TUTELA DEI DATI PERSONALI
Corte di Giustizia UE: l’amministratore di una fanpage su Facebook è contitolare insieme a Facebook del trattamento dei dati dei visitatori della sua pagina.
L’autorità per la protezione dei dati dello Stato membro in cui tale amministratore ha la propria sede può agire, in forza della direttiva 95/461, sia nei confronti di quest’ultimo sia nei confronti della filiale di Facebook stabilita in tale medesimo Stato.
La società tedesca Wirtschaftsakademie Schleswig-Holstein è specializzata nel settore della formazione. Essa offre servizi di formazione attraverso segnatamente una fanpage2 presente su Facebook all’indirizzo www.facebook.com/wirtschaftsakademie.
Gli amministratori di fanpage, quali la Wirtschaftsakademie, possono ottenere dati statistici anonimi sui visitatori di tali pagine servendosi di una funzione denominata Facebook Insights, messa a loro disposizione gratuitamente da Facebook secondo condizioni d’uso non modificabili. Tali dati sono raccolti grazie a marcatori («cookie») contenenti ciascuno un codice utente unico, attivi per due anni e salvati da Facebook sul disco fisso del computer o su qualsiasi altro supporto dei visitatori della fanpage. Il codice utente, che può essere associato ai dati di collegamento degli utenti registrati su Facebook, è raccolto ed elaborato al momento dell’accesso alle fanpage.
Con decisione del 3 novembre 2011, l’Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein (autorità di vigilanza regionale indipendente per la protezione dei dati dello Schleswig-Holstein, Germania), in qualità di autorità di controllo incaricata, in forza della direttiva 95/46 sulla protezione dei dati, di sorvegliare l’applicazione nel Land Schleswig-Holstein delle disposizioni adottate dalla Germania in attuazione di tale direttiva, ordinava alla Wirtschaftsakademie la disattivazione della sua fanpage. Infatti, secondo l’Unabhängiges Landeszentrum, né la Wirtschaftsakademie né Facebook avevano informato i visitatori della fanpage del fatto che Facebook raccoglieva, mediante cookie, informazioni personali che li riguardavano e che essi elaboravano successivamente tali informazioni.
Contro tale decisione, la Wirtschaftsakademie proponeva ricorso dinanzi ai tribunali amministrativi tedeschi affermando che il trattamento dei dati personali realizzato da Facebook non può esserle imputato e negando inoltre di aver incaricato Facebook di effettuare un trattamento di dati soggetto al suo controllo o rientrante nella sua sfera d’influenza. La Wirtschaftsakademie ne deduce che l’Unabhängiges Landeszentrum avrebbe dovuto agire direttamente contro Facebook e non contro di essa.
È in tale contesto che il Bundesverwaltungsgericht (Corte amministrativa federale, Germania) ha chiesto alla Corte di giustizia d’interpretare la direttiva 95/46 sulla protezione dei dati.
Nella sua sentenza odierna, la Corte di giustizia osserva, innanzitutto, che non si dubita nella presente causa del fatto che la società americana Facebook e, per quanto riguarda l’Unione, la sua filiale irlandese Facebook Ireland debbano essere considerate quali «titolari del trattamento» dei dati personali degli utenti di Facebook nonché delle persone che hanno visitato le fanpage presenti su Facebook. Infatti, tali società determinano, in via principale, le finalità e gli strumenti del trattamento di tali dati.
In seguito, la Corte constata che un amministratore quale la Wirtschaftsakademie deve essere considerato titolare, all’interno dell’Unione, assieme alla Facebook Ireland del trattamento dei dati interessati.
Infatti, un amministratore del genere partecipa, attraverso la propria azione d’impostazione dei parametri (in funzione, segnatamente, del suo pubblico destinatario nonché di obiettivi di gestione o promozione delle proprie attività), alla determinazione delle finalità e degli strumenti del trattamento dei dati personali dei visitatori della sua fanpage. In particolare, la Corte rileva a tal riguardo che l’amministratore della fanpage può chiedere di ricevere (in forma anonima) - e, quindi, di trattare – dati demografici concernenti il suo pubblico destinatario (in particolare tendenze in materia di età, sesso, situazione sentimentale e professionale), informazioni sullo stile di vita e sugli interessi di detto pubblico (incluse informazioni sugli acquisti e il comportamento di acquisto online dei visitatori della sua pagina, nonché le categorie di prodotti o di servizi di loro maggiore interesse) e dati territoriali che consentono all’amministratore della fanpage di stabilire dove avviare promozioni speciali o organizzare eventi e, in generale, di offrire informazioni maggiormente mirate.
Secondo la Corte, la circostanza che un amministratore di una fanpage utilizzi la piattaforma realizzata da Facebook per beneficiare dei servizi a essa collegati non può esonerarlo dal rispetto degli obblighi ad esso incombenti in materia di protezione dei dati personali.
