Conseguenza di questa forte interazione è la necessità di tutelare la privacy degli utenti.
Ebbene, con una recentissima sentenza del 7 marzo 2024¹, la Corte di Giustizia Europea ha affermato che la stringa del consenso è un dato personale ai sensi del GDPR.
Ma facciamo un passo indietro. Cos’è la stringa del consenso? La stringa viene utilizzata per identificare lo stato di consenso dei fornitori di tecnologia pubblicitaria che lavorano con gli editori ed è l’informazione generata dalla piattaforma di gestione del consenso (le c.d. Consent Management Platform - CMP).
Le informazioni nella stringa di consenso sono chiamate anche daisy bit che vengono trasmesse a tutti i fornitori di tecnologia pubblicitaria.
Una stringa di consenso memorizza chi sono i fornitori di tecnologia pubblicitaria; se i fornitori di tecnologia pubblicitaria hanno il consenso oppure no dell’utente per utilizzare i suoi dati per pubblicare annunci personalizzati o altre finalità; quali sono gli scopi dei fornitori di tecnologia pubblicitaria con i dati dell’utente.
Fatta questa precisazione, proviamo a chiarire la portata della sentenza della CDGE e chi è il protagonista, IAB Europe.
La IAB Europe è un’associazione senza scopo di lucro con sede in Belgio che rappresenta le imprese del settore dell’industria della pubblicità e del marketing digitali a livello europeo. I membri della IAB Europe sono tanto imprese di tale settore, quali editori, imprese di commercio elettronico e di marketing, intermediari, quanto associazioni nazionali che, a loro volta, annoverano tra i loro membri imprese di detto settore. IAB ha elaborato una soluzione tecnologia denominata TFC (Transparency & Consent Framework), presentato dalla stessa come una soluzione idonea a rendere conforme al GDPR detto sistema di vendite all’asta. Questo framework è costituito da un quadro di norme composto da direttive, istruzioni, specifiche tecniche, protocolli e obblighi contrattuali che consentono, tanto al fornitore di un sito internet o di un’applicazione quanto a broker di dati o anche a piattaforme pubblicitarie, di trattare legalmente i dati personali di un utente di modo da favorire l’osservanza del GDPR quando tali operatori ricorrono al protocollo OpenRTB.
Esso rappresenta uno dei protocolli più utilizzati per il Real Time Bidding ossia un’asta automatizzata basata su algoritmi che in tempo reale consente l’acquisto e la vendita di spazi pubblicitari su internet nel lasso di tempo necessario al caricamento di una pagina Web.
Capiamo meglio come funziona da un punto di vista tecnico il TFC. Quando un utente consulta un sito Internet o un’applicazione che contiene uno spazio pubblicitario, i broker di dati e le piattaforme pubblicitarie, che rappresentano migliaia di inserzionisti, possono presentare offerte in tempo reale per ottenere tale spazio pubblicitario mediante il Real Time Bidding.
Tuttavia, prima di visualizzare pubblicità mirate, deve essere acquisito il consenso dell’utente attraverso una CMP, consentendo allo stesso di prestare il proprio consenso al trattamento dei suoi dati personali per finalità quali, in particolare, il marketing o la pubblicità e, dall’altro, di opporsi a diversi tipi di trattamento di dati o alla loro condivisione. Arrivati a questo punto, il TCF, attraverso la codificazione e la memorizzate in una stringa composta da una combinazione di lettere e di caratteri chiamata Transparency and Consent String (la «TC String»), consente il trattamento di dati personali su larga scala ed agevola la registrazione delle preferenze degli utenti per mezzo della suddetta CMP. Questa stringa, poi, viene condivisa con i broker che partecipano al protocollo OpenRTB, conoscendo così quali utenti hanno prestato il loro consenso o quali utenti si sono opposti. La CMP inserisce anche un cookie, euconsent-v2, sul dispositivo dell’utente. Una volta associati la TC String con il cookie euconsent-v2, questi potranno essere correlati all’indirizzo IP dell’utente.
Il TCF, quindi, fa si che il protocollo OpenRTB funzioni, perché consente di trascrivere le preferenze dell’utente ai fini della loro comunicazione a potenziali venditori e di conseguire diversi obiettivi di trattamento, tra cui la proposta di pubblicità personalizzata.
Dal 2019, l’APD (l’Autorità per la protezione dei dati belga) ha ricevuto diverse denunce nei confronti della IAB Europe, provenienti sia dal Belgio che da paesi terzi, tutte vertenti sulla conformità del TCF al Regolamento. Il Garante belga, in qualità di autorità di controllo capofila, ai sensi dell’articolo 56, paragrafo 1, del GDPR, ha attivato il meccanismo di cooperazione e di coerenza al fine di pervenire ad una decisione comune, pronunciando la decisione del 2 febbraio 2022 con la quale ha dichiarato che la IAB Europe agiva in qualità di titolare del trattamento di dati personali per quanto riguarda la registrazione del consenso, compreso il rifiuto e le preferenze dei singoli utenti, mediante una TC String associata ad un utente identificabile.
Inoltre, l’APD ha ordinato alla IAB Europe di rendere conforme alle disposizioni del GDPR e le ha imposto diverse misure correttive nonché una sanzione amministrativa pecuniaria.
La IAB Europe ha proposto ricorso chiedendo di annullare la decisione del 2 febbraio 2022. affermando di non aver agito come titolare del trattamento².
La questione giunge, quindi, all’attenzione della Corte di Giustizia Europea che, in seguito ad un articolato excursus normativo, ha affermato che ai sensi dell’art. 4, par. 1, GDPR una TC String, contenente le preferenze di un utente di Internet o di un’applicazione relative al consenso di tale utente al trattamento dei dati personali che lo riguardano costituisce un dato personale soprattutto qualora essa possa essere associata ad un dato identificativo, quale in particolare l’indirizzo IP del dispositivo di detto utente, rendendolo così identificabile. Ma la Corte va oltre, affermando che IAB, per le attività svolte in merito al TCF deve essere qualificato quale contitolare del trattamento ai sensi l’articolo 4, punto 7, e l’articolo 26, paragrafo 1, del GDPR precisando che la contitolarità non si estende anche ai trattamenti successivi di dati personali effettuati da terzi, quali possono essere i fornitori di siti Internet o di applicazioni, per quanto riguarda le preferenze degli utenti ai fini della pubblicità mirata online³.
La decisione della Corte di Giustizia Europea rappresenta un ulteriore espressione della volontà europea di tutelare gli utenti in materia di trattamento dei loro dati personali, soprattutto in tutte le ipotesi di tracciamento.
Avv. Erika Marchesano
________________________________________
¹ Corte di Giustizia Europea, C-604/22 (ECLI:EU:C:2024:214), SENTENZA DELLA CORTE (Quarta Sezione) 7 marzo 2024
² Corte di Giustizia Europea, C-604/22 (ECLI:EU:C:2024:214), SENTENZA DELLA CORTE (Quarta Sezione) 7 marzo 2024
³ Corte di Giustizia Europea, C-604/22 (ECLI:EU:C:2024:214), SENTENZA DELLA CORTE (Quarta Sezione) 7 marzo 2024
Il rapido sviluppo dell’era digitale si intreccia, necessariamente, con la vita e le azioni quotidiane di ognuno di noi, soprattutto, in un epoca in cui molte di queste azioni sono svolte attraverso internet.
Hai un dubbio o un problema su questo argomento?
Scrivi alla nostra redazione giuridica e ricevi la tua risposta entro 5 giorni
Non condivideremo mai la tua email con nessuno.