Asunto C‑604/22

IAB Europe

contra

Gegevensbeschermingsautoriteit

(Petición de decisión prejudicial planteada por el hof van beroep te Brussel)

Sentencia del Tribunal de Justicia (Sala Cuarta) de 7 de marzo de 2024

«Procedimiento prejudicial — Protección de las personas físicas en lo que respecta al tratamiento de datos personales — Reglamento (UE) 2016/679 — Organización sectorial normativa que propone a sus miembros normas sobre el tratamiento del consentimiento de los usuarios — Artículo 4, punto 1 — Concepto de “datos personales” — Cadena de letras y caracteres que capta, de manera estructurada y legible mecánicamente, las preferencias de un usuario de Internet relativas al consentimiento de dicho usuario en lo que respecta al tratamiento de sus datos personales — Artículo 4, punto 7 — Concepto de “responsable del tratamiento” — Artículo 26, apartado 1 — Concepto de “corresponsables del tratamiento” — Organización que no tiene acceso a los datos personales tratados por sus miembros — Responsabilidad de la organización que se extiende a los tratamientos ulteriores de datos efectuados por terceros»

  1. Protección de las personas físicas en lo que respecta al tratamiento de datos personales — Reglamento (UE) 2016/679 — Concepto de datos personales — Cadena de letras y caracteres que contiene las preferencias de un usuario de Internet relativas a su consentimiento en el tratamiento de sus datos personales — Inclusión — Requisito — Cadena que permite identificar al interesado — Imposibilidad de que una organización sectorial que posee dicha cadena acceda a los datos tratados por sus miembros o combine dicha cadena con otros elementos — Irrelevancia

    [Reglamento (UE) n.o 2016/679 del Parlamento Europeo y del Consejo, art. 4, ap. 1]

    (véanse los apartados 41 a 51 y el punto 1 del fallo)

  2. Protección de las personas físicas en lo que respecta al tratamiento de datos personales — Reglamento (UE) 2016/679 — Concepto de corresponsables del tratamiento — Organización sectorial normativa que propone a sus miembros normas relativas al tratamiento del consentimiento de los usuarios — Inclusión — Requisito — Influencia de dicha organización en el tratamiento de datos personales en cuestión y determinación por esta, junto con sus miembros, de los fines y medios de tal tratamiento — Organización que no tiene acceso directo a los datos personales tratados por sus miembros — Irrelevancia

    [Reglamento (UE) n.o 2016/679 del Parlamento Europeo y del Consejo, arts. 4, punto 7, y 26, ap. 1]

    (véanse los apartados 57 a 68 y 77 y el punto 2 del fallo)

  3. Protección de las personas físicas en lo que respecta al tratamiento de datos personales — Reglamento (UE) 2016/679 — Corresponsabilidad del tratamiento — Organización sectorial normativa que propone a sus miembros normas relativas al tratamiento del consentimiento de los usuarios — Responsabilidad de dicha organización que se extiende automáticamente a los tratamientos ulteriores de datos realizados por terceros — Inexistencia

    [Reglamento (UE) n.o 2016/679 del Parlamento Europeo y del Consejo, arts. 4, punto 7, y 26, ap. 1]

    (véanse los apartados 74 a 77 y el punto 2 del fallo)

Resumen

El Tribunal de Justicia, que conoce del asunto con carácter prejudicial, precisa, por una parte, el concepto de «datos personales» ( 1 ) y, por otra, las condiciones en las que una organización sectorial, en la medida en que propone a sus miembros un marco normativo en materia de consentimiento en el tratamiento de datos personales, debe calificarse de «corresponsable del tratamiento». ( 2 ) El Tribunal de Justicia también fija los límites de la corresponsabilidad de tal organización.

IAB Europe es una asociación sin ánimo de lucro establecida en Bélgica que representa a las empresas del sector de la publicidad y del marketing digitales a nivel europeo.

