In data 7 marzo 2024, la Corte di Giustizia dell’Unione Europea si è pronunciata nella Causa C-604/22, IAB Europe contro Gegevensbeschermingsautoriteit, sull’interpretazione dell’articolo 4, punti 1 e 7, nonché dell’articolo 24, paragrafo 1, del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (General Data Protection Regulation, GDPR)[1], letti alla luce degli articoli 7 e 8 della Carta dei diritti fondamentali dell’Unione Europea. Tale domanda era stata presentata nell’ambito di una controversia tra la IAB Europe (“IAB”), un’associazione senza scopo di lucro con sede in Belgio che rappresenta le imprese del settore dell’industria della pubblicità e del marketing digitali a livello europeo, e la Gegevensbeschermingsautoriteit (Autorità belga per la protezione dei dati, APD) relativamente ad una decisione adottata nei confronti della IAB riguardo all’asserita violazione di varie disposizioni del GDPR.
Questi i fatti.
La IAB aveva elaborato il Transparency & Consent Framework (quadro di trasparenza e di consenso, TCF), un quadro di norme composto da direttive, istruzioni, specifiche tecniche, protocolli e obblighi contrattuali che consentono tanto al fornitore di un sito internet o di un’applicazione quanto a broker di dati o anche a piattaforme pubblicitarie di trattare legalmente i dati personali di un utente, di modo da favorire l’osservanza del GDPR quando tali operatori ricorrono al protocollo OpenRTB[2]. Più particolarmente, quando un utente consulta un sito internet o un’applicazione che contiene uno spazio pubblicitario, le imprese che operano nel settore della tecnologia pubblicitaria, che rappresentano migliaia di inserzionisti, possono presentare offerte in tempo reale, dietro le quinte, per ottenere tale spazio pubblicitario mediante un sistema di asta automatizzato basato su algoritmi, al fine di visualizzare pubblicità mirate specificamente adattate al profilo di tale utente. Prima di ciò, tuttavia, deve esserne acquisito il previo consenso. Di conseguenza, quando egli consulta un sito internet o un’applicazione per la prima volta, una piattaforma di gestione del consenso denominata «Consent Management Platform» (CMP) compare in una finestra pop-up che permette a tale utente, da un lato, di prestare il proprio consenso al fornitore del sito internet o dell’applicazione per la raccolta e il trattamento dei suoi dati personali per fini previamente definiti o per la condivisione dei dati in discussione con taluni fornitori, e, dall’altro, di opporsi a diversi tipi di trattamento di dati o alla loro condivisione.
In tale contesto, il TCF fornisce un quadro per il trattamento di dati personali su larga scala ed agevola la registrazione delle preferenze degli utenti per mezzo della CMP. Tali preferenze sono successivamente codificate e memorizzate in una stringa composta da una combinazione di lettere e di caratteri designata dalla IAB con il nome Transparency and Consent String (“TC String”), che viene condivisa con broker di dati personali e piattaforme pubblicitarie che partecipano al protocollo OpenRTB affinché questi siano al corrente di ciò per cui l’utente ha prestato il suo consenso o di ciò cui si è opposto.
Tutto ciò premesso, dal 2019 l’APD aveva ricevuto diverse denunce nei confronti della IAB in merito alla conformità del TCF al GDPR. Dopo averle esaminate, pertanto, la Sezione Contenzioso aveva dichiarato che la IAB agiva in qualità di titolare del trattamento di dati personali per quanto riguarda la registrazione del segnale di consenso, delle obiezioni e delle preferenze dei singoli utenti mediante una TC String, che era associata ad un utente identificabile. La Sezione Contenzioso, inoltre, aveva ordinato alla IAB di rendere conforme alle disposizioni del GDPR il trattamento dei dati personali effettuato nell’ambito del TCF, imponendole diverse misure correttive nonché una sanzione amministrativa pecuniaria. Di conseguenza, la IAB si era rivolta allo hof van beroep te Brussel (Corte d’appello di Bruxelles; il “giudice del rinvio”) che, alla luce della necessità di interpretare la normativa europea rilevante in materia, aveva deciso di sospendere il procedimento e di sottoporre alla Corte di Giustizia due questioni pregiudiziali.
