Si tratta del Real Time Bidding le imprese, i broker di dati e le piattaforme pubblicitarie, che rappresentano migliaia di inserzionisti, possono presentare offerte in tempo reale mentre un utente visita un sito web o un’applicazione, per ottenere spazi pubblicitari mediante un sistema di asta.
La Corte di Giustizia Europea è intervenuta sul tema con la sentenza di oggi sulla causa C-604/22 ECLI EU C 2024 214 chiarendo che «prima di visualizzare tali pubblicità mirate, deve essere acquisito il previo consenso dell'utente ai fini della raccolta e del trattamento dei suoi dati riguardanti segnatamente la sua localizzazione, la sua età, la cronologia delle sue ricerche e dei suoi acquisti recenti per finalità quali, in particolare, il marketing o la pubblicità, o per la condivisione di tali dati con determinati fornitori». Resta inoltre sempre salva la possibilità per l'utente di opporsi . Il caso è sorto in Belgio dove un'associazione senza scopo di lucro, rappresentativa delle imprese del settore dell'industria della pubblicità e del marketing digitali a livello europeo, ha elaborato una soluzione ritenuta idonea a rendere conforme al RGPD tale sistema di vendita all'asta. Le preferenze degli utenti sono codificate e memorizzate in una stringa composta da una combinazione di lettere e di caratteri denominata «Transparency and Consent String» TC String , che è condivisa con broker di dati personali e piattaforme pubblicitarie, affinché questi sappiano a che cosa l'utente ha prestato il suo consenso o si è opposto. Associati, la TC String e il cookie possono essere correlati all'indirizzo IP dell'utente di cui trattasi. Nel 2022 però è intervenuta l'autorità belga per la protezione dei dati ritenendo che la TC String costituisse un dato personale ai sensi del RGDP e che la IAB Europe abbia agito in qualità di titolare del trattamento dei dati senza rispettare pienamente le prescrizioni del GDPR . Sono dunque state imposte diverse misure correttive e una sanzione amministrativa pecuniaria. La IAB Europe ha contestato tale decisione e ha adito la Corte d'appello di Bruxelles, la quale ha deferito alcune questioni pregiudiziali alla Corte di Giustizia. Con la sentenza odierna la CGUE ha confermato che «la TC String contiene informazioni riguardanti un utente identificabile e costituisce pertanto un dato personale ai sensi del RGPD. Infatti, quando le informazioni contenute in una TC String sono associate a un identificativo, come in particolare l'indirizzo IP del dispositivo dell'utente, esse possono consentire di creare un profilo di tale utente e di identificarlo ». Ma non solo. Secondo la sentenza, la IAB Europe deve essere considerata «contitolare del trattamento», ai sensi del RGPD. Infatti, fatte salve le verifiche del giudice del rinvio, essa «pare influire sulle operazioni di trattamento dei dati al momento della registrazione delle preferenze in materia di consenso degli utenti in una TC String, e determinare, congiuntamente con i suoi membri, tanto le finalità di tali operazioni quanto i mezzi all'origine di dette operazioni». Ciò posto, e fatta salva un'eventuale responsabilità civile prevista dal diritto nazionale, «la IAB Europe non può essere considerata titolare, ai sensi del RGPD, delle operazioni di trattamento dei dati effettuate dopo la registrazione, in una TC String, delle preferenze in materia di consenso degli utenti, a meno che si possa dimostrare che tale associazione ha esercitato un' influenza sulla determinazione delle finalità e delle modalità di dette operazioni successive».