CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document : ECLI:EU:C:2024:214

HOTĂRÂREA CURȚII (Camera a patra)

7 martie 2024(*)

„Trimitere preliminară – Protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal – Regulamentul (UE) 2016/679 – Organizație sectorială normativă care propune membrilor săi norme privind prelucrarea consimțământului utilizatorilor – Articolul 4 punctul 1 – Noțiunea de «date cu caracter personal» – Șir de litere și caractere care înregistrează într‑o manieră structurată și lizibilă electronic preferințele unui utilizator de internet referitoare la consimțământul acestui utilizator în ceea ce privește prelucrarea datelor sale cu caracter personal – Articolul 4 punctul 7 – Noțiunea de «operator» – Articolul 26 alineatul (1) – Noțiunea de «operatori asociați» – Organizație care nu are acces ea însăși la datele cu caracter personal prelucrate de membrii săi – Responsabilitatea organizației care se extinde la prelucrarea ulterioară a datelor de către terți”

În cauza C‑604/22,

având ca obiect o cerere de decizie preliminară formulată în temeiul articolului 267 TFUE de hof van beroep te Brussel (Curtea de Apel din Bruxelles, Belgia), prin decizia din 7 septembrie 2022, primită de Curte la 19 septembrie 2022, în procedura

IAB Europe

împotriva

Gegevensbeschermingsautoriteit,

cu participarea:

Jef Ausloos,

Pierre Dewitte,

Johnny Ryan,

Fundacja Panoptykon,

Stichting Bits of Freedom,

Ligue des Droits Humains VZW,

CURTEA (Camera a patra),

compusă din domnul C. Lycourgos, președinte de cameră, doamna O. Spineanu‑Matei, domnii J.‑C. Bonichot și S. Rodin și doamna L. S. Rossi (raportoare), judecători,

avocat general: doamna T. Ćapeta,

grefier: doamna A. Lamote, administratoare,

având în vedere procedura scrisă și în urma ședinței din 21 septembrie 2023,

luând în considerare observațiile prezentate:

– pentru IAB Europe, de P. Craddock, avocat, și K. Van Quathem, advocaat;

– pentru Gegevensbeschermingsautoriteit, de E. Cloots, J. Roets și T. Roes, advocaten;

– pentru domnii Jef Ausloos, Pierre Dewitte și Johnny Ryan, pentru Fundacja Panoptykon, Stichting Bits of Freedom și Ligue des Droits Humains VZW, de F. Debusseré și R. Roex, advocaten;

– pentru guvernul austriac, de J. Schmoll și C. Gabauer, în calitate de agenți;

– pentru Comisia Europeană, de A. Bouchagiar și H. Kranenborg, în calitate de agenți,

având în vedere decizia de judecare a cauzei fără concluzii, luată după ascultarea avocatului general,

pronunță prezenta

Hotărâre

1 Cererea de decizie preliminară privește interpretarea articolului 4 punctele 1 și 7, precum și a articolului 24 alineatul (1) din Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor) (JO 2016, L 119, p. 1, denumit în continuare „RGPD”) coroborate cu articolele 7 și 8 din Carta drepturilor fundamentale a Uniunii Europene (denumită în continuare „carta”).

2 Această cerere a fost formulată în cadrul unui litigiu între IAB Europe, pe de o parte, și Gegevensbeschermingsautoriteit (Autoritatea pentru protecția datelor, Belgia) (denumită în continuare „APD”), pe de altă parte, în legătură cu o decizie a camerei de soluționare a litigiilor a APD adoptată împotriva IAB Europe referitoare la pretinsa încălcare a mai multor dispoziții ale RGPD.

Cadrul juridic

Dreptul Uniunii

3 Considerentele (1), (10), (26) și (30) ale RGPD au următorul cuprins:

„(1) Protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal este un drept fundamental. Articolul 8 alineatul (1) din [cartă] și articolul 16 alineatul (1) [TFUE] prevăd dreptul oricărei persoane la protecția datelor cu caracter personal care o privesc.

[…]

(10) Pentru a se asigura un nivel consecvent și ridicat de protecție a persoanelor fizice și pentru a se îndepărta obstacolele din calea circulației datelor cu caracter personal în cadrul Uniunii [Europene], nivelul protecției drepturilor și libertăților persoanelor fizice în ceea ce privește prelucrarea unor astfel de date ar trebui să fie echivalent în toate statele membre. Aplicarea consecventă și omogenă a normelor în materie de protecție a drepturilor și libertăților fundamentale ale persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal ar trebui să fie asigurată în întreaga Uniune. […]

[…]

(26) Principiile protecției datelor ar trebui să se aplice oricărei informații referitoare la o persoană fizică identificată sau identificabilă. Datele cu caracter personal care au fost supuse pseudonimizării, care ar putea fi atribuite unei persoane fizice prin utilizarea de informații suplimentare, ar trebui considerate informații referitoare la o persoană fizică identificabilă. Pentru a se determina dacă o persoană fizică este identificabilă, ar trebui să se ia în considerare toate mijloacele, cum ar fi individualizarea, pe care este probabil, în mod rezonabil, să le utilizeze fie operatorul, fie o altă persoană, în scopul identificării, în mod direct sau indirect, a persoanei fizice respective. Pentru a se determina dacă este probabil, în mod rezonabil, să fie utilizate mijloace pentru identificarea persoanei fizice, ar trebui luați în considerare toți factorii obiectivi, precum costurile și intervalul de timp necesare pentru identificare, ținându‑se seama atât de tehnologia disponibilă la momentul prelucrării, cât și de dezvoltarea tehnologică. Principiile protecției datelor ar trebui, prin urmare, să nu se aplice informațiilor anonime, adică informațiilor care nu sunt legate de o persoană fizică identificată sau identificabilă sau datelor cu caracter personal care sunt anonimizate astfel încât persoana vizată nu este sau nu mai este identificabilă. Prin urmare, prezentul regulament nu se aplică prelucrării unor astfel de informații anonime, inclusiv în cazul în care acestea sunt utilizate în scopuri statistice sau de cercetare.

[…]

(30) Persoanele fizice pot fi asociate cu identificatorii online furnizați de dispozitivele, aplicațiile, instrumentele și protocoalele lor, cum ar fi adresele IP, identificatorii cookie sau alți identificatori precum etichetele de identificare prin frecvențe radio. Aceștia pot lăsa urme care, în special atunci când sunt combinate cu identificatori unici și alte informații primite de servere, pot fi utilizate pentru crearea de profiluri ale persoanelor fizice și pentru identificarea lor.”

4 Articolul 1 din RGPD, intitulat „Obiect și obiective”, prevede la alineatul (2):

„Prezentul regulament asigură protecția drepturilor și libertăților fundamentale ale persoanelor fizice și în special a dreptului acestora la protecția datelor cu caracter personal.”

