La sentenza della Corte di giustizia dell’UE e le aste di dati personali
Stop alle aste dei dati personali dei navigatori a fini pubblicitari. Le aste di dati personali a fini pubblicitari svolte dai broker per ‘piazzare’ le finestre di advertising di navigatori profilati hanno un problema con il Gdpr, il regolamento europeo di protezione delle informazioni sensibili. La sentenza, molto tecnica, emessa ieri dalla Corte di giustizia nella causa C-604/22 – Iab Europe rischia di rimettere in gioco il meccanismo del «consenso» e rendere molto più macchinosa la cessione a cascata dei dati degli utenti. Al centro della questione c’è il sistema di tracciamento, profilazione e vendita delle strisce digitali, contenenti il “primo consenso” rilasciato dal navigatore/consumatore al primo accesso a una piattaforma o a un sito.
Il Transparency & consent framework e le aste online
Il Transparency & consent framework (Tcf) elaborato da un ente privato belga – lo Iab – è alla base del sistema di vendita all’asta online istantanea e automatizzata di profili di utenti ai fini della vendita e dell’acquisto di spazi pubblicitari su internet (aste denominate Real time bidding). Questo sistema è utilizzato in diversi paesi dell’Unione. Il problema, nota la Corte, non è ovviamente il primo consenso liberamente espresso dall’utente, ma l’archiviazione che ne viene fatta dal protocollo Tcf e la successiva messa a disposizione per un numero indeterminato di aste. La Tc string è pertanto un dato personale ai sensi del Gdpr, in quanto le informazioni contenute possono consentire di creare un profilo di un utente e identificarlo.
Esattamente come le “strisce” di profilazione dello standard Tcf, che contengono un numero di informazioni sufficiente per identificare con certezza il “target” della pubblicità profilata. Conseguenza diretta della decisione è che il primo consenso dato dall’utente non basta per farlo partecipare – a sua insaputa – a una serie di aste che lo riguardano. Il consenso, in sostanza, andrebbe acquisito ogni volta che quei dati vengono utilizzati. Più sfumata, in questo contesto, la responsabilità di Iab Europe che non può essere considerata «titolare» del trattamento dei dati effettuato dopo la registrazione, in una Tc string, a meno che si possa dimostrare che abbia esercitato un’influenza sulla determinazione delle finalità.