Vendita all’asta di dati personali a fini pubblicitari: la Corte di Giustizia dell’Ue chiarisce le regole in base al RGDP

Nella sentenza n. C-604/22 la quarta sezione della Corte di giustizia europea ha regalato alcuni chiarimenti sulla vendita all’asta di dati personali a fini pubblicitari, facendo riferimento alle regole del RGDP.

Ad avviso dei giudici europei l’articolo 4, punto 1, del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), deve essere interpretato nel senso che: una stringa composta da una combinazione di lettere e di caratteri, come la TC String (Transparency and Consent String), contenente le preferenze di un utente di Internet o di un’applicazione relative al consenso di tale utente al trattamento dei dati personali che lo riguardano, da parte di fornitori di siti Internet o di applicazioni nonché da parte di broker di tali dati e di piattaforme pubblicitarie, costituisce un dato personale ai sensi della suddetta disposizione, nella misura in cui, qualora essa possa essere associata, con mezzi ragionevoli, ad un identificativo, quale in particolare l’indirizzo IP del dispositivo di detto utente, essa consente di identificare l’interessato. In tale contesto, la circostanza che, senza un contributo esterno, un’organizzazione di settore che detiene tale stringa non possa né accedere ai dati trattati dai suoi membri nell’ambito delle norme da essa stabilite né combinare detta stringa con altri elementi non osta a che la stessa stringa costituisca un dato personale ai sensi della disposizione in parola.
L’articolo 4, punto 7, e l’articolo 26, paragrafo 1, del regolamento 2016/679 devono essere interpretati nel senso che:
– da un lato, un’organizzazione di settore, nella misura in cui propone ai suoi membri un quadro di norme, da essa stabilito, relativo al consenso in materia di trattamento di dati personali, che contiene non solo norme tecniche vincolanti, ma anche norme che precisano dettagliatamente le modalità di stoccaggio e di diffusione dei dati personali relativi a detto consenso, deve essere qualificata come “contitolare del trattamento”, ai sensi di tali disposizioni se, tenuto conto delle circostanze particolari del caso di specie, essa influisce, per scopi che le sono propri, sul trattamento di dati personali di cui trattasi e determina, pertanto, congiuntamente con i suoi membri, le finalità e i mezzi di un tale trattamento. La circostanza che tale organizzazione di settore non abbia essa stessa accesso diretto ai dati personali trattati dai suoi membri nell’ambito di dette norme non osta a che essa possa assumere la qualità di contitolare del trattamento, ai sensi delle disposizioni summenzionate;
– dall’altro, la contitolarità di detta organizzazione di settore non si estende automaticamente ai trattamenti successivi di dati personali effettuati da terzi, quali i fornitori di siti Internet o di applicazioni, per quanto riguarda le preferenze degli utenti ai fini della pubblicità mirata online.