Edizione provvisoria
SENTENZA DELLA CORTE (Quarta Sezione)
7 marzo 2024 (*)
«Rinvio pregiudiziale – Protezione delle persone fisiche con riguardo al trattamento dei dati personali – Regolamento (UE) 2016/679 – Organizzazione normativa di settore che propone ai suoi membri norme relative al trattamento del consenso degli utenti – Articolo 4, punto 1 – Nozione di “dati personali” – Stringa di lettere e caratteri che rileva, in modo strutturato e leggibile meccanicamente, le preferenze di un utente di Internet relative al consenso di tale utente quanto al trattamento dei suoi dati personali – Articolo 4, punto 7 – Nozione di “titolare del trattamento” – Articolo 26, paragrafo 1 – Nozione di “contitolari del trattamento” – Organizzazione che non ha, essa stessa, accesso ai dati personali trattati dai suoi membri – Responsabilità dell’organizzazione estesa ai successivi trattamenti di dati da parte di terzi»
Nella causa C‑604/22,
avente ad oggetto la domanda di pronuncia pregiudiziale proposta alla Corte, ai sensi dell’articolo 267 TFUE, dallo hof van beroep te Brussel (Corte d’appello di Bruxelles, Belgio), con decisione del 7 settembre 2022, pervenuta in cancelleria il 19 settembre 2022, nel procedimento
IAB Europe
contro
Gegevensbeschermingsautoriteit,
con l’intervento di:
Jef Ausloos,
Pierre Dewitte,
Johnny Ryan,
Fundacja Panoptykon,
Stichting Bits of Freedom,
Ligue des droits humains VZW,
LA CORTE (Quarta Sezione),
composta da C. Lycourgos, presidente di sezione, O. Spineanu-Matei, J.‑C. Bonichot, S. Rodin e L.S. Rossi (relatrice), giudici,
avvocato generale: T. Ćapeta
cancelliere: A. Lamote, amministratrice
vista la fase scritta del procedimento e in seguito all’udienza del 21 settembre 2023,
considerate le osservazioni presentate:
– per la IAB Europe, da P. Craddock, avocat, e K. Van Quathem, advocaat;
– per la Gegevensbeschermingsautoriteit, da E. Cloots, J. Roets e T. Roes, advocaten;
– per Jef Ausloos, Pierre Dewitte, Johnny Ryan, la Fundacja Panoptykon, la Stichting Bits of Freedom e la Ligue des Droits Humains VZW, da F. Debusseré e R. Roex, advocaten;
– per il governo austriaco, da J. Schmoll e C. Gabauer, in qualità di agenti;
– per la Commissione europea, da A. Bouchagiar e H. Kranenborg, in qualità di agenti,
vista la decisione, adottata dopo aver sentito l’avvocato generale, di giudicare la causa senza conclusioni,
ha pronunciato la seguente
Sentenza
1 La domanda di pronuncia pregiudiziale verte sull’interpretazione dell’articolo 4, punti 1 e 7, nonché dell’articolo 24, paragrafo 1, del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (GU 2016, L 119, pag. 1 e rettifica in GU 2018, L 127, pag. 3); in prosieguo: il «RGPD»), letti alla luce degli articoli 7 e 8 della Carta dei diritti fondamentali dell’Unione europea (in prosieguo: la «Carta»).
2 Tale domanda è stata presentata nell’ambito di una controversia tra la IAB Europe e la Gegevensbeschermingsautoriteit (Autorità per la protezione dei dati, Belgio) (in prosieguo: l’«APD») relativamente ad una decisione della Sezione Contenzioso dell’APD adottata nei confronti della IAB Europe riguardo all’asserita violazione di varie disposizioni del RGPD.
Contesto normativo
Diritto dell’Unione
3 I considerando 1, 10, 26 e 30 del RGPD sono del seguente tenore:
«(1) La protezione delle persone fisiche con riguardo al trattamento dei dati di carattere personale è un diritto fondamentale. L’articolo 8, paragrafo 1, della [Carta] e l’articolo 16, paragrafo 1, [TFUE] stabiliscono che ogni persona ha diritto alla protezione dei dati di carattere personale che la riguardano.
(...)
(10) Al fine di assicurare un livello coerente ed elevato di protezione delle persone fisiche e rimuovere gli ostacoli alla circolazione dei dati personali all’interno dell’Unione [europea], il livello di protezione dei diritti e delle libertà delle persone fisiche con riguardo al trattamento di tali dati dovrebbe essere equivalente in tutti gli Stati membri. È opportuno assicurare un’applicazione coerente e omogenea delle norme a protezione dei diritti e delle libertà fondamentali delle persone fisiche con riguardo al trattamento dei dati personali in tutta l’Unione. (...)
(...)
(26) È auspicabile applicare i principi di protezione dei dati a tutte le informazioni relative a una persona fisica identificata o identificabile. I dati personali sottoposti a pseudonimizzazione, i quali potrebbero essere attribuiti a una persona fisica mediante l’utilizzo di ulteriori informazioni, dovrebbero essere considerati informazioni su una persona fisica identificabile. Per stabilire l’identificabilità di una persona è opportuno considerare tutti i mezzi, come l’individuazione, di cui il titolare del trattamento o un terzo può ragionevolmente avvalersi per identificare detta persona fisica direttamente o indirettamente. Per accertare la ragionevole probabilità di utilizzo dei mezzi per identificare la persona fisica, si dovrebbe prendere in considerazione l’insieme dei fattori obiettivi, tra cui i costi e il tempo necessario per l’identificazione, tenendo conto sia delle tecnologie disponibili al momento del trattamento, sia degli sviluppi tecnologici. I principi di protezione dei dati non dovrebbero pertanto applicarsi a informazioni anonime, vale a dire informazioni che non si riferiscono a una persona fisica identificata o identificabile o a dati personali resi sufficientemente anonimi da impedire o da non consentire più l’identificazione dell’interessato. Il presente regolamento non si applica pertanto al trattamento di tali informazioni anonime, anche per finalità statistiche o di ricerca.
(...)
(30) Le persone fisiche possono essere associate a identificativi online prodotti dai dispositivi, dalle applicazioni, dagli strumenti e dai protocolli utilizzati, quali gli indirizzi IP, a marcatori temporanei (cookies) o a identificativi di altro tipo, quali i tag di identificazione a radiofrequenza. Tali identificativi possono lasciare tracce che, in particolare se combinate con identificativi univoci e altre informazioni ricevute dai server, possono essere utilizzate per creare profili delle persone fisiche e identificarle».
