di Gabriella Lax -Il gestore di un sito Internet corredato del pulsante «Mi piace» di Facebook può essere congiuntamente responsabile con Facebook della raccolta e della trasmissione dei dati personali dei visitatori del suo sito. Ad affermarlo è la Corte europea di giustizia nella sentenza (in allegato) per la causa C-40/17.
Corte Ue e Facebook, in quali casi i siti sono corresponsabili
Persino "un like" su Facebook dunque può costare caro quando si tratta della privacy se si pensa alla decisione dell'organo di giustizia europeo secondo il quale anche un sito può essere ritenuto responsabile della raccolta e della trasmissione dei dati personali dei visitatori insieme con Facebook. Un'associazione di consumatori tedesca ha contestato ad un'azienda di abbigliamento online la trasmissione di dati senza il consenso degli interessati e, soprattutto, in mancanza di una informazione sui loro diritti in materia. Succedeva infatti che nel momento in cui si metteva il "like" nella pagina Facebook dell'azienda nessun messaggio informava sulle conseguenze di tale azione in relazione alla protezione dei dati personali, né veniva chiesto alcun consenso. In primis, è il Tribunale superiore del Land di Düsseldorf a chiedere alla Corte di giustizia d'interpretare le norme della direttiva del 1995 sulla protezione dei dati che, ricordiamo, resta applicabile alla causa in esame ma è stata sostituita dal regolamento generale del 2016 sulla protezione dei dati con effetto a decorrere dal 25 maggio 2018. Secondo l'organo europeo «la precedente direttiva sulla protezione dei dati non osta a che alle associazioni
per la tutela degli interessi dei consumatori sia concesso il diritto di agire in giudizio contro il presunto autore di una lesione della protezione dei dati personali». Mentre il nuovo regolamento generale sulla protezione dei dati prevede ora espressamente tale possibilità. La Corte constata poi che l'azienda, da un lato, sembra non poter essere considerata responsabile delle operazioni di trattamento di dati effettuate dalla Facebook Ireland dopo la loro trasmissione a quest'ultima. Pare escluso che la stessa azienda determini le finalità e gli strumenti di tali operazioni.Per contro, però, può invece essere considerata responsabile, congiuntamente con la Facebook Ireland, delle operazioni di raccolta e di comunicazione mediante trasmissione dei dati di cui trattasi, dal momento che si può concludere che azienda e Facebook Ireland «ne determinano, congiuntamente, i motivi e le finalità». In particolare, la presenza del pulsante per i "like" di Facebook nel sito Internet aziendale «possa consentire di ottimizzare la pubblicità per i suoi prodotti rendendoli più visibili sul social network Facebook quando un visitatore del suo sito Internet clicca su detto pulsante». È al fine di poter beneficiare di tale vantaggio commerciale, inserendo un simile pulsante nel suo sito Internet, che l'azienda sembra aver espresso il consenso, sia pure implicito, alla raccolta e alla comunicazione mediante trasmissione dei dati personali dei visitatori del suo sito. Quindi, tali operazioni di trattamento risultano essere state effettuate nell'interesse economico sia dell'azienda sia si Facebook Ireland, per la quale il fatto di poter disporre di tali dati ai propri fini commerciali costituisce la contropartita del vantaggio offerto alla stessa azienda.
Le conclusioni della Corte, i visitatori devono essere informati
Ricordiamo che la Corte non risolve la controversia nazionale. Toccherà poi al giudice nazionale risolvere la causa conformemente alla decisione della Corte. Tale decisione però vincola egualmente gli altri giudici nazionali ai quali venga sottoposto un problema simile. La Corte europea chiarisce che il gestore di un sito Internet come nel caso dell'azienda in questione, sia corresponsabile di alcune operazioni relative al trattamento di dati dei visitatori del suo sito, come la raccolta dei dati e la loro trasmissione alla Facebook Ireland. Per questo la stessa deve fornire, al momento della raccolta, talune informazioni a tali visitatori, come, ad esempio, la sua identità e le finalità del trattamento. La Corte fa delle precisazioni in merito a due dei sei casi di trattamento lecito di dati personali, previsti dalla direttiva. Circa il caso in cui la persona interessata abbia manifestato il proprio consenso, la Corte stabilisce che il gestore di un sito Internet (come nel caso dell'azienda) è tenuto a ottenere tale consenso preventivamente (soltanto) per le operazioni di cui è (cor)responsabile, vale a dire la raccolta e della trasmissione. Per i casi in cui il trattamento dei dati sia necessario alla realizzazione di un interesse legittimo, la Corte decide che ciascuno dei cor(responsabili) del trattamento, vale a dire il gestore del sito Internet e il fornitore del plug-in social, deve perseguire, con la raccolta e la trasmissione dei dati personali, un interesse legittimo affinché tali operazioni siano giustificate per quanto lo riguarda.
Scarica pdf Cgue 29 luglio 2019• Foto: 123rf.com