Con la sentenza del 7 marzo 2024, resa nella causa C-440/22, la Corte di Giustizia dell’Unione europea ha enunciato un importante principio di diritto relativo alla materia della protezione dei dati personali delle persone fisiche.
La Corte di giustizia ha infatti stabilito che le stringhe di consenso che si trovano sui siti internet che visitiamo e che contengono le preferenze degli utenti costituiscono un dato personale.
Vediamo, in dettaglio, cosa ha stabilito la Corte di Giustizia.
I fatti di causa
La questione ha ad oggetto il trattamento dei dati personali contenuti nelle stringhe che si trovano sui siti internet e che contengono i dati degli utenti.
Responsabile di questi dati è un’associazione belga: tra i suoi membri vi sono soggetti che generano proventi considerevoli mediante la vendita di spazi pubblicitari su siti Internet o applicazioni.
L’associazione in questione ha elaborato il Transparency & Consent Framework (quadro di trasparenza e di consenso, il «TCF»), che è un quadro di norme che consentono tanto al fornitore di un sito Internet o di un’applicazione quanto a broker di dati o anche a piattaforme pubblicitarie di trattare legalmente i dati personali di un utente di un sito Internet o di un’applicazione.
Quando un utente consulta un sito Internet o un’applicazione che contiene uno spazio pubblicitario, broker di dati e piattaforme pubblicitarie, possono presentare offerte in tempo reale, per ottenere tale spazio pubblicitario mediante un sistema di asta automatizzato basato su algoritmi, per visualizzare in detto spazio pubblicità adattate al profilo degli utenti.
Prima di visualizzare le pubblicità mirate, deve essere acquisito il previo consenso dell’utente.
Tali dati personali riguardano in particolare la localizzazione dell’utente, la sua età, la cronologia delle sue ricerche e dei suoi acquisti recenti.
Sul punto, il TCF fornisce un quadro normativo per il trattamento di dati personali su larga scala ed agevola la registrazione delle preferenze degli utenti.
Dal 2019, tuttavia, sono pervenute diverse denunce nei confronti dell'associazione, provenienti sia dal Belgio che da paesi terzi, e vertenti sulla conformità del TCF al RGPD (Regolamento europeo sulla protezione dei dati personali).
La sentenza della Corte di Giustizia dell’Unione europea
La Corte di Giustizia dell’Unione europea, con sentenza del 7 marzo 2024 resa nella causa C-440/22, ha in primo luogo chiarito che la nozione di “dati personali”, “non comprende soltanto i dati raccolti e conservati dal titolare del trattamento, ma include altresì tutte le informazioni risultanti da un trattamento di dati personali che riguardano una persona identificata o identificabile (sentenza del 22 giugno 2023, Pankki S, C‑579/21, EU:C:2023:501, punto 45)”.
Con riguardo al caso in questione, la Corte ha rilevato che “una stringa composta da una combinazione di lettere e di caratteri, come la TC String, contiene le preferenze di un utente di Internet o di un’applicazione relative al consenso di tale utente al trattamento, da parte di terzi, di dati personali che lo riguardano o relative alla sua eventuale opposizione a un trattamento di tali dati fondato su un asserito interesse legittimo, ai sensi dell’articolo 6, paragrafo 1, lettera f), del RGPD.
Orbene, anche se una TC String, di per sé, non contenesse elementi che consentano l’identificazione diretta dell’interessato, rimarrebbe comunque il fatto, in primo luogo, che essa contiene le preferenze individuali di un utente specifico per quanto riguarda il suo consenso al trattamento dei dati personali che lo riguardano, nella misura in cui tale informazione «[riguarda] una persona fisica», ai sensi dell’articolo 4, punto 1, del RGPD”.
Inoltre, “quando le informazioni contenute in una TC String sono associate a un identificativo, come in particolare l’indirizzo IP del dispositivo di tale utente, esse possono consentire di creare un profilo di detto utente e di identificare effettivamente la persona specificamente interessata da tali informazioni”.
La TC String, dunque, contiene informazioni riguardanti un utente identificabile e costituisce un dato personale, ai sensi dell’articolo 4, punto 1, del RGPD.
Il fatto che, senza un contributo esterno, un’organizzazione di settore che detiene tale stringa non possa né accedere ai dati trattati dai suoi membri, né combinare detta stringa con altri elementi non osta a che la stessa stringa costituisca un dato personale.
La Corte ha dunque enunciato i seguenti principi di diritto:
“1) L’articolo 4, punto 1, del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), deve essere interpretato nel senso che:
una stringa composta da una combinazione di lettere e di caratteri, come la TC String (Transparency and Consent String), contenente le preferenze di un utente di Internet o di un’applicazione relative al consenso di tale utente al trattamento dei dati personali che lo riguardano, da parte di fornitori di siti Internet o di applicazioni nonché da parte di broker di tali dati e di piattaforme pubblicitarie, costituisce un dato personale ai sensi della suddetta disposizione, nella misura in cui, qualora essa possa essere associata, con mezzi ragionevoli, ad un identificativo, quale in particolare l’indirizzo IP del dispositivo di detto utente, essa consente di identificare l’interessato. In tale contesto, la circostanza che, senza un contributo esterno, un’organizzazione di settore che detiene tale stringa non possa né accedere ai dati trattati dai suoi membri nell’ambito delle norme da essa stabilite né combinare detta stringa con altri elementi non osta a che la stessa stringa costituisca un dato personale ai sensi della disposizione in parola.
2) L’articolo 4, punto 7, e l’articolo 26, paragrafo 1, del regolamento 2016/679
devono essere interpretati nel senso che:
– da un lato, un’organizzazione di settore, nella misura in cui propone ai suoi membri un quadro di norme, da essa stabilito, relativo al consenso in materia di trattamento di dati personali, che contiene non solo norme tecniche vincolanti, ma anche norme che precisano dettagliatamente le modalità di stoccaggio e di diffusione dei dati personali relativi a detto consenso, deve essere qualificata come «contitolare del trattamento», ai sensi di tali disposizioni se, tenuto conto delle circostanze particolari del caso di specie, essa influisce, per scopi che le sono propri, sul trattamento di dati personali di cui trattasi e determina, pertanto, congiuntamente con i suoi membri, le finalità e i mezzi di un tale trattamento. La circostanza che tale organizzazione di settore non abbia essa stessa accesso diretto ai dati personali trattati dai suoi membri nell’ambito di dette norme non osta a che essa possa assumere la qualità di contitolare del trattamento, ai sensi delle disposizioni summenzionate;
– dall’altro, la contitolarità di detta organizzazione di settore non si estende automaticamente ai trattamenti successivi di dati personali effettuati da terzi, quali i fornitori di siti Internet o di applicazioni, per quanto riguarda le preferenze degli utenti ai fini della pubblicità mirata online”.