Speța privește pe IAB Europe este o asociație care reprezintă companii din Belgia din domeniul publicității, punând la dispozițiea acestora un sistem centralizat de publicare de publicitate cu conținut specific către public țintă determinat pe baza intereselor acestuia. Aceasta asociație colecta consimțământul utilizatorilor de conținut online sub forma unor fișiere criptate, privind preferințele sau refuzul ca datele lor personale să fie prelucrate, fără să conțină direct datele de identificare ale utilizatorului, fișiere (denumite TC String) care erau distribuite către platforme de publicitate, care plasau mesaje publicitare către astfel de utilizatori. Asociația a fost sancționată de autoritatea belgiană, pe motivul că această practică în sine nu constituie o practică conformă cu o prelucrare legitmă de date personale.
Curtea Europeană a fost sesizată cu o întrebare preliminară privind două chestiuni:
1) a) Articolul 4 punctul 1 din [RGPD] coroborat cu articolele 7 și 8 din [cartă] trebuie interpretat în sensul că un șir de caractere care înregistrează, într‑o manieră structurată și lizibilă electronic, preferințele unui utilizator de internet cu privire la prelucrarea datelor sale cu caracter personal constituie o dată cu caracter personal, în sensul dispoziției menționate anterior, pentru (1) o organizație sectorială care pune la dispoziția membrilor săi un standard prin care le specifică maniera în care acest șir de caractere trebuie să fie generat, stocat și/sau distribuit din punct de vedere practic și tehnic și pentru (2) părțile care au implementat acest standard pe site‑urile sau în aplicațiile lor și care au astfel acces la aceste șiruri de caractere?
b) Situația este diferită în cazul în care implementarea standardului presupune ca acest șir de caractere să fie disponibil împreună cu o adresă IP?
c) Răspunsul [la punctele a) și b) ale primei întrebări] conduce la o altă concluzie dacă această organizație sectorială normativă nu are ea însăși acces legal la datele cu caracter personal prelucrate de membrii săi în cadrul acestui standard?
2) a) Articolul 4 punctul 7 și articolul 24 alineatul 1 din [RGPD] coroborat cu articolele 7 și 8 din [cartă] trebuie interpretate în sensul că o organizație sectorială normativă trebuie calificată drept operator atunci când aceasta oferă membrilor săi un standard pentru gestionarea consimțământului care cuprinde, alături de un cadru tehnic obligatoriu, norme care stabilesc în mod detaliat cum trebuie stocate și distribuite aceste date care fac obiectul consimțământului, care constituie date cu caracter personal?
b) Răspunsul [la punctul a) al celei de a doua întrebări] conduce la o altă concluzie dacă această organizație sectorială nu are ea însăși acces legal la datele cu caracter personal prelucrate de membrii săi în cadrul acestui standard?
c) Dacă organizația sectorială normativă trebuie desemnată drept operator sau operator asociat pentru prelucrarea preferințelor utilizatorilor de internet, această responsabilitate (asociată) a organizației sectoriale normative se extinde, prin urmare, în mod automat la prelucrările ulterioare realizate de terți pentru care au fost obținute preferințele utilizatorilor de internet, precum publicitatea online țintită realizată de editori și vânzători?
Răspunsurile au fost:
1. RGPD trebuie interpretat în sensul că un șir compus dintr‑o combinație de litere și de caractere precum TC String, care conține preferințele unui utilizator de internet sau al unei aplicații cu privire la consimțământul acestui utilizator pentru prelucrarea datelor cu caracter personal care îl privesc de către furnizorii de site‑uri internet sau de aplicații, precum și de brokerii de astfel de date și de platforme de publicitate, constituie o dată cu caracter personal, în sensul acestei dispoziții, în măsura în care, atunci când acesta poate fi asociat, prin mijloace rezonabile, cu un identificator, cum ar fi, printre altele, adresa IP a dispozitivului utilizatorului respectiv, el permite identificarea persoanei vizate. În asemenea condiții, împrejurarea că, fără o contribuție externă, o organizație sectorială care deține acest șir nu poate nici să aibă acces la datele care sunt prelucrate de membrii săi în cadrul normelor pe care le‑a stabilit, nici să combine respectivul șir cu alte elemente nu se opune ca același șir să constituie o dată cu caracter personal în sensul dispoziției menționate.
2. RGPD trebuie interpretate în sensul că:
– pe de o parte, o organizație sectorială, în măsura în care propune membrilor săi un cadru de norme pe care aceasta l‑a stabilit cu privire la consimțământul în materie de prelucrare a datelor cu caracter personal, care conține nu numai norme tehnice obligatorii, ci și norme care precizează în mod detaliat modalitățile de stocare și de distribuire a datelor cu caracter personal referitoare la acest consimțământ, trebuie să fie calificată drept „operator asociat”, în sensul acestei dispoziții, dacă, ținând seama de împrejurările specifice ale speței, ea influențează, în scopuri proprii, prelucrarea datelor cu caracter personal în cauză și, prin urmare, stabilește împreună cu membrii săi scopurile și mijloacele unei asemenea prelucrări. Împrejurarea că o astfel de organizație sectorială nu are ea însăși în mod direct acces la datele cu caracter personal prelucrate de membrii săi în cadrul normelor menționate nu se opune posibilității acesteia de a avea calitatea de operator asociat, în sensul dispozițiilor amintite;
– pe de altă parte, răspunderea asociată a organizației sectoriale menționate nu se extinde în mod automat la prelucrările ulterioare de date cu caracter personal efectuate de terți, precum furnizorii de site‑uri internet sau de aplicații, în ceea ce privește preferințele utilizatorilor în scopul publicității online țintite.
Comentarii