4 L’articolo 1 del RGPD, intitolato «Oggetto e finalità», al paragrafo 2, così dispone:
«Il presente regolamento protegge i diritti e le libertà fondamentali delle persone fisiche, in particolare il diritto alla protezione dei dati personali».
5 L’articolo 4 di detto regolamento prevede quanto segue:
«Ai fini del presente regolamento s’intende per:
1) “dato personale”: qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale;
2) “trattamento”: qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione;
(...)
7) “titolare del trattamento”: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri;
(...)
11) “consenso dell’interessato”: qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento;
(...)».
6 L’articolo 6 del RGPD, intitolato «Liceità del trattamento», è così formulato:
«1. Il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni:
a) l’interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità;
(...)
f) il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore.
La lettera f) del primo comma non si applica al trattamento di dati effettuato dalle autorità pubbliche nell’esecuzione dei loro compiti.
(...)».
7 L’articolo 24 di tale regolamento, intitolato «Responsabilità del titolare del trattamento», al paragrafo 1, così dispone:
«Tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento. Dette misure sono riesaminate e aggiornate qualora necessario».
8 L’articolo 26 di detto regolamento, intitolato «Contitolari del trattamento», al paragrafo 1, stabilisce quanto segue:
«Allorché due o più titolari del trattamento determinano congiuntamente le finalità e i mezzi del trattamento, essi sono contitolari del trattamento. (...)».
9 Il capo VI del RGPD, relativo alle «Autorità di controllo indipendenti», comprende gli articoli da 51 a 59 del regolamento di cui trattasi.
10 L’articolo 51 di detto regolamento, intitolato «Autorità di controllo», ai suoi paragrafi 1 e 2, prevede quanto segue:
«1. Ogni Stato membro dispone che una o più autorità pubbliche indipendenti siano incaricate di controllare l’applicazione del presente regolamento al fine di tutelare i diritti e le libertà fondamentali delle persone fisiche con riguardo al trattamento e di agevolare la libera circolazione dei dati personali all’interno dell’Unione (…).
2. Ogni autorità di controllo contribuisce alla coerente applicazione del presente regolamento in tutta l’Unione. A tale scopo, le autorità di controllo cooperano tra loro e con la Commissione [europea], conformemente al capo VII».
11 Ai sensi dell’articolo 55, paragrafi 1 e 2, del RGPD, intitolato «Competenza»:
«1. Ogni autorità di controllo è competente a eseguire i compiti assegnati e a esercitare i poteri a essa conferiti a norma del presente regolamento nel territorio del rispettivo Stato membro.
2. Se il trattamento è effettuato da autorità pubbliche o organismi privati che agiscono sulla base dell’articolo 6, paragrafo 1, lettera c) o e), è competente l’autorità di controllo dello Stato membro interessato. In tal caso, non si applica l’articolo 56».
12 L’articolo 56 del regolamento in parola, intitolato «Competenza dell’autorità di controllo capofila», al suo paragrafo 1, così recita:
«Fatto salvo l’articolo 55, l’autorità di controllo dello stabilimento principale o dello stabilimento unico del titolare del trattamento o responsabile del trattamento è competente ad agire in qualità di autorità di controllo capofila per i trattamenti transfrontalieri effettuati dal suddetto titolare del trattamento o responsabile del trattamento, secondo la procedura di cui all’articolo 60».
13 L’articolo 57 del regolamento di cui trattasi, intitolato «Compiti», al paragrafo 1, così dispone:
«Fatti salvi gli altri compiti indicati nel presente regolamento, sul proprio territorio ogni autorità di controllo:
a) sorveglia e assicura l’applicazione del presente regolamento;
(...)
g) collabora, anche tramite scambi di informazioni, con le altre autorità di controllo e presta assistenza reciproca al fine di garantire l’applicazione e l’attuazione coerente del presente regolamento;
(...)».
14 La sezione 1, intitolata «Cooperazione», del capo VII del medesimo regolamento, a sua volta intitolato «Cooperazione e coerenza», comprende gli articoli da 60 a 62 di tale regolamento. L’articolo 60, relativo alla «Cooperazione tra l’autorità di controllo capofila e le altre autorità di controllo interessate», al paragrafo 1 prevede quanto segue:
«L’autorità di controllo capofila coopera con le altre autorità di controllo interessate conformemente al presente articolo nell’adoperarsi per raggiungere un consenso. L’autorità di controllo capofila e le autorità di controllo interessate si scambiano tutte le informazioni utili».
15 L’articolo 61 del RGPD, intitolato «Assistenza reciproca», al suo paragrafo 1, così recita:
«Le autorità di controllo si scambiano le informazioni utili e si prestano assistenza reciproca al fine di attuare e applicare il presente regolamento in maniera coerente, e mettono in atto misure per cooperare efficacemente tra loro. L’assistenza reciproca comprende, in particolare, le richieste di informazioni e le misure di controllo, quali le richieste di autorizzazioni e consultazioni preventive e le richieste di effettuare ispezioni e indagini».
16 L’articolo 62 del medesimo regolamento, intitolato «Operazioni congiunte delle autorità di controllo», ai paragrafi 1 e 2, prevede quanto segue:
«1. Se del caso, le autorità di controllo conducono operazioni congiunte, incluse indagini congiunte e misure di contrasto congiunte, cui partecipano membri o personale di autorità di controllo di altri Stati membri.
2. Qualora il titolare del trattamento o responsabile del trattamento abbia stabilimenti in vari Stati membri o qualora esista la probabilità che il trattamento abbia su un numero significativo di interessati in più di uno Stato membro un impatto negativo sostanziale, un’autorità di controllo di ogni Stato membro in questione ha il diritto di partecipare alle operazioni congiunte. (...)».
17 La sezione 2, intitolata «Coerenza», del capo VII del suddetto regolamento, comprende gli articoli da 63 a 67 di detto regolamento. L’articolo 63, rubricato «Meccanismo di coerenza» è del seguente tenore:
«Al fine di contribuire all’applicazione coerente del presente regolamento in tutta l’Unione, le autorità di controllo cooperano tra loro e, se del caso, con la Commissione mediante il meccanismo di coerenza stabilito nella presente sezione».
Diritto belga
18 L’articolo 100, paragrafo 1, 9°, della wet tot oprichting van de Gegevensbeschermingsautoriteit (legge che istituisce l’Autorità per la protezione dei dati), del 3 dicembre 2017 (Belgisch Staatsblad del 10 gennaio 2018, pag. 989, in prosieguo: la «LCA») prevede quanto segue:
«La Sezione Contenzioso ha il potere di:
(...)
