Vendita all’asta di dati personali on line per fini pubblicitari, il chiarimento della Corte di Giustizia UE
Quando un utente consulta un sito Internet o un'applicazione contenente uno spazio pubblicitario, le imprese, i broker di dati e le piattaforme pubblicitarie, che rappresentano migliaia di inserzionisti, possono presentare offerte in tempo reale, dietro le quinte, per ottenere tale spazio pubblicitario mediante un sistema di asta, al fine di visualizzarvi pubblicità adattate al profilo dell'utente (Real Time Bidding).
Tuttavia, prima di visualizzare tali pubblicità mirate, deve essere acquisito il previo consenso dell'utente ai fini della raccolta e del trattamento dei suoi dati (riguardanti segnatamente la sua localizzazione, la sua età, la cronologia delle sue ricerche e dei suoi acquisti recenti) per finalità quali, in particolare, il marketing o la pubblicità, o per la condivisione di tali dati con determinati fornitori. L'utente può anche opporvisi.
La IAB Europe è un'associazione senza scopo di lucro, con sede in Belgio, che rappresenta le imprese del settore dell'industria della pubblicità e del marketing digitali a livello europeo.
La IAB Europe ha elaborato una soluzione che essa presenta come idonea a rendere conforme al GDPR tale sistema di vendita all'asta Le preferenze degli utenti sono codificate e memorizzate in una stringa composta da una combinazione di lettere e di caratteri denominata «Transparency and Consent String» (TC String), che è condivisa con broker di dati personali e piattaforme pubblicitarie, affinché questi sappiano a che cosa l’utente ha prestato il suo consenso o si è opposto. Associati, la TC String e il cookie possono essere correlati all'indirizzo IP dell'utente di cui trattasi.
Nel 2022, l'autorità belga per la protezione dei dati ha ritenuto che la TC String costituisse un dato personale ai sensi del RGDP e che la IAB Europe abbia agito in qualità di titolare del trattamento dei dati senza rispettare pienamente le prescrizioni del GDPR. Tale autorità le ha imposto diverse misure correttive nonché una sanzione amministrativa pecuniaria. La IAB Europe ha contestato tale decisione e ha adito la Corte d’appello di Bruxelles, la quale ha deferito alcune questioni pregiudiziali alla Corte di giustizia.
Nella sua sentenza nella causa C-604/22, la Corte di giustizia conferma che la TC String contiene informazioni riguardanti un utente identificabile e costituisce pertanto un dato personale ai sensi del RGPD. Infatti, quando le informazioni contenute in una TC String sono associate a un identificativo, come in particolare l'indirizzo IP del dispositivo dell'utente, esse possono consentire di creare un profilo di tale utente e di identificarlo.
Inoltre, la IAB Europe deve essere considerata «contitolare del trattamento», ai sensi del RGPD. Infatti, fatte salve le verifiche che spetta al giudice del rinvio effettuare, essa pare influire sulle operazioni di trattamento dei dati al momento della registrazione delle preferenze in materia di consenso degli utenti in una TC String, e determinare, congiuntamente con i suoi membri, tanto le finalità di tali operazioni quanto i mezzi all'origine di dette operazioni.
Ciò posto, e fatta salva un'eventuale responsabilità civile prevista dal diritto nazionale, la IAB Europe non può essere considerata titolare, ai sensi del GDPR, delle operazioni di trattamento dei dati effettuate dopo la registrazione, in una TC String, delle preferenze in materia di consenso degli utenti, a meno che si possa dimostrare che tale associazione ha esercitato un'influenza sulla determinazione delle finalità e delle modalità di dette operazioni successive.
Fonte: Corte di Giustizia UE
