CORTE DI GIUSTIZIA DELL’UNIONE EUROPEA: RESPONSABILITÀ CONGIUNTA TRA FACEBOOK ED IL GESTORE DI UN SITO CHE VISUALIZZA IL PULSANTE “MI PIACE” DI FACEBOOK PER LE OPERAZIONI DI RACCOLTA E COMUNICAZIONE MEDIANTE TRASMISSIONE DEI DATI PERSONALI (CGUE 29 LUGLIO 2019, C-40/17). 

 Autore: Avv. Teresa Aloi

La domanda di pronuncia pregiudiziale alla base della sentenza della Corte di Giustizia UE del 29 luglio 2019, in commento, verte sull’interpretazione di una serie di articoli (artt. 2, 7, 10 e dal 22 al 24) della Direttiva 95/46/CE del Parlamento e del Consiglio del 24 ottobre 1995 (c.d. Direttiva Privacy), relativa alla tutela delle persone fisiche con riguardo al trattamento ed alla circolazione dei dati personali ed avente lo specifico scopo di armonizzare le norme in materia di protezione dei dati personali al fine di garantire un “flusso libero” degli stessi e promuovere un elevato livello di tutela dei diritti fondamentali dei cittadini.

Sebbene la Direttiva Privacy, con effetto dal 25 maggio 2018, sia stata abrogata e sostituita dal Regolamento 2016/679/UE del 27 aprile 2016 (GDPR), alla controversia in esame essa trova, comunque, applicazione, in ragione della data di accadimento dei fatti nella causa principale. La sentenza, inoltre, fornisce spunti interessanti anche alla luce del nuovo Regolamento.

Oggetto della pronuncia della Corte di Giustizia UE è il trasferimento di dati personali tramite plug-in, ossia pulsanti che permettono ad un utente, a seconda dei casi, di condividere il link del sito su cui sta navigando sul proprio profilo social o di inserire “mi piace” oppure “segui” alla pagina social del sito in questione.

Dal punto di vista della protezione dei dati personali, i plug-in assumono rilevanza dal momento che il loro funzionamento è reso possibile grazie al trasferimento dal gestore del sito al social network dell’indirizzo IP del computer dell’utente. Un flusso di dati che spesso è accompagnato da frasi del tipo: “Il gestore del presente sito non si assume alcuna responsabilità su come Facebook tratterà i tuoi dati”.

Il caso deciso dalla Corte europea riguardava un plug-in inserito sul sito della Fashion ID, società di diritto tedesco che si occupa di vendita al dettaglio online di articoli di moda, attraverso cui gli utenti del sito stesso potevano cliccare “mi piace” alla pagina Facebook della società di abbigliamento, con il risultato che i loro dati personali venivano trasferiti a Facebook Ireland. Tale trasmissione avveniva senza che il visitatore di cui trattasi ne fosse consapevole ed indipendentemente dal fatto che fosse o meno un membro del social network.

Un’associazione tedesca di pubblica utilità (la Verbrancherzentrale NRW) contestava alla Fashion ID di aver trasmesso alla Facebook Ireland dati personali appartenenti ai visitatori del proprio sito internet, da un lato, senza il consenso di questi ultimi e, dall’altro, in violazione degli obblighi di informazione previsti dalle disposizioni relative alla protezione dei dati personali. Succedeva, infatti, che nel momento in cui si cliccava “mi piace” sulla pagina Facebook dell’azienda nessun messaggio informava sulle conseguenze di tale azione in relazione alla protezione dei dati personali, né veniva richiesto alcun consenso in merito.

L’associazione, pertanto, esercitava azione legale, presso il Tribunale regionale di Dusseldorf-Germania, contro la Fashion ID per costringerla a porre fine a tale pratica.

Il Tribunale regionale in sede di appello sospendeva il procedimento e sottoponeva alla Corte di Giustizia UE alcune questioni pregiudiziali sull’interpretazione di una serie di disposizioni della Direttiva sulla protezione dei dati (Direttiva 95/46/CE), in particolare, se la Fashion ID potesse essere qualificata come titolare del trattamento, pur non avendo alcun controllo sui dati personali trasferiti a Facebook, né potendo accedere agli stessi e su chi ricadesse l’onere di richiedere il consenso agli interessati per il trasferimento dei dati, laddove tale consenso fosse necessario.