9° ordinare che il trattamento sia reso conforme».
19 L’articolo 101 della LCA è formulato come segue:
«La Sezione Contenzioso può decidere di infliggere una sanzione amministrativa pecuniaria alle parti perseguite secondo i principi generali di cui all’articolo 83 del [RGPD]».
Procedimento principale e questioni pregiudiziali
20 La IAB Europe è un’associazione senza scopo di lucro con sede in Belgio che rappresenta le imprese del settore dell’industria della pubblicità e del marketing digitali a livello europeo. I membri della IAB Europe sono tanto imprese di tale settore, quali editori, imprese di commercio elettronico e di marketing, intermediari, quanto associazioni nazionali, tra cui le IAB (Interactive Advertising Bureau) nazionali, che, a loro volta, annoverano tra i loro membri talune imprese di detto settore. Tra i membri della IAB Europe figurano, in particolare, imprese che generano proventi considerevoli mediante la vendita di spazi pubblicitari su siti Internet o applicazioni.
21 La IAB Europe ha elaborato il Transparency & Consent Framework (quadro di trasparenza e di consenso; in prosieguo: il «TCF»), che è un quadro di norme composto da direttive, istruzioni, specifiche tecniche, protocolli e obblighi contrattuali che consentono tanto al fornitore di un sito Internet o di un’applicazione quanto a broker di dati o anche a piattaforme pubblicitarie di trattare legalmente i dati personali di un utente di un sito Internet o di un’applicazione.
22 Il TCF ha segnatamente l’obiettivo di favorire l’osservanza del RGPD quando tali operatori ricorrono al protocollo OpenRTB, ossia uno dei protocolli più utilizzati per il Real Time Bidding, che è un sistema di vendita all’asta online istantanea ed automatizzata di profili di utenti ai fini della vendita e dell’acquisto di spazi pubblicitari su Internet (in prosieguo: il «RTB»). Tenuto conto di talune pratiche seguite da membri della IAB Europe nell’ambito di tale sistema di scambio massiccio di dati personali relativi ai profili di utenti, il TCF è stato presentato dalla IAB Europe come una soluzione idonea a rendere conforme al RGPD detto sistema di vendite all’asta.
23 In particolare, come risulta dal fascicolo sottoposto alla Corte, da un punto di vista tecnico, quando un utente consulta un sito Internet o un’applicazione che contiene uno spazio pubblicitario, le imprese che operano nel settore della tecnologia pubblicitaria, e segnatamente broker di dati e piattaforme pubblicitarie, che rappresentano migliaia di inserzionisti, possono presentare offerte in tempo reale, dietro le quinte, per ottenere tale spazio pubblicitario mediante un sistema di asta automatizzato basato su algoritmi, al fine di visualizzare in detto spazio pubblicità mirate, specificamente adattate al profilo di tale utente.
24 Tuttavia, prima di visualizzare siffatte pubblicità mirate, deve essere acquisito il previo consenso di detto utente. Pertanto, quando quest’ultimo consulta un sito Internet o un’applicazione per la prima volta, una piattaforma di gestione del consenso denominata «Consent Management Platform» (in prosieguo: la «CMP») compare in una finestra pop-up che permette a tale utente, da un lato, di prestare il proprio consenso al fornitore del sito Internet o dell’applicazione per la raccolta e il trattamento dei suoi dati personali per fini previamente definiti, quali, in particolare, il marketing o la pubblicità, o per la condivisione dei dati in discussione con taluni fornitori, e, dall’altro, di opporsi a diversi tipi di trattamento di dati o alla loro condivisione, fondati sugli interessi legittimi rivendicati dai fornitori, in forza dell’articolo 6, paragrafo 1, lettera f), del RGPD. Tali dati personali riguardano in particolare la localizzazione dell’utente, la sua età, la cronologia delle sue ricerche e dei suoi acquisti recenti.
25 In tale contesto, il TCF fornisce un quadro per il trattamento di dati personali su larga scala ed agevola la registrazione delle preferenze degli utenti per mezzo della CMP. Dette preferenze sono successivamente codificate e memorizzate in una stringa composta da una combinazione di lettere e di caratteri designata dalla IAB Europe con il nome Transparency and Consent String (in prosieguo: la «TC String»), che viene condivisa con broker di dati personali e piattaforme pubblicitarie che partecipano al protocollo OpenRTB, affinché questi siano al corrente di ciò per cui l’utente ha prestato il suo consenso o di ciò cui si è opposto. La CMP inserisce anche un cookie (euconsent-v2) sul dispositivo dell’utente. Associati, la TC String e il cookie euconsent-v2 possono essere correlati all’indirizzo IP dell’utente di cui trattasi.
26 Il TCF svolge quindi un ruolo nel funzionamento del protocollo OpenRTB giacché consente di trascrivere le preferenze dell’utente ai fini della loro comunicazione a potenziali venditori e di conseguire diversi obiettivi di trattamento, compresa la proposta di pubblicità personalizzata. Il TCF mira in particolare a garantire ai broker di dati personali e alle piattaforme pubblicitarie, per mezzo della TC String, l’osservanza del RGPD.
27 Dal 2019, l’APD ha ricevuto diverse denunce nei confronti della IAB Europe, provenienti sia dal Belgio che da paesi terzi, e vertenti sulla conformità del TCF al RGPD. Dopo aver esaminato tali denunce, l’APD, in qualità di autorità di controllo capofila, ai sensi dell’articolo 56, paragrafo 1, del RGPD, ha attivato il meccanismo di cooperazione e di coerenza, conformemente agli articoli da 60 a 63 di tale regolamento, al fine di pervenire ad una decisione comune approvata congiuntamente da tutte le 21 autorità di controllo nazionali coinvolte nell’ambito di tal meccanismo. Pertanto, la Sezione Contenzioso dell’APD, con la sua decisione del 2 febbraio 2022 (in prosieguo: la «decisione del 2 febbraio 2022»), ha dichiarato che la IAB Europe agiva in qualità di titolare del trattamento di dati personali per quanto riguarda la registrazione del segnale di consenso, delle obiezioni e delle preferenze dei singoli utenti mediante una TC String, che, secondo la Sezione Contenzioso dell’APD, è associata ad un utente identificabile. Inoltre, in tale decisione, la Sezione Contenzioso dell’APD ha ordinato alla IAB Europe, conformemente all’articolo 100, paragrafo 1, 9º, della LCA, di rendere conforme alle disposizioni del RGPD il trattamento dei dati personali effettuato nell’ambito del TCF e le ha imposto diverse misure correttive nonché una sanzione amministrativa pecuniaria.
