Trattamento illecito dei dati: l’uso di stringhe di profilazione per la vendita all’asta di dati a fini pubblicitari senza il consenso dell’utente viola il GDPR

Quando un utente consulta un sito internet o un'applicazione contenente uno spazio pubblicitario, le imprese, i broker di dati e le piattaforme pubblicitarie, che rappresentano migliaia di inserzionisti, possono presentare offerte in tempo reale, dietro le quinte, per ottenere tale spazio pubblicitario mediante un sistema di asta, al fine di visualizzarvi pubblicità adattate al profilo dell'utente (Real Time Bidding). 

Tuttavia, prima di visualizzare tali pubblicità mirate, deve essere acquisito il previo consenso dell'utente ai fini della raccolta e del trattamento dei suoi dati (riguardanti segnatamente la sua localizzazione, la sua età, la cronologia delle sue ricerche e dei suoi acquisti recenti) per finalità quali, in particolare, il marketing o la pubblicità, o per la condivisione di tali dati con determinati fornitori. L'utente può anche opporvisi.

Nel caso in esame, la I.E. è un'associazione senza scopo di lucro, con sede in Belgio, che rappresenta le imprese del settore dell'industria della pubblicità e del marketing digitali a livello europeo. La I.E. ha elaborato una soluzione che essa presenta come idonea a rendere conforme tale sistema di vendita all'asta al GDPR (Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE).

Le preferenze degli utenti sono codificate e memorizzate in una stringa composta da una combinazione di lettere e di caratteri denominata «Transparency and Consent String» (TC String), che è condivisa con broker di dati personali e piattaforme pubblicitarie, affinché questi sappiano a che cosa l'utente ha prestato il suo consenso o si è opposto. Associati, la TC String e il cookie possono essere correlati all'indirizzo IP dell'utente di cui trattasi.

Nel 2022, l'autorità belga per la protezione dei dati ha ritenuto che la TC String costituisse un dato personale ai sensi del GDPR e che la I.E. abbia agito in qualità di titolare del trattamento dei dati senza rispettare pienamente le prescrizioni del GDPR. Tale autorità le ha imposto diverse misure correttive nonché una sanzione amministrativa pecuniaria.

La I.E. ha contestato tale decisione e ha adito la Corte d'appello di Bruxelles, la quale ha deferito alcune questioni pregiudiziali alla Corte di giustizia. 

Nella sua sentenza, la Corte di giustizia conferma che la TC String contiene informazioni riguardanti un utente identificabile e costituisce pertanto un dato personale ai sensi del GDPR. Infatti, quando le informazioni contenute in una TC String sono associate a un identificativo, come in particolare l'indirizzo IP del dispositivo dell'utente, esse possono consentire di creare un profilo di tale utente e di identificarlo. 

Inoltre, la I.E. deve essere considerata «contitolare del trattamento», ai sensi del GDPR. Infatti, fatte salve le verifiche che spetta al giudice del rinvio effettuare, essa pare influire sulle operazioni di trattamento dei dati al momento della registrazione delle preferenze in materia di consenso degli utenti in una TC String, e determinare, congiuntamente con i suoi membri, tanto le finalità di tali operazioni quanto i mezzi all'origine di dette operazioni. Ciò posto, e fatta salva un'eventuale responsabilità civile prevista dal diritto nazionale, la I.E. non può essere considerata titolare, ai sensi del GDPR, delle operazioni di trattamento dei dati effettuate dopo la registrazione, in una TC String, delle preferenze in materia di consenso degli utenti, a meno che si possa dimostrare che tale associazione ha esercitato un'influenza sulla determinazione delle finalità e delle modalità di dette operazioni.