Secondo la Corte europea, innanzitutto, la precedente Direttiva sulla protezione dei dati personali non osta a che alle associazioni per la tutela degli interessi dei consumatori sia concesso di agire in giudizio contro il presunto autore di una lesione della protezione dei dati personali (il nuovo Regolamento generale sulla protezione dei dati ora prevede espressamente tale possibilità). A tal proposito si deve rilevare che uno degli obiettivi della Direttiva 95/46/CE era garantire una protezione effettiva e completa dei diritti e delle libertà fondamentali delle persone fisiche, in particolare, del loro diritto alla privacy, in relazione al trattamento di dati personali. Il fatto che uno Stato preveda nella sua legislazione nazionale che un’associazione per la tutela dei consumatori possa avviare un procedimento giudiziario nei confronti di un soggetto che, presumibilmente, è responsabile di una violazione delle leggi che proteggono i dati personali, in nessun modo mina gli obiettivi di tale protezione ma anzi contribuisce alla loro realizzazione.

Per rispondere alla pregiudiziale relativa al ruolo della Fashion ID, i giudici di Lussemburgo sono partiti dalla definizione generale di “titolare del trattamento”, identica sia nel GDPR sia nell’abrogata Direttiva Privacy. Ex art. 4 GDPR, titolare del trattamento è la persona fisica o giuridica, l’autorità pubblica, il servizio o qualsiasi altro organismo che, singolarmente o insieme ad altri, determina le finalità ed i mezzi del trattamento (dei dati personali). La Corte UE ritiene che tale nozione meriti un’interpretazione estensiva e che l’esistenza di una contitolarità, teorizzata nel caso di specie, non implichi necessariamente le stesse responsabilità per tutti i soggetti coinvolti nel trattamento dei dati.

Ciò premesso, la Corte di Giustizia europea ha sottolineato come installando un plug-in Facebook sul proprio sito, Fashion ID abbia ricoperto un ruolo decisivo nel permettere che i dati degli utenti venissero trasferiti al social network, anche senza esserne iscritti. Tale ruolo, secondo la Corte, porta a concludere come la Fashion ID non possa essere considerata responsabile delle operazioni di trattamento dei dati effettuate solo dalla Facebook Ireland dopo la loro trasmissione a quest’ultima. Risulta escluso, infatti, che la Fashion ID abbia determinato le finalità e gli strumenti di tali specifiche operazioni.

Per contro, essa può essere considerata responsabile, congiuntamente con la Facebook Ireland, delle operazioni di raccolta e di comunicazione mediante trasmissione dei dati di cui trattasi, dal momento che si può concludere che l’azienda ed il social network “ne determinano, congiuntamente, i motivi e le finalità”[1].

L’inserimento da parte della Fashion ID del pulsante “mi piace” di Facebook nel proprio sito internet, le consente di ottimizzare la pubblicità dei propri prodotti rendendoli più visibili sul social network quando un visitatore del suo sito internet clicca su tale pulsante. E’ allo scopo di beneficiare di tale vantaggio commerciale che la Fashion ID sembra aver espresso il consenso, quantomeno implicitamente, alla raccolta ed alla comunicazione mediante trasmissione, dei dati personali dei visitatori del proprio sito. Tali operazioni di trattamento, pertanto, risultano essere state effettuate nell’interesse economico tanto della Fashion ID quanto della Facebook Ireland, per la quale il fatto di poter disporre di tali dati ai propri fini commerciali costituisce la contropartita del vantaggio offerto alla Fashion ID.

In tali circostanze, pertanto, si può concludere che, Fashion ID e Facebook Ireland stabiliscono congiuntamente le finalità delle operazioni che comportano la raccolta e la divulgazione mediante la trasmissione dei dati personali in questione nella causa principale e, di conseguenza, possono essere ritenute responsabili del trattamento ai sensi dell’art. 2, lett. d) della Direttiva 95/46/CE.

