This document is an excerpt from the EUR-Lex website
Document 62022CJ0604
Sentenza della Corte (Quarta Sezione) del 7 marzo 2024.
IAB Europe contro Gegevensbeschermingsautoriteit.
Rinvio pregiudiziale – Protezione delle persone fisiche con riguardo al trattamento dei dati personali – Regolamento (UE) 2016/679 – Organizzazione normativa di settore che propone ai suoi membri norme relative al trattamento del consenso degli utenti – Articolo 4, punto 1 – Nozione di “dati personali” – Stringa di lettere e caratteri che rileva, in modo strutturato e leggibile meccanicamente, le preferenze di un utente di Internet relative al consenso di tale utente quanto al trattamento dei suoi dati personali – Articolo 4, punto 7 – Nozione di “titolare del trattamento” – Articolo 26, paragrafo 1 – Nozione di “contitolari del trattamento” – Organizzazione che non ha, essa stessa, accesso ai dati personali trattati dai suoi membri – Responsabilità dell’organizzazione estesa ai successivi trattamenti di dati da parte di terzi.
Causa C-604/22.
Sentenza della Corte (Quarta Sezione) del 7 marzo 2024.
IAB Europe contro Gegevensbeschermingsautoriteit.
Rinvio pregiudiziale – Protezione delle persone fisiche con riguardo al trattamento dei dati personali – Regolamento (UE) 2016/679 – Organizzazione normativa di settore che propone ai suoi membri norme relative al trattamento del consenso degli utenti – Articolo 4, punto 1 – Nozione di “dati personali” – Stringa di lettere e caratteri che rileva, in modo strutturato e leggibile meccanicamente, le preferenze di un utente di Internet relative al consenso di tale utente quanto al trattamento dei suoi dati personali – Articolo 4, punto 7 – Nozione di “titolare del trattamento” – Articolo 26, paragrafo 1 – Nozione di “contitolari del trattamento” – Organizzazione che non ha, essa stessa, accesso ai dati personali trattati dai suoi membri – Responsabilità dell’organizzazione estesa ai successivi trattamenti di dati da parte di terzi.
Causa C-604/22.
Court reports – general
ECLI identifier: ECLI:EU:C:2024:214
Causa C‑604/22,
IAB Europe
contro
Gegevensbeschermingsautoriteit
(domanda di pronuncia pregiudiziale proposta dallo hof van beroep te Brussel)
Sentenza della Corte (Quarta Sezione) del 7 marzo 2024
«Rinvio pregiudiziale – Protezione delle persone fisiche con riguardo al trattamento dei dati personali – Regolamento (UE) 2016/679 – Organizzazione normativa di settore che propone ai suoi membri norme relative al trattamento del consenso degli utenti – Articolo 4, punto 1 – Nozione di “dati personali” – Stringa di lettere e caratteri che rileva, in modo strutturato e leggibile meccanicamente, le preferenze di un utente di Internet relative al consenso di tale utente quanto al trattamento dei suoi dati personali – Articolo 4, punto 7 – Nozione di “titolare del trattamento” – Articolo 26, paragrafo 1 – Nozione di “contitolari del trattamento” – Organizzazione che non ha, essa stessa, accesso ai dati personali trattati dai suoi membri – Responsabilità dell’organizzazione estesa ai successivi trattamenti di dati da parte di terzi»
Protezione delle persone fisiche con riguardo al trattamento dei dati personali – Regolamento 2016/679 – Nozione di dati personali – Stringa di lettere e caratteri che contiene le preferenze di un utente di Internet relativamente al suo consenso al trattamento dei suoi dati personali – Inclusione – Presupposto – Stringa che consente di identificare l’interessato – Impossibilità per un’organizzazione di settore che detiene tale stringa di accedere ai dati trattati dai suoi membri o di combinare detta stringa con altri elementi – Irrilevanza
(Regolamento del Parlamento europeo e del Consiglio 2016/679, art. 4, punto 1)
(v. punti 41-51, dispositivo 1)
Protezione delle persone fisiche con riguardo al trattamento dei dati personali – Regolamento 2016/679 – Nozione di contitolari del trattamento – Organizzazione normativa di settore che propone ai suoi membri norme relative al trattamento del consenso degli utenti – Inclusione – Presupposto – Influenza di tale organizzazione sul trattamento di dati personali di cui trattasi nonché determinazione da parte della stessa, congiuntamente ai suoi membri, delle finalità e dei mezzi di un tale trattamento – Organizzazione che non ha accesso diretto ai dati personali trattati dai suoi membri – Irrilevanza
(Regolamento del Parlamento europeo e del Consiglio 2016/679, artt. 4, punto 7, e 26, § 1)
(v. punti 57-68, 77, dispositivo 2)
Protezione delle persone fisiche con riguardo al trattamento dei dati personali – Regolamento 2016/679 – Contitolarità del trattamento – Organizzazione normativa di settore che propone ai suoi membri norme relative al trattamento del consenso degli utenti – Contitolarità di tale organizzazione estesa automaticamente ai successivi trattamenti di dati effettuati da terzi – Insussistenza
(Regolamento del Parlamento europeo e del Consiglio 2016/679, artt. 4, punto 7 e 26, § 1)
(v. punti 74-77, dispositivo 2)
Sintesi
Adita in via pregiudiziale, la Corte precisa, da un lato, la nozione di «dati personali» ( 1 ) e, dall’altro, le condizioni alle quali un’organizzazione di settore, nella misura in cui propone ai propri membri un quadro di norme relative al consenso al trattamento di dati personali, deve essere qualificata come «contitolare del trattamento» ( 2 ). La Corte fissa inoltre i limiti della contitolarità di tale organizzazione.
