I social network sono potentissimi canali di comunicazione utilizzati da un numero sempre maggiore di utenti.
Sono considerati delle vere e proprie “piazze virtuali” e il grande bacino di utenza che attirano porta molte aziende ad utilizzarli per finalità commerciali. Spesso infatti le società si avvalgono di pagine Facebook (“fanpage”) per pubblicizzare le proprie attività, promuovere un prodotto, informare i propri clienti di eventi o promozioni, attirare nuova clientela, etc.
Tutte queste attività consentono di raccogliere dati e informazioni degli utenti che accedono alle pagine stesse. Tale aspetto apre la strada al tema della privacy ed impone una indagine sui potenziali profili di responsabilità derivanti da un illecito trattamento dei dati personali.
Il caso
La vicenda coinvolgeva una società tedesca specializzata in formazione, la quale, per fidelizzare i clienti e tenerli aggiornati rispetto alle proprie iniziative ed attività, apriva una pagina Facebook.
Nel 2011 l’Autorità regionale garante per la protezione dei dati personali ordinava al predetto ente, in qualità di amministratore, la disattivazione della pagina, rilevando una violazione della direttiva 95/46.
In particolare secondo l’Autorità competente né il gestore della pagina né Facebook avevano informato gli utenti che le loro informazioni personali venivano raccolte attraverso cookie e poi successivamente elaborate per altre finalità.
Il trattamento dei dati era stato effettuato a mezzo di “Facebook Insight”. Questo tool consente ai gestori della pagine di ottenere dati statistici anonimi riguardanti i propri visitatori. Il funzionamento di questo strumento è collegato a dei cookie (marcatori) contenenti ciascuno un codice utente unico che viene assegnato a ciascun utente al momento dell’accesso alla pagina. I cookie restano così attivi per due anni e Facebook li salva sul disco fisso del computer o su qualsiasi altro supporto dei visitatori della pagina (“webtracking”).
La società destinataria del provvedimento inibitorio, certa di non aver commesso alcun illecito, avverso il provvedimento del Garante promuoveva reclamo che veniva rigettato.
Successivamente tale decisione veniva impugnata dinnanzi ai Tribunali amministrativi tedeschi. L’ente sosteneva infatti che i dati erano stati trattati da Facebook (che aveva concretamente provveduto alla installazione dei cookie) e che solo quest’ultimo era tenuto ad avvertire gli utenti della conservazione e dell’eventuale trattamento successivo dei dati immagazzinati.
Il ricorso veniva accolto poiché, secondo il giudicante tedesco, ai sensi della normativa sulla privacy nazionale, l’amministratore non poteva essere destinatario di un provvedimento diretto esclusivamente al responsabile del trattamento dei dati, nel caso di specie a Facebook.
L’Autorità per la protezione dei dati proponeva quindi appello al Tribunale amministrativo superiore.
In tale contesto, la Corte amministrativa federale tedesca richiedeva in via pregiudiziale alla Corte di Giustizia una interpretazione della Direttiva n. 46/95 in materia di protezione dei dati personali.
La decisione della Corte di Giustizia (CGUE)
Con la pronuncia del 5 giugno 2018 (relativa alla causa C-210/16) la Corte di Giustizia dell’Unione Europea ha affrontato il tema della portata della responsabilità connesse al trattamento dei dati personali nell’ambito dei social network, con specifico riferimento alla pagine Facebook.
Il punto di partenza da cui muove la Corte riguarda la definizione del responsabile del trattamento, che viene definito in maniera lata, incentrando il suo ruolo rispetto alla sussistenza di un potere di determinazione delle finalità e degli strumenti da impiegare per il trattamento dei dati.
La funzione è quella di garantire un elevato grado di tutela delle libertà e dei diritti fondamentali delle persone fisiche, in particolare della loro vita privata, riguardo al trattamento dei dati personali.
