Il gestore di un sito Internet che inserisce il plugin di un terzo, come il pulsante “Mi piace” di Facebook, il quale determina la raccolta e la trasmissione dei dati personali degli utenti, è corresponsabile di tale fase del trattamento dei dati. Queste le conclusioni dell’avvocato generale Michal Bobek per il caso esaminato dalla Corte di giustizia europea (CGUE), come riporta un comunicato dello stesso organo. Dunque secondo l’avvocato gli operatori del sito web dovrebbero fornire agli utenti le informazioni minime richieste riguardo alle operazioni di trattamento dei dati e, se necessario, ottenere il loro consenso prima della raccolta e del trasferimento dei dati.
La vicenda ha avuto inizio con la collaborazione con Facebook della società tedesca di articoli di moda online, Fashion ID. Tale azienda ha inserito un plugin nel suo sito Internet: il pulsante “Like” di Facebook. Di conseguenza, quando un utente entra nel sito Internet della Fashion, le informazioni relative all’indirizzo (Ip address) e alla stringa del browser (tipo: Explorer, Chrome, Firefox…) di tale utente sono trasferite a Facebook. Detto trasferimento avviene automaticamente quando si apre il sito Internet della Fashion, indipendentemente dal fatto che l’utente abbia cliccato il pulsante “Like” e abbia o meno un account Facebook. Da qui i motivi dell’azione inibitoria partita dalla Verbraucherzentrale NRW, un’associazione tedesca per la tutela dei consumatori, contro la Fashion ID adducendo che l’uso del pulsante «Like» di Facebook comporta la violazione della normativa sulla protezione dei dati. Investito della causa, l’Oberlandesgericht Düsseldorf (Tribunale superiore del Land, Düsseldorf, Germania) chiede l’interpretazione di varie disposizioni della precedente direttiva sulla protezione dei dati del 1995 1 (che rimane applicabile alla causa in esame, ma è stata sostituita dal nuovo regolamento generale sulla protezione dei dati del 2016 2 con effetto a decorrere dal 25 maggio 2018).
Le conclusioni dell’avvocato Michal Bobek sono una proposta alla Corte di giustizia di dichiarare che la direttiva non ostacola a una normativa nazionale che riconosce ad associazioni senza scopo di lucro la legittimazione a avviare un procedimento giudiziario nei confronti del presunto autore di una violazione della normativa in materia di protezione dei dati, al fine di tutelare gli interessi dei consumatori. Inoltre la Corte dovrebbe dichiarare che, ai sensi della direttiva sulla protezione dei dati, il gestore di un sito Internet (come la Fashion ID), che abbia inserito nel proprio sito Internet il plugin di un terzo (come il pulsante «Like» di Facebook), il quale determina la raccolta e la trasmissione di dati personali dell’utente, è considerato corresponsabile del trattamento, assieme a detto terzo (nella fattispecie la Facebook Ireland). La responsabilità (congiunta) del responsabile del trattamento dovrebbe essere limitata alle operazioni per le quali esso codecide effettivamente in merito agli strumenti e alle finalità del trattamento dei dati persona. Salvo verifica da parte del giudice del rinvio, sembra che sia la Facebook Ireland che la Fashion ID abbiano volontariamente determinato la fase di raccolta e di trasmissione del trattamento dei dati e, sebbene non vi sia identità, sussiste unità di intenti: esiste uno scopo commerciale e pubblicitario (la decisione della Fashion ID di inserire il pulsante «Like» di Facebook nel proprio sito Internet sembra ispirata dall’intento di aumentare la visibilità dei suoi prodotti attraverso il social network).
Per questi motivi, riguardo alla fase di raccolta e di trasmissione nell’ambito del trattamento dei dati, la Fashion ID agisce come responsabile del trattamento e la sua responsabilità, in tal senso, è congiunta con quella della Facebook Ireland. Per quanto riguarda la legittimità del trattamento di dati personali in mancanza del consenso dell’utente del sito Internet 3, secondo l’avvocato generale siffatto trattamento è lecito ai sensi della direttiva, in particolare qualora siano soddisfatte tre condizioni cumulative: in primo luogo, il perseguimento dell’interesse legittimo del responsabile del trattamento oppure del terzo o dei terzi cui vengono comunicati i dati; in secondo luogo, la necessità del trattamento dei dati personali per il perseguimento dell’interesse legittimo e, in terzo luogo, la condizione che non prevalgano i diritti e le libertà fondamentali della persona interessata dalla tutela dei dati. La proposta dell’avvocato alla Corte è quella di dichiarare che gli interessi legittimi di entrambi i corresponsabili in questione (la Fashion ID e la Facebook Ireland) devono essere tenuti in considerazione e controbilanciati dai diritti degli utenti del sito Internet. L’avvocato generale propone inoltre di dichiarare che il consenso dell’utente del sito Internet, se necessario, deve essere prestato al gestore del sito Internet (la Fashion ID) che abbia inserito i contenuti di un terzo. Del pari, l’obbligo di fornire all’utente del sito Internet le informazioni minime richieste grava sul gestore del sito Internet.
Ti potrebbe interessare anche: Attenti ai cannibali: Google e Facebook dominano il traffico online soffocando le aziende italiane