La Corte sottolinea che il riconoscimento di una responsabilità congiunta del gestore del social network e dell’amministratore di una fanpage presente su tale network in relazione al trattamento dei dati personali dei visitatori di tale fanpage contribuisce a garantire una più completa tutela dei diritti di cui godono le persone che visitano una fanpage, conformemente alle prescrizioni della direttiva 95/46 sulla protezione dei dati.
Inoltre, la Corte constata che l’Unabhängiges Landeszentrum è competente a garantire, nel territorio tedesco, il rispetto delle disposizioni in materia di protezione dei dati personali per esercitare, non solo nei confronti della Wirtschaftsakademie, ma altresì della Facebook Germany, tutti i poteri di cui essa dispone in forza delle disposizioni nazionali di attuazione della direttiva 95/46.
Infatti, qualora un’impresa stabilita al di fuori dell’Unione (come la società americana Facebook) disponga di varie filiali in diversi Stati membri, l’autorità di controllo di uno Stato membro è autorizzata a esercitare i poteri che le conferisce la direttiva 95/463 nei confronti di una filiale di detta impresa situata nel territorio di tale Stato membro anche se, in base alla ripartizione delle funzioni all’interno del gruppo, da un lato, tale filiale (nella fattispecie la Facebook Germany) è competente solamente per la vendita di spazi pubblicitari e per altre attività di marketing sul territorio dello Stato membro interessato e, dall’altro, la responsabilità esclusiva per la raccolta e per il trattamento dei dati personali grava, per l’intero territorio dell’Unione, su una filiale situata in un altro Stato membro (nella fattispecie la Facebook Ireland).
La Corte precisa altresì che, qualora l’autorità di controllo di uno Stato membro (nella fattispecie l’Unabhängiges Landeszentrum in Germania) intenda esercitare nei confronti di un organismo stabilito sul territorio di tale Stato membro (nella fattispecie la Wirtschaftsakademie) i poteri d’intervento previsti dalla direttiva 95/464 a motivo di violazioni delle disposizioni relative alla protezione dei dati personali, commesse da un terzo responsabile del trattamento di tali dati che ha la propria sede in un altro Stato membro (nella fattispecie la Facebook Ireland), tale autorità di controllo è competente a valutare, in modo autonomo rispetto all’autorità di controllo di quest’ultimo Stato membro (Irlanda), la liceità di un siffatto trattamento di dati e può esercitare i suoi poteri d’intervento nei confronti dell’organismo stabilito sul proprio territorio senza previamente richiedere l’intervento dell’autorità di controllo dell’altro Stato membro.
(Fonte: Comunicato Stampa della Corte di Giustizia UE 81/2018 del 5.6.2018 - Titolarità dei contenuti: Corte di Giustizia UE).
La società tedesca Wirtschaftsakademie Schleswig-Holstein è specializzata nel settore della formazione. Essa offre servizi di formazione attraverso segnatamente una fanpage2 presente su Facebook all’indirizzo www.facebook.com/wirtschaftsakademie.
Gli amministratori di fanpage, quali la Wirtschaftsakademie, possono ottenere dati statistici anonimi sui visitatori di tali pagine servendosi di una funzione denominata Facebook Insights, messa a loro disposizione gratuitamente da Facebook secondo condizioni d’uso non modificabili. Tali dati sono raccolti grazie a marcatori («cookie») contenenti ciascuno un codice utente unico, attivi per due anni e salvati da Facebook sul disco fisso del computer o su qualsiasi altro supporto dei visitatori della fanpage. Il codice utente, che può essere associato ai dati di collegamento degli utenti registrati su Facebook, è raccolto ed elaborato al momento dell’accesso alle fanpage.
Con decisione del 3 novembre 2011, l’Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein (autorità di vigilanza regionale indipendente per la protezione dei dati dello Schleswig-Holstein, Germania), in qualità di autorità di controllo incaricata, in forza della direttiva 95/46 sulla protezione dei dati, di sorvegliare l’applicazione nel Land Schleswig-Holstein delle disposizioni adottate dalla Germania in attuazione di tale direttiva, ordinava alla Wirtschaftsakademie la disattivazione della sua fanpage. Infatti, secondo l’Unabhängiges Landeszentrum, né la Wirtschaftsakademie né Facebook avevano informato i visitatori della fanpage del fatto che Facebook raccoglieva, mediante cookie, informazioni personali che li riguardavano e che essi elaboravano successivamente tali informazioni.
Contro tale decisione, la Wirtschaftsakademie proponeva ricorso dinanzi ai tribunali amministrativi tedeschi affermando che il trattamento dei dati personali realizzato da Facebook non può esserle imputato e negando inoltre di aver incaricato Facebook di effettuare un trattamento di dati soggetto al suo controllo o rientrante nella sua sfera d’influenza. La Wirtschaftsakademie ne deduce che l’Unabhängiges Landeszentrum avrebbe dovuto agire direttamente contro Facebook e non contro di essa.