5 Articolul 4 din regulamentul menționat prevede:

„În sensul prezentului regulament:

1. «date cu caracter personal» înseamnă orice informații privind o persoană fizică identificată sau identificabilă («persoana vizată»); o persoană fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identității sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale;

2. «prelucrare» înseamnă orice operațiune sau set de operațiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace automatizate, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziție în orice alt mod, alinierea sau combinarea, restricționarea, ștergerea sau distrugerea;

[…]

7. «operator» înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care, singur sau împreună cu altele, stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal; atunci când scopurile și mijloacele prelucrării sunt stabilite prin dreptul Uniunii sau dreptul intern, operatorul sau criteriile specifice pentru desemnarea acestuia pot fi prevăzute în dreptul Uniunii sau în dreptul intern;

[…]

11. «consimțământ» al persoanei vizate înseamnă orice manifestare de voință liberă, specifică, informată și lipsită de ambiguitate a persoanei vizate prin care aceasta acceptă, printr‑o declarație sau printr‑o acțiune fără echivoc, ca datele cu caracter personal care o privesc să fie prelucrate;

[…]”

6 Articolul 6 din RGPD, intitulat „Legalitatea prelucrării”, are următorul conținut:

„(1) Prelucrarea este legală numai dacă și în măsura în care se aplică cel puțin una dintre următoarele condiții:

(a) persoana vizată și‑a dat consimțământul pentru prelucrarea datelor sale cu caracter personal pentru unul sau mai multe scopuri specifice;

[…]

(f) prelucrarea este necesară în scopul intereselor legitime urmărite de operator sau de o parte terță, cu excepția cazului în care prevalează interesele sau drepturile și libertățile fundamentale ale persoanei vizate, care necesită protejarea datelor cu caracter personal, în special atunci când persoana vizată este un copil.

Litera (f) din primul paragraf nu se aplică în cazul prelucrării efectuate de autorități publice în îndeplinirea atribuțiilor lor.

[…]”

7 Articolul 24 din acest regulament, intitulat „Responsabilitatea operatorului”, prevede la alineatul (1):

„Ținând seama de natura, domeniul de aplicare, contextul și scopurile prelucrării, precum și de riscurile cu grade diferite de probabilitate și gravitate pentru drepturile și libertățile persoanelor fizice, operatorul pune în aplicare măsuri tehnice și organizatorice adecvate pentru a garanta și a fi în măsură să demonstreze că prelucrarea se efectuează în conformitate cu prezentul regulament. Respectivele măsuri se revizuiesc și se actualizează dacă este necesar.”

8 Articolul 26 din regulamentul menționat, intitulat „Operatori asociați”, prevede la alineatul (1):

„În cazul în care doi sau mai mulți operatori stabilesc în comun scopurile și mijloacele de prelucrare, aceștia sunt operatori asociați. […]”

9 Capitolul VI din RGPD, referitor la „Autorități de supraveghere independente”, cuprinde articolele 51-59 din acest regulament.

10 Articolul 51 din acest regulament, intitulat „Autoritatea de supraveghere”, prevede la alineatele (1) și (2):

„(1) Fiecare stat membru se asigură că una sau mai multe autorități publice independente sunt responsabile de monitorizarea aplicării prezentului regulament, în vederea protejării drepturilor și libertăților fundamentale ale persoanelor fizice în ceea ce privește prelucrarea și în vederea facilitării liberei circulații a datelor cu caracter personal în cadrul Uniunii […].

(2) Fiecare autoritate de supraveghere contribuie la aplicarea coerentă a prezentului regulament în întreaga Uniune. În acest scop, autoritățile de supraveghere cooperează atât între ele, cât și cu Comisia [Europeană], în conformitate cu capitolul VII.”

11 Potrivit articolului 55 alineatele (1) și (2) din RGPD, intitulat „Competența”:

„(1) Fiecare autoritate de supraveghere are competența să îndeplinească sarcinile și să exercite competențele care îi sunt conferite în conformitate cu prezentul regulament pe teritoriul statului membru de care aparține.

(2) În cazul în care prelucrarea este efectuată de autorități publice sau de organisme private care acționează pe baza literei (c) sau (e) de la articolul 6 alineatul (1), este [competentă] autoritatea de supraveghere din statul membru respectiv. În astfel de cazuri, articolul 56 nu se aplică.”

12 Articolul 56 din acest regulament, intitulat „Competența autorității de supraveghere principale”, prevede la alineatul (1):

„Fără a aduce atingere articolului 55, autoritatea de supraveghere a sediului principal sau a sediului unic al operatorului sau al persoanei împuternicite de operator este competentă să acționeze în calitate de autoritate de supraveghere principală pentru prelucrarea transfrontalieră efectuată de respectivul operator sau respectiva persoană împuternicită în cauză în conformitate cu procedura prevăzută la articolul 60.”

13 Articolul 57 din regulamentul menționat, intitulat „Sarcini”, prevede la alineatul (1):

„Fără a aduce atingere altor sarcini stabilite în temeiul prezentului regulament, fiecare autoritate de supraveghere, pe teritoriul său:

(a) monitorizează și asigură aplicarea prezentului regulament;

[…]

(g) cooperează, inclusiv prin schimb de informații, cu alte autorități de supraveghere și își oferă asistență reciprocă pentru a asigura coerența aplicării și respectării prezentului regulament;

[…]”

14 Secțiunea 1, intitulată „Cooperare”, din capitolul VII din același regulament, care poată denumirea de „Cooperare și coerență”, cuprinde articolele 60-62 din acest regulament. Articolul 60, privind „Cooperarea dintre autoritatea de supraveghere principală și celelalte autorități de supraveghere vizate”, prevede la alineatul (1):

„Autoritatea de supraveghere principală cooperează cu celelalte autorități de supraveghere vizate, în conformitate cu prezentul articol, în încercarea de a ajunge la un consens. Autoritatea de supraveghere principală și autoritățile de supraveghere vizate își comunică reciproc toate informațiile relevante.”

15 Articolul 61 din RGPD, intitulat „Asistență reciprocă”, prevede la alineatul (1):

„Autoritățile de supraveghere își furnizează reciproc informații relevante și asistență pentru a pune în aplicare prezentul regulament în mod coerent și instituie măsuri de cooperare eficace între ele. Asistența reciprocă se referă, în special, la cereri de informații și măsuri de supraveghere, cum ar fi cereri privind autorizări și consultări prealabile, inspecții și investigații.”

16 Articolul 62 din acest regulament, intitulat „Operațiuni comune ale autorităților de supraveghere”, prevede la alineatele (1) și (2):

„(1) După caz, autoritățile de supraveghere desfășoară operațiuni comune, inclusiv investigații comune și măsuri comune de aplicare a legii, în care sunt implicați membri sau personal din autoritățile de supraveghere ale altor state membre.

