***
Il caso
La vicenda giudiziaria sfociata in un rinvio pregiudiziale alla Corte di Giustizia nasce da un’iniziativa di un’associazione tedesca per la difesa dei diritti dei consumatori (Verbraucherzentrale NRW eV), che ha lamentato l’illegittimità del trattamento dei dati personali degli utenti di un sito internet di e-commerce (www.fashionid.de, di Fashion ID GmbH & Co. KG: Fashion ID) per l’utilizzo del social plug-in “mi piace” di Facebook Ireland Ltd. (Facebook) in assenza (i) di un’idonea informativa sulle caratteristiche del trattamento dei loro dati personali e (ii) del consenso dei visitatori del sito internet.
Cliccando il “mi piace”, il visitatore di un sito internet può condividere istantaneamente, sul proprio profilo Facebook, il fatto che “gli piace” un determinato prodotto o servizio. Un “apprezzamento” espresso in questo modo si traduce in una pubblicità più efficiente per il gestore del sito internet che ha fatto uso del social plug-in, perché gli annunci targettizzati vengono mostrati solo agli utenti che hanno confermato la propria preferenza per quello specifico prodotto o servizio.
A dispetto delle apparenze, il “mi piace” consente la raccolta e la comunicazione a Facebook dei dati non solo degli utenti che lo cliccano, ma di tutti i visitatori del sito che ingloba il social plug-in, indipendentemente peraltro dal fatto che abbiano o meno un profilo Facebook.
Le questioni oggetto di rinvio pregiudiziale riguardano l’interpretazione della definizione di “titolare del trattamento” (già “responsabile del trattamento”, come in origine veniva tradotto il termine “controller”) offerta dalla Direttiva 95/46/CE - oggi abrogata dal Regolamento (UE) 2016/679 (GDPR): “la persona fisica o giuridica, l’autorità pubblica, il servizio o qualsiasi altro organismo che, da solo o insieme ad altri, determina le finalità e gli strumenti del trattamento di dati personali”.
La Corte è stata, in particolare, chiamata a pronunciarsi sulla possibilità che il gestore di un sito internet nel quale è stato inserito un social plug-in debba essere considerato titolare del trattamento dei dati che vengono comunicati al social network dal social plug-in, nonostante non sia in grado di incidere sul trattamento di tali dati da parte del social network.
Le conclusioni della Corte di Giustizia
La risposta della Corte è stata nel senso della co-titolarità: Fashion ID e Facebook sono co-titolari del trattamento. La co-titolarità è, comunque, limitata alle attività di raccolta e di comunicazione al social network dei dati dei visitatori del sito, che sono le uniche operazioni sulle quali Fashion ID può in qualche modo incidere.
L’elemento distintivo della co-titolarità è la determinazione congiunta, da parte di più titolari del trattamento, di finalità e mezzi del trattamento, ritenuta sussistente perché:
- quanto ai mezzi del trattamento, il “mi piace” consente a Fashion ID di esercitare una decisiva influenza sul trattamento in quanto, senza quel plugin, non sarebbero state possibili né la raccolta, né la comunicazione dei dati a Facebook;
- quanto, invece, alle finalità del trattamento, l’utilizzo del “mi piace” è un consenso implicito di Fashion ID alla comunicazione di dati a Facebook per beneficiare dei connessi vantaggi promozionali dei propri prodotti, consistenti in una migliore e maggiore visibilità degli stessi nel caso in cui quel pulsante venga cliccato.
E’, invece, irrilevante il fatto che Fashion ID non abbia accesso ai dati personali, fermo restando che la sua responsabilità non può essere estesa alle operazioni di trattamento compiute da Facebook dopo che i dati gli sono stati comunicati perché, in relazione a quelle, Fashion ID non può esercitare alcuna influenza.
A conferma di ciò, gli obblighi di Fashion ID fornire un’informativa sul trattamento dei dati personali e di raccogliere il relativo consenso sono stati limitati, dalla Corte, alle operazioni di trattamento per le quali è in grado di determinare finalità e mezzi e, quindi, a quelle di raccolta e di comunicazione dei dati a Facebook.
Conseguenze nell’era del GDPR
Il GDPR non ha modificato la definizione di “titolare”, ma ha introdotto espressamente l’obbligo, per i co-titolari, di sottoscrivere uno specifico contratto dove disciplinare le rispettive responsabilità, con particolare riguardo alla fornitura dell’informativa sul trattamento dei dati personali e all’esercizio dei diritti degli interessati, e con il quale designare un punto di contatto per questi ultimi.
Sarà interessante osservare come i (co)titolari si adegueranno alla pronuncia della Corte di Giustizia: più documenti e più responsabilità, o meno “mi piace”?