Dice di si la Corte di Giustizia EU qualora l’interessato sia individuabile : il che avviene se il suo consenso sia abbinato al relativo indirizzo IP.
Questa in sintesi la risposta resa da Corte di Giustizia 7 marzo 2024, C-604/22, IAB Europe c. Gegevensbeschermingsautoriteit., con l’intervento di altri.
La CG esamina la fattispecie delle aste automatiche di presenza pubblicitaria negli spazi creati dai colossi del web (Google e social vari) , che viene cocnessa a chi offre di più. Meccanismo che però avviene “dietro le quinte”, cioè in modo non tarsparente all’utente, e che per questo è di fatto sconosciuto al grande pubblico.
La CG ne offre una spiegazione, imprescindibile per comprendere la decisione (spt. §§ 20-26), se non si è già nel settore.
Qui mi limito a ricordare il concetto di TC String (Transparency and Consent String), elemento digitale che comprende i consensi espressi.
Ed ora il passo più pertinente:
<< 43 Orbene, anche se una TC String, di per sé, non contenesse elementi che consentano l’identificazione diretta dell’interessato, rimarrebbe comunque il fatto, in primo luogo, che essa contiene le preferenze individuali di un utente specifico per quanto riguarda il suo consenso al trattamento dei dati personali che lo riguardano, nella misura in cui tale informazione «[riguarda] una persona fisica», ai sensi dell’articolo 4, punto 1, del RGPD.
44 In secondo luogo, è altresì pacifico che, quando le informazioni contenute in una TC String sono associate a un identificativo, come in particolare l’indirizzo IP del dispositivo di tale utente, esse possono consentire di creare un profilo di detto utente e di identificare effettivamente la persona specificamente interessata da tali informazioni.
45 Poiché il fatto di associare una stringa composta da una combinazione di lettere e di caratteri, come la TC String, a dati supplementari, in particolare all’indirizzo IP del dispositivo di un utente o ad altri identificatori, consente di individuare tale utente, si deve ritenere che la TC String contenga informazioni riguardanti un utente identificabile e costituisca quindi un dato personale, ai sensi dell’articolo 4, punto 1, del RGPD, il che viene corroborato dal considerando 30 del RGPD, che fa espresso riferimento ad una fattispecie del genere>>.
Nella questione pregudiziale successiva la CG esamina il quesito della titolarità del trattamento e cioè se il primo creatore della stringa cit. rimanga titolare anche dopo averla ceduta a terzi per gli impieghi successivi. E la risposta è negativa.