CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document : ECLI:EU:C:2024:214

Edición provisional

SENTENCIA DEL TRIBUNAL DE JUSTICIA (Sala Cuarta)

de 7 de marzo de 2024 (*)

«Procedimiento prejudicial — Protección de las personas físicas en lo que respecta al tratamiento de datos personales — Reglamento (UE) 2016/679 — Organización sectorial normativa que propone a sus miembros normas sobre el tratamiento del consentimiento de los usuarios — Artículo 4, punto 1 — Concepto de “datos personales” — Cadena de letras y caracteres que capta, de manera estructurada y legible mecánicamente, las preferencias de un usuario de Internet relativas al consentimiento de dicho usuario en lo que respecta al tratamiento de sus datos personales — Artículo 4, punto 7 — Concepto de “responsable del tratamiento” — Artículo 26, apartado 1 — Concepto de “corresponsables del tratamiento” — Organización que no tiene acceso a los datos personales tratados por sus miembros — Responsabilidad de la organización que se extiende a los tratamientos ulteriores de datos efectuados por terceros»

En el asunto C‑604/22,

que tiene por objeto una petición de decisión prejudicial planteada, con arreglo al artículo 267 TFUE, por el hof van beroep te Brussel (Tribunal de Apelación de Bruselas, Bélgica), mediante resolución de 7 de septiembre de 2022, recibida en el Tribunal de Justicia el 19 de septiembre de 2022, en el procedimiento entre

IAB Europe

Gegevensbeschermingsautoriteit,

con intervención de:

Jef Ausloos,

Pierre Dewitte,

Johnny Ryan,

Fundacja Panoptykon,

Stichting Bits of Freedom,

Ligue des Droits Humains VZW,

EL TRIBUNAL DE JUSTICIA (Sala Cuarta),

integrado por el Sr. C. Lycourgos, Presidente de Sala, y la Sra. O. Spineanu-Matei, los Sres. J.‑C. Bonichot y S. Rodin y la Sra. L. S. Rossi (Ponente), Jueces;

Abogada General: Sra. T. Ćapeta;

Secretaria: Sra. A. Lamote, administradora;

habiendo considerado los escritos obrantes en autos y celebrada la vista el 21 de septiembre de 2023;

consideradas las observaciones presentadas:

– en nombre de IAB Europe, por el Sr. P. Craddock, avocat, y el Sr. K. Van Quathem, advocaat;

– en nombre de la Gegevensbeschermingsautoriteit, por la Sra. E. Cloots y los Sres. J. Roets y T. Roes, advocaten;

– en nombre de los Sres. Jef Ausloos, Pierre Dewitte y Johnny Ryan y de Fundacja Panoptykon, Stichting Bits of Freedom y Ligue des Droits Humains VZW, por los Sres. F. Debusseré y R. Roex, advocaten;

– en nombre del Gobierno austriaco, por las Sras. J. Schmoll y C. Gabauer, en calidad de agentes;

– en nombre de la Comisión Europea, por los Sres. A. Bouchagiar y H. Kranenborg, en calidad de agentes;

vista la decisión adoptada por el Tribunal de Justicia, oída la Abogada General, de que el asunto sea juzgado sin conclusiones;

dicta la siguiente

Sentencia

1 La petición de decisión prejudicial tiene por objeto la interpretación de los artículos 4, puntos 1 y 7, y 24, apartado 1, del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO 2016, L 119, p. 1; en lo sucesivo, «RGPD»), a la luz de los artículos 7 y 8 de la Carta de los Derechos Fundamentales de la Unión Europea (en lo sucesivo, «Carta»).

2 Esta petición se ha presentado en el contexto de un litigio entre IAB Europe y la Gegevensbeschermingsautoriteit (Autoridad de Protección de Datos, Bélgica; en lo sucesivo, «APD») en relación con una resolución de la Sala de Controversias de la APD adoptada contra IAB Europe por la supuesta infracción de varias disposiciones del RGPD.

Marco jurídico

Derecho de la Unión

3 Los considerandos 1, 10, 26 y 30 del RGPD tienen el siguiente tenor:

«(1) La protección de las personas físicas en relación con el tratamiento de datos personales es un derecho fundamental. El artículo 8, apartado 1, de la [Carta] y el artículo 16 [TFUE], apartado 1, […] establecen que toda persona tiene derecho a la protección de los datos de carácter personal que le conciernan.

[…]

(10) Para garantizar un nivel uniforme y elevado de protección de las personas físicas y eliminar los obstáculos a la circulación de datos personales dentro de la Unión [Europea], el nivel de protección de los derechos y libertades de las personas físicas por lo que se refiere al tratamiento de dichos datos debe ser equivalente en todos los Estados miembros. Debe garantizarse en toda la Unión que la aplicación de las normas de protección de los derechos y libertades fundamentales de las personas físicas en relación con el tratamiento de datos de carácter personal sea coherente y homogénea. […]

[…]

(26) Los principios de la protección de datos deben aplicarse a toda la información relativa a una persona física identificada o identificable. Los datos personales seudonimizados, que cabría atribuir a una persona física mediante la utilización de información adicional, deben considerarse información sobre una persona física identificable. Para determinar si una persona física es identificable, deben tenerse en cuenta todos los medios, como la singularización, que razonablemente pueda utilizar el responsable del tratamiento o cualquier otra persona para identificar directa o indirectamente a la persona física. Para determinar si existe una probabilidad razonable de que se utilicen medios para identificar a una persona física, deben tenerse en cuenta todos los factores objetivos, como los costes y el tiempo necesarios para la identificación, teniendo en cuenta tanto la tecnología disponible en el momento del tratamiento como los avances tecnológicos. Por lo tanto, los principios de protección de datos no deben aplicarse a la información anónima, es decir información que no guarda relación con una persona física identificada o identificable, ni a los datos convertidos en anónimos de forma que el interesado no sea identificable, o deje de serlo. En consecuencia, el presente Reglamento no afecta al tratamiento de dicha información anónima, inclusive con fines estadísticos o de investigación.