(2) În cazul în care operatorul sau persoana împuternicită de operator deține sedii în mai multe state membre sau dacă un număr semnificativ de persoane vizate din mai multe state membre sunt susceptibile de a fi afectate în mod semnificativ de operațiuni de prelucrare, o autoritate de supraveghere din fiecare dintre statele membre respective are dreptul de a participa la operațiunile comune. […]”

17 Secțiunea 2, intitulată „Asigurarea coerenței”, din capitolul VII din regulamentul menționat cuprinde articolele 63-67 din acest regulament. Articolul 63, intitulat „Mecanismul pentru asigurarea coerenței”, are următorul cuprins:

„Pentru a contribui la aplicarea coerentă a prezentului regulament în întreaga Uniune, autoritățile de supraveghere cooperează între ele și, după caz, cu Comisia prin mecanismul pentru asigurarea coerenței, astfel cum se prevede în prezenta secțiune.”

Dreptul belgian

18 Wet tot oprichting van de Gegevensbeschermingsautoriteit (Legea privind înființarea Autorității pentru protecția datelor) din 3 decembrie 2017 (Belgisch Staatsblad, 10 ianuarie 2018, p. 989, denumită în continuare „LCA”) prevede la articolul 100 alineatul 1 punctul 9°:

„Camera de soluționare a litigiilor are competența de:

[…]

9° a dispune punerea în conformitate a prelucrării.”

19 Articolul 101 din LCA prevede:

„Camera de soluționare a litigiilor poate decide să aplice o amendă administrativă părților urmărite potrivit principiilor generale menționate la articolul 83 din [RGPD].”

Litigiul principal și întrebările preliminare

20 IAB Europe este o asociație fără scop lucrativ cu sediul în Belgia, care reprezintă întreprinderile din sectorul publicității și al marketingului digital la nivel european. Membrii IAB Europe sunt atât întreprinderi din acest sector, precum editori, întreprinderi de comerț electronic și de marketing, intermediari, cât și asociații naționale, printre care IAB (Interactive Advertising Bureau) naționale, care, la rândul lor, au ca membri întreprinderi din sectorul amintit. Printre membrii IAB Europe figurează în special întreprinderi care generează venituri importante prin vânzarea de spații publicitare pe site‑uri internet sau pe aplicații.

21 IAB Europe a dezvoltat Transparency & Consent Framework (Cadrul de transparență și de consimțământ, denumit în continuare „TCF”), care este un cadru de norme compus din directive, instrucțiuni, specificații tehnice, protocoale și obligații contractuale ce permit atât furnizorului unui site internet sau al unei aplicații, cât și brokerilor de date sau chiar platformelor publicitare să prelucreze în mod legal datele cu caracter personal ale unui utilizator al unui site internet sau al unei aplicații.

22 TCF are ca obiectiv în special favorizarea respectării RGPD atunci când acești operatori au recurs la protocolul OpenRTB, și anume unul dintre protocoalele cele mai utilizate pentru Real Time Bidding, care este un sistem de licitare online instantanee și automatizată a profilurilor de utilizator în scopul vânzării și cumpărării de spații publicitare pe internet (denumit în continuare „RTB”). Având în vedere anumite practici aplicate de membrii IAB Europe în cadrul acestui sistem de schimb masiv de date cu caracter personal referitoare la profilurile de utilizator, TCF a fost prezentat de IAB Europe ca o soluție susceptibilă să asigure conformitatea acestui sistem de licitație cu RGPD.

23 Mai precis, după cum reiese din dosarul prezentat Curții, din punct de vedere tehnic, atunci când un utilizator consultă un site internet sau o aplicație care conține un spațiu publicitar, întreprinderile de tehnologie publicitară și în special brokerii de date și platformele publicitare, care reprezintă mii de persoane care își fac publicitate, pot licita în timp real, în culise, pentru a obține acest spațiu publicitar, prin intermediul unui sistem de licitații automatizat ce utilizează algoritmi, în scopul de a afișa în spațiul menționat publicitate țintită adaptată în mod specific profilului unui atare utilizator.

24 Cu toate acestea, înainte de a afișa asemenea publicitate țintită, trebuie colectat consimțământul prealabil al utilizatorului respectiv. Astfel, atunci când acesta consultă un site internet sau o aplicație pentru prima dată, o platformă de gestionare a consimțământului numită „Consent Management Platform” (denumită în continuare „CMP”) apare într‑o fereastră pop‑up permițând acestui utilizator, pe de o parte, să își dea consimțământul pentru ca furnizorul site‑ului internet sau al aplicației să colecteze și să prelucreze datele sale cu caracter personal în scopuri definite în prealabil, cum ar fi printre altele marketingul sau publicitatea, sau în vederea schimbului acestor date cu anumiți furnizori și, pe de altă parte, pentru a se opune diferitelor tipuri de prelucrări de date sau partajării acestora, întemeiate pe interesele legitime revendicate de furnizori, în sensul articolului 6 alineatul (1) litera (f) din RGPD. Aceste date cu caracter personal privesc în special localizarea utilizatorului, vârsta sa, istoricul căutărilor și al achizițiilor recente.

25 În acest context, TCF oferă un cadru pentru prelucrarea pe scară largă a datelor cu caracter personal și facilitează înregistrarea preferințelor utilizatorilor prin intermediul CMP. Aceste preferințe sunt ulterior codificate și stocate într‑un șir compus dintr‑o combinație de litere și de caractere desemnat de IAB Europe sub numele Transparency and Consent String (denumit în continuare „TC String”), care este partajat cu brokerii de date cu caracter personal și cu platformele publicitare care participă la protocolul OpenRTB, pentru ca aceștia să știe la ce a consimțit sau s‑a opus utilizatorul. De asemenea, CMP plasează un cookie (euconsent‑v2) pe dispozitivul utilizatorului. În cazul în care sunt combinați, TC String și cookie euconsent‑v2 pot fi corelați cu adresa IP a utilizatorului respectiv.

26 TCF joacă astfel un rol în funcționarea protocolului OpenRTB, întrucât permite transcrierea preferințelor utilizatorului în vederea comunicării lor către potențiali vânzători și atingerea diferitelor obiective de prelucrare, inclusiv propunerea de publicitate personalizată. TCF urmărește în special să garanteze brokerilor de date cu caracter personal și platformelor publicitare, prin intermediul TC String, respectarea RGPD.

27 Din anul 2019, APD a primit mai multe plângeri îndreptate împotriva IAB Europe, atât din Belgia, cât și din țări terțe, privind conformitatea TCF cu RGPD. După examinarea acestor plângeri, APD, în calitate de autoritate de supraveghere principală, în sensul articolului 56 alineatul (1) din RGPD, a declanșat mecanismul de cooperare și de coerență, în conformitate cu articolele 60-63 din acest regulament, pentru a ajunge la o decizie comună aprobată împreună de toate cele 21 de autorități naționale de supraveghere implicate în cadrul acestui mecanism. Astfel, camera de soluționare a litigiilor a APD a statuat, prin decizia din 2 februarie 2022 (denumită în continuare „decizia din 2 februarie 2022”), că IAB Europe acționa în calitate de operator de date cu caracter personal în ceea ce privește înregistrarea mesajului de consimțământ, a obiecțiilor și a preferințelor utilizatorilor individuali prin intermediul unui TC String, care, potrivit camerei de soluționare a litigiilor a APD, este asociat cu un utilizator identificabil. În plus, în această decizie, camera de soluționare a litigiilor a APD a dispus ca IAB Europe să alinieze, în conformitate cu articolul 100 alineatul 1 punctul 9° din LCA, prelucrarea datelor cu caracter personal efectuată în cadrul TCF cu dispozițiile RGPD și i‑a impus mai multe măsuri corective, precum și o amendă administrativă.