28 La IAB Europe ha proposto ricorso avverso detta decisione dinanzi allo hof van beroep te Brussel (Corte d’appello di Bruxelles, Belgio), giudice del rinvio. La IAB Europe chiede a tale giudice di annullare la decisione del 2 febbraio 2022. Essa contesta, tra l’altro, il fatto di ritenere che essa avesse agito come titolare del trattamento. Essa sostiene altresì che, laddove si constata che la TC String è un dato personale, a norma dell’articolo 4, punto 1, del RGPD, tale decisione è insufficientemente articolata e motivata e che, in ogni caso, essa è errata. In particolare, la IAB Europe sottolinea che solo gli altri partecipanti al TCF potrebbero combinare la TC String con un indirizzo IP per trasformarla in un dato personale, che la TC String non è propria di un utente e che essa stessa non ha la possibilità di accedere ai dati trattati in tale ambito dai suoi membri.
29 L’APD, sostenuta nell’ambito del procedimento nazionale da Jef Ausloos, Pierre Dewitte, Johnny Ryan, la Fundacja Panoptykon, la Stichting Bits of Freedom e la Ligue des Droits Humains VZW, afferma in particolare che le TC Strings costituiscono effettivamente dati personali, in quanto i CMP possono collegare le TC Strings agli indirizzi IP; inoltre, i partecipanti al TCF possono parimenti identificare gli utenti sulla base di altri dati; la IAB Europe ha accesso alle informazioni a detto fine, e tale identificazione dell’utente è proprio la finalità della TC String, che si prefigge di agevolare la vendita della pubblicità mirata. Inoltre, l’APD sostiene, tra l’altro, che il fatto che la IAB Europe debba essere considerata un titolare del trattamento ai sensi del RGPD risulta dal suo ruolo determinante nel trattamento delle TC Strings. L’APD aggiunge che tale organizzazione determina, rispettivamente, le finalità e i mezzi del trattamento, le modalità con cui le TC Strings sono generate, modificate e lette, come e dove i cookies necessari vengono memorizzati, chi riceve i dati personali e sulla base di quali criteri possono essere stabiliti i termini di conservazione delle TC Strings.
30 Il giudice del rinvio nutre dubbi circa la questione se una TC String, in combinazione con un indirizzo IP o meno, costituisca un dato personale e, in caso affermativo, se la IAB Europe debba essere qualificata come titolare del trattamento dei dati personali nell’ambito del TCF, con particolare riguardo al trattamento della TC String. A tal proposito, detto giudice indica che, se è vero che la decisione del 2 febbraio 2022 rispecchia la posizione comune adottata congiuntamente dalle diverse autorità di controllo nazionali coinvolte nel caso di specie, la Corte non avrebbe tuttavia ancora avuto occasione di pronunciarsi su questa nuova tecnologia intrusiva costituita dalla TC String.
31 Date siffatte circostanze, lo hof van beroep te Brussel (Corte d’appello di Bruxelles) ha deciso di sospendere il procedimento e di sottoporre alla Corte le seguenti questioni pregiudiziali:
«1) a) Se l’articolo 4, punto 1 del [RGPD], in combinato disposto con gli articoli 7 e 8 della [Carta], debba essere interpretato nel senso che una serie di segni, che rileva le preferenze di un utente di Internet in relazione al trattamento dei suoi dati personali in modo strutturato e leggibile meccanicamente, configura un dato personale ai sensi della menzionata disposizione nei confronti (1) di un’organizzazione di settore che mette a disposizione dei suoi membri un modello con il quale prescrive loro con quali modalità pratiche e tecniche tale serie di segni debba essere generata, conservata e/o diffusa, e (2) delle parti che hanno applicato detto modello sui loro siti Internet o nelle loro applicazioni ed hanno in tal modo accesso alla serie di segni in parola.
b) Se al riguardo abbia incidenza la circostanza che l’applicazione del modello implica che la serie di segni in parola sia disponibile insieme a un indirizzo IP.
c) Se la risposta [ai punti a) e b) della prima questione] determini una conclusione diversa nel caso in cui la stessa organizzazione di settore normativa in parola non ha accesso legale ai dati personali trattati dai suoi membri nell’ambito di detto modello.
2) a) Se l’articolo 4, punto 7 e l’articolo 24, paragrafo 1, del [RGPD], in combinato disposto con gli articoli 7 e 8 della [Carta], debbano essere interpretati nel senso che un’organizzazione normativa di settore deve essere qualificata come titolare del trattamento se offre ai suoi membri un modello per la gestione del consenso che, oltre a un quadro tecnico vincolante, contiene disposizioni in cui si stabilisce dettagliatamente come i dati di consenso in parola, che configurano dati personali, debbano essere conservati e diffusi.
b) Se la risposta [al punto a) della seconda questione] determini una conclusione diversa qualora tale organizzazione di settore non abbia essa stessa accesso legale ai dati personali che sono trattati dai suoi membri nel quadro di detto modello.
c) Qualora l’organizzazione normativa di settore debba essere qualificata come (con-)titolare del trattamento delle preferenze degli utenti Internet, se tale (con)titolarità dell’organizzazione normativa di settore si estenda automaticamente anche ai trattamenti successivi ad opera di terzi, per i quali sono state ottenute le preferenze degli utenti Internet, come la pubblicità mirata online ad opera di editori e venditori».
Sulla prima questione
32 Con la sua prima questione, il giudice del rinvio chiede, in sostanza, se l’articolo 4, punto 1, del RGPD debba essere interpretato nel senso che una stringa composta da una combinazione di lettere e di caratteri, come la TC String, contenente le preferenze di un utente di Internet o di un’applicazione relative al consenso di detto utente al trattamento dei dati personali che lo riguardano da parte di fornitori di siti Internet o di applicazioni, nonché da broker di tali dati e da piattaforme pubblicitarie, costituisce un dato personale ai sensi della disposizione citata, qualora un’organizzazione di settore abbia stabilito il quadro di norme secondo cui la stringa di cui trattasi deve essere generata, stoccata o diffusa e i membri di una simile organizzazione hanno dato attuazione a tali norme e hanno quindi accesso a detta stringa. Detto giudice desidera altresì sapere se, ai fini della risposta a tale questione, occorra, in primo luogo, che la stringa in discussione sia associata a un identificativo, come in particolare l’indirizzo IP del dispositivo di detto utente, che consenta di identificare l’interessato, e, in secondo luogo, che una tale organizzazione di settore disponga del diritto di accedere direttamente ai dati personali trattati dai suoi membri nell’ambito del quadro di norme da essa stabilito.