[…]

(30) Las personas físicas pueden ser asociadas a identificadores en línea facilitados por sus dispositivos, aplicaciones, herramientas y protocolos, como direcciones de los protocolos de internet, identificadores de sesión en forma de “cookies” u otros identificadores, como etiquetas de identificación por radiofrecuencia. Esto puede dejar huellas que, en particular, al ser combinadas con identificadores únicos y otros datos recibidos por los servidores, pueden ser utilizadas para elaborar perfiles de las personas físicas e identificarlas.»

4 El artículo 1 del RGPD, titulado «Objeto», dispone en su apartado 2:

«El presente Reglamento protege los derechos y libertades fundamentales de las personas físicas y, en particular, su derecho a la protección de los datos personales.»

5 El artículo 4 del citado Reglamento establece:

«A efectos del presente Reglamento se entenderá por:

1) “datos personales”: toda información sobre una persona física identificada o identificable (“el interesado”); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona;

2) “tratamiento”: cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción;

[…]

7) “responsable del tratamiento” o “responsable”: la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento; si el Derecho de la Unión o de los Estados miembros determina los fines y medios del tratamiento, el responsable del tratamiento o los criterios específicos para su nombramiento podrá establecerlos el Derecho de la Unión o de los Estados miembros;

[…]

11) “consentimiento del interesado”: toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen;

[…]».

6 El artículo 6 del RGPD, titulado «Licitud del tratamiento», tiene la siguiente redacción:

«1. El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones:

a) el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos;

[…]

f) el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño.

Lo dispuesto en la letra f) del párrafo primero no será de aplicación al tratamiento realizado por las autoridades públicas en el ejercicio de sus funciones.

[…]»

7 El artículo 24 del citado Reglamento, titulado «Responsabilidad del responsable del tratamiento», dispone lo siguiente en su apartado 1:

«Teniendo en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento, así como los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas, el responsable del tratamiento aplicará medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el presente Reglamento. Dichas medidas se revisarán y actualizarán cuando sea necesario.»

8 El artículo 26 de dicho Reglamento, titulado «Corresponsables del tratamiento», dispone lo siguiente en su apartado 1:

«Cuando dos o más responsables determinen conjuntamente los objetivos y los medios del tratamiento serán considerados corresponsables del tratamiento. […]»

9 El capítulo VI del RGPD, relativo a las «Autoridades de control independientes», comprende los artículos 51 a 59 de dicho Reglamento.

10 El artículo 51 del citado Reglamento, titulado «Autoridad de control», dispone en sus apartados 1 y 2:

«1. Cada Estado miembro establecerá que sea responsabilidad de una o varias autoridades públicas independientes […] supervisar la aplicación del presente Reglamento, con el fin de proteger los derechos y las libertades fundamentales de las personas físicas en lo que respecta al tratamiento y de facilitar la libre circulación de datos personales en la Unión.

2. Cada autoridad de control contribuirá a la aplicación coherente del presente Reglamento en toda la Unión. A tal fin, las autoridades de control cooperarán entre sí y con la Comisión [Europea] con arreglo a lo dispuesto en el capítulo VII.»

11 A tenor del artículo 55, apartados 1 y 2, del RGPD, titulado «Competencia»:

«1. Cada autoridad de control será competente para desempeñar las funciones que se le asignen y ejercer los poderes que se le confieran de conformidad con el presente Reglamento en el territorio de su Estado miembro.

2. Cuando el tratamiento sea efectuado por autoridades públicas o por organismos privados que actúen con arreglo al artículo 6, apartado 1, letras c) o e), será competente la autoridad de control del Estado miembro de que se trate. No será aplicable en tales casos el artículo 56.»

12 El artículo 56 de dicho Reglamento, titulado «Competencia de la autoridad de control principal», establece, en su apartado 1:

«Sin perjuicio de lo dispuesto en el artículo 55, la autoridad de control del establecimiento principal o del único establecimiento del responsable o del encargado del tratamiento será competente para actuar como autoridad de control principal para el tratamiento transfronterizo realizado por parte de dicho responsable o encargado con arreglo al procedimiento establecido en el artículo 60.»

13 El artículo 57, apartado 1, de dicho Reglamento, con el epígrafe «Funciones», dispone:

«Sin perjuicio de otras funciones en virtud del presente Reglamento, incumbirá a cada autoridad de control, en su territorio:

a) controlar la aplicación del presente Reglamento y hacerlo aplicar;

[…]

g) cooperar, en particular compartiendo información, con otras autoridades de control y prestar asistencia mutua con el fin de garantizar la coherencia en la aplicación y ejecución del presente Reglamento;

[…]».

14 La sección 1, titulada «Cooperación y coherencia», del capítulo VII del mismo Reglamento, titulado a su vez «Cooperación y coherencia», comprende los artículos 60 a 62 de dicho Reglamento. El artículo 60, relativo a la «Cooperación entre la autoridad de control principal y las demás autoridades de control interesadas», establece en su apartado 1:

«La autoridad de control principal cooperará con las demás autoridades de control interesadas de acuerdo con el presente artículo, esforzándose por llegar a un consenso. La autoridad de control principal y las autoridades de control interesadas se intercambiarán toda información pertinente.»

15 El artículo 61 del RGPD, con el epígrafe «Asistencia mutua», preceptúa en su apartado 1:

«Las autoridades de control se facilitarán información útil y se prestarán asistencia mutua a fin de aplicar el presente Reglamento de manera coherente, y tomarán medidas para asegurar una efectiva cooperación entre ellas. La asistencia mutua abarcará, en particular, las solicitudes de información y las medidas de control, como las solicitudes para llevar a cabo autorizaciones y consultas previas, inspecciones e investigaciones.»

16 El artículo 62 de este Reglamento, rubricado «Operaciones conjuntas de las autoridades de control», establece en sus apartados 1 y 2:

«1. Las autoridades de control realizarán, en su caso, operaciones conjuntas, incluidas investigaciones conjuntas y medidas de ejecución conjuntas, en las que participen miembros o personal de las autoridades de control de otros Estados miembros.

