I dati personali sono sistematicamente messi all’asta!

I dati personali sono sistematicamente messi all’asta!

La corte di giustizia dell’unione europea ha recentemente fatto chiarezza su un tema sul quale gli interessati, che sono i protagonisti della vicenda, sanno poco o nulla: le regole per la raccolta e vendita all’asta dei loro dati personali!

Il commercio di dati personali di interessati, che si collegano a siti Internet di varia natura, dando il consenso al trattamento dei propri dati, a vari livelli, rappresenta un business di un valore eccezionale. Per meglio organizzare questa attività economica, a livello europeo è stata istituita una associazione, la IAB Europe, con sede in Belgio, che opera in supporto di decine di migliaia di titolari del trattamento, che gestiscono siti Web.

Questa associazione ha messo a disposizione una modulistica standardizzata per la raccolta del consenso, oppure dei consensi al trattamento. Questa modulistica, opportunamente digitalizzata, va a creare una serie di dati, chiamata TCF- trasparent and consent framework; questa serie di dati viene poi trasformata in una stringa, chiamata TCS – transparency and consent string. Questa stringa di dati, o meglio dei lotti di centinaia di migliaia di stringhe di dati, vengono messi all’asta con una procedura, chiamata RTB – real time bidding.

L’autorità belga per la protezione dei dati personali ha ritenuto che questa attività, svolta dalla azienda IAB, rappresentasse un trattamento di dati personali, raccolti dall’azienda stessa, in qualità di contitolare del trattamento. Occorre fare questa precisazione per il fatto che i dati venivano raccolti dai titolari del trattamento, che successivamente li inserivano in questo archivio digitalizzato, i cui contenuti venivano poi messi all’asta da IAB.

Pubblicità

Libri e Manuali - La progettazione delle sale di controllo: la serie ISO 11064 ed altre norme - eBook in pdf Approfondimento della normativa ISO 11064 e altre norme per la progettazione delle sale di controllo, a cura di di Adalberto Biasiotti.

Dopo un acceso contenzioso fra la IAB e il garante belga, si è deciso di accedere alla corte europea, anche perché così la sentenza della corte avrebbe avuto valore in tutti paesi dell’unione europea.

Gli argomenti su cui verteva il contenzioso erano due:

• se o meno la stringa di dati, chiamata TCS, costituisse un dato personale e   pertanto dovesse essere trattata in conformità ai dettati del regolamento europeo 679;
• se o meno l’attività svolta dalla IAB, che metteva a disposizione di tutti i soci una ampia modulistica ed un sistema informatizzato di trattamento dei consensi, potesse essere considerata contitolare del trattamento, insieme ai titolari, che raccoglievano in prima battuta il consenso degli interessati.

Per quanto riguarda il primo argomento, la corte ha concluso che la stringa di dati costituisse un dato personale, in quanto, con opportuni interventi, era possibile decodificare il contenuto della stringa e risalire all’interessato, che aveva espresso gli specifici consensi.

Per quanto riguarda il secondo argomento, la corte ha concluso che un’organizzazione di settore, nella misura in cui propone un quadro di norme, relativo al consenso in materia di trattamento dei dati personali, che contiene non solo norme tecniche vincolanti, ma anche precise indicazioni sulle modalità di stoccaggio e diffusione di questo consenso, deve essere qualificata come “contitolare del trattamento”.

Gli esperti di trattamento di dati personali ritengono che questa sentenza sia particolarmente importante, perché fa chiarezza sui molti dubbi, che talvolta sono nati in vari paesi, afferenti alla designazione di un soggetto come contitolare del trattamento, con relativa attribuzione di doveri e responsabilità.

Vedi allegata sentenza(pdf)

Adalberto Biasiotti

Licenza Creative Commons

I contenuti presenti sul sito PuntoSicuro non possono essere utilizzati al fine di addestrare sistemi di intelligenza artificiale.