Se gestisco un sito internet nel quale inserisco il pulsante “like” di Facebook (che è quindi il provider di quel plugin), sono obbligato a informare i “visitatori” che i loro dati verranno trasmessi anche al social network?

La questione è stata esaminata dalla Corte di Giustizia che ha risposto affermativamente al quesito con la sentenza Fashion ID del 29 luglio 2019 (causa C-40/17), assicurando una maggior tutela agli internauti ma sottolineando l’esistenza di “oneri” incombenti in capo a chi, per aumentare le vendite online per esempio, voglia integrare sul proprio sito anche la possibilità di mettere un “Like” su Facebook.

Secondo i giudici di Lussemburgo, infatti, il gestore di un sito Internet corredato del pulsante «Mi piace» di Facebook potrà essere considerato congiuntamente responsabile con Facebook della raccolta e della trasmissione dei dati personali dei visitatori del suo sito.

Per contro, in linea di principio, tale gestore non è responsabile del trattamento successivo dei dati personali effettuato esclusivamente da Facebook..

Ancora un caso per la Corte di Giustizia in cui bilanciare le tutele da riconoscere agli internauti sotto il profilo del trattamento dei dati personali e le possibilità offerte dalla rete per promuovere online i propri
prodotti. La sentenza Fashion ID chiarisce che integrare nel proprio sito un Like di Facebook comporta la responsabilità del trattamento di quei dati, responsabilità comunque condivisa tra il gestore del sito e Facebook.

Il Fatto

La Fashion ID GmbH & Co. KG, impresa tedesca di abbigliamento di moda online, ha inserito nel proprio sito Internet un plugin: il pulsante «Like» (Mi piace) di Facebook. Infatti il browser permette l’inserimento di contenuti da differenti sorgenti, come per esempio, foto, video, news e, per l’appunto, il pulsante “Like” di Facebook. Orbene, quando un visitatore consulta il sito Internet della Fashion ID, taluni suoi dati personali – quali le informazioni relative all’indirizzo IP e alla stringa del browser di questo utente – vengono trasferiti alla Facebook Ireland: questa trasmissione, però, avviene automaticamente quando si apre il sito Internet della Fashion ID e senza che il visitatore ne sia consapevole. Ossia, il trasferimento di questi dati personali viene effettuato indipendentemente dal fatto che l’utente abbia cliccato o meno il pulsante «Like» e sia iscritto a Facebook con relativo account. È proprio questa modalità di trattamento dei dati, dunque, ciò che la Verbraucherzentrale NRW, associazione tedesca di pubblica utilità per la tutela degli interessi dei consumatori, ha contestato alla Fashion ID a mezzo di apposita azione inibitoria contro la Fashion ID. Secondo l’associazione, l’uso di tale plugin comporterebbe la violazione della normativa sulla protezione dei dati. Sotto accusa, dunque, l’aver trasmesso alla Facebook Ireland dati personali appartenenti ai visitatori del suo sito Internet, da un lato, senza il loro consenso e, dall’altro, in violazione degli obblighi d’informazione previsti dalle disposizioni relative alla protezione dei
dati personali.
Della questione risulta investito, in Germania, il Tribunale superiore del Land di Düsseldorf che ha reputato opportuno sospendere il giudizio e chiedere alla Corte di giustizia d’interpretare varie disposizioni della Direttiva 95/46/CE sulla protezione dei dati personali (che rimane applicabile alla causa in esame ma è stata sostituita dal c.d. GDPR del 2016, cioè il Regolamento (UE) 2016/679 sulla privacy con effetto a decorrere dal 25 maggio 2018). Il Tribunale tedesco ha anche chiesto di chiarire quali siano i soggetti cui si riferiscono i «legittimi interessi» che devono essere considerati nella ponderazione richiesta dall’art. 7, lettera f), della direttiva 95/46.

Decisione della Corte

Con la sentenza del 29 luglio 2019 (causa C-40/17), la Corte ha osservato, in via preliminare, che, ai sensi dell’art. 22 della direttiva 95/46/CE, fatti salvi ricorsi amministrativi che possono essere promossi, segnatamente dinanzi alle competenti autorità di controllo ex art. 28, prima che sia adita l’autorità giudiziaria gli Stati membri devono stabilire che chiunque possa disporre di un ricorso giurisdizionale in caso di violazione dei diritti garantitogli dalle disposizioni nazionali applicabili al trattamento in questione.

