Webtracking e responsabilità del trattamento dei dati personali: il parere della CGUE

Avv. Flaviano Sanzari

Con il parere sulla domanda di pronuncia pregiudiziale proposta dalla Corte amministrativa federale tedesca in merito alla causa promossa da “Wirtschaftsakademie” contro l’Autorità di vigilanza regionale per la protezione dei dati del Land Schleswig-Holstein (in seguito “ULD”), l’Avvocato Generale della CGUE (Causa-C-210/16) si è espresso con riguardo al trattamento dei dati personali sui social network.

Nel caso specifico, la Wirtschaftsakademie offre servizi di formazione attraverso una fanpage gestita sul social network Facebook. Quest’ultimo raccoglie i dati personali degli utenti attraverso cookie, al fine di realizzare statistiche sugli utenti destinate al gestore di Facebook con il fine di agevolare la diffusione di pubblicità mirate. L’oggetto della controversia riguarda la legittimità di un provvedimento emesso dall’ULD nei confronti della Wirtschaftsakademie, con cui le viene richiesto di disattivare la fanpage gestita sul sito di Facebook Ireland Ltd. Infatti, gli utenti Facebook non sarebbero informati della raccolta dei loro dati personali per fini statistici o pubblicitari.

L’Avvocato Generale ha respinto le deduzioni di Facebook secondo cui le sue attività di elaborazione dati nell’Unione Europea cadrebbero esclusivamente sotto la giurisdizione dell’Autorità irlandese per la protezione dei dati personali.

Infatti, sebbene le sue attività di elaborazione dei dati siano gestite congiuntamente da Facebook Inc. negli Stati Uniti e da Facebook Irlanda –sede europea- ciò non toglie che Facebook abbia altre filiali, tra cui quella tedesca, in altri Stati membri dell’Ue che promuovono e vendono sul territorio spazi pubblicitari sui social network.

Da queste considerazioni ed in applicazione dell’art. 26 della direttiva 95/46 e dei principi stabiliti nella decisione Google Spain, l’Avvocato Generale ha ribadito che “Ciascuna autorità di controllo, indipendentemente dalla legge nazionale applicabile al trattamento in questione, è competente per esercitare, nel territorio del suo Stato membro, i poteri attribuitile a norma del paragrafo 3. Ciascuna autorità può essere invitata ad esercitare i suoi poteri su domanda dell’autorità di un altro Stato membro”. Pertanto, nel caso di specie, il trattamento dei dati personali tramite cookie, che Facebook ha utilizzato per migliorare il suo targeting di pubblicità, dev’essere considerato quale attività svolta nell’ambito del suo stabilimento tedesco. Di conseguenza, Facebook sarebbe sotto la giurisdizione della Data Protection Authority tedesca, in quanto la promozione e la vendita di spazi pubblicitari era, appunto, di competenza della filiale tedesca.

In futuro, tali fattispecie saranno certamente risolte in maniera diversa alla luce del GDPR (2016/679) “General Data Protection Regulation” che entrerà in vigore il 25 maggio 2018, in quanto si applicherà il meccanismo di sportello unico. Ed in particolare, “un responsabile del trattamento che compie trattamenti transfrontalieri, come Facebook, avrà quale interlocutore una sola autorità di vigilanza, vale a dire l’autorità di vigilanza capogruppo/capofila che sarà quella del luogo in cui si trova lo stabilimento principale del responsabile del trattamento”.

Le azioni regolamentate saranno guidate dall’autorità dove risiede la capogruppo,che nel caso in esame sarà probabilmente il Commissario irlandese per la protezione dei dati.