Articoli

Corte di Giustizia dell’Unione: Facebook e siti corresponsabili per il pulsante «mi piace»

Avv. Vincenzo Colarocco

Il 29 luglio 2019, la Corte di Giustizia dell’Unione Europea ha emesso una importante sentenza in materia di data protection.

Con tale pronuncia, la Corte ha stabilito che il gestore di un sito Internet che scelga di inserire il pulsante “Like” fornito dalla piattaforma Facebook per consentire all’utente di esprimere il proprio gradimento in relazione ai prodotti proposti, può essere ritenuto congiuntamente responsabile con il social network della raccolta e della trasmissione dei dati personali dei visitatori a tale piattaforma.

La Corte si è pronunciata sulla vicenda che ha coinvolto la Fashion ID, impresa tedesca di abbigliamento di moda online, e la Verbraucherzentrale NRW, associazione tedesca di pubblica utilità per la tutela degli interessi dei consumatori. L’associazione in questione ha rilevato come la Fashion ID avrebbe trasmesso a Facebook Ireland i dati personali dei visitatori del proprio sito web senza il loro consenso ed in violazione degli obblighi di informazione previsti dalle disposizioni sulla protezione dei dati personali.

La Verbraucherzentrale NRW ha quindi proposto dinanzi al Landgericht Düsseldorf (tribunale regionale di Düsseldorf, Germania) un’ingiunzione contro la Fashion ID per porre fine a tale pratica.

La questione è giunta fino alla Corte lussemburghese, stante la decisione del Tribunale regionale superiore di Düsseldorf di sospendere il procedimento e di sottoporre alla CGUE le seguenti questioni pregiudiziali:

  • se la legittimazione attiva[1] ad agire per far valere i diritti degli interessati coinvolti nel trattamento spetti anche alle associazioni di categoria, e dunque alla Verbraucherzentrale NRW, associazione tedesca di pubblica utilità per la tutela degli interessi dei consumatori che ha dato inizio alla vertenza;
  • in caso di soluzione negativa della prima questione, se possa considerarsi “titolare del trattamento” un soggetto che, inserendo nel proprio sito web un codice di programma che consente al browser dell’utente di trasmettere dati personali a terzi, non può avere alcuna influenza su tale trattamento di dati[2];
  • se, in simili ipotesi, possa essere preso in considerazione l’interesse all’inserimento di contenuti di terzi o nell’interesse di terzi;[3]
  • in tale scenario, quale sia il soggetto tenuto alla raccolta del consenso al trattamento dei dati, nonché obbligato a rendere l’informativa.[4]

Con riferimento alla prima questione sollevata, la Corte di Giustizia ha affermato che, gli artt. 22-24 e i par. 3 e 4 dell’art. 28 della direttiva 95/46 non ostano ad una normativa nazionale che consenta alle associazioni di consumatori di promuovere un’azione giudiziaria nei confronti del presunto autore della violazione della protezione dei dati personali. A fondamento di tale assunto viene posta una norma fondamentale del diritto dell’Unione, ossia l’art. 288, III comma del TFUE, il quale dispone che gli Stati membri sono tenuti, in sede di recepimento di una direttiva, a garantirne la piena efficacia disponendo, allo stesso tempo, di un ampio margine di discrezionalità quanto alla scelta delle modalità e dei mezzi per garantirne l’attuazione. Tale libertà lascia a ciascuno Stato membro la facoltà di adottare tutte le misure necessarie per garantire la piena efficacia della direttiva in questione, conformemente all’obiettivo che persegue. A tal proposito viene anche richiamato il decimo Considerando della direttiva 95/46, che stabilisce che il ravvicinamento delle legislazioni nazionali applicabili in questo settore non deve portare ad un indebolimento della protezione da esse fornita, ma deve, al contrario, mirare a garantire un elevato livello di protezione nell’Unione.

