L’amministratore di una fanpage presente su Facebook è congiuntamente responsabile, con il gestore del social network, del trattamento dei dati personali dei visitatori della pagina.
Sentenza della Corte di giustizia dell’Unione Europea del 5 giugno 2018.
Questo è quanto statuito dalla Sentenza della Corte di giustizia dell’Unione europea pronunciata il 5 giugno 2018 relativamente alla causa C-210/16, con la quale la Corte ha fornito la corretta interpretazione dell’articolo 2, lettera d), della Direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (Gazzetta ufficiale n. L 281 del 23/11/1995).
Secondo i giudici europei, nella nozione di “responsabile del trattamento” contenuta in questa disposizione, è incluso anche l’amministratore di una fanpage presente su un social network.
Questi, infatti, partecipa, attraverso l’impostazione dei parametri della pagina in funzione del suo pubblico destinatario, a determinare le finalità e gli strumenti del trattamento dei dati personali dei fruitori. Tale amministratore va, quindi, qualificato come responsabile del trattamento dei dati.
La circostanza che tale soggetto utilizzi la piattaforma realizzata da Facebook per beneficiare dei servizi a essa collegati non può, difatti, esonerarlo dal rispetto degli obblighi ad esso incombenti in materia di protezione dei dati personali.
Il contenzioso
Nello specifico caso, la Corte di giustizia dell’Unione Europea (CGUE) si è trovata a rispondere ad una questione pregiudiziale sollevata nell’ambito di una controversia tra un’Autorità di vigilanza tedesca per la protezione dei dati e una società di diritto privato (sempre tedesca) specializzata nel settore della formazione, in merito alla legittimità di un provvedimento emesso dalla prima con cui era stato intimato alla società di disattivare una fanpage presente sul sito del social network Facebook.
La sentenza
Nella sentenza, la Corte lussemburghese ha dapprima spiegato in cosa consistano le fanpage:
«Le fanpage – si legge testualmente nella sentenza – sono account utenti che possono essere attivate su Facebook da singole persone o imprese. Per farlo, l’autore della fanpage, dopo essersi registrato su Facebook, può utilizzare la piattaforma da quest’ultimo amministrata per presentarsi agli utenti di detto social network nonché alle persone che visitano la fanpage e diffondere comunicazioni di ogni tipo sul mercato dei media e del pubblico».
«Gli amministratori delle fanpage – sottolinea la Corte – possono ottenere dati statistici anonimi riguardanti i visitatori di tali pagine servendosi di una funzione denominata Facebook Insights, messa a loro disposizione gratuitamente da Facebook secondo condizioni d’uso non modificabili. Tali dati sono raccolti grazie a marcatori (i «cookie») contenenti ciascuno un codice utente unico, attivi per due anni e salvati da Facebook sul disco fisso del computer o su qualsiasi altro supporto dei visitatori della fanpage. Il codice utente, che può essere associato ai dati di collegamento degli utenti registrati su Facebook, è raccolto ed elaborato al momento dell’accesso alle fanpage».
A tal riguardo – osserva la sentenza – dalla decisione di rinvio emerge che né la “XXX” (società di diritto privato, gestrice della pagina facebook) né la Facebook Ireland Ltd «hanno menzionato l’operazione di conservazione e il funzionamento di tale cookie o il trattamento successivo dei dati, quanto meno durante il periodo rilevante per il procedimento principale».
Responsabilità congiunta, non necessariamente equivalente
A seguire, i giudici europei hanno evidenziato come il riconoscimento di una responsabilità congiunta del gestore del social network e dell’amministratore di una fanpage presente su tale network in relazione al trattamento dei dati personali dei visitatori di tale pagina, contribuisca a garantire una più completa tutela dei diritti di cui godono le persone che visitano una fanpage, conformemente alle prescrizioni della direttiva in oggetto.
Ad ogni modo, è stato anche precisato che l’esistenza di una corresponsabilità non si traduce necessariamente in una responsabilità equivalente dei diversi operatori nel trattamento dei dati, in quanto tali operatori possono essere coinvolti in fasi diverse del trattamento medesimo e a diversi livelli.
Il grado di responsabilità di ciascuno di essi, in questo contesto, deve essere valutato tenendo conto di tutte le circostanze rilevanti del caso esaminato.
Le conclusioni della Corte UE
Considerati, quindi, i motivi sopra esposti, la Corte (Grande Sezione) ha dichiarato:
1) L’articolo 2, lettera d), della direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, deve essere interpretato nel senso che la nozione di «responsabile del trattamento», ai sensi di tale disposizione, include l’amministratore di una fanpage presente su un social network.
2) Gli articoli 4 e 28 della direttiva 95/46 devono essere interpretati nel senso che, qualora un’impresa stabilita al di fuori dell’Unione europea disponga di varie filiali in diversi Stati membri, l’autorità di controllo di uno Stato membro è autorizzata a esercitare i poteri che le conferisce l’articolo 28, paragrafo 3, di tale direttiva nei confronti di una filiale di detta impresa situata sul territorio di tale Stato membro anche se, in base alla ripartizione delle funzioni all’interno del gruppo, da un lato, tale filiale è competente solamente per la vendita di spazi pubblicitari e per altre attività di marketing sul territorio di detto Stato membro e, dall’altro, la responsabilità esclusiva per la raccolta e per il trattamento dei dati personali grava, per l’intero territorio dell’Unione europea, su una filiale situata in un altro Stato membro.
3) L’articolo 4, paragrafo 1, lettera a), e l’articolo 28, paragrafi 3 e 6, della direttiva 95/46 devono essere interpretati nel senso che, qualora l’autorità di controllo di uno Stato membro intenda esercitare, nei confronti di un organismo stabilito sul territorio di tale Stato membro, i poteri d’intervento di cui all’articolo 28, paragrafo 3, di tale direttiva a motivo di violazioni delle disposizioni relative alla protezione dei dati personali, commesse da un terzo responsabile del trattamento di tali dati che ha la propria sede in un altro Stato membro, tale autorità di controllo è competente a valutare, in modo autonomo rispetto all’autorità di controllo di quest’ultimo Stato membro, la liceità di un siffatto trattamento di dati e può esercitare i suoi poteri d’intervento nei confronti dell’organismo stabilito sul proprio territorio senza previamente richiedere l’intervento dell’autorità di controllo dell’altro Stato membro.
(Foto in alto: The emblem of the Court of Justice of the European Union – Autore Ssolbergj – licenza CC BY-SA 3.0)