Pubbl. Mar, 19 Mar 2024
La Corte di giustizia sulla vendita all´asta di dati personali a fini pubblicitari
Modifica paginaEditoriale a cura di Camilla Della Giustina
Con la sentenza resa nella causa C-604/22 del 7 marzo 2024, la Corte di giustizia dell’Unione Europea ha dettato delle linee guida cui fare riferimento nell’ipotesi di pratiche di vendita, o di messa a disposizione, a fini pubblicitari, dei dati degli utenti. Ancora più precisamente, in base a questa sentenza viene precisato quando, e a quali condizioni, l’attività di vendita/messa a disposizione dei dati personali costituisce una violazione della privacy, ai sensi del GDPR.
Con la sentenza resa nella causa C-604/22 del 7 marzo 2024, la Corte di giustizia dell’Unione Europea ha dettato delle linee guida a cui fare riferimento nell’ipotesi di pratiche di vendita, o di messa a disposizione, a fini pubblicitari, dei dati degli utenti.
Ancora più precisamente, in base a questa sentenza viene precisato quando, e a quali condizioni, l’attività di vendita/messa a disposizione dei dati personali costituisce una violazione della privacy ai sensi del GDPR.
Al fine di comprendere detta pronuncia si deve fare brevemente riferimento alla prassi esistente nel mondo di Internet. Nel momento in cui un utente consulta un sito Internet o un’applicazione contenente uno spazio pubblicitario, le imprese, i broker di dati e le piattaforme pubblicitarie, rappresentanti migliaia di inserzionisti, possono presentare offerte in tempo reale. Questa offerta avviene dietro le quinte e l’obiettivo è quello di ottenere lo spazio pubblicitario attraverso un sistema di asta per visualizzare quale tipologia di pubblicità sia più adatta al profilo dell’utente. Il meccanismo poc’anzi descritto prende il nome di Real Time Bidding.
In questo sistema, e in un momento antecedente alla visualizzazione di queste pubblicità mirate, deve essere acquisito il consenso dell’utente. L'acquisizione del consenso, a sua volta, è richiesto ai fini della raccolta e del trattamento dei suoi dati (relativi, ad esempio che alla sua localizzazione, alla sua età, alla cronologia delle sue ricerche e dei suoi acquisti recenti). L’utente può anche opporvisi.
Nel caso da cui prende le mosse la sentenza della Corte di Giustizia, la IAB Europe ha elaborato un meccanismo che essa presenta come idonea a rendere conforme al GDPR il sistema di vendita all’asta dei dati dei naviganti in rete. Le preferenze degli utenti vengono codificate e memorizzate in una stringa composta da una combinazione di lettere e di caratteri denominata ”Transparency and Consent String” (TC String) che è condivisa con i broker di dati personali e piattaforme pubblicitarie. Grazie alla TC String i soggetti appena menzionati sanno a che cosa gli utenti hanno prestato il loro consenso o se hanno manifestato la loro opposizione. Alla TC String può essere associato l’indirizzo IP dell’utente.
Nel 2022, l’autorità belga per la protezione dei dati ha ritenuto che la TC String costituisse un dato personale ai sensi del GDPR e che la IAB Europe avesse agito in qualità di titolare del trattamento dei dati senza rispettare pienamente le prescrizioni del Regolamento. In base a ciò, l’autorità belga ha imposto diverse misure correttive nonché una sanzione amministrativa pecuniaria alla IAB Europe. Quest’ultima ha contestato tale decisione e ha adito la Corte d’appello di Bruxelles, la quale ha deferito alcune questioni pregiudiziali alla Corte di giustizia.
Nella sua sentenza, la Corte di giustizia conferma che la TC String contiene informazioni riguardanti un utente identificabile e costituisce pertanto un dato personale. Nel momento in cui le informazioni contenute in una TC String sono associate a un identificativo, come in particolare l’indirizzo IP del dispositivo dell’utente, esse possono consentire di creare un profilo di tale utente e di identificarlo.
Inoltre, la IAB Europe deve essere considerata “contitolare del trattamento”, ai sensi del GDPR: essa sembra esercitare un’influenza sulle operazioni di trattamento dei dati al momento della registrazione delle preferenze in materia di consenso degli utenti in una TC String. A contrario, la IAB Europe può essere considerata titolare delle operazioni di trattamento dei dati effettuate dopo la registrazione solamente qualora sia possibile dimostrare che ha esercitato un’influenza sulla determinazione delle finalità e delle modalità delle operazioni successive.
Infine, viene statuito dalla Corte di Giustizia che è compito della IAB Europe, quale contitolare del trattamento, assicurare che le procedure adottate siano rispettose dei diritti degli utenti per quanto attiene il consenso e la gestione dei loro dati personali.