Sentenza della Corte di giustizia europea: Cookie e GDPR – Chi deve dare il consenso adesso?

Sentenza della Corte di giustizia europea: Cookie e GDPR – Chi deve dare il consenso adesso?

Il 30 maggio 2025 il focus sarà sulla protezione dei dati e sul trattamento dei dati personali, soprattutto nel contesto della pubblicità personalizzata. La Corte di Giustizia Europea (CGCE) ha recentemente emesso una sentenza decisiva che chiarisce i requisiti per ottenere il consenso dell'utente durante il trattamento di questi dati. La sentenza (rif. C-604/22), che si basa su una pronuncia pregiudiziale di un tribunale belga, ha chiarito che il consenso è obbligatorio prima di visualizzare pubblicità personalizzata.

La corte ha stabilito che la “stringa TC”, uno standard aggiornato per l’archiviazione e la trasmissione dei dati dell’utente, conta come dati personali ai sensi del Regolamento generale sulla protezione dei dati (GDPR). Questa classificazione fa sì che la stringa TC possa potenzialmente rivelare l’identità dell’utente ed è quindi soggetta ai severi requisiti del GDPR. Secondo la sentenza, le società pubblicitarie come l'Interactive Advertising Bureau Europe (IAB) devono assicurarsi di ottenere il consenso degli utenti per raccogliere ed elaborare i loro dati.

Tecnologie di archiviazione dei dati

L'uso di cookie partner e identificatori online simili è già diffuso. Queste tecnologie consentono di memorizzare o leggere informazioni come tipo di browser, lingua, dimensioni dello schermo e tecnologie supportate sui dispositivi finali. Questi dati vengono poi utilizzati per fornire pubblicità mirata. Ad esempio, un produttore di automobili potrebbe pubblicizzare specificamente i veicoli elettrici agli utenti urbani dopo le 18:30.

Tali misure pubblicitarie si basano spesso su profili utente creati in base al comportamento precedentemente raccolto sulla rispettiva piattaforma. Un esempio di ciò è un rivenditore online che mostra specificamente la pubblicità di scarpe da corsa agli utenti che hanno precedentemente cercato questi prodotti. Inoltre, le informazioni sulle interazioni con la pubblicità vengono utilizzate per misurare le prestazioni pubblicitarie e migliorare la pertinenza dei contenuti.

Responsabilità delle imprese pubblicitarie

La sentenza della Corte di giustizia europea chiarisce che le aziende che trattano dati personali, come lo IAB, sono classificate come “responsabili del trattamento” ai sensi del GDPR. Ciò significa che devono decidere sulle finalità e sui mezzi del trattamento dei dati. Il mancato rispetto può comportare misure e sanzioni, come recentemente imposto dall'Autorità belga per la protezione dei dati contro lo IAB.

Nella pubblicità digitale è fondamentale che gli utenti non solo siano informati, ma possano anche opporsi attivamente alla raccolta e al trattamento dei loro dati. I dati raccolti possono includere qualsiasi cosa, dalla posizione all'età, alla cronologia delle ricerche e agli acquisti effettuati, evidenziando la complessità dell'argomento.

Per ottemperare ai requisiti del GDPR, lo IAB ha sviluppato il “Transparency and Consent Framework” (TCF). Questa piattaforma facilita l’ottenimento del consenso necessario al trattamento dei dati e garantisce il rispetto dei diritti degli utenti. Ciò crea anche le basi, ad esempio, per effettuare valutazioni anonime per migliorare prodotti e offerte.

Nel complesso, l’attuale dibattito sulla pubblicità, sui requisiti di protezione dei dati e sul ruolo dei responsabili mostra quanto sia importante trattare i dati degli utenti in modo trasparente e allo stesso tempo soddisfare i requisiti legali. Uno stretto legame tra pubblicità e protezione dei dati è più che mai necessario per conquistare e mantenere a lungo termine la fiducia degli utenti.