La IAB Europe è un’associazione senza scopo di lucro con sede in Belgio che rappresenta le imprese del settore dell’industria della pubblicità e del marketing digitali a livello europeo.
La IAB Europe ha elaborato il Transparency & Consent Framework (quadro per la trasparenza e il consenso; in prosieguo: il «TCF»), un quadro di norme volto a garantire la conformità al RGPD del trattamento di dati personali di un utente di un sito Internet o di un’applicazione effettuato da taluni operatori. Il TCF favorisce il rispetto del RGPD quando tali operatori ricorrono al protocollo OpenRTB, utilizzato per il Real Time Bidding, un sistema di vendita all’asta online istantanea e automatizzata di profili di utenti ai fini della vendita e dell’acquisto di spazi pubblicitari su Internet.
In tale contesto, il TCF agevola la registrazione delle preferenze degli utenti che sono poi codificate e memorizzate in una stringa composta da una combinazione di lettere e di caratteri denominata dalla IAB Europe Transparency and Consent String (in prosieguo: la «TC String»). Quest’ultima è condivisa con broker di dati personali e piattaforme pubblicitarie che partecipano al protocollo OpenRTB, affinché questi sappiano per cosa l’utente ha prestato o meno il proprio consenso. Un cookie è inoltre collocato sul dispositivo dell’utente che, associato alla TC String, può essere collegato all’indirizzo IP di tale utente.
A seguito di varie denunce dirette contro la IAB Europe, la Sezione Contenzioso del Gegevensbeschermingsautoriteit (Autorità per la protezione dei dati, Belgio), con la sua decisione del 2 febbraio 2022, ha ordinato alla IAB Europe, titolare del trattamento dei dati, di rendere il trattamento dei dati effettuato nell’ambito del TCF conforme alle disposizioni del RGPD.
La IAB Europe ha proposto ricorso avverso tale decisione dinanzi allo hof van beroep te Brussel (Corte d’appello di Bruxelles, Belgio). Nutrendo dubbi sulla questione se una TC String, associata o meno ad un indirizzo IP, costituisca un dato personale e, eventualmente, se la IAB Europe debba essere qualificata come titolare del trattamento dei dati nell’ambito del TCF, in particolare alla luce del trattamento della TC String, la Corte d’appello di Bruxelles ha adito la Corte in via pregiudiziale.
Giudizio della Corte
In primo luogo, la Corte rileva che una stringa composta da una combinazione di lettere e di caratteri, come la TC String, contiene le preferenze di un utente di Internet o di un’applicazione relative al consenso di tale utente al trattamento, da parte di terzi, di dati personali che lo riguardano o relativi alla sua eventuale opposizione a un trattamento di tali dati fondato su un asserito interesse legittimo ( 3 ).
Sul punto, la Corte ritiene che, nella misura in cui il fatto di associare la TC String all’indirizzo IP del dispositivo di un utente o ad altri identificativi consente di identificare tale utente, la TC String contenga informazioni riguardanti un utente identificabile e costituisca quindi un dato personale ( 4 ). Inoltre, la circostanza che la IAB Europe non possa combinare essa stessa la TC String con l’indirizzo IP del dispositivo di un utente e non avrebbe la possibilità di accedere direttamente ai dati trattati dai suoi membri nell’ambito del TCF non impedisce a una TC String di essere qualificata come «dati personali» ( 5 ).
Del resto, i membri della IAB Europe sono tenuti a comunicare a quest’ultima, su sua richiesta, tutte le informazioni che le consentano di identificare gli utenti i cui dati sono oggetto di una TC String. Risulta quindi, fatte salve le verifiche che spetta al giudice del rinvio effettuare, che la IAB Europe dispone di mezzi ragionevoli che le consentono di identificare una determinata persona fisica a partire da una TC String, grazie alle informazioni che i suoi membri e altre organizzazioni che partecipano al TCF sono tenuti a fornirle ( 6 ).
