Comunitario e Internazionale

Personale, anonimo o pseudonimizzato? La natura del dato secondo la Corte di Giustizia UE

Si delinea un nuovo scenario in cui la qualificazione del titolare del trattamento si separa dall’individuazione del soggetto che esercita un effettivo controllo del dato, per dipendere esclusivamente dalla determinazione di finalità e mezzi del trattamento

immagine non disponibile

di Laura Greco*

La nozione di dato personale è ancora una volta portata all’attenzione della Corte di Giustizia dell’Unione europea. La questione è particolarmente rilevante considerato che, come è ormai noto, dalla natura (personale o anonima) del dato dipende l’applicazione o meno della normativa in materia di protezione dei dati personali.

Nel caso C-604/22, definito dai giudici europei con sentenza del 7 marzo 2024, la Corte ha dovuto valutare, in particolare, se “una stringa di lettere e caratteri che rileva, in modo strutturato e leggibile meccanicamente, le preferenze di un utente di Internet relative al consenso di tale utente quanto al trattamento dei suoi dati ” possa costituire o meno un dato personale.

Il caso

La fattispecie esaminata riguarda IAB Europe , associazione belga che rappresenta a livello europeo le imprese del settore dell’industria della pubblicità e del marketing digitali e che offre ai propri membri uno strumento (il c.d. Transparency & Consent Framework ) volto a garantire l’osservanza della normativa a tutela dei dati personali. Nel contesto di questo quadro di protocolli, istruzioni e specifiche tecniche, la IAB Europe ha introdotto la Consent Management Platform , un sistema di registrazione della volontà dell’utente il quale, consultando un sito Internet o un’applicazione per la prima volta, può decidere se acconsentire o opporsi al trattamento dei propri dati personali per fini previamente definiti, quali, in particolare, il marketing, la pubblicità o la condivisione dei dati con taluni fornitori. Tali preferenze sono quindi registrate e conservate nella c.d. Transparency & Consent String (di seguito, “ TC String ”), per essere poi condivise con broker di dati personali e piattaforme pubblicitarie, affinché questi siano al corrente di ciò per cui l’utente ha prestato il suo consenso o di ciò a cui si è opposto. Questa stringa di per sé non contiene elementi che consentono l’identificazione diretta dell’interessato, ma solo le preferenze individuali di un utente specifico sotto forma di lettere e caratteri. Tuttavia, qualora la stringa venga associata all’indirizzo IP dell’utente, potrebbe comportarne l’identificazione.

A seguito di alcune segnalazioni di utenti, la Gegevensbeschermingsautoriteit (l’autorità di controllo belga per la protezione dei dati, di seguito anche “APD”) avviava un procedimento nei confronti della IAB Europe, all’esito del quale l’autorità, considerando l’associazione quale titolare del trattamento di dati personaliper quanto riguarda la registrazione del segnale di consenso, delle obiezioni e delle preferenze dei singoli utenti mediante una TC String”, imponeva diverse misure correttive e irrogava una sanzione amministrativa pecuniaria. Le conclusioni dell’APD venivano contestate in sede giudiziaria dalla IAB che sosteneva la natura non personale della TC String: IAB Europe infatti non aveva la possibilità di accedere direttamente ad altri dati che, se associati alla stringa, avrebbero consentito l’identificazione dell’utente. Conseguentemente, l’associazione non avrebbe dovuto essere qualificata come titolare del trattamento.

I quesiti posti alla Corte

Alla Corte di Lussemburgo la fattispecie è giunta sotto forma di due quesiti principali: se la TC String rappresentasse o meno un dato personale e, in caso affermativo, se la IAB Europe dovesse essere qualificata come titolare (o contitolare, congiuntamente ai propri membri) del trattamento delle preferenze degli utenti Internet.

La natura del dato

Per rispondere al primo quesito, i giudici europei hanno preso le mosse dalla definizione di dato personale offerta dal Regolamento (UE) 2016/679 (“ GDPR ”), che, come è ormai noto, individua il dato personale in “qualsiasi informazione riguardante una persona fisica identificata o identificabile”. Tenendo conto di questa estesissima accezione, la Corte ha ribadito che ai fini della qualificazione di un’informazione come dato personale, occorre considerare tutti i mezzi di cui un soggetto può ragionevolmente avvalersi per identificare una persona fisica, direttamente o indirettamente, non essendo necessario che “tutte le informazioni che consentono di identificare la persona interessata si trovino in possesso di una sola persona”.

