Sentenza del 29 luglio scorso della Corte di Giustizia, Sezione Seconda, causa C-40/17
L’estate scorsa la Corte di Giustizia si è pronunciata sulle responsabilità di un caso molto diffuso: l’inserimento in un sito web del “tasto mi piace” di Facebook. Tecnicamente è una implementazione molto semplice, è sufficiente installare un plug-in sul proprio sito, ma le conseguenze lato trattamento dati lo sono molto meno. Lo ha affermato la Corte di Giustizia nella Causa C-40/17 riguardante la società Fashion ID GmbH & Co. KG che commercializza articoli di moda online.
Vediamo brevemente il caso.
L’associazione tedesca a tutela degli interessi dei consumatori, ha intentato causa contro Fashion ID, per avere quest’ultimo incorporato nel proprio sito web il plug-in “Mi piace” del social network Facebook, con conseguente trasmissione al server di Facebook di alcuni dati personali dei visitatori, a prescindere dalla loro interazione con tale plug-in. Per l’associazione ciò comportava una violazione della normativa sulla protezione dei dati.
In particolare, l’associazione dei consumatori ha contestato al gestore dell’e-commerce di agire quale titolare del trattamento nella raccolta e trasmissione di tali dati personali alla piattaforma social, senza fornire al visitatore preventiva idonea informativa e senza raccoglierne il consenso.
Dopo il primo grado è seguito il ricorso della Fashion ID durante il quale il Giudice Tedesco ha chiesto alla Corte di giustizia d’interpretare varie disposizioni della precedente direttiva del 1995 sulla protezione dei dati (che rimane applicabile alla causa in esame nonostante l’entrata in vigore del Regolamento Generale sulla protezione dei dati 2016/679 – GDPR dal 25 maggio 2018).
Tra i quesiti posti, è stato richiesto alla Corte se:
– l’operatore di un sito web che incorpori un plug-in social che trasmette dati personali al gestore del social network è da considerarsi titolare o contitolare di tale trattamento;
– nel caso sia confermata la titolarità di tali trattamenti in capo al proprietario del sito web, qual è la corretta base giuridica da porre a fondamento degli stessi.
Secondo la Corte il proprietario di un sito web che incorpori un plug-in social, mantiene la titolarità del trattamento rispetto ad alcune delle operazioni effettuate tramite plug-in: la raccolta e la trasmissione dei dati personali dei visitatori al social network, ciò anche in mancanza di un effettivo accesso ai dati trasmessi.
Infatti, unicamente in relazione a tali trattamenti (e non rispetto alle operazioni successive effettuate dal social network) si individuano in capo alla società autonome finalità di trattamento, in particolare, ad esempio, ottimizzare la pubblicità dei suoi prodotti rendendoli più visibili sul social e beneficiare del vantaggio commerciale che consiste nell’aumentare la pubblicità dei suoi beni.
Inoltre, è il titolare del trattamento, gestore del sito web a scegliere se utilizzare il plug-in lo strumento idoneo al raggiungimento delle predette finalità, esercitando un’influenza decisiva sulla raccolta e la trasmissione dei dati dei propri visitatori.
Interessanti sono le considerazioni anche in relazione alla base giuridica.
Per quanto riguarda il caso in cui la persona interessata abbia manifestato il proprio consenso, la Corte decide che il gestore di un sito Internet come la Fashion ID è tenuto a ottenere tale consenso preventivamente (soltanto) per le operazioni di cui è (cor)responsabile, vale a dire la raccolta e la trasmissione.
Per quanto riguarda i casi in cui il trattamento dei dati sia necessario alla realizzazione di un interesse legittimo, la Corte decide che ciascuno dei cor(responsabili) del trattamento, vale a dire il gestore del sito Internet e il fornitore del plug-in social, deve perseguire, con la raccolta e la trasmissione dei dati personali, un interesse legittimo affinché tali operazioni siano giustificate per quanto lo riguarda.
In effetti la configurazione e la nozione di interesse legittimo sono maggiormente precisate nel successivo regolamento n. 2016/679, in particolar modo all’art. 6 dove vengono definite le diverse condizioni di liceità del trattamento.
Quali sono le conseguenze rispetto alla sentenza della Corte?
Anche a seguito di questa pronuncia, urge – forse l’ennesima – verifica e aggiornamento dell’informativa privacy del sito internet. Ma il problema pratico, di non semplice soluzione, è come acquisire in concreto il consenso dei visitatori?
Poiché la raccolta e la trasmissione dei dati avviene normalmente quando il visitato arriva sul sito web indipendentemente dall’interazione che lo stesso possa avere con il plug-in, quale tecnologia può essere utilizzata per informare preventivamente l’interessato e acquisirne le relative preferenze?
Ma oltre alle considerazioni pratiche quello che spaventa di più sono le reali conseguenze e i rischi che le aziende assumono a seguito di questa pronuncia. Da un semplice plug-in sul sito, infatti, si arriva con l’essere responsabili in solido con i social network e con “colossi” del web come Facebook. Ed è proprio da Facebook dovrà probabilmente arrivare una soluzione tecnica che consenta ai siti di continuare a utilizzare dei plug-in social nel rispetto della legge e in assenza di rischi. Visto anche il potenziale danno del business dello stesso Facebook che l’applicazione di questa pronuncia provoca.
Il caso risale a prima dell’adozione della normativa Gdpr in Europa. Tuttavia, il concetto di due società viste come “contitolari” per motivi di protezione dei dati, rimane rilevante nelle nuove regole e certo non può essere sottovalutato.