Avvocato Generale Corte di Giustizia UE: il gestore di un sito web che inserisce il pulsante « Mi piace » di Facebook, il quale determina la raccolta e la trasmissione dei dati personali degli utenti, è contitolare di tale fase del trattamento.

Il gestore del sito Internet deve fornire agli utenti le informazioni minime richieste riguardo alle operazioni di trattamento dei dati e, se necessario, ottenere il loro consenso prima della raccolta e del trasferimento dei dati
La Fashion ID è una società tedesca che commercializza articoli di moda online. Tale società ha inserito un plugin nel suo sito Internet: il pulsante «Like» di Facebook. Di conseguenza, quando un utente entra nel sito Internet della Fashion ID, le informazioni relative all’indirizzo IP e alla stringa del browser di tale utente sono trasferite a Facebook. Detto trasferimento avviene automaticamente quando si apre il sito Internet della Fashion ID, indipendentemente dal fatto che l’utente abbia cliccato il pulsante «Like» e abbia o meno un account Facebook.

La Verbraucherzentrale NRW, associazione tedesca per la tutela dei consumatori, ha proposto un’azione inibitoria contro la Fashion ID adducendo che l’uso del pulsante «Like» di Facebook comporta la violazione della normativa sulla protezione dei dati.

Investito della causa, l’Oberlandesgericht Düsseldorf (Tribunale superiore del Land, Düsseldorf, Germania) chiede l’interpretazione di varie disposizioni della precedente direttiva sulla protezione dei dati del 1995 1 (che rimane applicabile alla causa in esame, ma è stata sostituita dal nuovo regolamento generale sulla protezione dei dati del 2016 2 con effetto a decorrere dal 25 maggio 2018).

Nelle sue conclusioni odierne, l’avvocato generale Michal Bobek propone alla Corte di giustizia di dichiarare, anzitutto, che la direttiva non osta a una normativa nazionale che riconosce ad associazioni senza scopo di lucro la legittimazione ad avviare un procedimento giudiziario nei confronti del presunto autore di una violazione della normativa in materia di protezione dei dati, al fine di tutelare gli interessi dei consumatori.

L’avvocato generale propone inoltre di dichiarare che, ai sensi della direttiva sulla protezione dei dati, il gestore di un sito Internet (come la Fashion ID), che abbia inserito nel proprio sito Internet il plugin di un terzo (come il pulsante «Like» di Facebook), il quale determina la raccolta e la trasmissione di dati personali dell’utente, è considerato corresponsabile del trattamento, assieme a detto terzo (nella fattispecie la Facebook Ireland).

Tuttavia, tale responsabilità (congiunta) del responsabile del trattamento dovrebbe essere limitata alle operazioni per le quali esso codecide effettivamente in merito agli strumenti e alle finalità del trattamento dei dati personali.

Ciò significa che un (cor)responsabile del trattamento ha la responsabilità dell’operazione o della serie di operazioni per la quale o per le quali condivide o codetermina le finalità e gli strumenti di una determinata operazione di trattamento. Per contro, tale persona non può essere ritenuta responsabile delle fasi  recedenti o successive dell’intera catena di trattamento, per le quali non era in grado di determinare le finalità o gli strumenti.

Per quanto attiene ai fatti oggetto della causa in esame, sembra quindi che la Fashion ID e la Facebook Ireland decidano congiuntamente in merito agli strumenti e alle finalità del trattamento dei dati nella fase di raccolta e di trasmissione dei dati personali di cui trattasi. Salvo verifica da parte del giudice del rinvio, sembra che sia la Facebook Ireland che la Fashion ID abbiano volontariamente determinato la fase di raccolta e di trasmissione del trattamento dei dati e, sebbene non vi sia identità, sussiste unità di intenti: esiste uno scopo commerciale e pubblicitario (la decisione della Fashion ID di inserire il pulsante «Like» di Facebook nel proprio sito Internet sembra ispirata dall’intento di aumentare la visibilità dei suoi prodotti attraverso il social network).

Pertanto, riguardo alla fase di raccolta e di trasmissione nell’ambito del trattamento dei dati, la Fashion ID agisce come responsabile del trattamento e la sua responsabilità, in tal senso, è congiunta con quella della Facebook Ireland.

Per quanto riguarda la legittimità del trattamento di dati personali in mancanza del consenso dell’utente del sito Internet 3, l’avvocato generale ricorda che siffatto trattamento è lecito ai sensi della direttiva, in particolare qualora siano soddisfatte tre condizioni cumulative: in primo luogo, il perseguimento dell’interesse legittimo del responsabile del trattamento oppure del terzo o dei terzi cui vengono comunicati i dati; in secondo luogo, la necessità del trattamento dei dati personali per il perseguimento dell’interesse legittimo e, in terzo luogo, la condizione che non prevalgano i diritti e le libertà fondamentali della persona interessata dalla tutela dei dati.

A tal riguardo, l’avvocato generale propone alla Corte di dichiarare che gli interessi legittimi di entrambi i corresponsabili in questione (la Fashion ID e la Facebook Ireland) devono essere tenuti in considerazione e controbilanciati dai diritti degli utenti del sito Internet.

L’avvocato generale propone inoltre di dichiarare che il consenso dell’utente del sito Internet, se necessario, deve essere prestato al gestore del sito Internet (la Fashion ID) che abbia inserito i contenuti di un terzo. Del pari, l’obbligo di fornire all’utente del sito Internet le informazioni minime richieste grava sul gestore del sito Internet.

I giudici della Corte cominciano adesso a deliberare in questa causa. La sentenza sarà pronunciata in una data successiva.