20 Giu La sentenza IAB Europe e l’ambito di applicazione della contitolarità del trattamento: prevalenza dei «mezzi» sulle «finalità»?

Autori: Giulio Monga, Andrea Strippoli, Miriam Andrea Fadda.

La IAB Europe e l’importanza del Transparency & Consent Framework («TCF») per i sistemi di Real Time Bidding

La IAB Europe è un’associazione con sede in Belgio che rappresenta le imprese del settore della pubblicità e del marketing digitale a livello europeo. Ad essa aderiscono sia editori e altre imprese attive nell’ambito del commercio elettronico o del marketing, sia associazioni di categoria nazionali. Tra le iniziative intraprese dalla IAB Europe si segnala l’elaborazione del citato TCF, che è un quadro di norme composto da direttive, istruzioni, specifiche tecniche, protocolli e obblighi contrattuali, che dovrebbe consentire, tanto ai fornitori di siti Internet o di applicazioni quanto ai broker di dati o alle piattaforme pubblicitarie che decidono di adottarlo, di trattare i dati personali degli utenti in conformità con il Regolamento UE 2016/679 (GDPR), nell’ambito delle menzionate attività di RTB.

Il RTB è un sistema di vendita all’asta online istantanea ed automatizzata di profili di utenti, finalizzato alla compravendita di spazi pubblicitari su internet. Attraverso questo sistema, quando un utente consulta un sito internet o un’applicazione contenente uno spazio pubblicitario, le imprese, i broker di dati e le piattaforme pubblicitarie possono presentare, dietro le quinte, offerte in tempo reale per ottenere, mediante un sistema di asta automatizzato basato su algoritmi, lo spazio pubblicitario in questione, sul quale saranno mostrate pubblicità mirate, realizzate in base al profilo dell’utente. Quest’ultima caratteristica costituisce l’aspetto più rilevante del RTB, sia dal punto di vista commerciale che da quello della protezione dei dati personali.

Per quanto riguarda la privacy, rileva in primo luogo la necessità di ottenere il previo consenso di un utente prima che questi possa visualizzare le pubblicità mirate basate sulle sue preferenze. Tale consenso si ottiene attraverso una apposita Consent Management Platform («CMP»), che ciascun utente dovrebbe poter visualizzare nel momento in cui consulta un sito Internet o un’applicazione per la prima volta. In tale contesto, il TCF consente di tenere traccia delle preferenze degli utenti, che vengono codificate e memorizzate in una stringa composta da una combinazione di lettere e di caratteri denominata Transparency and Consent String («TC String»), che viene condivisa con broker e piattaforme pubblicitarie in modo che questi sappiano a che cosa l’utente ha prestato il proprio consenso e a cosa si è opposto. Attraverso la CMP, inoltre, viene installato un cookie (euconsent-v2) sul dispositivo dell’utente che, associato con la TC Stiring, può essere correlato all’indirizzo IP dell’interessato, permettendone quindi l’identificazione.

La IAB Europe contitolare del trattamento dei dati relativi alle preferenze degli utenti

Dopo aver risolto in senso positivo la questione relativa alla natura di «dato personale» della TC String[1], la Corte si è soffermata sul ruolo ricoperto dalla IAB Europe nel trattamento dei dati relativi alle preferenze degli utenti sopra descritto, prendendo in considerazione la nozione di «contitolare del trattamento».

Il ragionamento della Corte ha preso le mosse dal richiamo all’obiettivo generale del GDPR di garantire un elevato livello di grado di tutela dei diritti e delle libertà fondamentali delle persone fisiche, in conformità al quale, ad avviso dei Giudici di Lussemburgo, il GDPR avrebbe previsto una nozione ampia di «titolare del trattamento»[2]. Pertanto, una persona fisica o giuridica che influisca, per scopi che le sono propri, sul trattamento di dati personali e partecipi, pertanto, alla determinazione delle finalità e dei mezzi di tale trattamento, può essere considerata titolare del trattamento.

La Corte ha, quindi, proseguito con una disamina della nozione di «contitolarità del trattamento» di cui all’art. 26 GDPR. In particolare, anche sulla scorta della giurisprudenza precedente[3], i Giudici di Lussemburgo hanno ribadito come l’esistenza di una contitolarità non si traduce necessariamente in una responsabilità equivalente, per uno stesso trattamento di dati personali, dei diversi attori. Al contrario, tali attori possono essere coinvolti in fasi diverse di tale trattamento e a diversi livelli, di modo che il grado di responsabilità di ciascuno di essi debba essere valutato tenendo conto di tutte le circostanze rilevanti del caso di specie. La Corte ha, inoltre, aggiunto l’importante principio secondo cui l’esistenza di una contitolarità non presuppone che ciascun contitolare abbia accesso ai dati personali oggetto della stessa. Principio perfettamente attinente al caso di specie, dal momento che la IAB Europe non ha accesso ai dati – vale a dire le TC String e gli indirizzi IP ad essa collegati – che sono consultabili soltanto dai propri membri che aderiscono al TCF.