2. Si el responsable o el encargado del tratamiento tiene establecimientos en varios Estados miembros o si es probable que un número significativo de interesados en más de un Estado miembro se vean sustancialmente afectados por las operaciones de tratamiento, una autoridad de control de cada uno de esos Estados miembros tendrá derecho a participar en operaciones conjuntas. […]»

17 La sección 2, titulada «Coherencia», del capítulo VII del referido Reglamento incluye los artículos 63 a 67 de este. El artículo 63, que lleva por título «Mecanismo de coherencia», está redactado en los siguientes términos:

«A fin de contribuir a la aplicación coherente del presente Reglamento en toda la Unión, las autoridades de control cooperarán entre sí y, en su caso, con la Comisión, en el marco del mecanismo de coherencia establecido en la presente sección.»

Derecho belga

18 La wet tot oprichting van de Gegevensbeschermingsautoriteit (Ley por la que se constituye la Autoridad de Protección de Datos), de 3 de diciembre de 2017 (Belgisch Staatsblad, 10 de enero de 2018, p. 989; en lo sucesivo, «Ley APD»), dispone en su artículo 100, apartado 1, punto 9.º:

«La Sala de Controversias estará facultada para:

[…]

9.° ordenar que se regularice el tratamiento».

19 El artículo 101 de la Ley APD prevé:

«La Sala de Controversias podrá acordar la imposición de una multa administrativa a las partes acusadas de conformidad con los principios generales a que se refiere el artículo 83 del [RGPD].»

Litigio principal y cuestiones prejudiciales

20 IAB Europe es una asociación sin ánimo de lucro, establecida en Bélgica, que representa a las empresas del sector de la publicidad y del marketing digitales a nivel europeo. Los miembros de IAB Europe son tanto empresas de ese sector —tales como editores, empresas de comercio electrónico y de marketing e intermediarios— como asociaciones nacionales, entre ellas las IAB (Interactive Advertising Bureau) nacionales, que, a su vez, cuentan entre sus miembros a empresas de dicho sector. Entre los miembros de IAB Europe figuran, en particular, empresas que generan ingresos importantes mediante la venta de espacios publicitarios en sitios de Internet o en aplicaciones.

21 IAB Europe ha elaborado el Transparency & Consent Framework (Marco de Transparencia y Consentimiento; en lo sucesivo, «TCF»), que es un marco de normas compuesto por directrices, instrucciones, especificaciones técnicas, protocolos y obligaciones contractuales que permiten tanto al proveedor de un sitio de Internet o de una aplicación como a los intermediarios de datos o incluso a las plataformas publicitarias tratar legalmente los datos personales de un usuario de un sitio de Internet o de una aplicación.

22 El TCF tiene como objetivo, en particular, favorecer el cumplimiento del RGPD cuando esos operadores recurren al protocolo OpenRTB, uno de los protocolos más utilizados para el Real Time Bidding, que es un sistema de subasta en línea instantánea y automatizada de perfiles de usuarios para la compraventa de espacios publicitarios en Internet. Habida cuenta de determinadas prácticas llevadas a cabo por miembros de IAB Europe en el marco de este sistema de intercambio masivo de datos personales relativos a perfiles de usuarios, IAB Europe presentó el TCF como una solución que podía conformar dicho sistema de subastas al RGPD.

23 En particular, como se desprende de los autos remitidos al Tribunal de Justicia, desde un punto de vista técnico, cuando un usuario consulta un sitio de Internet o una aplicación que contiene un espacio publicitario, las empresas de tecnología publicitaria, y en particular los intermediarios de datos y las plataformas publicitarias, que representan a miles de anunciantes, pueden pujar en tiempo real, sin ser vistos, por la obtención de ese espacio publicitario a través de un sistema de subastas automatizado que utiliza algoritmos, con el fin de mostrar en dicho espacio publicidad dirigida adaptada específicamente al perfil de tal usuario.

24 Sin embargo, antes de mostrar esa publicidad dirigida, debe obtenerse el consentimiento de dicho usuario. Así, cuando este consulta un sitio de Internet o una aplicación por primera vez, una plataforma de gestión del consentimiento denominada «Consent Management Platform» (en lo sucesivo, «CMP») aparece en una ventana emergente que permite a dicho usuario, bien dar su consentimiento al proveedor del sitio de Internet o de la aplicación para la recogida y el tratamiento de sus datos personales con fines previamente definidos —como, en particular, la comercialización o la publicidad— o para el intercambio de esos datos con determinados proveedores, bien oponerse a diferentes tipos de tratamiento de datos o al intercambio de estos datos sobre la base de los intereses legítimos que invoquen los proveedores en el sentido del artículo 6, apartado 1, letra f), del RGPD. Estos datos personales se refieren, en particular, a la localización del usuario, su edad, su historial de búsquedas y sus compras recientes.

25 En este contexto, el TCF proporciona un marco para un tratamiento de datos personales a gran escala y facilita el registro de las preferencias de los usuarios a través de la CMP. A continuación, estas preferencias se codifican y almacenan en una cadena compuesta por una combinación de letras y caracteres, designada por IAB Europe con el nombre de Transparency and Consent String (en lo sucesivo, «TC String»), que se comparte con intermediarios de datos personales y plataformas publicitarias que participan en el protocolo OpenRTB, para que estos sepan en qué ha consentido el usuario o a qué se ha opuesto. La CMP coloca también una cookie (euconsent-v2) en el dispositivo del usuario. Cuando se combinan, la TC String y la cookie euconsent-v2 pueden vincularse a la dirección IP de ese usuario.

26 De este modo, el TCF desempeña un papel en el funcionamiento del protocolo OpenRTB, ya que permite transcribir las preferencias del usuario para su comunicación a potenciales vendedores y alcanzar diferentes objetivos de tratamiento, incluido ofrecer publicidad a medida. El TCF tiene por objeto, en particular, garantizar a los intermediarios de datos personales y a las plataformas publicitarias el cumplimiento del RGPD a través de la TC String.