I giudici europei hanno ribadito come, ai sensi della normativa in materia di protezione dei dati personali, spetta al titolare fornire all’interessato l’informativa sul trattamento dei dati nonché ottenerne il consenso, laddove richiesto. Applicando tale principio in un caso come quello di specie, contraddistinto dalla presenza di due contitolari, la Corte ha stabilito come, laddove ciò occorresse, spetterebbe a Fashion ID ottenere il consenso dagli interessati. Questo in ragione del fatto che il consenso deve essere ottenuto prima che abbia luogo il trasferimento, così come prima deve essere fornita l’informativa, e, pertanto, spetta al gestore che raccoglie per primo i dati, ottenerlo, fornendo ai visitatori al momento della raccolta, talune informazioni come, ad esempio, la propria identità e le finalità del trattamento stesso, e non spetta al social network a cui le informazioni sono comunicate successivamente ed a cui appartiene il plug-in.

La Corte di Giustizia UE fornisce, inoltre, delle precisazioni in merito a due dei sei casi di trattamento lecito di dati personali, previsti dalla Direttiva 95/46/CE (e dal GDPR)[2].

Nel caso in cui la persona interessata abbia manifestato il proprio consenso, la Corte ritiene che il gestore di un sito internet è obbligato ad ottenere tale consenso preventivamente (soltanto) per le operazioni di cui è corresponsabile, vale a dire della raccolta e della trasmissione dei dati. Per i casi in cui il trattamento dei dati sia necessario alla realizzazione di un interesse legittimo, la Corte UE ritiene che ciascuno dei corresponsabili del trattamento, vale a dire il gestore del sito ed il fornitore del plug-in social, deve perseguire, con la raccolta e la trasmissione dei dati personali, un interesse legittimo affinchè tali operazioni siano giustificate per quanto lo riguarda.

La Corte, nella sentenza in commento, non stabilisce il principio per cui nei trasferimenti tramite plug-in social sia sempre necessario il consenso degli interessati ma, al contrario, assegna tale compito al giudice di rinvio, il quale dovrà esprimersi sulla questione anche tenendo a mente quanto previsto dall’art. 5, par. 3, della Direttiva 2002/58/CE[3]. Si ricorda che il rinvio pregiudiziale consente ai giudici degli Stati membri, nell’ambito di una controversia della quale siano stati investiti, di interpellare la Corte europea in merito all’interpretazione del diritto dell’Unione o alla validità di un atto dell’Unione. La Corte UE non risolve la controversia nazionale, tale compito spetta al giudice dello Stato membro che dovrà assolverlo in conformità alla decisione della Corte. Tale decisione, però, vincola egualmente gli altri giudici nazionali ai quali venga sottoposto un problema simile.

La base giuridica che legittima il trattamento dei dati è, pertanto, il legittimo interesse, sulla cui applicazione la stessa sentenza Fashion ID fornisce delle indicazioni. La pronuncia della Corte di Giustizia dell’Unione europea in commento, è interessante perché fa luce su una questione controversa e chiarisce in via definitiva che, in caso di plug-in installati su un sito internet, non è soltanto il social network ad essere responsabile per il trattamento dei dati degli utenti che vi cliccano sopra ma anche il gestore dello stesso sito.

Avv. Teresa Aloi,  Foro di Catanzaro  

[1] La Corte di Giustizia UE, nella sentenza del 5 giugno 2018, C-210/16, ha statuito che l’amministratore di una fanpage su Facebook deve essere considerato responsabile, insieme a Facebook, del trattamento dei dati dei visitatori della sua pagina.

[2] Regolamento generale sulla protezione dei dati personali (GDPR 2016/679/UE) art. 6- Il trattamento è lecito se: 1) l’interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità; 2) il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso; 3) il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento; 4) il trattamento è necessario per la salvaguardia degli interessi vitali dell’interessato o di altra persona fisica; 5) il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento; 6) il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore.

[3] Direttiva 2002/58/CE art. 5, par. 3: Gli Stati membri assicurano che l’uso delle reti di comunicazione elettronica per archiviare informazioni o per avere accesso ad informazioni archiviate nell’apparecchio terminale di un abbonato o di un utente sia consentito unicamente a condizione che l’abbonato o l’utente interessato sia informato in modo chiaro e completo, tra l’altro, degli scopi del trattamento in conformità della Direttiva 95/46/CE e che gli sia offerta la possibilità di rifiutare tale trattamento da parte del responsabile dello stesso. Ciò non impedisce l’eventuale memorizzazione tecnica o l’accesso al solo fine di effettuare o facilitare la trasmissione di una comunicazione su una rete di comunicazione elettronica  o nella misura strettamente necessaria a fornire un servizio della società dell’informazione esplicitamente richiesto dall’abbonato o dall’utente.