Con la prima questione, il giudice del rinvio chiedeva se l’articolo 4, punto 1[3], del GDPR debba essere interpretato nel senso che una stringa composta da una combinazione di lettere e di caratteri, come la TC String, contenente le preferenze di un utente di internet o di un’applicazione relative al suo consenso al trattamento dei dati personali che lo riguardano da parte di fornitori di siti internet o di applicazioni, nonché da broker di tali dati e da piattaforme pubblicitarie, costituisce un dato personale ai sensi della disposizione citata, qualora un’organizzazione di settore abbia stabilito il quadro di norme secondo cui la stringa in questione deve essere generata, stoccata o diffusa e i membri di una simile organizzazione hanno dato attuazione a tali norme e hanno quindi accesso a detta stringa. Il giudice del rinvio, inoltre, chiedeva se, ai fini della risposta a tale questione, occorra, in primo luogo, che la stringa in discussione sia associata a un identificativo, come in particolare l’indirizzo IP del dispositivo di detto utente, che consenta di identificare l’interessato, e, in secondo luogo, che una tale organizzazione di settore disponga del diritto di accedere direttamente ai dati personali trattati dai suoi membri nell’ambito del quadro di norme da essa stabilito.
La Corte ha preliminarmente ricordato che l’uso dell’espressione “qualsiasi informazione” nella definizione della nozione di “dato personale” riflette l’obiettivo del legislatore dell’Unione di attribuirvi un’accezione estesa, che comprende potenzialmente ogni tipo di informazioni, tanto oggettive quanto soggettive, sotto forma di pareri o di valutazioni, a condizione che esse riguardino la persona interessata[4]. Più particolarmente, un’informazione riguarda una persona fisica identificata o identificabile qualora, in ragione del suo contenuto, della sua finalità o del suo effetto, essa sia connessa ad una persona identificabile[5], che si considera tale quando può essere identificata non solo direttamente, ma anche indirettamente. A tale riguardo, per qualificare un’informazione come dato personale non è necessario che essa consenta di per sé sola di identificare la persona interessata[6], in quanto i dati personali che potrebbero essere attribuiti ad una persona fisica mediante l’utilizzo di informazioni supplementari devono essere considerati informazioni su una persona fisica identificabile[7]. Di conseguenza, la nozione di “dati personali” non comprende soltanto i dati raccolti e conservati dal titolare del trattamento, e bensì include anche tutte le informazioni risultanti da un trattamento di dati personali che riguardano una persona identificata o identificabile[8].
Nel caso concreto, una stringa composta da una combinazione di lettere e di caratteri, come la TC String, contiene le preferenze di un utente di internet o di un’applicazione relative al suo consenso al trattamento, da parte di terzi, di dati personali che lo riguardano o relative alla sua eventuale opposizione ad un trattamento di tali dati fondato su un asserito interesse legittimo. Anche se, di per sé, non contenesse elementi che consentano l’identificazione diretta dell’interessato, pertanto, una TC String contiene le preferenze individuali di un utente specifico per quanto riguarda il suo consenso al trattamento dei dati personali che lo riguardano, nella misura in cui tale informazione riguarda una persona fisica ai sensi dell’articolo 4, punto 1, del GDPR. Quando sono associate ad un identificativo, come in particolare l’indirizzo IP del dispositivo di tale utente, inoltre, le informazioni contenute in una TC String possono consentire di crearne un profilo e di identificare effettivamente la persona specificamente interessata da tali informazioni. Di conseguenza, poiché il fatto di associare una stringa composta da una combinazione di lettere e di caratteri, come la TC String, a dati supplementari, in particolare all’indirizzo IP del dispositivo di un utente o ad altri identificatori, consente di individuare tale utente, la TC String in questione contiene informazioni riguardanti un utente identificabile, costituendo quindi un dato personale ai sensi dell’articolo 4, punto 1, del GDPR. I membri della IAB, inoltre, su sua richiesta, sono tenuti a comunicarle tutte le informazioni che le consentano di identificare gli utenti i cui dati sono oggetto di una TC String, di talché essa dispone di mezzi ragionevoli che le consentono di identificare una determinata persona fisica.