27 Desde 2019, la APD ha recibido varias denuncias contra IAB Europe, procedentes tanto de Bélgica como de terceros países, en relación con la conformidad del TCF con el RGPD. Tras examinar estas denuncias, la APD, en su condición de autoridad de control principal, en el sentido del artículo 56, apartado 1, del RGPD, activó el mecanismo de cooperación y coherencia, de conformidad con los artículos 60 a 63 de dicho Reglamento, con el fin de llegar a una decisión común aprobada conjuntamente por las veintiuna autoridades de control nacionales que participan en este mecanismo. Así, la Sala de Controversias de la APD, mediante resolución de 2 de febrero de 2022 (en lo sucesivo, «resolución de 2 de febrero de 2022»), declaró que IAB Europe actuaba como responsable del tratamiento de los datos personales en relación con el registro del consentimiento, de las objeciones y de las preferencias de los usuarios individuales a través de una TC String, la cual, según la Sala de Controversias de la APD, está asociada a un usuario identificable. Además, en dicha resolución, la Sala de Controversias de la APD ordenó a IAB Europe, de conformidad con el artículo 100, apartado 1, punto 9.º, de la Ley APD, que adecuara a las disposiciones del RGPD el tratamiento de datos personales efectuado en el marco del TCF y le impuso varias medidas correctoras y una multa administrativa.

28 IAB Europe interpuso recurso contra dicha resolución ante el hof van beroep te Brussel (Tribunal de Apelación de Bruselas, Bélgica), que es el órgano jurisdiccional remitente. IAB Europe solicita a dicho órgano jurisdiccional que anule la resolución de 2 de febrero de 2022. Se opone, entre otras cosas, a que se considere que actuó como responsable del tratamiento. Asimismo, sostiene que, en la medida en que declara que la TC String es un dato personal, en el sentido del artículo 4, punto 1, del RGPD, dicha resolución no está suficientemente matizada ni motivada y que, en cualquier caso, es errónea. En particular, IAB Europe subraya que solo los demás participantes en el TCF podrían combinar la TC String con una dirección IP para transformarla en un dato personal, que la TC String no es específica de un usuario y que ella no tiene la posibilidad de acceder a los datos tratados en este contexto por sus miembros.

29 La APD, apoyada en el marco del procedimiento nacional por los Sres. Jef Ausloos, Pierre Dewitte y Johnny Ryan y por Fundacja Panoptykon, Stichting Bits of Freedom y Ligue des Droits Humains VZW, alega, en particular, que las TC Strings constituyen efectivamente datos personales, en la medida en que las CMP pueden vincular las TC Strings a las direcciones IP, que, además, los participantes en el TCF también pueden identificar a los usuarios sobre la base de otros datos, que IAB Europe tiene acceso a la información requerida para ello y que esta identificación del usuario es precisamente la finalidad de la TC String, mediante la cual se pretende facilitar la venta de la publicidad dirigida. Además, la APD sostiene, entre otros extremos, que el hecho de que IAB Europe deba ser considerada responsable del tratamiento en el sentido del RGPD se desprende de su función determinante en el tratamiento de las TC Strings. La APD añade que esta organización determina, respectivamente, los fines y los medios del tratamiento, el modo en que se generan, modifican y leen las TC Strings, de qué manera y dónde se almacenan las cookies necesarias, quién recibe los datos personales y sobre la base de qué criterios pueden establecerse los plazos de conservación de las TC String.

30 El órgano jurisdiccional remitente alberga dudas sobre si una TC String, combinada o no con una dirección IP, constituye un dato personal y, de ser así, si IAB Europe debe ser calificada de responsable del tratamiento de los datos personales en el marco del TCF, en particular en relación con el tratamiento de la TC String. A este respecto, dicho órgano jurisdiccional indica que, si bien es cierto que la resolución de 2 de febrero de 2022 refleja la posición común adoptada conjuntamente por las diferentes autoridades de control nacionales implicadas en el caso de autos, el Tribunal de Justicia aún no ha tenido ocasión de pronunciarse sobre esta nueva tecnología intrusiva que constituye la TC String.

31 En estas circunstancias, el hof van beroep te Brussel (Tribunal de Apelación de Bruselas) decidió suspender el procedimiento y plantear al Tribunal de Justicia las siguientes cuestiones prejudiciales:

«1) a) ¿Debe interpretarse el artículo 4, punto 1, del [RGPD], en relación con los artículos 7 y 8 de la [Carta], en el sentido de que una cadena de caracteres que recoge las preferencias de un usuario de Internet en relación con el tratamiento de sus datos personales de forma estructurada y legible mecánicamente constituye un dato personal en el sentido de la citada disposición en relación con (1) una organización sectorial que pone a disposición de sus miembros un estándar por el que les prescribe las modalidades prácticas y técnicas conforme a las que debe generarse, almacenarse o difundirse tal cadena de caracteres, y (2) las partes que han aplicado dicho estándar en sus sitios web o en sus aplicaciones y, de este modo, tienen acceso a dicha cadena de caracteres?

b) ¿Tiene alguna relevancia a este respecto el hecho de que la aplicación del estándar implique que esta cadena de caracteres esté disponible junto a una dirección IP?

c) ¿Sería distinta la respuesta a las [letras a) y b) de la primera cuestión] si esta organización sectorial normativa no tuviera ella misma acceso legal a los datos personales tratados por sus miembros en el marco de dicho estándar?

2) a) ¿Deben interpretarse los artículos 4, punto 7, y 24, apartado 1, del [RGPD], en relación con los artículos 7 y 8 de la [Carta], en el sentido de que una organización sectorial normativa debe ser calificada de responsable del tratamiento cuando ofrece a sus miembros un estándar para la gestión del consentimiento que, además de un marco técnico vinculante, comprende disposiciones en las que se establece con detalle el modo en que deben almacenarse y difundirse estos datos de consentimiento que constituyen datos personales?

b) ¿Sería distinta la respuesta a la [letra a) de la segunda cuestión prejudicial] si esta organización sectorial no tuviera ella misma acceso legal a los datos personales que son tratados por sus miembros en el marco de este estándar?

c) Si se califica (o si debe calificarse) a la organización sectorial normativa de responsable o de corresponsable del tratamiento respecto a las preferencias de los usuarios de Internet, ¿se extiende esta responsabilidad o corresponsabilidad de la organización sectorial normativa automáticamente a los tratamientos ulteriores por terceros para los que se obtienen las preferencias de los usuarios de Internet, como la publicidad en línea dirigida, realizada por editores y vendedores?»