Esaminando nel dettaglio la posizione della IAB Europe la Corte ha, innanzi tutto, affermato che l’associazione, mettendo a disposizione dei propri aderenti un quadro di norme come il TCF volto a favorire la compravendita di spazi pubblicitari da parte degli operatori che vi si conformano, influisca, per scopi che le sono propri, sui trattamenti effettuati da tali operatori. Di conseguenza, essa determinerebbe, congiuntamente con i suoi membri, le finalità di tali trattamenti.

Per quanto riguarda i mezzi, invece, la Corte ha osservato come la IAB Europe possa, nei confronti dei membri che non si conformano alle norme del TCF, adottare delle decisioni di non conformità e di sospensione che possono sfociare nell’esclusione di detti membri dal TCF, impedendo loro di avvalersi della garanzia di conformità al GDPR che si ritiene fornita da tali norme per il trattamento di dati personali effettuato mediante le TC String. I Giudici di Lussemburgo hanno quindi aggiunto che, da un punto di vista pratico, TCF contiene specifiche tecniche relative al trattamento della TC String, le quali descriverebbero con precisione il modo in cui i CMP sono tenuti a raccogliere le preferenze degli utenti, nonché il modo in cui tali preferenze devono essere trattate al fine di generare una TC String. Norme precise sarebbero stabilite anche per quanto riguarda il contenuto della TC String nonché il suo stoccaggio e la sua condivisione. Inoltre, ha osservato la Corte come la IAB Europe prescriva, nell’ambito di tali norme, il modo standardizzato in cui le diverse parti coinvolte nel TCF possono consultare le preferenze, le obiezioni e i consensi degli utenti contenuti nelle TC Strings. Pertanto, oltre alle finalità, la IAB Europe determinerebbe congiuntamente ai propri membri anche i mezzi all’origine dei trattamenti oggetto della pronuncia.

Sulla scorta degli argomenti appena richiamati, la Corte ha, quindi, qualificato la IAB Europe come contitolare del trattamento ai sensi dell’art. 26 GDPR, a nulla rilevando in senso contrario la circostanza, sopra richiamata, per cui l’associazione, a differenza dei propri membri, non avrebbe accesso alle TC String e ai dati personali. Occorre peraltro aggiungere come la Corte, in virtù di quanto affermato a proposito della differenziazione dei ruoli degli attori coinvolti lungo la catena del trattamento, abbia chiarito come la contitolarità riguardi soltanto la registrazione delle presenze degli utenti – ossia le attività di cui effettivamente la IAB Europe determinerebbe mezzi e finalità assieme ai propri membri – e non anche ai trattamenti effettuati dai propri membri (o da terzi) a seguito di tale registrazione.

Conclusioni

La sentenza IAB Europe appare rilevante in quanto con essa la Corte di Giustizia dell’Unione europea sembra aver fornito una nuova chiave di interpretazione della nozione di «contitolarità del trattamento», che appare suscettibile di ampliarne l’ambito di applicazione.

Infatti, oltre a ribadire principi già affermati come quello relativo alla differenziazione di responsabilità dei contitolari o quello per cui non è necessario che tutti i contitolari accedano ai dati personali oggetto del trattamento, i Giudici di Lussemburgo hanno, in questa pronuncia, posto particolare enfasi sull’elaborazione e la messa a disposizione, da parte di un contitolare, di uno strumento, fatto di norme tecniche e giuridiche, per svolgere un trattamento. Il fatto che l’associazione abbia elaborato tale strumento (il TCF) in modo che questi favorisca la compravendita di spazi pubblicitari online da parte dei propri aderenti è stato considerato sufficiente per ritenere che la IAB Europe abbia determinato, congiuntamente a questi, anche le finalità del trattamento.

Occorrerà attendere i prossimi sviluppi giurisprudenziali per capire se sia il caso di parlare di prevalenza dei «mezzi» sulle «finalità» del trattamento per determinare la presenza di una contitolarità (o comunque, se dal caso, di una titolarità autonoma).

[1] Si tratta, in particolare, della prima questione (di due) su cui si è soffermata la Corte nella sentenza IAB Europe (punti 32-51).

[2] V. punti 53-55 della sentenza IAB Europe, nonché, per analogia, il punto 28 della sentenza Wirtschaftsakademie Schleswig-Holstein (CGUE, causa C-210/16 Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein c. Wirtschaftsakademie Schleswig-Holstein GmbH, con l’intervento di: Facebook Ireland Ltd, Vertreter des Bundesinteresses beim Bundesverwaltungsgericht, 5 giugno 2018 – ECLI:EU:C:2018:388).

[3] CGUE, causa C-25/17, Tietosuojavaltuutettu con l’intervento di: Jehovan todistajat – uskonnollinen yhdyskunta, 10 luglio 2018 – ECLI:EU:C:2018:551.