Pertanto, la Corte conclude che una TC String costituisce un dato personale, ai sensi dell’articolo 4, punto 1, del RGPD. Poco importa che, senza un contributo esterno che essa ha il diritto di esigere, una simile organizzazione di settore non possa né accedere ai dati trattati dai suoi membri nell’ambito delle norme da essa stabilite, né combinare la TC String con altri identificativi, come l’indirizzo IP del dispositivo di un utente.
In secondo luogo, la Corte esamina se la IAB Europe possa essere considerata un contitolare del trattamento ( 7 ). A tal fine, è necessario valutare se essa influisce, per scopi che le sono propri, sul trattamento dei dati personali, come la TC String, e determina, insieme ad altri, le finalità e i mezzi di tale trattamento.
Per quanto riguarda, anzitutto, le finalità di un siffatto trattamento di dati, la Corte osserva che il TCF stabilito dalla IAB Europe mira, in sostanza, a favorire e a consentire la vendita e l’acquisto di spazi pubblicitari su Internet da parte di taluni operatori che partecipano alla vendita all’asta online di spazi pubblicitari. Pertanto, fatte salve le verifiche spettanti al giudice del rinvio, la IAB Europe influisce, per scopi che le sono propri, sulle operazioni di trattamento di dati personali e determina, pertanto, congiuntamente ai suoi membri, le finalità di dette operazioni.
Per quanto attiene, poi, ai mezzi utilizzati ai fini dello stesso trattamento, la Corte constata, fatte salve le verifiche effettuate dal giudice del rinvio, che il TCF costituisce un quadro di norme che i membri della IAB Europe dovrebbero accettare per aderire all’associazione di cui trattasi. In particolare, se uno dei suoi membri non si conforma a tali norme, la IAB Europe può adottare una decisione di non conformità e di sospensione che può comportare l’esclusione di detto membro dal TCF e impedirgli di avvalersi della garanzia di conformità al RGPD fornita dal TCF per il trattamento di dati effettuato mediante le TC Strings. Inoltre, il TCF stabilito dalla IAB Europe contiene specifiche tecniche relative al trattamento della TC String nonché norme precise sul contenuto della TC String, il suo stoccaggio e la sua condivisione. Per giunta, la Corte sottolinea che la IAB Europe prescrive, nell’ambito di tali norme, il modo standardizzato in cui le diverse parti coinvolte nel TCF possono consultare le preferenze, le obiezioni e i consensi degli utenti contenuti nelle TC Strings.
Date siffatte circostanze, e fatte salve dette verifiche, la Corte conclude che un’organizzazione di settore come la IAB Europe influisce, per scopi che le sono propri, sulle operazioni di trattamento di dati personali e determina pertanto, congiuntamente con i suoi membri, i mezzi all’origine di tali operazioni. Essa deve pertanto essere considerata come «contitolare del trattamento» ( 8 ).
Infine, la Corte precisa che si opera una distinzione tra, da un lato, il trattamento di dati personali effettuato dai membri della IAB Europe, quali i fornitori di siti Internet o di applicazioni, i broker di dati o, ancora, le piattaforme pubblicitarie, al momento della registrazione in una TC String delle preferenze in materia di consenso degli utenti interessati secondo le norme stabilite nel TCF e, dall’altro, il trattamento successivo di questi dati effettuato dai suddetti operatori nonché da terzi sulla base di tali preferenze, come la trasmissione dei dati a terzi o l’offerta di pubblicità personalizzata a detti utenti.
Pertanto, un’organizzazione di settore, come la IAB Europe, può essere considerata titolare di siffatti trattamenti successivi solo qualora sia dimostrato che essa ha esercitato un’influenza sulla determinazione delle finalità e delle modalità di questi ultimi, circostanza che spetta al giudice del rinvio verificare.
( 1 ) Ai sensi dell’articolo 4, punto 1 del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (GU 2016, L 119, pag. 1) (in prosieguo: il «RGPD»).
( 2 ) Ai sensi dell’articolo 26, paragrafo 1, del RGPD.
( 3 ) Ai sensi dell’articolo 6, paragrafo 1, lettera f), del RGPD.
( 4 ) Ai sensi dell’articolo 4, punto 1, del RGPD.
( 5 ) Ai sensi dell’articolo 4, punto 1, del RGPD.
( 6 ) Conformemente a quanto sancito al considerando 26 del RGPD.
( 7 ) Ai sensi dell’articolo 4, punto 7, e dell’articolo 26, paragrafo 1, del RGPD.
( 8 ) Ai sensi dell’articolo 4, punto 7, e dell’articolo 26, paragrafo 1, del RGPD.