Consumatori

Published on giugno 15th, 2018 | by dirittodellinformatica.it

0

La responsabilità dell’amministratore di una fanpage Facebook per il trattamento dei dati riguardante gli utenti della sua pagina in una recente pronuncia della Corte di Giustizia UE

Arriva dalla Corte di Giustizia dell’Unione Europea una sentenza che fornisce un interessante spunto di riflessione sulla questione riguardante la responsabilità degli amministratori di una pagina Facebook per il trattamento dei dati dei visitatori, soprattutto alla luce dell’entrata in vigore lo scorso 25 maggio del nuovo Regolamento UE n. 679/2016. (GDPR).

Il caso oggetto di rinvio alla Corte di Giustizia UE

Il caso origina da un ricorso presentato da una società tedesca (la Wirtschaftsakademie, con sede nel land dello Schleswig-Holstein) specializzata nel settore della formazione, la quale offriva i propri servizi agli utenti servendosi di una fanpage appositamente creata sul popolare network di Palo Alto e nei confronti della quale l’Autorità Garante regionale per la protezione dei dati dello Schleswig – Holstein (il Land in cui la società ha sede ndr) aveva disposto la chiusura per violazione della direttiva 95/46.

L’Autorità competente, con decisione del 3 novembre 2011, contestava alla società che né lei né Facebook avevano informato i visitatori del fatto che, attraverso cookies appositamente installati sul disco fisso degli utenti, le informazioni personali venissero raccolte e poi successivamente elaborate per altre finalità.

In particolare, utilizzando la funzione denominata “Facebook Insights” i dati statistici anonimi riguardanti i visitatori venivano raccolti al momento dell’accesso alla pagina attraverso cookies di durata biennale, ciascuno contraddistinto da un codice univoco e salvato appositamente sul disco fisso o altro supporto dell’utente.

La società impugnava quindi tale decisione davanti ai tribunali amministrativi tedeschi, lamentando la sua mancanza di responsabilità nel trattamento in oggetto, in quanto effettuato autonomamente da Facebook, senza che il social network fosse stato in qualche modo incaricato dalla società ad effettuarlo.

Pertanto, la Wirtschaftsakademie deduceva che l’azione avrebbe dovuto essere rivolta non nei suoi confronti, bensì verso la stessa Facebook.

 La sentenza della Corte di Giustizia UE sulla causa C-210/16 – sentenza del 5 giugno 2018 Wirtschaftsakademie Schleswig-Holstein

In tale contesto, la Corte Amministrativa federale tedesca richiedeva in via incidentale alla Corte di Giustizia dell’Unione un’interpretazione della direttiva 95/46 in materia di protezione dei dati personali (oggi abrogata dal GDPR) ritenuta necessaria per poter decidere il caso di specie.

Interpellata sul punto, la Corte asserisce preliminarmente che sia Facebook Inc. che la sua divisione irlandese (Facebook Ireland Ltd.) debbano considerarsi “responsabili del trattamento”, con riguardo non solo ai dati personali dei propri utenti, ma anche di quelli dei visitatori delle relative pagine.

Ciò si evinceva dalla definizione della figura del Responsabile del Trattamento fornita sia dagli artt. 2 lett. d) e 17 par. 2. della direttiva 95/46, che dell’art. 3 par. 7 della legge tedesca sulla protezione dei dati, il quale, nel caso di specie, è individuato nella società che determina in via principale le finalità e gli strumenti inerenti al trattamento dei dati.

Pertanto, la responsabilità inerente al trattamento dei dati – osserva la Corte – dev’essere necessariamente attribuita anche all’amministratore della fanpage, il quale, impostando personalmente i parametri con cui regolare il proprio campo o settore d’intervento, determina le finalità e i mezzi attraverso cui effettuare il trattamento dei dati dei propri utenti.

In pratica ciò si realizza ogniqualvolta l’amministratore effettua il trattamento utilizzando, ad esempio, dati riguardanti lo stile di vita o gli interessi dei destinatari o, più generalmente, dati riguardanti l’età, il sesso o la zona geografica di provenienza e in base ad essi realizza campagne pubblicitarie o promozionali parametrate sul pubblico così selezionato.