28 IAB Europe a introdus o acțiune împotriva deciziei menționate la hof van beroep te Brussel (Curtea de Apel din Bruxelles, Belgia), care este instanța de trimitere. IAB Europe solicită acestei instanțe anularea deciziei din 2 februarie 2022. Ea contestă, printre altele, faptul că se consideră că a acționat în calitate de operator. Ea susține de asemenea că, în măsura în care constată că TC String constituie o dată cu caracter personal, în sensul articolului 4 punctul 1 din RGPD, această decizie este insuficient nuanțată și motivată și că, în orice caz, este eronată. În special, IAB Europe subliniază că numai ceilalți participanți la TCF ar putea combina TC String cu o adresă IP pentru a‑l transforma într‑o dată cu caracter personal, că TC String nu este propriu unui utilizator și că ea însăși nu are posibilitatea de a accesa datele care sunt prelucrate în acest cadru de membrii săi.

29 APD, susținută în cadrul procedurii naționale de domnii Jef Ausloos, Pierre Dewitte și Johnny Ryan, de Fundacja Panoptykon, de Stichting Bits of Freedom și de Ligue des droits Humains VZW, arată în special că TC Strings constituie date cu caracter personal, în măsura în care CMP pot corela TC Strings cu adresele IP, că, în plus, participanții la TCF pot de asemenea să identifice utilizatorii pe baza altor date, că IAB Europe are acces la informații în acest scop și că această identificare a utilizatorului este tocmai finalitatea TC String, care urmărește să faciliteze vânzarea publicității țintite. În plus, APD susține, printre altele, că faptul că IAB Europe trebuie să fie considerată operator în sensul RGPD reiese din rolul său determinant în prelucrarea TC Strings. APD adaugă că această organizație decide scopurile și, respectiv, mijloacele de prelucrare, modul în care sunt generate, modificate și citite TC Strings, cum și unde sunt stocate cookie‑urile necesare, cine primește datele cu caracter personal și pe baza căror criterii pot fi stabilite termenele de stocare a TC Strings.

30 Instanța de trimitere are îndoieli cu privire la aspectul dacă un șir TC String, combinat sau nu cu o adresă IP, constituie o dată cu caracter personal și, în caz afirmativ, dacă IAB Europe trebuie calificată drept operator de date cu caracter personal în cadrul TCF, în special în ceea ce privește prelucrarea TC String. În această privință, instanța menționată arată că, deși este adevărat că decizia din 2 februarie 2022 reflectă poziția comună adoptată împreună cu diferitele autorități naționale de supraveghere implicate în speță, Curtea nu ar fi avut totuși încă ocazia să se pronunțe cu privire la această nouă tehnologie intruzivă pe care o constituie TC String.

31 În aceste condiții, hof van beroep te Brussel (Curtea de Apel din Bruxelles) a decis să suspende judecarea cauzei și să adreseze Curții următoarele întrebări preliminare:

„1) a) Articolul 4 punctul 1 din [RGPD] coroborat cu articolele 7 și 8 din [cartă] trebuie interpretat în sensul că un șir de caractere care înregistrează, într‑o manieră structurată și lizibilă electronic, preferințele unui utilizator de internet cu privire la prelucrarea datelor sale cu caracter personal constituie o dată cu caracter personal, în sensul dispoziției menționate anterior, pentru (1) o organizație sectorială care pune la dispoziția membrilor săi un standard prin care le specifică maniera în care acest șir de caractere trebuie să fie generat, stocat și/sau distribuit din punct de vedere practic și tehnic și pentru (2) părțile care au implementat acest standard pe site‑urile sau în aplicațiile lor și care au astfel acces la aceste șiruri de caractere?

b) Situația este diferită în cazul în care implementarea standardului presupune ca acest șir de caractere să fie disponibil împreună cu o adresă IP?

c) Răspunsul [la punctele a) și b) ale primei întrebări] conduce la o altă concluzie dacă această organizație sectorială normativă nu are ea însăși acces legal la datele cu caracter personal prelucrate de membrii săi în cadrul acestui standard?

2) a) Articolul 4 punctul 7 și articolul 24 alineatul 1 din [RGPD] coroborat cu articolele 7 și 8 din [cartă] trebuie interpretate în sensul că o organizație sectorială normativă trebuie calificată drept operator atunci când aceasta oferă membrilor săi un standard pentru gestionarea consimțământului care cuprinde, alături de un cadru tehnic obligatoriu, norme care stabilesc în mod detaliat cum trebuie stocate și distribuite aceste date care fac obiectul consimțământului, care constituie date cu caracter personal?

b) Răspunsul [la punctul a) al celei de a doua întrebări] conduce la o altă concluzie dacă această organizație sectorială nu are ea însăși acces legal la datele cu caracter personal prelucrate de membrii săi în cadrul acestui standard?

c) Dacă organizația sectorială normativă trebuie desemnată drept operator sau operator asociat pentru prelucrarea preferințelor utilizatorilor de internet, această responsabilitate (asociată) a organizației sectoriale normative se extinde, prin urmare, în mod automat la prelucrările ulterioare realizate de terți pentru care au fost obținute preferințele utilizatorilor de internet, precum publicitatea online țintită realizată de editori și vânzători?”

Cu privire la prima întrebare

32 Prin intermediul primei întrebări, instanța de trimitere solicită în esență să se stabilească dacă articolul 4 punctul 1 din RGPD trebuie interpretat în sensul că un șir compus dintr‑o combinație de litere și de caractere precum TC String, care conține preferințele unui utilizator de internet sau al unei aplicații referitoare la consimțământul acestui utilizator pentru prelucrarea datelor cu caracter personal care îl privesc de către furnizorii de site‑uri internet sau de aplicații, precum și de brokerii de astfel de date și de platforme de publicitate, constituie o dată cu caracter personal în sensul acestei dispoziții, în cazul în care o organizație sectorială a stabilit cadrul de norme potrivit căruia acest șir trebuie să fie generat, stocat sau distribuit, iar membrii unei asemenea organizații au implementat asemenea norme și au, așadar, acces la șirul menționat. Această instanță solicită de asemenea să se stabilească dacă, pentru a răspunde la această întrebare, trebuie, în primul rând, ca respectivul șir să fie asociat unui identificator, cum ar fi în special adresa IP a dispozitivului utilizatorului respectiv, care permite identificarea persoanei vizate, și, în al doilea rând, ca o astfel de organizație sectorială să dispună de dreptul de acces direct la datele cu caracter personal care sunt prelucrate de membrii săi în contextul normelor pe care le‑a stabilit.