33 In via preliminare, occorre ricordare che, dal momento che il RGPD ha abrogato e sostituito la direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (GU 1995, L 281, pag. 31), e che le disposizioni pertinenti di tale regolamento hanno una portata sostanzialmente identica a quella delle disposizioni pertinenti della suddetta direttiva, la giurisprudenza della Corte relativa a tale direttiva è altresì applicabile, in linea di principio, al suddetto regolamento (sentenza del 17 giugno 2021, M.I.C.M., C‑597/19, EU:C:2021:492, punto 107).
34 Va anche ricordato che, per giurisprudenza costante, l’interpretazione di una disposizione del diritto dell’Unione richiede di tener conto non soltanto della sua formulazione, ma anche del contesto in cui essa si inserisce nonché degli obiettivi e delle finalità che persegue l’atto di cui fa parte (sentenza del 22 giugno 2023, Pankki S, C‑579/21, EU:C:2023:501, punto 38 nonché giurisprudenza ivi citata).
35 A tal riguardo, va rilevato che l’articolo 4, punto 1, del RGPD dispone che costituisce un dato personale «qualsiasi informazione riguardante una persona fisica identificata o identificabile» e precisa che «si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale».
36 L’uso dell’espressione «qualsiasi informazione» nella definizione della nozione di «dato personale», che figura in tale disposizione, riflette l’obiettivo del legislatore dell’Unione di attribuire un’accezione estesa a tale nozione, che comprende potenzialmente ogni tipo di informazioni, tanto oggettive quanto soggettive, sotto forma di pareri o di valutazioni, a condizione che esse «riguardino» la persona interessata (sentenza del 4 maggio 2023, Österreichische Datenschutzbehörde e CRIF, C‑487/21, EU:C:2023:369, punto 23 nonché giurisprudenza ivi citata).
37 La Corte ha dichiarato, in proposito, che un’informazione riguarda una persona fisica identificata o identificabile qualora, in ragione del suo contenuto, della sua finalità o del suo effetto, essa sia connessa a una persona identificabile (sentenza del 4 maggio 2023, Österreichische Datenschutzbehörde e CRIF, C‑487/21, EU:C:2023:369, punto 24, nonché giurisprudenza ivi citata).
38 Quanto al carattere «identificabile» di una persona, dalla formulazione dell’articolo 4, punto 1, del RGPD risulta che si considera identificabile una persona che può essere identificata non solo direttamente, ma anche indirettamente.
39 Come già statuito dalla Corte, l’uso da parte del legislatore dell’Unione del termine «indirettamente» indica tendenzialmente che, per qualificare un’informazione come dato personale, non è necessario che tale informazione consenta di per sé sola di identificare la persona interessata (v., per analogia, sentenza del 19 ottobre 2016, Breyer, C‑582/14, EU:C:2016:779, punto 41). Al contrario, dall’articolo 4, punto 5, del RGPD, in combinato disposto con il considerando 26 di tale regolamento, risulta che i dati personali che potrebbero essere attribuiti a una persona fisica mediante l’utilizzo di informazioni supplementari devono essere considerati informazioni su una persona fisica identificabile (sentenza del 5 dicembre 2023, Nacionalinis visuomenės sveikatos centras, C‑683/21, EU:C:2023:949, punto 58).
40 Inoltre, il considerando 26 sopra citato precisa che, per stabilire «l’identificabilità» di una persona è opportuno considerare «tutti i mezzi, come l’individuazione, di cui il titolare del trattamento o un terzo può ragionevolmente avvalersi per identificare detta persona fisica direttamente o indirettamente». Tale formulazione suggerisce che, affinché un dato possa essere qualificato come «dato personale», ai sensi dell’articolo 4, punto 1, del regolamento in parola, non si richiede che tutte le informazioni che consentono di identificare la persona interessata si trovino in possesso di una sola persona (v., per analogia, sentenza del 19 ottobre 2016, Breyer, C‑582/14, EU:C:2016:779, punto 43).
41 Ne consegue che la nozione di «dati personali» non comprende soltanto i dati raccolti e conservati dal titolare del trattamento, ma include altresì tutte le informazioni risultanti da un trattamento di dati personali che riguardano una persona identificata o identificabile (sentenza del 22 giugno 2023, Pankki S, C‑579/21, EU:C:2023:501, punto 45).
42 Nel caso di specie, occorre rilevare che una stringa composta da una combinazione di lettere e di caratteri, come la TC String, contiene le preferenze di un utente di Internet o di un’applicazione relative al consenso di tale utente al trattamento, da parte di terzi, di dati personali che lo riguardano o relative alla sua eventuale opposizione a un trattamento di tali dati fondato su un asserito interesse legittimo, ai sensi dell’articolo 6, paragrafo 1, lettera f), del RGPD.
43 Orbene, anche se una TC String, di per sé, non contenesse elementi che consentano l’identificazione diretta dell’interessato, rimarrebbe comunque il fatto, in primo luogo, che essa contiene le preferenze individuali di un utente specifico per quanto riguarda il suo consenso al trattamento dei dati personali che lo riguardano, nella misura in cui tale informazione «[riguarda] una persona fisica», ai sensi dell’articolo 4, punto 1, del RGPD.
44 In secondo luogo, è altresì pacifico che, quando le informazioni contenute in una TC String sono associate a un identificativo, come in particolare l’indirizzo IP del dispositivo di tale utente, esse possono consentire di creare un profilo di detto utente e di identificare effettivamente la persona specificamente interessata da tali informazioni.
45 Poiché il fatto di associare una stringa composta da una combinazione di lettere e di caratteri, come la TC String, a dati supplementari, in particolare all’indirizzo IP del dispositivo di un utente o ad altri identificatori, consente di individuare tale utente, si deve ritenere che la TC String contenga informazioni riguardanti un utente identificabile e costituisca quindi un dato personale, ai sensi dell’articolo 4, punto 1, del RGPD, il che viene corroborato dal considerando 30 del RGPD, che fa espresso riferimento ad una fattispecie del genere.
46 Tale interpretazione non può essere messa in discussione dalla mera circostanza che la IAB Europe non potrebbe combinare essa stessa la TC String con l’indirizzo IP del dispositivo di un utente e non disporrebbe della possibilità di accedere direttamente ai dati trattati dai suoi membri nell’ambito del TCF.
47 Infatti, come risulta dalla giurisprudenza ricordata al punto 40 della presente sentenza, una simile circostanza non osta a che una TC String sia qualificata come «dato personale», ai sensi dell’articolo 4, punto 1, del RGPD.