Secondo la Corte, a nulla vale che l’admin si serva di una piattaforma di proprietà di terzi per beneficiare dei servizi messi a disposizione da quest’ultima e, in particolare, questo non lo esonera dal rispettare le norme comunitarie e nazionali previste in tema di protezione dei dati personali.

In buona sostanza la Corte di Giustizia aderisce all’orientamento già espresso con la celebre sentenza riguardante Google Spagna e Google Inc. del 13 maggio 2014 (causa C-131/12) la quale, sulla base di una definizione ampia della figura del Responsabile del Trattamento, individua tra gli altri, “l’organismo che da solo o insieme ad altri determina le finalità e gli strumenti del trattamento di dati personali”.

Tale forma di responsabilità solidale è posta quindi a presidio dei diritti e degli interessi degli utenti visitatori della fanpage così da ottemperare alle suddette prescrizioni della direttiva 95/46.

A tal fine quindi è competenza dell’Autorità Garante federale per la protezione dei dati la garanzia del rispetto delle disposizioni poste a tutela dei dati personali degli utenti, compreso quello di esercitare, nei confronti di qualsiasi società operante sul territorio tedesco, ogni potere ad essa attribuito sia dalle disposizioni comunitarie (artt. 4 e 28 della direttiva 95/46) che da quelle nazionali che ne dispongano l’attuazione.

È infatti compito del Garante dello Stato membro quello di esercitare i propri poteri anche nei confronti di una holding capogruppo la cui organizzazione preveda che alla filiale stabilita in detto territorio sia demandata anche la sola attività di marketing o promozionale, mentre la raccolta e il trattamento dei dati sia di competenza di un’altra società situata in altro stato membro (nel caso di specie Facebook Ireland Ltd.).

Tra i poteri dell’Autorità Garante rientra quindi la valutazione in merito alla liceità o meno di un determinato trattamento effettuato da un soggetto terzo responsabile, avente la propria sede in altro Stato membro e soggetta al controllo del rispettivo Garante.

In altre parole, la Corte osserva che, nel caso di specie, il garante tedesco può a tutti gli effetti esercitare i propri poteri d’intervento o sanzionatori in maniera autonoma nei confronti di Facebook Ireland Ltd. anche senza richiedere l’espressa autorizzazione del Garante Irlandese.

Conclusioni: i risvolti interpretativi della questione alla luce dell’entrata in vigore del Regolamento UE n. 679/2016 (GDPR)

Come è stato evidenziato, la sentenza in questione applica la normativa vigente all’epoca dei fatti oggetto della causa, precedenti cioè all’entrata in vigore del nuovo regolamento n. 679/2016 (GDPR) in materia di protezione dei dati personali.

Analizzando il contenuto, l’iter logico ed argomentativo seguito dai giudici nella redazione della sentenza non desta particolari perplessità, in quanto rispecchia fedelmente l’attuale impianto normativo del GDPR che, com’è noto, è divenuto pienamente applicabile dallo scorso 25 maggio.

Tuttavia, alcuni dubbi potrebbero essere ingenerati dalla traduzione italiana della sentenza rispetto ai termini utilizzati e ai ruoli ricoperti dai soggetti del trattamento.

L’amministratore della pagina Facebook è infatti indicato con un generico “responsabile”.

Dal comunicato stampa emesso successivamente alla sentenza si evince chiaramente che il termine “responsabile” sta ad indicare la responsabilità solidale dell’amministratore della fanpage insieme a Facebook, mentre nella sentenza è evidente l’utilizzo della traduzione italiana con riferimento alla previgente direttiva n. 95/46 la quale utilizza i termini di “responsabile” e “incaricato” per indicare il “controller” (attuale titolare del trattamento) e il “processor” (attuale responsabile del trattamento).

Nonostante ciò, con l’entrata in vigore del Reg. Ue n. 679/2016 il Garante ha stabilito che la traduzione di “controller” sia riferita al “titolare del trattamento”, mentre quella di “processor” sta ad indica il “responsabile del trattamento”, secondo quanto stabilito dall’art. 4 del GDPR.

Superati quindi i dubbi che la terminologia utilizzata dalla sentenza può facilmente suscitare, emerge dal confronto delle due definizioni un chiaro riferimento agli stessi soggetti.

Dott. Ercole Dalmanzio

Tags: , , , , ,


About the Author



Back to Top ↑