Facebook e protezione dei dati: l’amministratore di fanpage è responsabile, unitamente al social network, del trattamento dei dati dei visitatori

17 luglio, 2018 | Autore : |

Questo l’importante principio affermato dalla Corte di Giustizia UE (Causa C-210/16) secondo cui la nozione di “responsabile del trattamento” ai sensi della normativa europea, include l’amministratore di una fanpage presente su un social.

La vicenda nasce e si sviluppa sotto la vigenza della direttiva 95/46, oggi sostituita, come noto, dal GDPR 2016/679 ma i principi richiamati nella pronuncia in esame restano attualissimi.

Il tema è legato, chiaramente, al tracciamento dei dati di accesso ad un sito per osservare le abitudini di navigazione degli utenti, generalmente con finalità di marketing (c.d. “webtracking”).

La decisione in commento trae origine da una controversia che ha visto contrapposte la Wirtschaftsakademie Schleswig – Holstein, società tedesca specializzata nei servizi di formazione e l’ULD (Autorità di Vigilanza regionale per la protezione dei dati del Land SchleswigHolstein).

La predetta società offre servizi di formazione tramite l’utilizzo di una fanpage. Le fanpage sono account utenti attivabili sul social da singoli soggetti o da imprese.  La fanpage aiuta le aziende a condividere notizie e ad interagire con le persone, i c.d.fan, ovvero i soggetti a cui piace un certo prodotto, un marchio, un lavoro etc. Gli amministratori di fanpage possono ottenere dati anonimi statistici sui visitatori delle pagine, dati raccolti tramite i cookie, marcatori contenenti ciascuno un codice utente unico, attivi per due anni e salvati da Facebook sul disco fisso del computer o su qualsiasi altro supporto dei visitatori. Il codice utente, che può essere associato ai dati di collegamento degli utenti registrati su Facebook, è raccolto ed elaborato al momento dell’accesso.

Nel 2011 l’ULD ordinava alla società Wirtschaftsakademie di disattivare la propria fanpage ritenendo che né la società, né Facebook, avessero fornito adeguata informativa agli utenti circa la raccolta di informazioni personali operata tramite cookie e in merito alla rielaborazione successiva degli stessi.

La società impugnava tale provvedimento sostenendo che non potesse essere ritenuta responsabile di un trattamento dati realizzato da Facebook.

Seguiva un complesso iter giudiziario che vedeva, da ultimo, occuparsi della vicenda la  Corte amministrativa federale. Quest’ultima riteneva opportuno chiedere un intervento interpretativo della Corte di Giustizia sotto diversi profili. Per ciò che qui interessa, la Corte di Giustizia veniva, in particolare, invitata a chiarire se potesse essere dichiarata la responsabilità di un organismo, in qualità di amministratore di una fanpage presente su un social network, in caso di violazione delle norme relative alla tutela dei dati personali, in ragione della scelta di essersi avvalso di tale social per diffondere la propria offerta commerciale.

Con la decisione C-210/16 la Corte stabilisce come risulti pacifico che la società americana Facebook e, per l’UE, l’irlandese Facebook Ireland, debbano essere qualificate come “responsabili del trattamento” dei dati personali degli utenti di Facebook e dei visitatori delle fanpage presenti su detto social. Esse infatti determinano in via principale finalità e strumenti del trattamento di tali dati.

Del pari, prosegue la Corte, un amministratore di fanpage deve essere analogamente considerato responsabile del trattamento, all’interno dell’Unione, unitamente a Fecbook Ireland.

 

La Corte di Giustizia UE osserva in primis come il mero fatto di utilizzare un social network non renda l’utilizzatore corresponsabile di un trattamento di dati effettuato dal social stesso.

Ciò che rileva è l’azione di impostazione dei parametri ad opera dell’amministratore della fanpage. Impostazione che avviene  in base al pubblico destinatario, agli obiettivi di gestione e promozione dell’attività e che influisce sul trattamento dei dati. L’amministratore può, infatti, tramite filtri messi a disposizione da Facebook, definire i criteri a partire dai quali si devono stabilire tali statistiche e designare le categorie di persone i cui dati saranno oggetto di utilizzo da parte di Facebook, contribuendo così al trattamento dei dati personali dei visitatori della pagine.

Non solo. L’amministratore può  chiedere di ricevere – in forma anonima – dati demografici, informazioni su stile di vita e di provenienza territoriale dei propri visitatori. Il tutto, ovviamente, al fine di offrire servizi quanto più possibili mirati alle caratteristiche dei propri consumatori.

Le statistiche sull’utenza stabilite da Facebook sono trasmesse all’amministratore della fanpage in forma anonima. Tuttavia,  la realizzazione di tali statistiche si fonda sulla raccolta preliminare, tramite i cookie, e sul trattamento dei dati dei visitatori. Partecipando, dunque, l’amministratore della fanpage , attraverso l’attività di impostazione dei parametri (in funzione della tipologia dei destinatari e dei propri obiettivi di promozione) a determinare finalità e strumenti di trattamento dei dati dei visitatori, egli deve essere qualificato come responsabile del trattamento, unitamente a Facebook Ireland. Ciò a maggiore tutela dei diritti di cui godono i visitatori della fanpage.

Una corresponsabilità che non significa, come ovvio, responsabilità equivalente posto che il grado di responsabilità di ciascuno di essi andrà valutato in considerazione del grado e della tipologia di coinvolgimento degli stessi nelle fasi diverse del trattamento.

CERCA