48 Del resto, dal fascicolo di cui dispone la Corte, e segnatamente dalla decisione del 2 febbraio 2022, emerge che i membri della IAB Europe, su richiesta di quest’ultima, sono tenuti a comunicarle tutte le informazioni che le consentano di identificare gli utenti i cui dati sono oggetto di una TC String.
49 Risulta quindi, fatte salve le verifiche che spetta al giudice del rinvio effettuare al riguardo, che la IAB Europe dispone, conformemente a quanto enunciato dal considerando 26 del RGPD, di mezzi ragionevoli che le consentono di identificare una determinata persona fisica in base ad una TC String, grazie alle informazioni che i suoi membri e altre organizzazioni che partecipano al TCF sono tenuti a fornirle.
50 Da quanto precede si evince che una TC String costituisce un dato personale, ai sensi dell’articolo 4, punto 1, del RGPD. È irrilevante, a tal riguardo, il fatto che, senza un contributo esterno che essa ha il diritto di esigere, una siffatta organizzazione di settore non possa né accedere ai dati trattati dai suoi membri nell’ambito delle norme da essa stabilite né combinare la TC String con altri identificatori, quali in particolare l’indirizzo IP del dispositivo di un utente.
51 Alla luce di quanto precede, occorre rispondere alla prima questione dichiarando che l’articolo 4, punto 1, del RGPD deve essere interpretato nel senso che una stringa composta da una combinazione di lettere e di caratteri, come la TC String, contenente le preferenze di un utente di Internet o di un’applicazione relative al consenso di tale utente al trattamento dei dati personali che lo riguardano, da parte di fornitori di siti Internet o di applicazioni nonché da parte di broker di tali dati e di piattaforme pubblicitarie, costituisce un dato personale ai sensi di detta disposizione nella misura in cui, qualora essa possa essere associata, con mezzi ragionevoli, ad un identificativo, quale in particolare l’indirizzo IP del dispositivo di detto utente, essa consente di identificare l’interessato. In tale contesto, la circostanza che, senza un contributo esterno, un’organizzazione di settore che detiene tale stringa non possa né accedere ai dati trattati dai suoi membri nell’ambito delle norme da essa stabilite né combinare detta stringa con altri elementi non osta a che la stessa stringa costituisca un dato personale ai sensi della disposizione in parola.
Sulla seconda questione
52 Con la sua seconda questione, il giudice del rinvio chiede, in sostanza, se l’articolo 4, punto 7, del RGPD debba essere interpretato nel senso che:
– da un lato, un’organizzazione di settore, nella misura in cui propone ai suoi membri un quadro di norme da essa stabilito relativo al consenso in materia di trattamento di dati personali, che contiene non solo norme tecniche vincolanti, ma anche norme che precisano dettagliatamente le modalità di stoccaggio e di diffusione dei dati personali relativi a tale consenso, deve essere qualificata come «titolare del trattamento», ai sensi di detta disposizione e se, ai fini della risposta a tale questione, occorra che una simile organizzazione di settore abbia essa stessa direttamente accesso ai dati personali trattati dai suoi membri nell’ambito delle norme summenzionate;
– d’altro lato, l’eventuale contitolarità di detta organizzazione di settore si estende automaticamente ai trattamenti successivi di dati personali effettuati da terzi, quali i fornitori di siti Internet o di applicazioni, per quanto riguarda le preferenze degli utenti ai fini della pubblicità mirata online.
53 In via preliminare, occorre ricordare che l’obiettivo perseguito dal RGPD, quale risulta dal suo articolo 1 nonché dai suoi considerando 1 e 10, consiste, segnatamente, nel garantire un elevato livello di grado di tutela dei diritti e delle libertà fondamentali delle persone fisiche, in particolare del loro diritto alla vita privata, con riguardo al trattamento dei dati personali, sancito dall’articolo 8, paragrafo 1, della Carta e all’articolo 16, paragrafo 1, TFUE [sentenza del 4 maggio 2023, Bundesrepublik Deutschland (Casella di posta elettronica degli uffici giudiziari), C‑60/22, EU:C:2023:373, punto 64].
54 Conformemente a tale obiettivo, l’articolo 4, punto 7, di tale regolamento definisce in modo ampio la nozione di «titolare del trattamento», inteso come la persona fisica o giuridica, l’autorità pubblica, il servizio o qualsiasi altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali.
55 Infatti, come già giudicato dalla Corte, la finalità di tale disposizione è di garantire, mediante un’ampia definizione della nozione di «titolare del trattamento», una tutela efficace e completa degli interessati (v., per analogia, sentenza del 5 giugno 2018, Wirtschaftsakademie Schleswig-Holstein, C‑210/16, EU:C:2018:388, punto 28).
56 Inoltre, dal momento che, così come prevede espressamente l’articolo 4, punto 7, del RGPD, la nozione di «titolare del trattamento» riguarda l’organismo che, «singolarmente o insieme ad altri», determina le finalità e i mezzi del trattamento di dati personali, tale nozione non rinvia necessariamente ad un unico organismo e può riguardare vari attori che partecipano a tale trattamento, ciascuno dei quali sarà quindi soggetto alle disposizioni applicabili in materia di protezione dei dati (v., per analogia, sentenze del 5 giugno 2018, Wirtschaftsakademie Schleswig-Holstein, C‑210/16, EU:C:2018:388, punto 29, e del 10 luglio 2018, Jehovan todistajat, C‑25/17, EU:C:2018:551, punto 65).
57 La Corte ha altresì dichiarato che una persona fisica o giuridica che influisca, per scopi che le sono propri, sul trattamento di dati personali e partecipi pertanto alla determinazione delle finalità e dei mezzi di tale trattamento può essere considerata titolare del trattamento, ai sensi dell’articolo 4, punto 7, del RGPD (v., per analogia, sentenza del 10 luglio 2018, Jehovan todistajat, C‑25/17, EU:C:2018:551, punto 68). Quindi, conformemente all’articolo 26, paragrafo 1, del RGPD, si è in presenza di «contitolari del trattamento» allorché due o più titolari del trattamento determinano congiuntamente le finalità e i mezzi del trattamento (sentenza del 5 dicembre 2023, Nacionalinis visuomenės sveikatos centras, C‑683/21, EU:C:2023:949, punto 40).
