L’articolo 4, punto 1, del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27
aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati
personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento
generale sulla protezione dei dati), deve essere interpretato nel senso che: una stringa composta da
una combinazione di lettere e di caratteri, come la TC String (Transparency and Consent String),
contenente le preferenze di un utente di Internet o di un’applicazione relative al consenso di tale
utente al trattamento dei dati personali che lo riguardano, da parte di fornitori di siti Internet o di
applicazioni nonché da parte di broker di tali dati e di piattaforme pubblicitarie, costituisce un dato
personale ai sensi della suddetta disposizione, nella misura in cui, qualora essa possa essere
associata, con mezzi ragionevoli, ad un identificativo, quale in particolare l’indirizzo IP del
dispositivo di detto utente, essa consente di identificare l’interessato. In tale contesto, la circostanza
che, senza un contributo esterno, un’organizzazione di settore che detiene tale stringa non possa né
accedere ai dati trattati dai suoi membri nell’ambito delle norme da essa stabilite né combinare detta
stringa con altri elementi non osta a che la stessa stringa costituisca un dato personale ai sensi della
disposizione in parola. L’articolo 4, punto 7, e l’articolo 26, paragrafo 1, del regolamento 2016/679
devono essere interpretati nel senso che: da un lato, un’organizzazione di settore, nella misura in cui
propone ai suoi membri un quadro di norme, da essa stabilito, relativo al consenso in materia di
trattamento di dati personali, che contiene non solo norme tecniche vincolanti, ma anche norme che
precisano dettagliatamente le modalità di stoccaggio e di diffusione dei dati personali relativi a detto
consenso, deve essere qualificata come «contitolare del trattamento», ai sensi di tali disposizioni se,
tenuto conto delle circostanze particolari del caso di specie, essa influisce, per scopi che le sono
propri, sul trattamento di dati personali di cui trattasi e determina, pertanto, congiuntamente con i
suoi membri, le finalità e i mezzi di un tale trattamento. La circostanza che tale organizzazione di
settore non abbia essa stessa accesso diretto ai dati personali trattati dai suoi membri nell’ambito di
dette norme non osta a che essa possa assumere la qualità di contitolare del trattamento, ai sensi
delle disposizioni summenzionate; dall’altro, la contitolarità di detta organizzazione di settore non
si estende automaticamente ai trattamenti successivi di dati personali effettuati da terzi, quali i
fornitori di siti Internet o di applicazioni, per quanto riguarda le preferenze degli utenti ai fini della
pubblicità mirata online.