Con la bollinatura da parte della Ragioneria dello Stato, atto ufficiale prima della firma da…
Corte di giustizia Ue: siti responsabili con Facebook della raccolta dei dati personali
Il gestore di un sito Internet corredato del pulsante «Mi piace» di Facebook può essere congiuntamente responsabile con Facebook della raccolta e della trasmissione dei dati personali dei visitatori del suo sito Per contro, in linea di principio, non è responsabile del trattamento successivo di tali dati effettuato esclusivamente da Facebook.
La Fashion ID, un’impresa tedesca di abbigliamento di moda online, ha inserito nel proprio sito Internet il pulsante «Mi piace». Tale inserimento sembra comportare che, quando un visitatore consulta il sito Internet della Fashion ID, taluni dati personali di tale visitatore sono trasmessi alla Facebook Ireland. Risulta che tale trasmissione avviene senza che il visitatore di cui trattasi ne sia consapevole e indipendentemente dal fatto che egli sia iscritto al social network Facebook o che abbia cliccato sul pulsante «Mi piace».
La Verbraucherzentrale NRW, associazione tedesca di pubblica utilità per la tutela degli interessi dei consumatori, contesta alla Fashion ID di aver trasmesso alla Facebook Ireland dati personali appartenenti ai visitatori del suo sito Internet, da un lato, senza il consenso di questi ultimi e, dall’altro, in violazione degli obblighi d’informazione previsti dalle disposizioni relative alla protezione dei dati personali.
Investito della controversia, l’Oberlandesgericht Düsseldorf (Tribunale superiore del Land di Düsseldorf, Germania) chiede alla Corte di giustizia d’interpretare varie disposizioni della precedente direttiva del 1995 sulla protezione dei dati (che rimane applicabile alla causa in esame ma è stata sostituita dal regolamento generale del 2016 sulla protezione dei dati con effetto a decorrere dal 25 maggio 2018).
Nella sua sentenza in data odierna, la Corte precisa, innanzitutto, che la precedente direttiva sulla protezione dei dati non osta a che alle associazioni per la tutela degli interessi dei consumatori sia concesso il diritto di agire in giudizio contro il presunto autore di una lesione della protezione dei dati personali. La Corte osserva che il nuovo regolamento generale sulla protezione dei dati prevede ora espressamente tale possibilità.
La Corte constata poi che la Fashion ID sembra non poter essere considerata responsabile delle operazioni di trattamento di dati effettuate dalla Facebook Ireland dopo la loro trasmissione a quest’ultima. Infatti, risulta escluso, prima facie, che la Fashion ID determini le finalità e gli strumenti di tali operazioni.
Per contro, la Fashion ID può essere considerata responsabile, congiuntamente con la Facebook Ireland, delle operazioni di raccolta e di comunicazione mediante trasmissione dei dati di cui trattasi, dal momento che si può concludere (fatte salve le verifiche che devono essere effettuate dall’Oberlandesgericht Düsseldorf) che la Fashion ID e la Facebook Ireland ne determinano, congiuntamente, i motivi e le finalità.
Sembra in particolare che l’inserimento da parte della Fashion ID del pulsante «Mi piace» di Facebook nel suo sito Internet le consenta di ottimizzare la pubblicità per i suoi prodotti rendendoli più visibili sul social network Facebook quando un visitatore del suo sito Internet clicca su detto pulsante. È al fine di poter beneficiare di tale vantaggio commerciale, inserendo un simile pulsante nel suo sito Internet, che la Fashion ID sembra aver espresso il consenso, quantomeno implicitamente, alla raccolta e alla comunicazione mediante trasmissione dei dati personali dei visitatori del suo sito. Quindi, tali operazioni di trattamento risultano essere state effettuate nell’interesse economico tanto della Fashion ID quanto della Facebook Ireland, per la quale il fatto di poter disporre di tali dati ai propri fini commerciali costituisce la contropartita del vantaggio offerto alla Fashion ID.
La Corte sottolinea che il gestore di un sito Internet come la Fashion ID, quale (cor)responsabile di talune operazioni di trattamento di dati dei visitatori del suo sito, come la raccolta dei dati e la loro trasmissione alla Facebook Ireland, deve fornire, al momento della raccolta, talune informazioni a tali visitatori, come, ad esempio, la sua identità e le finalità del trattamento. La Corte fornisce ancora delle precisazioni in merito a due dei sei casi di trattamento lecito di dati personali, previsti dalla direttiva.
Pertanto, per quanto riguarda il caso in cui la persona interessata abbia manifestato il proprio consenso, la Corte decide che il gestore di un sito Internet come la Fashion ID è tenuto a ottenere tale consenso preventivamente (soltanto) per le operazioni di cui è (cor)responsabile, vale a dire la raccolta e della trasmissione. Per quanto riguarda i casi in cui il trattamento dei dati sia necessario alla realizzazione di un interesse legittimo, la Corte decide che ciascuno dei cor(responsabili) del trattamento, vale a dire il gestore del sito Internet e il fornitore del plug-in social, deve perseguire, con la raccolta e la trasmissione dei dati personali, un interesse legittimo affinché tali operazioni siano giustificate per quanto lo riguarda.
Articoli correlati