58 A tal riguardo, sebbene ciascun contitolare del trattamento debba rispondere in modo indipendente alla definizione di «titolare del trattamento» di cui all’articolo 4, punto 7, del RGPD, l’esistenza di una contitolarità non si traduce necessariamente in una responsabilità equivalente, per uno stesso trattamento di dati personali, dei diversi attori. Al contrario, tali attori possono essere coinvolti in fasi diverse di tale trattamento e a diversi livelli, di modo che il grado di responsabilità di ciascuno di essi deve essere valutato tenendo conto di tutte le circostanze rilevanti del caso di specie. Inoltre, la contitolarità di vari attori per un medesimo trattamento, in forza della suddetta disposizione, non presuppone che ciascuno di essi abbia accesso ai dati personali in questione (v., per analogia, sentenza del 10 luglio 2018, Jehovan todistajat, C‑25/17, EU:C:2018:551, punti 66 e 69, nonché giurisprudenza ivi citata).
59 La partecipazione alla determinazione delle finalità e dei mezzi del trattamento può assumere forme diverse, potendo tale partecipazione risultare sia da una decisione comune adottata da due o più soggetti che da decisioni convergenti di tali soggetti. In quest’ultimo caso, dette decisioni devono integrarsi, di modo che ciascuna di esse abbia un effetto concreto sulla determinazione delle finalità e dei mezzi del trattamento. Per contro, non si può esigere che vi sia un accordo formale tra tali titolari del trattamento quanto alle finalità e ai mezzi del trattamento (sentenza del 5 dicembre 2023, Nacionalinis visuomenės sveikatos centras, C‑683/21, EU:C:2023:949, punti 43 e 44).
60 Alla luce di quanto precede, occorre ritenere che la prima parte della seconda questione sollevata miri a stabilire se un’organizzazione di settore, come la IAB Europe, possa essere considerata un contitolare del trattamento, ai sensi dell’articolo 4, punto 7, e dell’articolo 26, paragrafo 1, del RGPD.
61 A tal fine, occorre quindi valutare se, tenuto conto delle circostanze particolari del caso di specie, essa influisca, per scopi che le sono propri, sul trattamento di dati personali, quali la TC String, e determini, congiuntamente ad altri, le finalità e i mezzi di un siffatto trattamento.
62 Per quanto riguarda, in primo luogo, le finalità di un siffatto trattamento di dati personali, fatte salve le verifiche che spetta al giudice del rinvio effettuare, dal fascicolo di cui dispone la Corte risulta che, come ricordato ai punti 21 e 22 della presente sentenza, il TCF stabilito dalla IAB Europe costituisce un quadro di norme volto a garantire la conformità al RGPD del trattamento di dati personali di un utente di un sito Internet o di un’applicazione effettuato da taluni operatori che partecipano alla vendita all’asta online di spazi pubblicitari.
63 Ciò posto, il TCF mira, in sostanza, a favorire ed a consentire la vendita e l’acquisto di spazi pubblicitari su Internet da parte di detti operatori.
64 Quindi, si può ritenere, fatte salve le verifiche che spetta al giudice del rinvio effettuare, che la IAB Europe influisca, per scopi che le sono propri, sulle operazioni di trattamento di dati personali di cui trattasi nel procedimento principale e determini, pertanto, congiuntamente con i suoi membri, le finalità delle suddette operazioni.
65 In secondo luogo, quanto ai mezzi utilizzati ai fini di un tale trattamento di dati personali, dal fascicolo di cui dispone la Corte risulta, fatte salve le verifiche che spetta al giudice del rinvio effettuare, che il TCF costituisce un quadro di norme che i membri della IAB Europe dovrebbero accettare per aderire a tale associazione. In particolare, come confermato dalla IAB Europe all’udienza dinanzi alla Corte, se uno dei suoi membri non si conforma alle norme del TCF, la IAB Europe può adottare nei confronti di tale membro una decisione di non conformità e di sospensione che può sfociare nell’esclusione di detto membro dal TCF e, pertanto, impedirgli di avvalersi della garanzia di conformità al RGPD che si ritiene fornita da detto dispositivo per il trattamento di dati personali da esso effettuato mediante le TC Strings.
66 Inoltre, da un punto di vista pratico, come indicato al punto 21 della presente sentenza, il TCF stabilito dall’IAB Europe contiene specifiche tecniche relative al trattamento della TC String. In particolare, sembra che tali specifiche descrivano con precisione il modo in cui i CMP sono tenuti a raccogliere le preferenze degli utenti relative al trattamento dei dati personali che li riguardano, nonché il modo in cui tali preferenze devono essere trattate al fine di generare una TC String. Inoltre, sono stabilite norme precise anche per quanto riguarda il contenuto della TC String nonché il suo stoccaggio e la sua condivisione.
67 Risulta segnatamente dalla decisione del 2 febbraio 2022 che la IAB Europe prescrive, nell’ambito di tali norme, in particolare il modo standardizzato in cui le diverse parti coinvolte nel TCF possono consultare le preferenze, le obiezioni e i consensi degli utenti contenuti nelle TC Strings.
68 Ciò considerato, e fatte salve le verifiche che spetta al giudice del rinvio effettuare, si deve ritenere che un’organizzazione di settore come la IAB Europe influisca, per scopi che le sono propri, sulle operazioni di trattamento di dati personali di cui trattasi nel procedimento principale e determini, pertanto, congiuntamente con i suoi membri, i mezzi all’origine di tali operazioni. Ne consegue che essa deve essere considerata un «contitolare del trattamento» ai sensi dell’articolo 4, punto 7, e dell’articolo 26, paragrafo 1, del RGPD, conformemente alla giurisprudenza citata al punto 57 della presente sentenza.
69 La circostanza, menzionata dal giudice del rinvio, secondo cui una siffatta organizzazione di settore non ha essa stessa accesso diretto alle TC Strings e, quindi, ai dati personali trattati nell’ambito di tali norme dai suoi membri, con i quali determina congiuntamente le finalità e i mezzi del trattamento dei predetti dati, non osta, conformemente alla giurisprudenza ricordata al punto 58 della presente sentenza, alla possibilità di qualificarla come «titolare del trattamento» ai sensi delle summenzionate disposizioni.
70 Inoltre, in risposta ai dubbi espressi da suddetto giudice, occorre escludere che l’eventuale contitolarità di tale organizzazione di settore si estenda automaticamente ai trattamenti successivi di dati personali effettuati da terzi, quali i fornitori di siti Internet o di applicazioni, per quanto riguarda le preferenze degli utenti ai fini della pubblicità mirata online.
71 A questo proposito, occorre rilevare, da un lato, che l’articolo 4, punto 2, del RGPD definisce il «trattamento» di dati personali come «qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione».