IAB Europe ha elaborado el Transparency & Consent Framework (Marco de Transparencia y Consentimiento; en lo sucesivo, «TCF»), que es un marco de normas que tiene por objeto garantizar la conformidad con el RGPD del tratamiento de datos personales de un usuario de un sitio de Internet o de una aplicación efectuado por determinados operadores. El TCF favorece el cumplimiento del RGPD cuando estos operadores recurren al Protocolo de OpenRTB, utilizado para el Real Time Bidding, un sistema de subasta en línea instantánea y automatizada de perfiles de usuarios para la compraventa de espacios publicitarios en Internet.

En este contexto, el TCF facilita el registro de las preferencias de los usuarios. A continuación, estas preferencias se codifican y almacenan en una cadena compuesta por una combinación de letras y caracteres, designada por IAB Europe con el nombre de Transparency and Consent String (en lo sucesivo, «TC String»). Esta última se comparte con intermediarios de datos personales y plataformas publicitarias que participan en el protocolo OpenRTB, para que estos sepan en qué ha consentido el usuario o a qué se ha opuesto. También se coloca una cookie en el dispositivo del usuario que, combinada con la TC String, puede vincularse a la dirección IP de ese usuario.

A raíz de varias denuncias contra IAB Europe, la Sala de Controversias de la Gegevensbeschermingsautoriteit (Autoridad de Protección de Datos, Bélgica), mediante resolución de 2 de febrero de 2022, ordenó a IAB Europe, responsable del tratamiento de datos, que adecuara a las disposiciones del RGPD el tratamiento de datos efectuado en el marco del TCF.

IAB Europe interpuso recurso contra dicha resolución ante el hof van beroep te Brussel (Tribunal de Apelación de Bruselas, Bélgica). Al albergar dudas sobre si una TC String, combinada o no con una dirección IP, constituye un dato personal y, en su caso, si IAB Europe debe ser calificada de responsable del tratamiento de datos en el marco del TCF, en particular en relación con el tratamiento de la TC String, el Tribunal de Apelación de Bruselas presentó una petición de decisión prejudicial al Tribunal de Justicia.

Apreciación del Tribunal de Justicia

En primer lugar, el Tribunal de Justicia señala que una cadena compuesta por una combinación de letras y caracteres, como la TC String, contiene las preferencias de un usuario de Internet o de una aplicación relativas al consentimiento de dicho usuario en el tratamiento por terceros de datos personales que le conciernen o que se refieren a su eventual oposición a un tratamiento de tales datos basado en un interés legítimo alegado. ( 3 )

A este respecto, el Tribunal de Justicia considera que, en la medida en que el hecho de asociar una TC String con la dirección IP del dispositivo de un usuario o con otros identificadores permite identificar a dicho usuario, la TC String contiene información sobre un usuario identificable, por lo que constituye un dato personal. ( 4 ) Por otro lado, el hecho de que la propia IAB Europe no pueda combinar la TC String con la dirección IP del dispositivo de un usuario y no tenga la posibilidad de acceder directamente a los datos tratados por sus miembros en el marco del TCF no impide que una TC String sea calificada de «dato personal». ( 5 )

Por lo demás, los miembros de IAB Europe están obligados a comunicarle, a petición de esta, toda la información que le permita identificar a los usuarios cuyos datos son objeto de una TC String. Por lo tanto, sin perjuicio de las comprobaciones que corresponde efectuar al órgano jurisdiccional remitente, resulta que IAB Europe dispone de medios razonables que le permiten identificar a una persona física determinada a partir de una TC String gracias a la información que sus miembros y otras organizaciones que participan en el TCF están obligados a facilitarle. ( 6 )

Así pues, el Tribunal de Justicia concluye que una TC String constituye un dato personal en el sentido del artículo 4, punto 1, del RGPD. Poco importa que, sin una contribución externa, que tiene derecho a exigir, tal organización sectorial no pueda acceder a los datos tratados por sus miembros en el marco de las normas que ella ha establecido ni combinar la TC String con otros identificadores, como la dirección IP del dispositivo de un usuario.

