Come già preannunciato con la nostra news del gennaio scorso, il gestore di un sito Internet che inserisce il plugin di un terzo, come il pulsante «Mi piace» di Facebook, il quale determina la raccolta e la trasmissione dei dati personali degli utenti, è corresponsabile di tale fase del trattamento dei dati, assieme a detto terzo (Facebook Irlanda). Per contro, in linea di principio, non è responsabile del trattamento successivo di tali dati effettuato esclusivamente da Facebook.

Tale principio è stato definitivamente affermato dalla Corte di Giustizia UE, con la sentenza del 29 luglio 2019, C-40/17, Fashion ID GmbH & Co. KG / Verbraucherzentrale NRW eV., che ha recepito le conclusioni dell’Avvocato generale Bobek.

In sintesi, riprendendo il comunicato stampa rilasciato dalla Corte di Giustizia, la Fashion ID, un’impresa tedesca di abbigliamento di moda on-line, ha inserito nel proprio sito internet il pulsante «Mi piace» di Facebook.

Ciò in quanto l’inserimento da parte della Fashion ID del pulsante «Mi piace» di Facebook nel suo sito internet le consente di ottimizzare la pubblicità per i suoi prodotti rendendoli più visibili sul social network Facebook, quando un visitatore del suo sito internet clicca su detto pulsante. È al fine di poter beneficiare di tale vantaggio commerciale, inserendo un simile pulsante nel suo sito internet, che la Fashion ID ha espresso il consenso, quantomeno implicitamente, alla raccolta e alla comunicazione mediante trasmissione dei dati personali dei visitatori del suo sito. Difatti, quando un visitatore consulta il sito internet della Fashion ID, taluni dati personali di detto visitatore sono trasmessi alla Facebook Ireland.

Nel caso di specie, tuttavia, tale trasmissione avviene senza che il visitatore di cui trattasi ne sia consapevole e indipendentemente dal fatto che egli sia iscritto al citato social network o che abbia cliccato sul pulsante «Mi piace».

La Verbraucherzentrale NRW, associazione tedesca per la tutela degli interessi dei consumatori, ha quindi contestato alla Fashion ID di aver trasmesso alla Facebook Ireland dati personali appartenenti ai visitatori del suo sito internet, da un lato, senza il consenso di questi ultimi e, dall’altro, in violazione degli obblighi d’informazione previsti dalle disposizioni relative alla protezione dei dati personali.

Il Tribunale superiore del Land di Düsseldorf, Germania, ha quindi chiesto alla Corte di Giustizia d’interpretare le disposizioni della precedente direttiva 95/46/CE sulla protezione dei dati, applicabile nella causa in esame, ma che è stata sostituita dal regolamento UE 2016/679  sulla protezione dei dati, con effetto a decorrere dal 25 maggio 2018.

La Corte di Giustizia ha precisato che:

  • la precedente direttiva sulla protezione dei dati non osta a che alle associazioni per la tutela degli interessi dei consumatori sia concesso il diritto di agire in giudizio contro il presunto autore di una lesione della protezione dei dati personali. Il nuovo regolamento generale sulla protezione dei dati prevede ora espressamente tale possibilità, ciò che aumento ulteriormente la necessità di essere compliance con le disposizioni della normativa in materia
  • la Fashion ID sembra non poter essere considerata responsabile delle operazioni di trattamento di dati effettuate dalla Facebook Ireland dopo la loro trasmissione a quest’ultima. Infatti, risulta escluso, prima facie, che la Fashion ID determini le finalità e gli strumenti di tali operazioni;
  • la Fashion ID può essere considerata responsabile, congiuntamente con la Facebook Ireland, delle operazioni di raccolta e di comunicazione mediante trasmissione dei dati di cui trattasi, dal momento che si può concludere (fatte salve le verifiche che dovranno essere compiute dal giudice nazionale) che la Fashion ID e la Facebook Ireland ne determinano, congiuntamente, i motivi e le finalità. Infatti, premesso che la Corte di Giustizia ha già statuito che l’amministratore di una fanpage su Facebook deve essere considerato responsabile, assieme alla Facebook, del trattamento dei dati dei visitatori della sua pagina (sentenza del 5 giugno 2018, C-210/16, Wirtschaftsakademie Schleswig-Holstein), le operazioni di raccolta e di comunicazione mediante trasmissione dei dati personali dei visitatori del sito della Fashion ID risultano essere state effettuate nell’interesse economico tanto della Fashion ID quanto della Facebook Ireland, per la quale il fatto di poter disporre di tali dati ai propri fini commerciali costituisce la contropartita del vantaggio offerto alla Fashion ID. Pertanto, qualsiasi gestore di un sito internet, come la Fashion ID, in qualità di (cor)responsabile di talune operazioni di trattamento di dati dei visitatori del suo sito, come la raccolta dei dati e la loro trasmissione alla Facebook Ireland, deve fornire, al momento della raccolta, le informazioni previste dalla normativa in materia di privacy a tali visitatori, come, ad esempio, la sua identità e le finalità del trattamento;
  • per quanto riguarda il caso in cui la persona interessata abbia manifestato il proprio consenso, il gestore del sito internet, come la Fashion ID, è tenuto a ottenere tale consenso preventivamente (soltanto) per le operazioni di cui è (cor)responsabile, vale a dire la raccolta e della trasmissione;
  • per i casi in cui il trattamento dei dati sia necessario alla realizzazione di un interesse legittimo, ciascuno dei cor(responsabili) del trattamento, vale a dire il gestore del sito internet e il fornitore del plug-in social, deve perseguire, con la raccolta e la trasmissione dei dati personali, un interesse legittimo affinché tali operazioni siano giustificate per quanto lo riguarda.

Avv. Giulio Chiarizia