33 Cu titlu introductiv, trebuie amintit că, din moment ce RGPD a abrogat și a înlocuit Directiva 95/46/CE a Parlamentului European și a Consiliului din 24 octombrie 1995 referitoare la protecția persoanelor în privința prelucrării datelor personale și la libera circulație a acestor date (JO 1995, L 281, p. 31, Ediție specială, 13/vol. 17, p. 10), iar dispozițiile relevante ale acestui regulament au un conținut în esență identic cu cel al dispozițiilor relevante din această directivă, jurisprudența Curții referitoare la directiva menționată este de asemenea aplicabilă, în principiu, în ceea ce privește regulamentul amintit (Hotărârea din 17 iunie 2021, M.I.C.M., C‑597/19, EU:C:2021:492, punctul 107).

34 Trebuie amintit de asemenea că, potrivit unei jurisprudențe constante, interpretarea unei dispoziții de drept al Uniunii impune să se țină seama nu numai de termenii săi, ci și de contextul în care se înscrie, precum și de obiectivele și de finalitatea urmărite de actul din care aceasta face parte (Hotărârea din 22 iunie 2023, Pankki S, C‑579/21, EU:C:2023:501, punctul 38, precum și jurisprudența citată).

35 În această privință, trebuie amintit că articolul 4 punctul 1 din RGPD indică faptul că reprezintă o dată cu caracter personal „orice informații privind o persoană fizică identificată sau identificabilă” și precizează că „o „persoană fizică identificabilă” este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identității sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale”.

36 Utilizarea expresiei „orice informații” în definiția noțiunii de „date cu caracter personal”, care se regăsește în această dispoziție, reflectă obiectivul legiuitorului Uniunii de a atribui un sens larg acestei noțiuni, care înglobează potențial orice tip de informații, atât obiective, cât și subiective, sub formă de opinii sau de aprecieri, cu condiția ca acestea „să privească” persoana vizată (Hotărârea din 4 mai 2023, Österreichische Datenschutzbehörde și CRIF, C‑487/21, EU:C:2023:369, punctul 23, precum și jurisprudența citată).

37 În această privință, Curtea a statuat că o informație privește o persoană fizică identificată sau identificabilă atunci când, ca urmare a conținutului, a scopului sau a efectului său, informația este legată de o persoană identificabilă (Hotărârea din 4 mai 2023, Österreichische Datenschutzbehörde și CRIF, C‑487/21, EU:C:2023:369, punctul 24, precum și jurisprudența citată).

38 În ceea ce privește caracterul „identificabil” al unei persoane, rezultă din modul de redactare a articolului 4 punctul 1 din RGPD că o persoană identificabilă este o persoană care poate fi identificată nu doar direct, ci și indirect.

39 Astfel cum Curtea a statuat deja, utilizarea de către legiuitorul Uniunii a termenului „indirect” urmărește să indice că, pentru a califica o informație drept dată cu caracter personal, nu este necesar ca această informație să permită, singură, identificarea persoanei vizate (a se vedea prin analogie Hotărârea din 19 octombrie 2016, Breyer, C‑582/14, EU:C:2016:779, punctul 41). Dimpotrivă, din articolul 4 punctul 5 din RGPD coroborat cu considerentul (26) al acestui regulament rezultă că datele cu caracter personal care ar putea fi atribuite unei persoane fizice prin utilizarea de informații suplimentare trebuie să fie considerate informații referitoare la o persoană fizică identificabilă (Hotărârea din 5 decembrie 2023, Nacionalinis vizuomenės sveikatos centras, C‑683/21, EU:C:2023:949, punctul 58).

40 În plus, acest considerent (26) precizează că, pentru a se determina dacă o persoană este „identificabilă”, ar trebui să se ia în considerare „toate mijloacele, cum ar fi individualizarea, pe care este probabil, în mod rezonabil, să le utilizeze fie operatorul, fie o altă persoană, în scopul identificării, în mod direct sau indirect, a persoanei fizice respective”. Această formulare sugerează că, pentru ca o dată să poată fi considerată „dată cu caracter personal”, în sensul articolului 4 punctul 1 din acest regulament, nu este necesar ca toate informațiile care permit identificarea persoanei vizate să se afle în posesia unei singure persoane (a se vedea prin analogie Hotărârea din 19 octombrie 2016, Breyer, C‑582/14, EU:C:2016:779, punctul 43).

41 Reiese de aici că noțiunea de „date cu caracter personal” nu acoperă numai datele colectate și păstrate de operator, ci include de asemenea toate informațiile ce rezultă dintr‑o prelucrare a datelor cu caracter personal care privesc o persoană identificată sau identificabilă (Hotărârea din 22 iunie 2023, Pankki S, C‑579/21, EU:C:2023:501, punctul 45).

42 În speță, trebuie arătat că un șir compus dintr‑o combinație de litere și de caractere, precum TC String, conține preferințele unui utilizator de internet sau al unei aplicații cu privire la consimțământul acestui utilizator pentru prelucrarea de către terți a unor date cu caracter personal care îl privesc sau referitoare la eventuala sa opoziție la o prelucrare a unor asemenea date întemeiată pe un interes legitim invocat, în temeiul articolului 6 alineatul (1) litera (f) din RGPD.

43 Or, chiar dacă un TC String nu conținea în sine elemente care să permită identificarea directă a persoanei vizate, nu ar fi mai puțin adevărat, în primul rând, că acesta conține preferințele individuale ale unui utilizator specific în ceea ce privește consimțământul său pentru prelucrarea datelor cu caracter personal care îl privesc, aceste informații „privind o persoană fizică”, în sensul articolului 4 punctul 1 din RGPD.

44 În al doilea rând, este de asemenea cert că, atunci când informațiile conținute într‑un TC String sunt asociate unui identificator, precum în special adresa IP a dispozitivului unui asemenea utilizator, ele pot permite crearea unui profil al utilizatorului respectiv și identificarea efectivă a persoanei vizate în mod specific de astfel de informații.

45 În măsura în care faptul de a corela un șir compus dintr‑o combinație de litere și de caractere, precum TC String, cu date suplimentare, în special cu adresa IP a dispozitivului unui utilizator sau cu alți identificatori, permite identificarea acestui utilizator, trebuie să se considere că TC String conține informații privind un utilizator identificabil și constituie, așadar, o dată cu caracter personal, în sensul articolului 4 alineatul (1) din RGPD, fapt confirmat de considerentul (30) al RGPD, care vizează în mod expres o asemenea situație.

46 Această interpretare nu poate fi repusă în discuție de simpla împrejurare că IAB Europe nu ar putea combina ea însăși TC String cu adresa IP a dispozitivului unui utilizator și nu ar dispune de posibilitatea de a accesa direct datele prelucrate de membrii săi în cadrul TCF.

47 Astfel, după cum reiese din jurisprudența amintită la punctul 40 din prezenta hotărâre, o asemenea împrejurare nu se opune ca un TC String să fie considerat „dată cu caracter personal”, în sensul articolului 4 punctul 1 din RGPD.

