Oggetto del presente articolo è la decisione del 29 luglio scorso della Corte di Giustizia, Sezione Seconda, causa C-40/17 assunta in applicazione della Direttiva 95/46 oggi abrogata, i cui principi sono stati tuttavia confermati dal Regolamento UE 2016/679, vertente su un caso relativo ad un’analoga questione già trattata dalla medesima Corte:
possibili corresponsabilità dei proprietari di siti web o pagine social con i gestori di questi ultimi.
Indice
1. La questione
2. La decisione della Corte di Giustizia
3. Quali soluzioni in concreto?
La questione
L’associazione tedesca a tutela degli interessi dei consumatori, Verbraucherzentrale NRW, ha intentato un procedimento giudiziario avverso un rivenditore di abbigliamento online, Fashion ID, per avere quest’ultimo incorporato nel proprio sito web il plug-in “Mi piace” del social network Facebook, con conseguente trasmissione al server di Facebook di alcuni dati personali dei visitatori,
indipendentemente dalla loro interazione con tale plug-in, in violazione della normativa sulla protezione dei dati.
In particolare, la Verbraucherzentrale NRW ha contestato al gestore dell’e-commerce di agire quale titolare del trattamento nella raccolta e trasmissione di tali dati personali alla piattaforma social,
senza fornire al visitatore preventiva idonea informativa e senza raccoglierne il consenso.
Al parziale accoglimento delle richieste in primo grado, ha fatto seguito il
ricorso della Fashion ID dinanzi al giudice del rinvio, che ha deciso di sospendere il procedimento e di sottoporre alla Corte di Giustizia i propri
dubbi in materia di protezione dei dati personali:
- Un’associazione di categoria per la tutela dei consumatori è
legittimata ad agire in giudizio per la tutela dei relativi dati personali?
- L’operatore di un sito web che incorpori un plug-in social che trasmette dati personali al gestore del social network
è da considerarsi titolare o contitolare di tale trattamento?
- Qualora sia confermata la titolarità di tali trattamenti in capo al proprietario del sito web,
qual è la corretta base giuridica da porre a fondamento degli stessi?
La decisione della Corte di Giustizia
In merito alla prima domanda, la Corte dichiara che la Direttiva madre non osta alla previsione di una normativa nazionale che consenta alle associazioni per la tutela dei consumatori di agire o resistere in giudizi volti a
stabilire responsabilità in materia di protezione dei dati personali.
Il giudice del riesame attribuisce al proprietario di un sito web che incorpori un plug-in social, la
titolarità del trattamento rispetto ad alcune delle operazioni effettuate tramite plug-in: la raccolta e la trasmissione dei dati personali dei visitatori al social network, ciò anche in mancanza di un effettivo accesso ai dati trasmessi.
Infatti, unicamente in relazione a tali trattamenti (e non rispetto alle operazioni successive effettuate dal social network) si individuano in capo alla società
autonome finalità di trattamento, in particolare ottimizzare la pubblicità dei suoi prodotti rendendoli più visibili sul social e beneficiare del vantaggio commerciale che consiste nell'aumentare la pubblicità dei suoi beni.
Inoltre, in ossequio alla definizione di titolare del trattamento, è
il gestore del sito web a determinare nel plug-in lo strumento idoneo al raggiungimento delle predette finalità, esercitando un’influenza decisiva sulla raccolta e la trasmissione dei dati dei propri visitatori.
Infine, la Corte precisa che le basi giuridiche che legittimano tale trattamento sono l
’interesse legittimo di entrambi i corresponsabili, unitamente alla
preventiva acquisizione del consenso.
Quali soluzioni in concreto?
La palla ora passa alle
società proprietarie di siti web che vogliano continuare ad utilizzare i plug-in social: come acquisire in concreto il consenso dei visitatori?
Come spesso accade, infatti, l’interprete si preoccupa più dei principi giuridici, che non dell’applicazione concreta degli stessi: considerando che la raccolta e la trasmissione dei dati avvengono al momento dell’atterraggio del visitatore sul sito web incriminato indipendentemente dall'interazione che lo stesso possa avere con il plug-in,
quale tecnologia dovranno utilizzare per informare preventivamente l’interessato e acquisirne le relative preferenze?
È davvero possibile attribuire ai gestori di siti web tale adempimento o, in applicazione del principio di “privacy by design e by default”, una soluzione tecnica
dovrebbe essere implementata dai social network?