72 Da tale definizione emerge che un trattamento di dati personali può essere costituito da una o più operazioni, ciascuna delle quali si ricollega ad una fase diversa di detto trattamento.
73 D’altro lato, come già dichiarato dalla Corte, dall’articolo 4, punto 7, e dall’articolo 26, paragrafo 1, del RGPD discende che una persona fisica o giuridica può essere considerata un contitolare delle operazioni di trattamento di dati personali solo se ne determina congiuntamente le finalità e i mezzi. Di conseguenza, e fatta salva un’eventuale responsabilità civile prevista dal diritto nazionale al riguardo, tale persona fisica o giuridica non può essere considerata titolare, ai sensi di dette disposizioni, delle operazioni anteriori o successive della catena di trattamento di cui essa non determina né le finalità né i mezzi (v., per analogia, sentenza del 29 luglio 2019, Fashion ID, C‑40/17, EU:C:2019:629, punto 74).
74 Nel caso di specie, occorre operare una distinzione tra, da un lato, il trattamento di dati personali effettuato dai membri della IAB Europe, ossia i fornitori di siti Internet o di applicazioni nonché i broker di dati o, ancora, le piattaforme pubblicitarie, in sede di registrazione in una TC String delle preferenze in materia di consenso degli utenti interessati secondo il quadro di norme stabilito nel TCF e, dall’altro, il trattamento successivo di dati personali effettuato da detti operatori nonché da terzi sulla base di tali preferenze, quali la trasmissione di questi dati a terzi o l’offerta di pubblicità personalizzata agli utenti di cui trattasi.
75 Infatti, non risulta che tale trattamento successivo, fatte salve le verifiche che spetta al giudice del rinvio effettuare, implichi la partecipazione della IAB Europe, sicché occorre escludere una responsabilità automatica di tale organizzazione, congiuntamente con detti operatori nonché con terzi, per quanto riguarda il trattamento dei dati personali effettuato sulla base dei dati relativi alle preferenze degli utenti interessati contenute in una TC String.
76 Pertanto, un’organizzazione di settore, quale la IAB Europe, può essere considerata titolare di siffatti trattamenti successivi solo qualora sia dimostrato che essa ha esercitato un’influenza sulla determinazione delle finalità e delle modalità di questi ultimi, circostanza che spetta al giudice del rinvio verificare alla luce dell’insieme delle circostanze pertinenti del procedimento principale.
77 Tenuto conto dell’insieme delle considerazioni che precedono, occorre rispondere alla seconda questione dichiarando che l’articolo 4, punto 7, e l’articolo 26, paragrafo 1, del RGPD devono essere interpretati nel senso che:
– da un lato, un’organizzazione di settore, nella misura in cui propone ai suoi membri un quadro di norme, da essa stabilito, relativo al consenso in materia di trattamento di dati personali, che contiene non solo norme tecniche vincolanti, ma anche norme che precisano dettagliatamente le modalità di stoccaggio e di diffusione dei dati personali relativi a detto consenso, deve essere qualificata come «contitolare del trattamento», ai sensi di tali disposizioni se, tenuto conto delle circostanze particolari del caso di specie, essa influisce, per scopi che le sono propri, sul trattamento di dati personali di cui trattasi e determina, pertanto, congiuntamente con i suoi membri, le finalità e i mezzi di un tale trattamento. La circostanza che tale organizzazione di settore non abbia essa stessa accesso diretto ai dati personali trattati dai suoi membri nell’ambito di dette norme non osta a che essa possa assumere la qualità di contitolare del trattamento, ai sensi delle disposizioni summenzionate;
– dall’altro, la contitolarità di detta organizzazione di settore non si estende automaticamente ai trattamenti successivi di dati personali effettuati da terzi, quali i fornitori di siti Internet o di applicazioni, per quanto riguarda le preferenze degli utenti ai fini della pubblicità mirata online.
Sulle spese
78 Nei confronti delle parti nel procedimento principale la presente causa costituisce un incidente sollevato dinanzi al giudice nazionale, cui spetta quindi statuire sulle spese. Le spese sostenute da altri soggetti per presentare osservazioni alla Corte non possono dar luogo a rifusione.
Per questi motivi, la Corte (Quarta Sezione) dichiara:
1) L’articolo 4, punto 1, del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati),
deve essere interpretato nel senso che:
una stringa composta da una combinazione di lettere e di caratteri, come la TC String (Transparency and Consent String), contenente le preferenze di un utente di Internet o di un’applicazione relative al consenso di tale utente al trattamento dei dati personali che lo riguardano, da parte di fornitori di siti Internet o di applicazioni nonché da parte di broker di tali dati e di piattaforme pubblicitarie, costituisce un dato personale ai sensi della suddetta disposizione, nella misura in cui, qualora essa possa essere associata, con mezzi ragionevoli, ad un identificativo, quale in particolare l’indirizzo IP del dispositivo di detto utente, essa consente di identificare l’interessato. In tale contesto, la circostanza che, senza un contributo esterno, un’organizzazione di settore che detiene tale stringa non possa né accedere ai dati trattati dai suoi membri nell’ambito delle norme da essa stabilite né combinare detta stringa con altri elementi non osta a che la stessa stringa costituisca un dato personale ai sensi della disposizione in parola.
2) L’articolo 4, punto 7, e l’articolo 26, paragrafo 1, del regolamento 2016/679
devono essere interpretati nel senso che:
– da un lato, un’organizzazione di settore, nella misura in cui propone ai suoi membri un quadro di norme, da essa stabilito, relativo al consenso in materia di trattamento di dati personali, che contiene non solo norme tecniche vincolanti, ma anche norme che precisano dettagliatamente le modalità di stoccaggio e di diffusione dei dati personali relativi a detto consenso, deve essere qualificata come «contitolare del trattamento», ai sensi di tali disposizioni se, tenuto conto delle circostanze particolari del caso di specie, essa influisce, per scopi che le sono propri, sul trattamento di dati personali di cui trattasi e determina, pertanto, congiuntamente con i suoi membri, le finalità e i mezzi di un tale trattamento. La circostanza che tale organizzazione di settore non abbia essa stessa accesso diretto ai dati personali trattati dai suoi membri nell’ambito di dette norme non osta a che essa possa assumere la qualità di contitolare del trattamento, ai sensi delle disposizioni summenzionate;
– dall’altro, la contitolarità di detta organizzazione di settore non si estende automaticamente ai trattamenti successivi di dati personali effettuati da terzi, quali i fornitori di siti Internet o di applicazioni, per quanto riguarda le preferenze degli utenti ai fini della pubblicità mirata online.
Firme