Primera cuestión prejudicial

32 Mediante su primera cuestión prejudicial, el órgano jurisdiccional remitente pregunta, en esencia, si el artículo 4, punto 1, del RGPD debe interpretarse en el sentido de que una cadena compuesta por una combinación de letras y caracteres, como la TC String, que contiene las preferencias de un usuario de Internet o de una aplicación relativas al consentimiento de dicho usuario respecto del tratamiento de datos personales que le conciernen por proveedores de sitios de Internet o de aplicaciones, así como por intermediarios de tales datos y por plataformas publicitarias, constituye un dato personal en el sentido de esta disposición cuando una organización sectorial ha establecido el marco normativo para la generación, el almacenamiento y la difusión de esta cadena y los miembros de esa organización han aplicado tales normas y tienen así acceso a la mencionada cadena. El referido órgano jurisdiccional desea saber asimismo si, a efectos de la respuesta a esta cuestión, tiene alguna pertinencia, en primer lugar, que esta cadena esté asociada a un identificador, como, en particular, la dirección IP del dispositivo de dicho usuario, que permite identificar al interesado, y, en segundo lugar, que tal organización sectorial disponga del derecho a acceder directamente a los datos personales tratados por sus miembros en el contexto del marco normativo que ella ha establecido.

33 Con carácter preliminar, procede recordar que, dado que el RGPD derogó y sustituyó a la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (DO 1995, L 281, p. 31), y que las disposiciones pertinentes de dicho Reglamento tienen un alcance sustancialmente idéntico al de las disposiciones pertinentes de esta Directiva, la jurisprudencia del Tribunal de Justicia relativa a la Directiva también resulta aplicable, en principio, al referido Reglamento (sentencia de 17 de junio de 2021, M. I. C. M., C‑597/19, EU:C:2021:492, apartado 107).

34 Procede recordar, asimismo, que, según reiterada jurisprudencia, la interpretación de una disposición del Derecho de la Unión requiere tener en cuenta no solo su tenor, sino también el contexto en el que se inscribe, así como los objetivos y la finalidad que persigue el acto del que forma parte (sentencia de 22 de junio de 2023, Pankki S, C‑579/21, EU:C:2023:501, apartado 38 y jurisprudencia citada).

35 A este respecto, debe señalarse que el artículo 4, punto 1, del RGPD indica que constituye dato personal «toda información sobre una persona física identificada o identificable» y precisa que «se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona».

36 El empleo de la expresión «toda información» en la definición del concepto de «datos personales», que figura en esa disposición, evidencia el objetivo del legislador de la Unión de atribuir a este concepto un significado amplio, que puede abarcar todo género de información, tanto objetiva como subjetiva, en forma de opiniones o apreciaciones, siempre que se trate de información «sobre» la persona en cuestión (sentencia de 4 de mayo de 2023, Österreichische Datenschutzbehörde y CRIF, C‑487/21, EU:C:2023:369, apartado 23 y jurisprudencia citada).

37 A este respecto, el Tribunal de Justicia ha declarado que una información se refiere a una persona física identificada o identificable cuando, debido a su contenido, finalidad o efectos, la información está relacionada con una persona identificable (sentencia de 4 de mayo de 2023, Österreichische Datenschutzbehörde y CRIF, C‑487/21, EU:C:2023:369, apartado 24 y jurisprudencia citada).

38 Por lo que respecta al carácter «identificable» de una persona, de la redacción del artículo 4, punto 1, del RGPD se desprende que una persona identificable es aquella que puede ser identificada no solo directa, sino también indirectamente.

39 Como ya ha declarado el Tribunal de Justicia, el uso por el legislador de la Unión del término «indirectamente» muestra que, para calificar una información de dato personal, no es necesario que dicha información permita, por sí sola, identificar al interesado (véase, por analogía, la sentencia de 19 de octubre de 2016, Breyer, C‑582/14, EU:C:2016:779, apartado 41). Al contrario, del artículo 4, punto 5, del RGPD, en relación con el considerando 26 de dicho Reglamento, se desprende que los datos personales que cabría atribuir a una persona física mediante la utilización de información adicional deben considerarse información sobre una persona física identificable (sentencia de 5 de diciembre de 2023, Nacionalinis visuomenės sveikatos centras, C‑683/21, EU:C:2023:949, apartado 58).

40 Por otra parte, ese considerando 26 precisa que, para determinar si una persona es «identificable», deben tenerse en cuenta «todos los medios, como la singularización, que razonablemente pueda utilizar el responsable del tratamiento o cualquier otra persona para identificar directa o indirectamente a la persona física». Dicho tenor sugiere que, para que un dato pueda ser calificado de «dato personal», en el sentido del artículo 4, punto 1, de dicho Reglamento, no es necesario que toda la información que permita identificar al interesado se encuentre en poder de una sola persona (véase, por analogía, la sentencia de 19 de octubre de 2016, Breyer, C‑582/14, EU:C:2016:779, apartado 43).

41 De ello resulta que el concepto de «datos personales» no abarca únicamente los datos recabados y conservados por el responsable del tratamiento, sino que incluye también todas las informaciones resultantes de un tratamiento de datos personales que se refieran a una persona identificada o identificable (sentencia de 22 de junio de 2023, Pankki S, C‑579/21, EU:C:2023:501, apartado 45).

42 En el caso de autos, es preciso señalar que una cadena compuesta por una combinación de letras y caracteres, como la TC String, contiene las preferencias de un usuario de Internet o de una aplicación relativas al consentimiento de dicho usuario en el tratamiento por terceros de datos personales que le conciernen o que se refieren a su eventual oposición a un tratamiento de tales datos basado en un interés legítimo alegado de conformidad con el artículo 6, apartado 1, letra f), del RGPD.

43 Pues bien, aun cuando una TC String no contiene en sí misma elementos que permitan la identificación directa del interesado, no es menos cierto, en primer lugar, que contiene las preferencias individuales de un usuario específico por lo que respecta a su consentimiento en el tratamiento de los datos personales que le conciernen, lo que constituye información «sobre una persona física», en el sentido del artículo 4, punto 1, del RGPD.

44 En segundo lugar, también consta que, cuando la información contenida en una TC String se asocia con un identificador, como, en particular, la dirección IP del dispositivo de tal usuario, puede permitir crear un perfil de dicho usuario e identificar efectivamente a la persona a que se refiere específicamente tal información.