La linea sostenuta da Fashion ID e Facebook Ireland, quindi, non è accettata dalla Corte, la quale non ritiene che qualsiasi azione legale non espressamente prevista dalla direttiva sarebbe esclusa, ma che gli articoli 22, 23 e 28 della direttiva 95/46 lasciano agli Stati membri la facoltà di decidere in merito ai dettagli o di scegliere tra le opzioni, cosicché gli Stati membri hanno per molti aspetti un margine di manovra per il recepimento di detta direttiva.

Per quanto concerne, poi, la seconda questione pregiudiziale e come espressamente previsto dall’articolo 2, lettera d), della direttiva 95/46, la nozione di “titolare del trattamento” si riferisce all’organismo che, “da solo o insieme ad altri“, determina le finalità e gli strumenti del trattamento dei dati personali: non ci si riferisce necessariamente ad un unico organismo e può riguardare diversi soggetti coinvolti nel trattamento, ognuno dei quali è soggetto alle disposizioni applicabili in materia di protezione dei dati. Ciò detto, l’esistenza di una responsabilità congiunta non si traduce necessariamente in una responsabilità equivalente, per lo stesso trattamento dei dati personali, dei diversi attori. Al contrario, questi soggetti possono essere coinvolti in fasi diverse di questo trattamento e in misura diversa, cosicché il livello di responsabilità di ciascuno di essi deve essere valutato tenendo conto di tutte le circostanze pertinenti del caso. Ebbene, nel caso in esame, sembra che, nonostante l’impossibilità per Fashion ID di determinare le finalità e le modalità di successivi trattamenti di dati personali effettuati da Facebook Ireland dopo la loro trasmissione a quest’ultima, questa sia, invece, in grado di determinare il trasferimento del dato mediante l’apposizione del pulsante “mi piace” sulla pagina web dell’azienda Fashion ID, e tanto anche al fine di beneficiare della visibilità procurata dal social network.

L’ultima questione affrontata ha, come anticipato, a che vedere con l’individuazione del soggetto deputato alla raccolta del consenso per il trattamento dei dati, nonché obbligato a rendere l’informativa necessaria. Qualificato come “titolare del trattamento” il gestore di un sito web che inserisca in tale sito un “modulo social” che consente al browser del visitatore di tale sito web di richiedere contenuti al fornitore di tale modulo e di trasmettere a tale fornitore i dati personali di tale visitatore, questi assume gli obblighi imposti dalla direttiva per tale figura.

Ragion per cui, la raccolta del consenso e l’obbligo di rendere l’informativa inerente il trattamento dei dati gravano anche in capo a questo soggetto.

 

[1] Cfr. punto 42, n.1 della sentenza: “Se il regime previsto dagli artt. 22, 23 e 24 della direttiva [95/46] osti ad una normativa nazionale che, oltre ai poteri di intervento delle autorità preposte alla protezione dei dati e all’azione legale dell’interessato, conferisce, in caso di violazione, alle associazioni di pubblica utilità che difendono gli interessi dei consumatori il potere di agire contro l’autore di una violazione.”

[2] Cfr. punto 42, n.2 della sentenza: “Se, in un caso come quello di specie, in cui qualcuno inserisce nel suo sito web un codice di programma che consente al browser dell’utente di richiedere contenuti a terzi e di trasmettere a tal fine dati personali a terzi, la persona che rende l’inserimento “responsabile del trattamento” ai sensi dell’art. 2, lett. d), della direttiva [95/46], qualora non possa avere egli stesso alcuna influenza su tale trattamento di dati.”

[3] Cfr. punto 42, n.4 della sentenza: “In un contesto come quello del caso di specie, quale sia l'”interesse legittimo” da prendere in considerazione nella ponderazione da effettuare ai sensi dell’art. 7, lett. f), della direttiva [95/46]. È nell’interesse dell’inserimento di contenuti di terzi o nell’interesse di terzi?

[4] Cfr. punto 42, n.5 della sentenza: “In un contesto come quello del caso di specie, a chi deve essere dato il consenso di cui agli artt. 7, lett. a), e 2, lett. h), della direttiva [95/46]. Se l’obbligo di informare l’interessato ai sensi dell’art. 10 della direttiva [95/46] in una situazione come quella che si verifica nel caso di specie si applichi anche al gestore del sito che ha inserito il contenuto di un terzo ed è quindi all’origine del trattamento di dati personali da parte di un terzo”.