È in tale contesto che il Bundesverwaltungsgericht (Corte amministrativa federale, Germania) ha chiesto alla Corte di giustizia d’interpretare la direttiva 95/46 sulla protezione dei dati.
Nella sua sentenza odierna, la Corte di giustizia osserva, innanzitutto, che non si dubita nella presente causa del fatto che la società americana Facebook e, per quanto riguarda l’Unione, la sua filiale irlandese Facebook Ireland debbano essere considerate quali «titolari del trattamento» dei dati personali degli utenti di Facebook nonché delle persone che hanno visitato le fanpage presenti su Facebook. Infatti, tali società determinano, in via principale, le finalità e gli strumenti del trattamento di tali dati.
In seguito, la Corte constata che un amministratore quale la Wirtschaftsakademie deve essere considerato titolare, all’interno dell’Unione, assieme alla Facebook Ireland del trattamento dei dati interessati.
Infatti, un amministratore del genere partecipa, attraverso la propria azione d’impostazione dei parametri (in funzione, segnatamente, del suo pubblico destinatario nonché di obiettivi di gestione o promozione delle proprie attività), alla determinazione delle finalità e degli strumenti del trattamento dei dati personali dei visitatori della sua fanpage. In particolare, la Corte rileva a tal riguardo che l’amministratore della fanpage può chiedere di ricevere (in forma anonima) - e, quindi, di trattare – dati demografici concernenti il suo pubblico destinatario (in particolare tendenze in materia di età, sesso, situazione sentimentale e professionale), informazioni sullo stile di vita e sugli interessi di detto pubblico (incluse informazioni sugli acquisti e il comportamento di acquisto online dei visitatori della sua pagina, nonché le categorie di prodotti o di servizi di loro maggiore interesse) e dati territoriali che consentono all’amministratore della fanpage di stabilire dove avviare promozioni speciali o organizzare eventi e, in generale, di offrire informazioni maggiormente mirate.
Secondo la Corte, la circostanza che un amministratore di una fanpage utilizzi la piattaforma realizzata da Facebook per beneficiare dei servizi a essa collegati non può esonerarlo dal rispetto degli obblighi ad esso incombenti in materia di protezione dei dati personali.
La Corte sottolinea che il riconoscimento di una responsabilità congiunta del gestore del social network e dell’amministratore di una fanpage presente su tale network in relazione al trattamento dei dati personali dei visitatori di tale fanpage contribuisce a garantire una più completa tutela dei diritti di cui godono le persone che visitano una fanpage, conformemente alle prescrizioni della direttiva 95/46 sulla protezione dei dati.
Inoltre, la Corte constata che l’Unabhängiges Landeszentrum è competente a garantire, nel territorio tedesco, il rispetto delle disposizioni in materia di protezione dei dati personali per esercitare, non solo nei confronti della Wirtschaftsakademie, ma altresì della Facebook Germany, tutti i poteri di cui essa dispone in forza delle disposizioni nazionali di attuazione della direttiva 95/46.
Infatti, qualora un’impresa stabilita al di fuori dell’Unione (come la società americana Facebook) disponga di varie filiali in diversi Stati membri, l’autorità di controllo di uno Stato membro è autorizzata a esercitare i poteri che le conferisce la direttiva 95/463 nei confronti di una filiale di detta impresa situata nel territorio di tale Stato membro anche se, in base alla ripartizione delle funzioni all’interno del gruppo, da un lato, tale filiale (nella fattispecie la Facebook Germany) è competente solamente per la vendita di spazi pubblicitari e per altre attività di marketing sul territorio dello Stato membro interessato e, dall’altro, la responsabilità esclusiva per la raccolta e per il trattamento dei dati personali grava, per l’intero territorio dell’Unione, su una filiale situata in un altro Stato membro (nella fattispecie la Facebook Ireland).
La Corte precisa altresì che, qualora l’autorità di controllo di uno Stato membro (nella fattispecie l’Unabhängiges Landeszentrum in Germania) intenda esercitare nei confronti di un organismo stabilito sul territorio di tale Stato membro (nella fattispecie la Wirtschaftsakademie) i poteri d’intervento previsti dalla direttiva 95/464 a motivo di violazioni delle disposizioni relative alla protezione dei dati personali, commesse da un terzo responsabile del trattamento di tali dati che ha la propria sede in un altro Stato membro (nella fattispecie la Facebook Ireland), tale autorità di controllo è competente a valutare, in modo autonomo rispetto all’autorità di controllo di quest’ultimo Stato membro (Irlanda), la liceità di un siffatto trattamento di dati e può esercitare i suoi poteri d’intervento nei confronti dell’organismo stabilito sul proprio territorio senza previamente richiedere l’intervento dell’autorità di controllo dell’altro Stato membro.
(Fonte: Comunicato Stampa della Corte di Giustizia UE 81/2018 del 5.6.2018 - Titolarità dei contenuti: Corte di Giustizia UE).