In secondo luogo la Corte evidenzia che la titolarità del trattamento non necessariamente appartiene ad un unico soggetto, pertanto oltre al responsabile in via “principale” (che nel caso di specie viene incontestabilmente individuato in Facebook) anche gli altri che insieme a lui operano come «attori che partecipano a tale trattamento» dovranno essere soggetti alle norme dettate per il responsabile del trattamento.
La circostanza che un amministratore di una pagina utilizzi la piattaforma realizzata da Facebook, per beneficiare dei servizi a essa collegati, non può esonerarlo dal rispetto degli obblighi ad esso incombenti in materia di protezione dei dati personali.
Il gestore della Fanpage, impostando dei parametri (forniti da Facebook), partecipa alla determinazione delle finalità e degli strumenti del trattamento dei dati personali dei visitatori della sua pagina. Le informazioni ottenute dal conseguente trattamento consentiranno all’amministratore di impostare strategie aziendali, individuare obiettivi, offrire informazioni più mirate verso utenti specifici, proporre promozioni, etc.
E’ di tutta evidenza che tale partecipazione attiva lo fa diventare a tutti gli effetti contitolare del trattamento dei dati dei visitatori della pagina con le logiche conseguenze che ne derivano in punto alle responsabilità.
Ad ogni modo, la Corte precisa che la contitolarità del trattamento non comporta necessariamente una equa suddivisione delle responsabilità, che andranno valutate caso per caso, in relazione all’effettivo potere di incidenza dell’uno o dell’altro nell’economia del trattamento.
La direttiva del ’95 e il GDPR
Con l’applicazione del GDPR, a decorrere dal 25 maggio 2018, la direttiva n. 46/95, che si riteneva violata nel caso di cui si tratta, veniva abrogata.
Alla luce di ciò ci si domanda se il principio espresso dalla Corte sia ancora valido, trattandosi di una pronuncia resa con riferimento ad una fonte normativa non più in vigore.
La funzione del Regolamento sul trattamento dei dati personali è quella di regolare e riordinare la materia, armonizzandola per tutti gli Stati europei.
Nel passaggio dalla Direttiva al GDPR le norme di riferimento sono rimaste praticamente invariate. Concettualmente, quindi, la nuova disciplina non smentisce la decisione della Corte ma la conferma rafforzandone persino i contenuti.
La protezione della privacy risulta appunto maggiore rispetto agli standard già assicurati dalla Direttiva.
Qualche perplessità era stato poi generata dalla traduzione italiana della sentenza con riferimento ai termini utilizzati e ai ruoli ricoperti dai soggetti del trattamento. In particolare, a seguito del GDPR, il Garante ha stabilito che la traduzione di “controller” è “titolare”, e quella di “processor” è “responsabile”. Una volta superate le incertezze che la terminologia utilizzata dalla sentenza può facilmente suscitare, emerge dal confronto delle due definizioni un chiaro riferimento agli stessi soggetti.
L’iter logico ed argomentativo seguito dai Giudici rispecchia quindi l’attuale impianto del GDPR, pertanto i principi di diritto espressi dalla CGUE con la pronuncia in esame rimangono pienamente fondati.
La responsabilità dell’Amministratore di pagine Facebook
Come si è visto, la sentenza della Corte di Lussemburgo ha fissato un importante principio in tema di responsabilità del gestore di una pagina Facebook.
L’amministratore di una Fanpage partecipa alla determinazione delle finalità e delle modalità del trattamento dei dati, diventando contitolare del trattamento dei dati insieme a Facebook. In tal caso rientrerà nel campo di applicazione della normativa sulla protezione dei dati personali e quindi ne risponde in caso di violazioni.
Il grado di coinvolgimento dei contitolari varia a seconda del caso concreto comportando un diverso grado di responsabilità, ciononostante l’autorità per la protezione dei dati dello stato membro in cui l’amministratore ha la propria sede potrà rivolgersi indifferentemente ad entrambi.
VP