Proseguendo, la Corte di Giustizia ha rammentato che la precedente direttiva (95/46/CE) sulla protezione dei dati non osta a che alle associazioni per la tutela degli interessi dei consumatori sia concesso il diritto di agire in giudizio contro il presunto autore di una lesione della protezione dei dati personali. Peraltro, adesso il nuovo regolamento generale sulla protezione dei dati (GDPR) prevede espressamente tale possibilità. Trattamento dati, ambito di responsabilità della Fashion ID (gestore sito web).

Secondo i giudici europei, la Fashion ID sembra non possa essere considerata responsabile delle operazioni di trattamento di dati effettuate dalla Facebook Ireland dopo la loro trasmissione a quest’ultima. Infatti,
risulta escluso, prima facie, che la Fashion ID determini le finalità e gli strumenti di tali operazioni. Per contro, la Fashion ID può essere considerata responsabile, congiuntamente con Facebook Ireland, delle
operazioni di raccolta e di comunicazione mediante trasmissione dei dati di cui si tratta, dato che si può concludere (fatte salve le verifiche che dovrà svolgere il giudice nazionale) che la Fashion ID e la Facebook Ireland ne determinano, congiuntamente, i motivi e le finalità.

Il pulsante Like di Facebook apporta un vantaggio economico: consenso espresso implicitamente In particolare, sembrerebbe che l’inserimento da parte della Fashion ID del pulsante «Mi piace» di Facebook nel suo sito Internet le consenta di ottimizzare la pubblicità per i suoi prodotti rendendoli più visibili sul social network Facebook, quando un visitatore del suo sito Internet clicca su questo pulsante. È proprio per poter beneficiare di questo vantaggio commerciale – consistente, quindi, in un incremento di pubblicità dei suoi beni e derivante dall’inserimento di questo pulsante nel suo sito Internet –, che la Fashion ID sembra aver espresso il consenso, quantomeno implicitamente, alla raccolta e alla comunicazione (collection and disclosure) mediante trasmissione dei dati personali dei visitatori del suo sito. Quindi, dice la Corte di Giustizia, tali operazioni di trattamento risultano essere state effettuate nell’interesse economico sia della Fashion ID sia della Facebook Ireland, per la quale il fatto di poter disporre di tali dati ai propri fini commerciali costituisce la contropartita del vantaggio offerto alla Fashion ID (“…Fashion ID and Facebook) Ireland determine jointly the purposes of the operations involving the collection and disclosure by transmission of the personal data at issue in the main proceedings”).

Necessità di fornire agli internauti informazioni sulla raccolta dei dati personali.

La Corte di Giustizia, altresì, ha sottolineato che il gestore di un sito Internet (come la Fashion ID), quale (cor)responsabile di talune operazioni di trattamento di dati dei visitatori del suo sito (come la raccolta dei dati e la loro trasmissione alla Facebook Ireland), deve fornire, al momento della raccolta, talune informazioni a tali visitatori (ad esempio, la sua identità e le finalità del trattamento).

Casi di trattamento lecito dei dati personali: precisazioni.

La Corte fornisce anche delle precisazioni in merito a due dei sei casi di trattamento lecito di dati personali, disciplinati dalla direttiva 95/46/CE:

  • per quanto riguarda il caso in cui la persona interessata abbia manifestato il proprio consenso, la Corte decide che il gestore di un sito Internet (come la Fashion ID) è tenuto a ottenere tale consenso preventivamente (soltanto) per le operazioni di cui è (cor)responsabile, vale a dire la raccolta e la trasmissione;
  • per quanto riguarda i casi in cui il trattamento dei dati sia necessario alla realizzazione di un interesse legittimo, la Corte decide che ciascuno dei cor(responsabili) del trattamento (vale a dire, il gestore del sito Internet e il fornitore del plug-in social), deve perseguire, con la raccolta e la trasmissione dei dati personali, un interesse legittimo affinché tali operazioni siano giustificate per quanto lo riguarda.