48 În plus, din dosarul prezentat Curții și în special din decizia din 2 februarie 2022 reiese că membrii IAB Europe sunt obligați să îi comunice acesteia, la cererea sa, toate informațiile care îi permit să identifice utilizatorii ale căror date fac obiectul unui TC String.

49 Rezultă, așadar, sub rezerva verificărilor care trebuie efectuate de instanța de trimitere în această privință, că IAB Europe dispune, în conformitate cu ceea ce enunță considerentul (26) al RGPD, de mijloace rezonabile care îi permit să identifice o anumită persoană fizică pornind de la un TC String, datorită informațiilor pe care membrii săi și alte organizații care participă la TCF sunt obligate să i le furnizeze.

50 Rezultă din cele ce precedă că un TC String constituie o dată cu caracter personal, în sensul articolului 4 punctul 1 din RGPD. Este lipsit de relevanță în această privință faptul că, fără o contribuție externă pe care este îndreptățită să o solicite, o astfel de organizație sectorială nu poate nici să aibă acces la datele care sunt prelucrate de membrii săi în cadrul normelor pe care le‑a stabilit, nici să combine TC String cu alți identificatori, cum ar fi în special adresa IP a dispozitivului unui utilizator.

51 Ținând seama de ceea ce precedă, este necesar să se răspundă la prima întrebare că articolul 4 punctul 1 din RGPD trebuie interpretat în sensul că un șir compus dintr‑o combinație de litere și de caractere precum TC String, care conține preferințele unui utilizator de internet sau al unei aplicații cu privire la consimțământul acestui utilizator pentru prelucrarea datelor cu caracter personal care îl privesc de către furnizorii de site‑uri internet sau de aplicații, precum și de brokerii de astfel de date și de platforme de publicitate, constituie o dată cu caracter personal, în sensul acestei dispoziții, în măsura în care, atunci când acesta poate fi asociat, prin mijloace rezonabile, cu un identificator, cum ar fi, printre altele, adresa IP a dispozitivului utilizatorului respectiv, el permite identificarea persoanei vizate. În asemenea condiții, împrejurarea că, fără o contribuție externă, o organizație sectorială care deține acest șir nu poate nici să aibă acces la datele care sunt prelucrate de membrii săi în cadrul normelor pe care le‑a stabilit, nici să combine respectivul șir cu alte elemente nu se opune ca același șir să constituie o dată cu caracter personal în sensul dispoziției menționate.

Cu privire la a doua întrebare

52 Prin intermediul celei de a doua întrebări, instanța de trimitere solicită în esență să se stabilească dacă articolul 4 punctul 7 din RGPD trebuie interpretat în sensul că:

– pe de o parte, o organizație sectorială, în măsura în care propune membrilor săi un cadru de norme pe care aceasta l‑a stabilit ce privește consimțământul în materie de prelucrare a datelor cu caracter personal, care conține nu numai norme tehnice obligatorii, ci și norme care precizează în mod detaliat modalitățile de stocare și de distribuire a datelor cu caracter personal referitoare la acest consimțământ, trebuie să fie calificată drept „operator”, în sensul acestei dispoziții, și dacă, în scopul răspunsului la această întrebare, este important ca o astfel de organizație sectorială să aibă ea însăși în mod direct acces la datele cu caracter personal prelucrate de membrii săi în cadrul normelor menționate;

– pe de altă parte, eventuala răspundere comună a organizației sectoriale amintite se extinde în mod automat la prelucrările ulterioare de date cu caracter personal efectuate de terți, precum furnizorii de site‑uri internet sau de aplicații, în ceea ce privește preferințele utilizatorilor în scopul publicității online țintite.

53 Cu titlu introductiv, trebuie amintit că obiectivul urmărit de RGPD, astfel cum reiese din articolul 1, precum și din considerentele (1) și (10) ale acestuia, constă printre altele în asigurarea unui nivel ridicat de protecție a drepturilor și libertăților fundamentale ale persoanelor fizice, în special a dreptului lor la viață privată în ceea ce privește prelucrarea datelor cu caracter personal, consacrat la articolul 8 alineatul (1) din cartă și la articolul 16 alineatul (1) TFUE [Hotărârea din 4 mai 2023, Bundesrepublik Deutschland (Căsuță electronică judiciară), C‑60/22, EU:C:2023:373, punctul 64].

54 În conformitate cu acest obiectiv, articolul 4 punctul 7 din acest regulament definește în mod larg noțiunea de „operator” ca vizând persoana fizică sau juridică, autoritatea publică, agenția sau orice alt organism care, singur sau împreună cu altele, stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal.

55 Astfel, după cum Curtea a apreciat deja, obiectivul acestei dispoziții este asigurarea, printr‑o definiție largă a noțiunii de „operator”, a unei protecții eficiente și complete a persoanelor în cauză (a se vedea prin analogie Hotărârea din 5 iunie 2018, Wirtschaftsakademie Schleswig‑Holstein, C‑210/16, EU:C:2018:388, punctul 28).

56 În plus, de vreme ce, astfel cum prevede expres articolul 4 punctul 7 din RGPD, noțiunea de „operator” vizează organismul care, „singur sau împreună cu altele”, stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal, această noțiune nu face trimitere în mod necesar la un organism unic și poate privi mai mulți actori care participă la această prelucrare, fiecare dintre ei fiind în acest caz supus dispozițiilor aplicabile în materie de protecție a datelor (a se vedea prin analogie Hotărârea din 5 iunie 2018, Wirtschaftsakademie Schleswig‑Holstein, C‑210/16, EU:C:2018:388, punctul 29, și Hotărârea din 10 iulie 2018, Jehovan todistajat, C‑25/17, EU:C:2018:551, punctul 65).

57 Curtea a considerat de asemenea că o persoană fizică sau juridică ce influențează, în scopuri proprii, prelucrarea datelor cu caracter personal și participă, ca urmare a acestui fapt, la stabilirea scopurilor și a mijloacelor prelucrării respective poate fi considerată operator în sensul articolului 4 punctul 7 din RGPD (a se vedea prin analogie Hotărârea din 10 iulie 2018, Jehovan todistajat, C‑25/17, EU:C:2018:551, punctul 68). Astfel, conform articolului 26 alineatul (1) din RGPD, există „operatori asociați” în cazul în care doi sau mai mulți operatori stabilesc în comun scopurile și mijloacele de prelucrare (Hotărârea din 5 decembrie 2023, Nacionalinis vizuomenės sveikatos centras, C‑683/21, EU:C:2023:949, punctul 40).