Con la seconda questione, invece, il giudice del rinvio chiedeva se l’articolo 4, punto 7[9], del GDPR debba essere interpretato nel senso che i) un’organizzazione di settore, nella misura in cui propone ai suoi membri un quadro di norme da essa stabilito relativo al consenso in materia di trattamento di dati personali, che contiene non solo norme tecniche vincolanti, e bensì anche norme che precisano dettagliatamente le modalità di stoccaggio e di diffusione dei dati personali relativi a tale consenso, deve essere qualificata come “titolare del trattamento”, ai sensi di detta disposizione e se, ai fini della risposta a tale questione, occorra che una simile organizzazione di settore abbia essa stessa direttamente accesso ai dati personali trattati dai suoi membri nell’ambito delle norme summenzionate, e ii) l’eventuale contitolarità di detta organizzazione di settore si estende automaticamente ai trattamenti successivi di dati personali effettuati da terzi, quali i fornitori di siti internet o di applicazioni, per quanto riguarda le preferenze degli utenti ai fini della pubblicità mirata online.
Dal momento che la nozione di “titolare del trattamento” riguarda l’organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali, essa non rinvia necessariamente ad un unico organismo, potendo perciò riguardare vari attori che partecipano a tale trattamento, ciascuno dei quali sarà quindi soggetto alle disposizioni applicabili in materia di protezione dei dati[10] essendo qualificabile come contitolare dello stesso[11]. A tale riguardo, sebbene ciascun contitolare del trattamento debba rispondere in modo indipendente alla definizione di titolare del trattamento di cui all’articolo 4, punto 7, del GDPR, l’esistenza di una contitolarità non si traduce necessariamente in una responsabilità equivalente, per uno stesso trattamento di dati personali, dei diversi attori. Al contrario, questi ultimi possono essere coinvolti in fasi diverse di tale trattamento e a diversi livelli, di modo che il grado di responsabilità di ciascuno di essi deve essere valutato tenendo conto di tutte le circostanze rilevanti del caso concreto[12]. La partecipazione alla determinazione delle finalità e dei mezzi del trattamento, inoltre, può assumere forme diverse, potendo risultare sia da una decisione comune adottata da due o più soggetti che da decisioni convergenti. In quest’ultimo caso, tali decisioni devono integrarsi, di modo che ciascuna di esse abbia un effetto concreto sulla determinazione delle finalità e dei mezzi del trattamento, non potendosi, per contro, esigere che vi sia un accordo formale tra tali titolari del trattamento quanto alle finalità e ai mezzi dello stesso[13].
Nel caso concreto, il TCF mira a favorire e a consentire la vendita e l’acquisto di spazi pubblicitari su internet da parte degli operatori che partecipano alla vendita all’asta online. Se uno dei suoi membri non si conforma alle norme del TCF, inoltre, la IAB può adottare nei suoi confronti una decisione di non conformità e di sospensione che può sfociare nella sua esclusione dal TCF stesso, impedendogli pertanto di avvalersi della garanzia di conformità al GDPR che si ritiene fornita da detto dispositivo per il trattamento di dati personali effettuato mediante le TC Strings. Di conseguenza, un’organizzazione di settore come la IAB influisce, per scopi che le sono propri, sulle operazioni di trattamento di dati personali in questione determinando, congiuntamente con i suoi membri, i mezzi all’origine delle stesse, di talché essa deve essere considerata un contitolare del trattamento ai sensi dell’articolo 4, punto 7, del GDPR.
L’eventuale contitolarità di tale organizzazione di settore, infine, non si estende automaticamente ai trattamenti successivi di dati personali effettuati da terzi, quali i fornitori di siti internet o di applicazioni, per quanto riguarda le preferenze degli utenti ai fini della pubblicità mirata online. Più particolarmente, occorre operare una distinzione tra, da un lato, il trattamento di dati personali effettuato dai membri della IAB, ossia i fornitori di siti internet o di applicazioni nonché i broker di dati o, ancora, le piattaforme pubblicitarie, in sede di registrazione in una TC String delle preferenze in materia di consenso degli utenti interessati secondo il quadro di norme stabilito nel TCF e, dall’altro, il trattamento successivo di dati personali effettuato da detti operatori nonché da terzi sulla base di tali preferenze. Secondo la Corte, infatti, non risulta che tale trattamento successivo implichi la partecipazione della IAB, di talché occorre escludere una sua responsabilità automatica, congiuntamente con detti operatori nonché con terzi, per quanto riguarda il trattamento dei dati personali effettuato sulla base dei dati relativi alle preferenze degli utenti interessati contenute in una TC String.