En segundo lugar, el Tribunal de Justicia examina si IAB Europe puede ser considerada corresponsable del tratamiento de datos. ( 7 ) Para ello es preciso apreciar si influye, atendiendo a sus propios objetivos, en el tratamiento de datos personales, como la TC String, y determina, junto con otros, los fines y medios de tal tratamiento.

Por lo que respecta, en primer lugar, a los fines de tal tratamiento de datos, el Tribunal de Justicia señala que el TCF establecido por IAB Europe pretende, en esencia, favorecer y permitir la compraventa de espacios publicitarios en Internet por parte de determinados operadores que participan en la subasta en línea de espacios publicitarios. Por lo tanto, sin perjuicio de las comprobaciones que corresponde efectuar al órgano jurisdiccional remitente, IAB Europe influye, atendiendo a sus propios objetivos, en las operaciones de tratamiento de datos personales y determina, por ello, junto con sus miembros, los fines de tales operaciones.

A continuación, en cuanto a los medios utilizados para tal tratamiento, el Tribunal de Justicia constata, sin perjuicio de las comprobaciones que corresponde efectuar al órgano jurisdiccional remitente, que el TCF constituye un marco normativo que los miembros de IAB Europe deben aceptar para adherirse a dicha asociación. En particular, si alguno de sus miembros no cumple esas normas, IAB Europe puede adoptar respecto de ese miembro una decisión de incumplimiento y de suspensión que puede dar lugar a la exclusión de dicho miembro del TCF y a impedirle invocar la garantía de conformidad con el RGPD que supuestamente proporciona el TCF para el tratamiento de datos que efectúa mediante TC Strings. Por otra parte, el TCF establecido por IAB Europe contiene especificaciones técnicas relativas al tratamiento de la TC String y normas precisas en lo que respecta al contenido de la TC String, al almacenamiento y al intercambio de esta. Además, el Tribunal de Justicia subraya que IAB Europe prescribe, en el marco de estas normas el modo normalizado en que las diferentes partes implicadas en el TCF pueden consultar las preferencias, las objeciones y los consentimientos de los usuarios contenidos en las TC Strings.

En estas circunstancias, y sin perjuicio de las referidas comprobaciones, el Tribunal de Justicia concluye que una organización sectorial como IAB Europe influye, atendiendo a sus propios objetivos, en las operaciones de tratamiento de datos personales y determina, por ello, junto con sus miembros, los medios que están en el origen de tales operaciones. Por consiguiente, debe ser considerada «corresponsable del tratamiento». ( 8 )

Por último, el Tribunal de Justicia precisa que se distingue entre, por una parte, el tratamiento de datos personales efectuado por los miembros de IAB Europe, a saber, los proveedores de sitios de Internet o de aplicaciones y los intermediarios de datos o incluso las plataformas publicitarias, en el momento del registro en una TC String de las preferencias en materia de consentimiento de los usuarios de que se trata según las reglas establecidas en el TCF y, por otra parte, el tratamiento ulterior de estos datos efectuado por esos operadores y por terceros sobre la base de tales preferencias, como la transmisión de datos a terceros o la oferta de publicidad personalizada dirigida a dichos usuarios.

Así pues, una organización sectorial, como IAB Europe, solo puede ser considerada responsable de tales tratamientos ulteriores si se demuestra que ha influido en la determinación de los fines de los tratamientos y de las modalidades de su ejercicio, extremo que corresponde comprobar al órgano jurisdiccional remitente.

( 1 ) En el sentido del artículo 4, punto 1, del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos) (DO 2016, L 119, p. 1; en lo sucesivo, «RGPD»).

( 2 ) En el sentido del artículo 26, apartado 1, del RGPD.

( 3 ) En virtud del artículo 6, apartado 1, letra f), del RGPD.

( 4 ) En el sentido del artículo 4, apartado 1, del RGPD.

( 5 ) En el sentido del artículo 4, apartado 1, del RGPD.

( 6 ) De conformidad con lo enunciado en el considerando 26 del RGPD.

( 7 ) En el sentido de los artículos 4, punto 7, y 26, apartado 1, del RGPD.

( 8 ) En el sentido de los artículos 4, punto 7, y 26, apartado 1, del RGPD.