45 En la medida en que el hecho de asociar una cadena compuesta por una combinación de letras y caracteres, como la TC String, con datos adicionales, en particular con la dirección IP del dispositivo de un usuario o con otros identificadores, permite identificar a dicho usuario, procede considerar que la TC String contiene información sobre un usuario identificable, por lo que constituye un dato personal, en el sentido del artículo 4, punto 1, del RGPD, lo que viene corroborado por el considerando 30 del RGPD, que se refiere expresamente a este supuesto.

46 Esta interpretación no queda desvirtuada por el mero hecho de que la propia IAB Europe no pueda combinar la TC String con la dirección IP del dispositivo de un usuario y no tenga la posibilidad de acceder directamente a los datos tratados por sus miembros en el marco del TCF.

47 En efecto, como se desprende de la jurisprudencia recordada en el apartado 40 de la presente sentencia, esta circunstancia no impide que una TC String sea calificada de «dato personal», en el sentido del artículo 4, punto 1, del RGPD.

48 Por lo demás, de los autos que obran en poder del Tribunal de Justicia, y en particular de la resolución de 2 de febrero de 2022, se desprende que los miembros de IAB Europe están obligados a comunicarle, a petición de esta, toda la información que le permita identificar a los usuarios cuyos datos son objeto de una TC String.

49 Por lo tanto, sin perjuicio de las comprobaciones que corresponde efectuar al órgano jurisdiccional remitente a este respecto, resulta que IAB Europe dispone, de conformidad con lo expuesto en el considerando 26 del RGPD, de medios razonables que le permiten identificar a una persona física determinada a partir de una TC String gracias a la información que sus miembros y otras organizaciones que participan en el TCF están obligados a facilitarle.

50 De lo anterior resulta que una TC String constituye un dato personal en el sentido del artículo 4, punto 1, del RGPD. A este respecto, carece de pertinencia el hecho de que, sin una contribución externa, que tiene derecho a exigir, tal organización sectorial no pueda acceder a los datos tratados por sus miembros en el marco de las normas que ella ha establecido ni combinar la TC String con otros identificadores, como, en particular, la dirección IP del dispositivo de un usuario.

51 Habida cuenta de todo lo anterior, procede responder a la primera cuestión prejudicial que el artículo 4, punto 1, del RGPD debe interpretarse en el sentido de que una cadena compuesta por una combinación de letras y caracteres, como la TC String, que contiene las preferencias de un usuario de Internet o de una aplicación relativas al consentimiento de dicho usuario en el tratamiento de datos personales que le conciernen por proveedores de sitios de Internet o de aplicaciones, así como por intermediarios de tales datos y por plataformas publicitarias, constituye un dato personal, en el sentido de esta disposición, en la medida en que, cuando puede asociarse, por medios razonables, a un identificador, como en particular la dirección IP del dispositivo de dicho usuario, permite identificar al interesado. En tales circunstancias, el hecho de que, sin una contribución externa, una organización sectorial que posee esta cadena no pueda acceder a los datos tratados por sus miembros en el marco de las normas que ella ha establecido ni combinar dicha cadena con otros elementos no impide que la mencionada cadena constituya un dato personal en el sentido de la referida disposición.

Segunda cuestión prejudicial

52 Mediante su segunda cuestión prejudicial, el órgano jurisdiccional remitente pregunta, en esencia, si el artículo 4, punto 7, del RGPD debe interpretarse en el sentido de que,

– por otra parte, la eventual corresponsabilidad de dicha organización sectorial se extiende automáticamente a los tratamientos ulteriores de datos personales efectuados por terceros —como los proveedores de sitios de Internet o de aplicaciones— en lo que respecta a las preferencias de los usuarios a efectos de la publicidad dirigida en línea.

53 Con carácter preliminar, procede recordar que el objetivo perseguido por el RGPD, tal como se desprende de su artículo 1 y de sus considerandos 1 y 10, consiste, en particular, en garantizar un nivel elevado de protección de los derechos y libertades fundamentales de las personas físicas, sobre todo de su derecho a la vida privada respecto del tratamiento de los datos personales, consagrado en el artículo 8, apartado 1, de la Carta y en el artículo 16 TFUE, apartado 1 [sentencia de 4 de mayo de 2023, Bundesrepublik Deutschland (Buzón electrónico judicial), C‑60/22, EU:C:2023:373, apartado 64].

54 Conforme a este objetivo, el artículo 4, punto 7, de dicho Reglamento define, de manera amplia, el concepto de «responsable del tratamiento» como la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento de datos personales.

55 En efecto, tal como ya ha declarado el Tribunal de Justicia, el objetivo de esta disposición consiste en garantizar, mediante una definición amplia del concepto de «responsable del tratamiento», una protección eficaz y completa de los interesados (véase, por analogía, la sentencia de 5 de junio de 2018, Wirtschaftsakademie Schleswig-Holstein, C‑210/16, EU:C:2018:388, apartado 28).

56 Además, puesto que, tal como prevé expresamente el artículo 4, punto 7, del RGPD, el concepto de «responsable del tratamiento» se refiere al organismo que «solo o junto con otros» determine los fines y los medios del tratamiento de datos personales, dicho concepto no se remite necesariamente a una única entidad, sino que puede aludir a varios actores que participen en ese tratamiento, cada uno de los cuales estará por tanto sujeto a las disposiciones aplicables en materia de protección de datos (véanse, por analogía, las sentencias de 5 de junio de 2018, Wirtschaftsakademie Schleswig-Holstein, C‑210/16, EU:C:2018:388, apartado 29, y de 10 de julio de 2018, Jehovan todistajat, C‑25/17, EU:C:2018:551, apartado 65).

57 Asimismo, el Tribunal de Justicia ha considerado que una persona física o jurídica que, atendiendo a sus propios objetivos, influye en el tratamiento de datos personales y participa, por ello, en la determinación de los fines y los medios de dicho tratamiento puede ser considerada responsable del tratamiento en el sentido del artículo 4, punto 7, del RGPD (véase, por analogía, la sentencia de 10 de julio de 2018, Jehovan todistajat, C‑25/17, EU:C:2018:551, apartado 68). Así, de conformidad con el artículo 26, apartado 1, del RGPD, existen «corresponsables del tratamiento» cuando dos o más responsables del tratamiento determinen conjuntamente los fines y medios del tratamiento (sentencia de 5 de diciembre de 2023, Nacionalinis visuomenės sveikatos centras, C‑683/21, EU:C:2023:949, apartado 40).