58 În această privință, deși fiecare operator asociat trebuie să respecte în mod independent definiția „operatorului” prevăzută la articolul 4 punctul 7 din RGPD, existența unei responsabilități comune nu înseamnă în mod necesar o răspundere echivalentă a diferiților actori pentru aceeași prelucrare a datelor cu caracter personal. Dimpotrivă, acești actori pot fi implicați în diferite stadii ale acestei prelucrări și în diferite grade, astfel încât nivelul de răspundere al fiecăruia dintre ei trebuie să fie evaluat ținând seama de toate împrejurările pertinente ale speței. În plus, responsabilitatea comună a mai multor actori pentru aceeași prelucrare, în temeiul acestei dispoziții, nu presupune ca fiecare dintre aceștia să aibă acces la datele cu caracter personal în cauză (a se vedea prin analogie Hotărârea din 10 iulie 2018, Jehovan todistajat, C‑25/17, EU:C:2018:551, punctele 66 și 69, precum și jurisprudența citată).

59 Participarea la stabilirea scopurilor și a mijloacelor de prelucrare se poate regăsi sub diferite forme, această participare putând rezulta atât dintr‑o decizie comună luată de două sau mai multe entități, cât și din decizii convergente ale unor asemenea entități. În acest ultim caz, deciziile menționate trebuie să se completeze, astfel încât fiecare dintre ele să aibă un efect concret asupra stabilirii scopurilor și a mijloacelor prelucrării. În schimb, nu se poate impune existența unui acord formal între acești operatori în ceea ce privește scopurile și mijloacele prelucrării (Hotărârea din 5 decembrie 2023, Nacionalinis vizuomenės sveikatos centras, C‑683/21, EU:C:2023:949, punctele 43 și 44).

60 Având în vedere cele ce precedă, trebuie să se considere că prima parte a celei de a doua întrebări adresate urmărește să stabilească dacă o organizație sectorială precum IAB Europe poate fi considerată operator asociat, în sensul articolului 4 punctul 7 și al articolului 26 alineatul (1) din RGPD.

61 În acest scop, trebuie, așadar, să se aprecieze dacă, ținând seama de împrejurările specifice ale speței, aceasta influențează, în scopuri proprii, prelucrarea datelor cu caracter personal, precum TC String, și stabilește, împreună cu altele, scopurile și mijloacele unei astfel de prelucrări.

62 În ceea ce privește, în primul rând, scopurile unei asemenea prelucrări de date cu caracter personal, sub rezerva verificărilor ce revin instanței de trimitere, din dosarul de care dispune Curtea reiese că, după cum s‑a amintit la punctele 21 și 22 din prezenta hotărâre, TCF stabilit de IAB Europe constituie un cadru de norme care urmăresc să asigure conformitatea cu RGPD în ceea ce privește prelucrarea datelor cu caracter personal ale unui utilizator al unui site internet sau al unei aplicații efectuată de anumiți operatori care participă la licitația online a unor spații publicitare.

63 În aceste condiții, TCF urmărește în esență să favorizeze și să permită vânzarea și cumpărarea de spații publicitare pe internet de către operatorii menționați.

64 Prin urmare, se poate considera, sub rezerva verificărilor pe care trebuie să le efectueze instanța de trimitere, că IAB Europe influențează, în scopuri care îi sunt proprii, operațiunile de prelucrare a datelor cu caracter personal în discuție în litigiul principal și stabilește, pentru acest motiv, împreună cu membrii săi, scopurile unor astfel de operațiuni.

65 În al doilea rând, în ceea ce privește mijloacele utilizate în scopul unei asemenea prelucrări de date cu caracter personal, din dosarul de care dispune Curtea reiese, sub rezerva verificărilor ce revin instanței de trimitere, că TCF constituie un cadru de norme pe care membrii IAB Europe trebuie să le accepte pentru a adera la această asociație. Mai precis, astfel cum a confirmat IAB Europe în ședința în fața Curții, dacă unul dintre membrii săi nu se conformează normelor TCF, IAB Europe poate adopta o decizie de neconformitate și de suspendare a acestui membru, ceea ce poate conduce la excluderea membrului respectiv din TCF și, prin urmare, îl poate împiedica să se prevaleze de garanția de conformitate cu RGPD care se presupune că este furnizată de acest sistem pentru prelucrarea datelor cu caracter personal pe care o realizează prin intermediul TC Strings.

66 În plus, și din punct de vedere practic, așa cum s‑a menționat la punctul 21 din prezenta hotărâre, TCF stabilit de IAB Europe conține specificații tehnice referitoare la prelucrarea TC String. În special, se pare că aceste specificații descriu în mod precis modul în care CMP sunt obligate să colecteze preferințele utilizatorilor în ceea ce privește prelucrarea datelor cu caracter personal care îi privesc, precum și modul în care trebuie prelucrate asemenea preferințe pentru a genera un TC String. Totodată, sunt stabilite și norme precise în legătură cu conținutul TC String, precum și cu stocarea și partajarea acestuia.

67 Reiese în special din decizia din 2 februarie 2022 că IAB Europe prevede, în cadrul acestor norme, în special modul standardizat în care diferitele părți implicate în TCF pot consulta preferințele, obiecțiile și acordurile utilizatorilor conținute în TC Strings.

68 În aceste condiții, și sub rezerva verificărilor pe care trebuie să le efectueze instanța de trimitere, este necesar să se considere că o organizație sectorială precum IAB Europe influențează, în scopuri care îi sunt proprii, operațiunile de prelucrare a datelor cu caracter personal în discuție în litigiul principal și stabilește, pentru acest motiv, împreună cu membrii săi, mijloacele aflate la originea unor astfel de operațiuni. Rezultă că aceasta trebuie considerată un „operator asociat”, în sensul articolului 4 punctul 7 și al articolului 26 alineatul (1) din RGPD, conform jurisprudenței amintite la punctul 57 din prezenta hotărâre.

69 Împrejurarea evocată de instanța de trimitere potrivit căreia o astfel de organizație sectorială nu are ea însăși în mod direct acces la TC Strings și, prin urmare, la datele cu caracter personal prelucrate în cadrul normelor menționate de membrii săi, împreună cu care stabilește scopurile și mijloacele de prelucrare a acestor date, nu se opune, conform jurisprudenței amintite la punctul 58 din prezenta hotărâre, ca aceasta să poată fi calificată drept „operator”, în sensul dispozițiilor amintite.

70 În plus, ca răspuns la îndoielile exprimate de această instanță, trebuie să se excludă că eventuala răspundere comună a acestei organizații sectoriale se extinde în mod automat la prelucrările ulterioare de date cu caracter personal efectuate de terți, cum ar fi de exemplu furnizorii de site‑uri internet sau de aplicații, în ceea ce privește preferințele utilizatorilor în scopul publicității online țintite.

71 În această privință, este necesar să se arate, pe de o parte, că articolul 4 punctul 2 din RGPD definește „prelucrarea” datelor cu caracter personal ca fiind „orice operațiune sau set de operațiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace automatizate, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziție în orice alt mod, alinierea sau combinarea, restricționarea, ștergerea sau distrugerea”.

72 Din această definiție reiese că o prelucrare de date cu caracter personal poate să fie constituită din una sau din mai multe operațiuni, fiecare dintre acestea având legătură cu o etapă diferită a acestei prelucrări.