Tutto ciò premesso, la Corte ha pertanto statuito che:
“L’articolo 4, punto 1, del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), deve essere interpretato nel senso che una stringa composta da una combinazione di lettere e di caratteri, come la TC String (Transparency and Consent String), contenente le preferenze di un utente di Internet o di un’applicazione relative al consenso di tale utente al trattamento dei dati personali che lo riguardano, da parte di fornitori di siti Internet o di applicazioni nonché da parte di broker di tali dati e di piattaforme pubblicitarie, costituisce un dato personale ai sensi della suddetta disposizione, nella misura in cui, qualora essa possa essere associata, con mezzi ragionevoli, ad un identificativo, quale in particolare l’indirizzo IP del dispositivo di detto utente, essa consente di identificare l’interessato. In tale contesto, la circostanza che, senza un contributo esterno, un’organizzazione di settore che detiene tale stringa non possa né accedere ai dati trattati dai suoi membri nell’ambito delle norme da essa stabilite né combinare detta stringa con altri elementi non osta a che la stessa stringa costituisca un dato personale ai sensi della disposizione in parola.
L’articolo 4, punto 7, e l’articolo 26, paragrafo 1, del regolamento 2016/679 devono essere interpretati nel senso che:
– da un lato, un’organizzazione di settore, nella misura in cui propone ai suoi membri un quadro di norme, da essa stabilito, relativo al consenso in materia di trattamento di dati personali, che contiene non solo norme tecniche vincolanti, ma anche norme che precisano dettagliatamente le modalità di stoccaggio e di diffusione dei dati personali relativi a detto consenso, deve essere qualificata come «contitolare del trattamento», ai sensi di tali disposizioni se, tenuto conto delle circostanze particolari del caso di specie, essa influisce, per scopi che le sono propri, sul trattamento di dati personali di cui trattasi e determina, pertanto, congiuntamente con i suoi membri, le finalità e i mezzi di un tale trattamento. La circostanza che tale organizzazione di settore non abbia essa stessa accesso diretto ai dati personali trattati dai suoi membri nell’ambito di dette norme non osta a che essa possa assumere la qualità di contitolare del trattamento, ai sensi delle disposizioni summenzionate;
– dall’altro, la contitolarità di detta organizzazione di settore non si estende automaticamente ai trattamenti successivi di dati personali effettuati da terzi, quali i fornitori di siti Internet o di applicazioni, per quanto riguarda le preferenze degli utenti ai fini della pubblicità mirata online”.
[1] GUUE L 119 del 04.05.2016.
[2] OpenRTB è uno dei protocolli più utilizzati per il Real Time Bidding (RTB), un sistema di vendita all’asta online istantanea ed automatizzata di profili di utenti ai fini della vendita e dell’acquisto di spazi pubblicitari su internet.
[3] L’articolo 4 GDPR, intitolato “Definizioni”, al punto 1 dispone: “… Ai fini del presente regolamento s’intende per:
1) «dato personale»: qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale…”
[4] CGUE 04.05.2023, Causa C‑487/21, Österreichische Datenschutzbehörde e CRIF, punto 23.
[5] Ibidem, punto 24.
[6] CGUE 19.10.2016, Causa C‑582/14, Breyer, punto 41.
[7] CGUE 05.12.2023, Causa C‑683/21, Nacionalinis visuomenės sveikatos centras, punto 58.
[8] CGUE 22.06.2023, Causa C‑579/21, Pankki S, punto 45.
[9] L’articolo 4 GDPR al punto 7 dispone: “… Ai fini del presente regolamento s’intende per:
(…)
7) «titolare del trattamento»: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri…”.
[10] CGUE 10.07.2018, Causa C‑25/17, Jehovan todistajat, punto 65; CGUE 05.06.2018, Causa C‑210/16, Wirtschaftsakademie Schleswig-Holstein, punto 29.
[11] CGUE 05.12.2023, Causa C‑683/21, Nacionalinis visuomenės sveikatos centras, punto 40.
[12] CGUE 10.07.2018, Causa C‑25/17, Jehovan todistajat, punto 66.
[13] CGUE 05.12.2023, Causa C‑683/21, Nacionalinis visuomenės sveikatos centras, punti 43-44.