58 A este respecto, si bien cada corresponsable del tratamiento debe responder de manera independiente a la definición de «responsable del tratamiento» del artículo 4, punto 7, del RGPD, la existencia de una responsabilidad conjunta no supone necesariamente que, con respecto a un mismo tratamiento de datos personales, los diversos agentes tengan una responsabilidad equivalente. Bien al contrario, los agentes pueden estar implicados en distintas etapas del tratamiento y en distintos grados, de modo que el nivel de responsabilidad de cada uno de ellos debe evaluarse teniendo en cuenta todas las circunstancias pertinentes del caso concreto. Además, la responsabilidad conjunta de varios agentes respecto a un mismo tratamiento en virtud de dicho precepto no presupone que cada uno de ellos tenga acceso a los datos personales en cuestión (véase, por analogía, la sentencia de 10 de julio de 2018, Jehovan todistajat, C‑25/17, EU:C:2018:551, apartados 66 y 69 y jurisprudencia citada).

59 La participación en la determinación de los fines y medios del tratamiento puede adoptar distintas formas y resultar tanto de una decisión común adoptada por dos o más entidades como de decisiones convergentes de esas entidades. En este último caso, dichas decisiones deben complementarse, de modo que cada una de ellas tenga un efecto concreto en la determinación de los fines y medios del tratamiento. En cambio, no puede exigirse que exista un acuerdo formal entre dichos responsables del tratamiento en cuanto a los fines y medios del tratamiento (sentencia de 5 de diciembre de 2023, Nacionalinis visuomenės sveikatos centras, C‑683/21, EU:C:2023:949, apartados 43 y 44).

60 Habida cuenta de lo anterior, procede considerar que la primera parte de la segunda cuestión prejudicial planteada tiene por objeto que se determine si una organización sectorial, como IAB Europe, puede ser considerada corresponsable del tratamiento, en el sentido de los artículos 4, punto 7, y 26, apartado 1, del RGPD.

61 A tal fin, es preciso, por tanto, apreciar si, habida cuenta de las circunstancias particulares del caso concreto, dicha organización sectorial influye, atendiendo a sus propios objetivos, en el tratamiento de datos personales, como la TC String, y determina, junto con otros, los fines y medios de tal tratamiento.

62 Por lo que respecta, en primer lugar, a los fines de tal tratamiento de datos personales, sin perjuicio de las comprobaciones que corresponde efectuar al órgano jurisdiccional remitente, de los autos que obran en poder del Tribunal de Justicia se desprende que, como se ha recordado en los apartados 21 y 22 de la presente sentencia, el TCF establecido por IAB Europe constituye un marco normativo que tiene por objeto garantizar la conformidad con el RGPD del tratamiento de datos personales de un usuario de un sitio de Internet o de una aplicación efectuado por determinados operadores que participan en la subasta en línea de espacios publicitarios.

63 En estas circunstancias, el TCF pretende, en esencia, favorecer y permitir la compraventa de espacios publicitarios en Internet por parte de esos operadores.

64 Por consiguiente, puede considerarse, sin perjuicio de las comprobaciones que corresponde efectuar al órgano jurisdiccional remitente, que IAB Europe influye, atendiendo a sus propios objetivos, en las operaciones de tratamiento de datos personales de que se trata en el litigio principal y determina, por ello, junto con sus miembros, los fines de tales operaciones.

65 En segundo lugar, en cuanto a los medios utilizados para tal tratamiento de datos personales, de los autos que obran en poder del Tribunal de Justicia se desprende, sin perjuicio de las comprobaciones que corresponde efectuar al órgano jurisdiccional remitente, que el TCF constituye un marco normativo que los miembros de IAB Europe deben aceptar para adherirse a dicha asociación. En particular, como confirmó IAB Europe en la vista ante el Tribunal de Justicia, si alguno de sus miembros no cumple las normas del TCF, IAB Europe puede adoptar respecto de ese miembro una decisión de incumplimiento y de suspensión que puede dar lugar a la exclusión de dicho miembro del TCF, y, por lo tanto, a impedirle invocar la garantía de conformidad con el RGPD que supuestamente proporciona ese dispositivo para el tratamiento de datos personales que efectúa mediante TC Strings.

66 Además, y desde un punto de vista práctico, como se ha mencionado en el apartado 21 de la presente sentencia, el TCF establecido por IAB Europe contiene especificaciones técnicas relativas al tratamiento de la TC String. En particular, parece que estas especificaciones describen con precisión el modo en que las CMP están obligadas a recabar las preferencias de los usuarios en relación con el tratamiento de los datos personales que les conciernen y la manera en que deben tratarse tales preferencias para generar una TC String. Además, también se establecen normas precisas en lo que respecta al contenido de la TC String, así como al almacenamiento y al intercambio de esta.

67 Se desprende en concreto de la resolución de 2 de febrero de 2022 que IAB Europe prescribe, en el marco de estas normas, en particular, el modo normalizado en que las diferentes partes implicadas en el TCF pueden consultar las preferencias, las objeciones y los consentimientos de los usuarios contenidos en las TC Strings.

68 En estas circunstancias, y sin perjuicio de las comprobaciones que corresponde efectuar al órgano jurisdiccional remitente, debe considerarse que una organización sectorial como IAB Europe influye, atendiendo a sus propios objetivos, en las operaciones de tratamiento de datos personales de que se trata en el litigio principal y determina, por ello, junto con sus miembros, los medios que están en el origen de tales operaciones. De ello se deduce que debe ser considerada «corresponsable del tratamiento», en el sentido de los artículos 4, punto 7, y 26, apartado 1, del RGPD, de conformidad con la jurisprudencia recordada en el apartado 57 de la presente sentencia.

