Update | Le stringhe di consenso sono dati personali: lo dice la Corte di giustizia UE

Le stringhe di consenso – che memorizzano le preferenze degli utenti di Internet o di un’applicazione, codificate in una stringa composta da una combinazione di lettere e di caratteri e associabili all’indirizzo IP del dispositivo, riguardanti i consensi eventualmente prestati dagli stessi perché vengano condivisi con piattaforme pubblicitarie e broker di dati personali – sono da considerarsi dati personali secondo GDPR, in quanto consentono di risalire a un utente, identificato o identificabile. Da ciò deriva che anche per il trattamento di tale tipologia di dati personali dovranno essere osservati i principi di cui al GDPR (quali ad esempio, darne atto nell’informativa resa ai soggetti interessati così come individuare idonei e proporzionati periodi di conservazione).

Questo importante chiarimento nel mondo dell’advertising on line è arrivato dalla Corte di Giustizia dell’Unione Europea, con la sentenza emessa lo scorso 7 marzo 2024 (C-604/2022), nel procedimento promosso dall’Autorità belga per la protezione dei dati nei confronti di IAB Europe (associazione senza scopo di lucro che rappresenta le imprese del settore dell’industria della pubblicità e del marketing digitali a livello europeo).

Inoltre la Corte ha aggiunto che IAB Europe, in quanto organizzazione di settore che ha proposto ai propri membri un quadro di norme relativo al consenso in materia di trattamento di dati personali, il cd. Transparency & Consent Framework (TCF), che gli inserzionisti (da Google a Microsoft, Amazon, TikTok, ecc.) utilizzano per raccogliere le preferenze degli utenti e far visualizzare loro annunci profilati mediante gli spazi pubblicitari on line, deve essere qualificata come contitolare del trattamento dei dati insieme ai fornitori di siti web, a broker e a piattaforme pubblicitarie. Ciò sul presupposto che definisce le modalità con cui devono essere raccolte le preferenze degli utenti e il modo in cui queste preferenze devono essere trattate per generare una stringa di consenso, anche se non ha accesso diretto ai dati personali.

Questa contitolarità non si estende però alle fasi successive del trattamento dei dati, che rimangono direttamente in capo ai fornitori di siti web o di applicazioni in quanto IAB Europe non ha influenza su tali trattamenti.

Con questa sentenza, la Corte torna a fornire importanti indicazioni su come trattare i dati degli utenti dei siti Internet e delle applicazioni, in modo da assicurare che tali dati vengano raccolti, trattati e condivisi in maniera trasparente e mediante meccanismi di consenso che siano chiari e facilmente accessibili. Fondamentale anche l’individuazione dei ruoli e delle responsabilità di IAB Europe e dei suoi membri nel trattamento dei dati degli utenti, che avrà certamente un impatto significativo nel settore del marketing digitale.

Per leggere la sentenza completa, CLICCA QUI.