73 Pe de altă parte, astfel cum a statuat deja Curtea, din articolul 4 punctul 7 și din articolul 26 alineatul (1) din RGPD rezultă că o persoană fizică sau juridică poate fi considerată operator asociat în privința operațiunilor de prelucrare a datelor cu caracter personal numai dacă stabilește în comun scopurile și mijloacele acestora. În consecință, și fără a aduce atingere unei eventuale responsabilități civile prevăzute de dreptul național în acest scop, această persoană fizică sau juridică nu poate fi considerată operator, în sensul dispozițiilor menționate, în privința unor operațiuni anterioare sau ulterioare din lanțul de prelucrare cărora nu le stabilește nici scopurile, nici mijloacele (a se vedea prin analogie Hotărârea din 29 iulie 2019, Fashion ID, C‑40/17, EU:C:2019:629, punctul 74).

74 În speță, trebuie să se facă o distincție între, pe de o parte, prelucrarea datelor cu caracter personal efectuată de membrii IAB Europe, și anume furnizorii de site‑uri internet sau de aplicații, precum și brokerii de date sau platformele publicitare, cu ocazia înregistrării într‑un TC String a preferințelor în materie de consimțământ al utilizatorilor în cauză potrivit cadrului de norme stabilit în TCF și, pe de altă parte, prelucrarea ulterioară a datelor cu caracter personal efectuată de acești operatori, precum și de terți pe baza acestor preferințe, cum ar fi, de exemplu, transmiterea acestor date unor terți sau oferirea de publicitate personalizată acestor utilizatori.

75 Astfel, această prelucrare ulterioară, sub rezerva verificărilor pe care trebuie să le efectueze instanța de trimitere, nu pare să implice participarea IAB Europe, așa încât este necesar să se excludă o răspundere automată a unei asemenea organizații, împreună cu operatorii menționați, precum și cu terți, în ceea ce privește prelucrarea datelor cu caracter personal efectuată pe baza datelor referitoare la preferințele utilizatorilor în cauză conținute într‑un TC String.

76 Așadar, o organizație sectorială precum IAB Europe nu poate fi considerată responsabilă de asemenea prelucrări ulterioare decât atunci când se constată că aceasta a exercitat o influență asupra stabilirii finalităților și a modalităților acestora din urmă, aspect a cărui verificare revine instanței de trimitere în raport cu ansamblul împrejurărilor relevante din cauza principală.

77 Având în vedere ansamblul considerațiilor care precedă, este necesar să se răspundă la a doua întrebare că articolul 4 punctul 7 și articolul 26 alineatul (1) din RGPD trebuie interpretate în sensul că:

– pe de o parte, o organizație sectorială, în măsura în care propune membrilor săi un cadru de norme pe care aceasta l‑a stabilit cu privire la consimțământul în materie de prelucrare a datelor cu caracter personal, care conține nu numai norme tehnice obligatorii, ci și norme care precizează în mod detaliat modalitățile de stocare și de distribuire a datelor cu caracter personal referitoare la acest consimțământ, trebuie să fie calificată drept „operator asociat”, în sensul acestei dispoziții, dacă, ținând seama de împrejurările specifice ale speței, ea influențează, în scopuri proprii, prelucrarea datelor cu caracter personal în cauză și, prin urmare, stabilește împreună cu membrii săi scopurile și mijloacele unei asemenea prelucrări. Împrejurarea că o astfel de organizație sectorială nu are ea însăși în mod direct acces la datele cu caracter personal prelucrate de membrii săi în cadrul normelor menționate nu se opune posibilității acesteia de a avea calitatea de operator asociat, în sensul dispozițiilor amintite;

– pe de altă parte, răspunderea asociată a organizației sectoriale menționate nu se extinde în mod automat la prelucrările ulterioare de date cu caracter personal efectuate de terți, precum furnizorii de site‑uri internet sau de aplicații, în ceea ce privește preferințele utilizatorilor în scopul publicității online țintite.

Cu privire la cheltuielile de judecată

78 Întrucât, în privința părților din litigiul principal, procedura are caracterul unui incident survenit la instanța de trimitere, este de competența acesteia să se pronunțe cu privire la cheltuielile de judecată. Cheltuielile efectuate pentru a prezenta observații Curții, altele decât cele ale părților menționate, nu pot face obiectul unei rambursări.

Pentru aceste motive, Curtea (Camera a patra) declară:

1) Articolul 4 punctul 1 din Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor)

trebuie interpretat în sensul că

un șir compus dintr‑o combinație de litere și de caractere precum TC String (Transparency and Consent String), care conține preferințele unui utilizator de internet sau al unei aplicații cu privire la consimțământul acestui utilizator pentru prelucrarea datelor cu caracter personal care îl privesc de către furnizorii de site‑uri internet sau de aplicații, precum și de brokerii de astfel de date și de platforme de publicitate, constituie o dată cu caracter personal, în sensul acestei dispoziții, în măsura în care, atunci când acesta poate fi asociat, prin mijloace rezonabile, cu un identificator, cum ar fi, printre altele, adresa IP a dispozitivului utilizatorului respectiv, el permite identificarea persoanei vizate. În asemenea condiții, împrejurarea că, fără o contribuție externă, o organizație sectorială care deține acest șir nu poate nici să aibă acces la datele care sunt prelucrate de membrii săi în cadrul normelor pe care le‑a stabilit, nici să combine respectivul șir cu alte elemente nu se opune ca același șir să constituie o dată cu caracter personal în sensul dispoziției menționate.

2) Articolul 4 punctul 7 și articolul 26 alineatul (1) din Regulamentul 2016/679

trebuie interpretate în sensul că

– pe de o parte, o organizație sectorială, în măsura în care propune membrilor săi un cadru de norme pe care aceasta l‑a stabilit cu privire la consimțământul în materie de prelucrare a datelor cu caracter personal, care conține nu numai norme tehnice obligatorii, ci și norme care precizează în mod detaliat modalitățile de stocare și de distribuire a datelor cu caracter personal referitoare la acest consimțământ, trebuie să fie calificată drept „operator asociat”, în sensul acestei dispoziții, dacă, ținând seama de împrejurările specifice ale speței, ea influențează, în scopuri proprii, prelucrarea datelor cu caracter personal în cauză și, prin urmare, stabilește împreună cu membrii săi scopurile și mijloacele unei asemenea prelucrări. Împrejurarea că o astfel de organizație sectorială nu are ea însăși în mod direct acces la datele cu caracter personal prelucrate de membrii săi în cadrul normelor menționate nu se opune posibilității acesteia de a avea calitatea de operator asociat, în sensul dispozițiilor amintite;

– pe de altă parte, răspunderea asociată a organizației sectoriale menționate nu se extinde în mod automat la prelucrările ulterioare de date cu caracter personal efectuate de terți, precum furnizorii de site‑uri internet sau de aplicații, în ceea ce privește preferințele utilizatorilor în scopul publicității online țintite.

Semnături

* Limba de procedură: neerlandeza.