La TC string (Transparency and Consent string) è una combinazione di lettere e caratteri che esprime le preferenze di un utente in materia di trattamento dei dati personali. Secondo la Corte di Giustizia questo strumento, associato con il profilo IP dell’utente, è da considerarsi dato personale, in quanto è in grado di fornire un profilo del soggetto e identificarlo.
La causa all’oggetto del tribunale superiore europeo vedeva come ricorrente IAB Europe, un’associazione senza scopo di lucro con sede legale in Belgio, che permetteva la condivisione della TC string con broker di dati personali e piattaforme pubblicitarie, affinché questi potessero agevolmente sapere a che cosa l’utente aveva prestato il suo consenso o si fosse opposto.
In questo senso, IAB Europe è stato considerato “contitolare del trattamento” dei dati personali ai sensi del GDPR, dal momento che la normativa si occupa in maniera dettagliata anche delle modalità di stoccaggio e distribuzione dei dati personali, senza che tale qualifica implichi un’estensione di responsabilità per i trattamenti successivi di terzi quali i fornitori di siti Internet o di applicazioni, per quanto riguarda le preferenze degli utenti ai fini della pubblicità mirata online.