L’attività dei broker per piazzare le finestre di advertising di utenti, probabilmente interessati al prodotto, hanno un problema con il Gdpr

Le aste di dati personali a fini pubblicitari - svolte dai broker per “piazzare” le finestre di advertising di navigatori profilati e probabilmente interessati al prodotto - hanno un problema con il Gdpr, il regolamento europeo di protezione delle informazioni sensibili.
La sentenza, molto tecnica, emessa ieri dalla Corte di giustizia nella causa C-604/22 - Iab Europe rischia di rimettere in gioco il meccanismo del «consenso» e rendere molto più macchinosa la cessione a cascata (e remunerata in back office) dei dati degli utenti.
Al centro della questione c’è il sistema di tracciamento, profilazione e vendita delle strisce digitali, contenenti il “primo consenso” rilasciato dal navigatore/consumatore al primo accesso a una piattaforma o a un sito.

Il Transparency & consent framework
Un ente privato belga - lo Iab - ha elaborato il Transparency & consent framework (Tcf) che è alla base del sistema di vendita all’asta online istantanea e automatizzata di profili di utenti ai fini della vendita e dell’acquisto di spazi pubblicitari su internet (aste denominate Real time bidding).
Questo sistema è utilizzato in diversi paesi dell’Unione.

Il problema non è il primo consenso

Il problema, nota la Corte, non è ovviamente il primo consenso liberamente espresso dall’utente - che evidentemente crede sia utilizzato per la sola operazione che lo richiede -, ma l’archiviazione che ne viene fratta dal protocollo Tcf e la successiva messa a disposizione per un numero indeterminato di aste (cioè ogni volta che quel navigatore aprirà siti con spazi pubblicitari da “riempire” a sua immagine e desiderio).

Già lo scorso maggio - sentenza Österreichische Datenschutzbehörde e Crif, C 487/21 - la Corte aveva dichiarato che «un’informazione riguarda una persona fisica identificata o identificabile qualora, in ragione del suo contenuto, della sua finalità o del suo effetto, essa sia connessa a una persona identificabile».

La Tc string

Esattamente come le “strisce” di profilazione dello standard Tcf, che contengono un numero di informazioni sufficiente per identificare con certezza il “target” della pubblicità profilata. La Tc string è pertanto un dato personale ai sensi del Gdpr. Infatti, quando le informazioni contenute in una Tc string sono associate a un identificativo, come in particolare l’indirizzo Ip del dispositivo dell’utente, possono consentire di creare un profilo di tale utente e di identificarlo. Conseguenza diretta della decisione è che il primo consenso dato dall’utente non basta per farlo partecipare - a sua insaputa - a una serie di aste che lo riguardano. Il consenso, in sostanza, andrebbe acquisito ogni volta che quei dati vengono utilizzati. Più sfumata, in questo contesto, la responsabilità di Iab Europe che non può essere considerata «titolare» del trattamento dei dati effettuato dopo la registrazione, in una Tc string, a meno che si possa dimostrare che abbia esercitato un’influenza sulla determinazione delle finalità.

Alessandro Galimberti - 07 marzo 2024 – tratto da sole24ore.com