso l’aggregazione di questi dati, il sistema consentiva la creazione di profili comportamentali dettagliati collegati a specifici identificatori.
Il Conseil d’État ha concluso che questi identificatori costituiscono dati personali perché l’identificazione di alcuni individui non sarebbe tecnicamente impossibile e potrebbe avvenire senza sforzi sproporzionati in termini di tempo, costi o risorse umane.
In altre parole, anche se gli identificatori erano pseudonimi e non rivelavano direttamente l’identità delle persone, la mera possibilità di collegarli a individui identificabili è stata ritenuta sufficiente per farli rientrare nell’ambito di applicazione del GDPR.
Una possibile tensione con la recente giurisprudenza della Corte di Giustizia dell’UE
Tuttavia, il ragionamento adottato dal Conseil d’État sembra difficile da conciliare con l’approccio della Corte di Giustizia dell’Unione Europea nel caso EDPS v. SRB sulla pseudonimizzazione.
In quella decisione, la Corte ha chiarito che la valutazione sul fatto che i dati siano personali deve essere effettuata dal punto di vista dell’entità che li tratta.
Se il titolare del trattamento non possiede le informazioni aggiuntive necessarie per identificare gli individui e non ha mezzi ragionevoli per ottenerle, i dati potrebbero non essere considerati dati personali per quello specifico titolare del trattamento.
Questa interpretazione riflette un principio importante del diritto europeo della protezione dei dati:
l’identificabilità deve essere valutata in modo contestuale e relativo, tenendo conto delle capacità realistiche dell’attore coinvolto.
La decisione del Conseil d’État sembra invece adottare un approccio più ampio.
Il Conseil d’État ha sottolineato che l’identificazione di alcuni individui non era tecnicamente impossibile, soprattutto considerando:
- il volume di informazioni associate agli identificatori;
- la possibilità di combinare più dataset.
Questo ragionamento solleva una questione importante:
la mera possibilità teorica di re-identificazione è sufficiente per qualificare dei dati come dati personali?
La Corte di Giustizia dell’Unione Europea ha in precedenza suggerito che l’analisi dovrebbe concentrarsi sul fatto che l’identificazione sia ragionevolmente probabile, tenendo conto dei mezzi realisticamente disponibili al titolare del trattamento.
Al contrario, l’approccio del Conseil d’État sembra basarsi maggiormente sulle caratteristiche strutturali dell’ecosistema dei dati nel suo complesso.
Questa differenza di approccio potrebbe creare incertezza giuridica per le organizzazioni che operano nell’Unione Europea.
Perché questo tema è importante per l’addestramento dell’AI
Le implicazioni di questa interpretazione vanno ben oltre la pubblicità comportamentale.
La qualificazione dei dati pseudonimizzati come dati personali è centrale anche nel dibattito sui dataset utilizzati per l’addestramento dell’intelligenza artificiale.
Molti sistemi di AI si basano su dataset su larga scala che includono:
- identificatori pseudonimizzati;
- informazioni comportamentali.
In molti casi, gli sviluppatori dei modelli di AI non possiedono le informazioni aggiuntive necessarie per identificare gli individui associati a questi dati.
La questione diventa quindi cruciale:
questi dataset devono essere considerati dati personali semplicemente perché l’identificazione potrebbe essere teoricamente possibile da qualche parte nell’ecosistema dei dati?
Questo tema è diventato particolarmente rilevante nel contesto del pacchetto legislativo Digital Omnibus, in cui il legislatore europeo sta discutendo se chiarire il concetto di dato personale quando viene utilizzato per l’addestramento dell’AI.
Inoltre, in recenti discussioni politiche, alcuni stakeholder hanno suggerito l’introduzione di regole più chiare su quando i dataset pseudonimizzati utilizzati per l’AI possono essere considerati fuori dall’ambito del GDPR.
L’obiettivo sarebbe:
- fornire certezza giuridica;
- facilitare lo sviluppo dei sistemi di AI;
- mantenere adeguate garanzie per gli individui.
Tuttavia, decisioni come quella del Conseil d’État potrebbero complicare questo dibattito.
Se i tribunali adottano un’interpretazione ampia, secondo cui i dati rimangono personali ogni volta che la re-identificazione è teoricamente possibile, l’ambito di applicazione del GDPR potrebbe espandersi significativamente.
Questo creerebbe difficoltà per le organizzazioni che sviluppano sistemi di AI utilizzando dataset su larga scala derivati da servizi digitali, analisi comportamentali o identificatori pseudonimizzati.
Il ruolo degli ecosistemi di dati nell’identificabilità
Un altro elemento importante evidenziato dalla decisione riguarda il ruolo degli ecosistemi di dati nel determinare se gli individui possano essere identificati.
L’identificabilità non può essere valutata analizzando un singolo elemento di dati isolatamente. Sempre più spesso, regolatori e tribunali esaminano l’intero ecosistema in cui i dati vengono trattati, compresi:
- la dimensione del dataset;
- la possibilità di combinare più fonti di dati;
- le capacità tecnologiche del titolare del trattamento;
- il coinvolgimento di terze parti;
- le finalità del trattamento.
In ambienti digitali complessi come la pubblicità comportamentale, gli identificatori spesso circolano in reti che coinvolgono inserzionisti, editori, ad exchange e data broker.
Questi ecosistemi interconnessi aumentano la capacità di profilare gli utenti e potenzialmente di re-identificarli.
Tuttavia, questo approccio basato sugli ecosistemi solleva anche questioni difficili su quanto debba estendersi la nozione di identificabilità.
Se la possibilità di re-identificazione in qualsiasi punto dell’ecosistema digitale è sufficiente per qualificare i dati come personali, l’anonimizzazione potrebbe diventare estremamente difficile da raggiungere nella pratica.
Un dibattito che plasmerà il futuro della regolazione dei dati
La decisione del Conseil d’État evidenzia quindi un più ampio dilemma normativo.
Da un lato, il GDPR adotta una definizione ampia di dato personale per garantire che gli individui rimangano protetti in ambienti digitali sempre più complessi.
Dall’altro lato, l’innovazione tecnologica – soprattutto nell’AI, nell’analisi dei dati e nella pubblicità digitale – si basa spesso su dataset pseudonimizzati su larga scala.
Trovare un equilibrio tra questi due obiettivi sta diventando una delle sfide più difficili della regolazione digitale europea.
Con il proseguire delle discussioni sul Digital Omnibus e sull’uso dei dati per l’addestramento dell’AI, l’interpretazione di concetti come identificabilità, pseudonimizzazione e anonimizzazione sarà decisiva.
Per le aziende che operano negli ecosistemi AdTech e AI, il messaggio è chiaro:
i confini giuridici del concetto di dato personale restano fluidi e le aspettative normative in materia di governance dei dati sono destinate a diventare ancora più esigenti nei prossimi anni.
Su un simile argomento può essere interessante l’articolo “Il Garante privacy dice no alla profilazione tramite cookie basata sul legittimo interesse“.
About the Author: Giulio Coraggio