69 El hecho mencionado por el órgano jurisdiccional remitente de que la propia organización sectorial no tiene acceso directo a las TC Strings y, por tanto, a los datos personales tratados en el marco de dichas normas por sus miembros, junto con los cuales determina los fines y medios del tratamiento de esos datos, no impide, de conformidad con la jurisprudencia recordada en el apartado 58 de la presente sentencia, que pueda ser calificada de «responsable del tratamiento», en el sentido de dichas disposiciones.

70 Además, en respuesta a las dudas expresadas por el referido órgano jurisdiccional, debe excluirse que la eventual corresponsabilidad de esta organización sectorial se extienda automáticamente a los tratamientos ulteriores de datos personales efectuados por terceros, tales como los proveedores de sitios de Internet o de aplicaciones, en lo que respecta a las preferencias de los usuarios a efectos de la publicidad dirigida en línea.

71 En cuanto a lo anterior, es preciso señalar, por un lado, que el artículo 4, punto 2, del RGPD define el «tratamiento» de datos personales como «cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción».

72 De esta definición resulta que un tratamiento de datos personales puede estar constituido por una o varias operaciones, cada una de ellas referida a una de las distintas fases de ese tratamiento.

73 Por otro lado, como ya ha declarado el Tribunal de Justicia, de los artículos 4, punto 7, y 26, apartado 1, del RGPD se desprende que una persona física o jurídica únicamente puede ser considerada corresponsable de las operaciones de tratamiento de datos personales si determina conjuntamente los fines y medios. Por consiguiente, y sin perjuicio de una eventual responsabilidad civil prevista al respecto en el Derecho nacional, dicha persona física o jurídica no puede ser considerada responsable, en el sentido de dichas disposiciones, de las operaciones anteriores o posteriores de la cadena de tratamiento respecto de las que no determine los fines ni los medios (véase, por analogía, la sentencia de 29 de julio de 2019, Fashion ID, C‑40/17, EU:C:2019:629, apartado 74).

74 En el presente asunto, debe distinguirse entre, por una parte, el tratamiento de datos personales efectuado por los miembros de IAB Europe, a saber, los proveedores de sitios de Internet o de aplicaciones y los intermediarios de datos o incluso las plataformas publicitarias, en el momento del registro en una TC String de las preferencias en materia de consentimiento de los usuarios de que se trata según el marco normativo establecido en el TCF y, por otra parte, el tratamiento ulterior de datos personales efectuado por esos operadores y por terceros sobre la base de tales preferencias, como la transmisión de esos datos a terceros o la oferta de publicidad personalizada dirigida a dichos usuarios.

75 En efecto, este tratamiento ulterior, sin perjuicio de las comprobaciones que corresponde efectuar al órgano jurisdiccional remitente, no parece implicar la participación de IAB Europe, de modo que procede excluir una responsabilidad automática de tal organización, junto con dichos operadores y con terceros, en lo que respecta al tratamiento de los datos personales efectuado sobre la base de los datos relativos a las preferencias de los usuarios en cuestión que se contienen en una TC String.

76 Así pues, una organización sectorial, como IAB Europe, solo puede ser considerada responsable de tales tratamientos ulteriores si se demuestra que ha influido en la determinación de los fines de los tratamientos y de las modalidades de su ejercicio, extremo que corresponde comprobar al órgano jurisdiccional remitente a la luz de todas las circunstancias pertinentes del litigio principal.

77 Habida cuenta de todas las consideraciones anteriores, procede responder a la segunda cuestión prejudicial que los artículos 4, punto 7, y 26, apartado 1, del RGPD deben interpretarse en el sentido de que,

– por una parte, una organización sectorial, en la medida en que propone a sus miembros un marco normativo que ella ha establecido en materia de consentimiento en el tratamiento de datos personales, que contiene no solo normas técnicas vinculantes, sino también normas que precisan de manera detallada las modalidades de almacenamiento y de difusión de los datos personales referentes a dicho consentimiento, debe calificarse de «corresponsable del tratamiento», en el sentido de estas disposiciones, si, habida cuenta de las circunstancias particulares del caso concreto, influye, atendiendo a sus propios objetivos, en el tratamiento de los datos personales en cuestión y determina, así, junto con sus miembros, los fines y medios de dicho tratamiento. El hecho de que la propia organización sectorial no tenga acceso directo a los datos personales tratados por sus miembros en el marco de dichas normas no obsta a que pueda tener la condición de corresponsable del tratamiento en el sentido de dichas disposiciones;

– por otra parte, la corresponsabilidad de dicha organización sectorial no se extiende automáticamente a los tratamientos ulteriores de datos personales efectuados por terceros —como los proveedores de sitios de Internet o de aplicaciones— en lo que respecta a las preferencias de los usuarios a efectos de la publicidad dirigida en línea.

Costas

78 Dado que el procedimiento tiene, para las partes del litigio principal, el carácter de un incidente promovido ante el órgano jurisdiccional remitente, corresponde a este resolver sobre las costas. Los gastos efectuados por quienes, no siendo partes del litigio principal, han presentado observaciones ante el Tribunal de Justicia no pueden ser objeto de reembolso.

En virtud de todo lo expuesto, el Tribunal de Justicia (Sala Cuarta) declara:

1) El artículo 4, punto 1, del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos),

debe interpretarse en el sentido de que

una cadena compuesta por una combinación de letras y caracteres, como la TC String (Transparency and Consent String), que contiene las preferencias de un usuario de Internet o de una aplicación relativas al consentimiento de dicho usuario en el tratamiento de datos personales que le conciernen por proveedores de sitios de Internet o de aplicaciones, así como por intermediarios de tales datos y por plataformas publicitarias, constituye un dato personal, en el sentido de esta disposición, en la medida en que, cuando puede asociarse, por medios razonables, a un identificador, como en particular la dirección IP del dispositivo de dicho usuario, permite identificar al interesado. En tales circunstancias, el hecho de que, sin una contribución externa, una organización sectorial que posee esta cadena no pueda acceder a los datos tratados por sus miembros en el marco de las normas que ella ha establecido ni combinar dicha cadena con otros elementos no impide que la mencionada cadena constituya un dato personal en el sentido de la referida disposición.

2) Los artículos 4, punto 7, y 26, apartado 1, del Reglamento 2016/679

deben interpretarse en el sentido de que,

Firmas

* Lengua de procedimiento: neerlandés.