Muovendo da questo presupposto, la Corte ha ritenuto che, sebbene di per sé sia composta solo da una combinazione di lettere e di caratteri, la TC String costituisca un dato personale posto che, ove associata a dati supplementari (in particolare, all’indirizzo IP del dispositivo di un utente), consente di identificare tale utente. “Tale interpretazione non può essere messa in discussione dalla mera circostanza che la IAB Europe non potrebbe combinare essa stessa la TC String con l’indirizzo IP del dispositivo di un utente e non disporrebbe della possibilità di accedere direttamente ai dati trattati dai suoi membri”. Infatti, i membri della IAB Europe, su richiesta di quest’ultima, sono tenuti a comunicarle tutte le informazioni che le consentano di identificare gli utenti i cui dati sono oggetto di una TC String. Ad avviso dei giudici europei, pertanto, “la IAB Europe dispone di mezzi ragionevoli che le consentono di identificare una determinata persona fisica in base ad una TC String, grazie alle informazioni che i suoi membri” sono tenuti a fornirle.

La titolarità del trattamento di dati personali

Quanto alla qualificazione del ruolo della IAB Europe rispetto alla TC String, la Corte di Giustizia adotta un’interpretazione altrettanto estensiva della nozione di titolare del trattamento.

Sebbene, come anticipato, l’associazione non abbia accesso diretto ai dati degli utenti in possesso dei propri membri, è ritenuta dai giudici europei contitolare del trattamento con questi ultimi poiché, da un lato, determina congiuntamente con i propri membri le finalità delle operazioni di trattamento relative all’acquisizione delle preferenze dell’utente (ossia favorire e consentire la vendita e l’acquisto di spazi pubblicitari su Internet da parte di tali operatori) e, dall’altro lato, definisce le specifiche tecniche relative al trattamento della TC String, tra cui ad esempio le modalità con cui le TC String sono generate, modificate e lette, come e dove i cookie necessari sono memorizzati, chi riceve i dati personali e sulla base di quali criteri possono essere stabiliti i termini di conservazione delle TC String.

Pertanto, ad avviso della Corte, la determinazione (congiunta) delle finalità e delle modalità del trattamento summenzionate è sufficiente per qualificare IAB Europe (con)titolare del trattamento, sebbene questa non abbia accesso diretto ai dati personali.

Riflessioni

Se, ad una prima lettura, la sentenza qui commentata parrebbe restringere i casi in cui un dato possa essere considerato anonimo, a ben vedere il ragionamento della Corte non è affatto rigido, bensì si fonda sulla constatazione che, effettivamente, la IAB Europe avesse mezzi (più che) ragionevoli per risalire all’identità dell’utente, vale a dire farne semplicemente richiesta ai propri membri che, per obbligo contrattuale, non potevano opporsi all’ostensione di tali informazioni. Tale reasoning, pertanto, non confligge con l’orientamento del Tribunale dell’UE di qualche tempo fa , secondo cui non è condizione sufficiente che le informazioni aggiuntive (utilizzabili per re-identificare) siano detenute o in possesso di un terzo soggetto. Al contrario – sosteneva il Tribunale – occorre porsi dal punto di vista del soggetto detentore di informazioni astrattamente anonime e valutare le possibilità e i mezzi di cui quest’ultimo potrebbe ragionevolmente avvalersi per identificare gli interessati.

In relazione, invece, al secondo punto affrontato dalla Corte, la sentenza potrebbe rappresentare l’atto introduttivo di un nuovo impianto di responsabilità, in cui la qualificazione del titolare del trattamento si separa dall’individuazione del soggetto che esercita un effettivo controllo – anche di natura fisica e logica – sui dati, per dipendere esclusivamente dalla determinazione di finalità e mezzi del trattamento.

______

*A cura dell’Avv. Laura Greco, DigitalMediaLaws

Per saperne di piùRiproduzione riservata ©