L’Avvocato Generale della Corte di Giustizia nel caso Facebook Ireland

Avv. Vincenzo Colarocco

Nel procedimento C-18/18, giunto innanzi alla Corte di Giustizia, al centro della controversia vi è un commento diffamatorio postato sul social network Facebook a seguito del quale la diffamata, Eva Glawischnig-Piesczek, ricorrente aveva ottenuto il blocco dei Dns (Domain Name System), blocco che ha consentito al contenuto di non essere più visibile ai cittadini austriaci.

Più nello specifico, un utente di Facebook aveva condiviso, sulla sua pagina personale, un articolo di una rivista di informazione austriaca online titolato «I Verdi: a favore del mantenimento di un reddito minimo per i rifugiati», commentandolo con un commento degradante nei confronti della signora Glawischnig-Piesczek, e tale contenuto risultava visibile a qualsiasi utente di Facebook.

All’indomani della diffusione di tale contenuto e della richiesta di cancellazione dello stesso da parte della diretta interessata, nell’inottemperanza di Facebook, la sig.ra Glawischnig-Piesczek domandava che venisse ordinato a Facebook di cessare la pubblicazione e/o diffusione identiche al commento contestato e/o dal «contenuto equivalente». Tuttavia, la rimozione del contenuto avveniva solo con riferimento al territorio austriaco.

L’Oberster Gerichtshof (Corte Suprema, Austria), accertata l’illiceità del contenuto pubblicato, chiamato a statuire sulla questione se il provvedimento inibitorio possa anche essere esteso, a livello mondiale, alle dichiarazioni testualmente identiche e/o dal contenuto equivalente di cui Facebook non è a conoscenza, ha chiesto alla Corte di giustizia di interpretare in tale contesto la direttiva sul commercio elettronico.

In data 4 giugno 2019 sono pervenute le conclusioni dell’Avvocato Generale, il quale ha ritenuto che la direttiva sul commercio elettronico non osti a che un host provider che gestisce una piattaforma di social network, quale Facebook, sia costretto, mediante un provvedimento ingiuntivo, a ricercare e ad individuare, tra tutte le informazioni diffuse dagli utenti di tale piattaforma, le informazioni identiche a quella qualificata come illecita dal giudice che ha emesso tale provvedimento ingiuntivo.

Tale approccio consente di garantire un giusto equilibrio tra i diritti fondamentali coinvolti, ossia la protezione della vita privata e dei diritti della personalità, quella della libertà d’impresa, nonché quella della libertà d’espressione e d’informazione.

Ad avviso dell’avvocato generale, poiché la direttiva non disciplina la portata territoriale di un obbligo di rimozione delle informazioni diffuse tramite una piattaforma di social network, essa non osta a che un host provider sia costretto a rimuovere siffatte informazioni a livello mondiale.

 

Tali conclusioni non devono tuttavia indurre in errore e perciò sovrapporsi a quanto statuito dallo stesso Avvocato Szpunar relativamente al caso Google c. CNIL: in quell’occasione questi ha ritenuto necessaria una differenziazione a seconda del luogo a partire dal quale è effettuata la ricerca, sottolineando infatti che, sebbene per determinati ambiti – ad esempio in materia di diritto della concorrenza o di diritto dei marchi – sono ammessi in determinati casi effetti extraterritoriali, tale possibilità non sarebbe comparabile alla materia della protezione dei dati personali.

La differenziazione è obbligatoria tenuto conto che il concetto di deindicizzazione differisce da quello di cancellazione/rimozione, attività quest’ultima che presuppone l’accertata illiceità del contenuto. Nel primo caso, infatti, per contro, non ricorrendo aspetti diffamatori, ma solo l’obsolescenza del contenuto (veritiero), l’interesse pubblico all’informazione potrebbe giustificare la limitazione dell’applicazione extraterritoriale della normativa sulla riservatezza, così come ponderata in quell’occasione in sede di conclusioni dall’Avvocato Generale.

Cambridge Analytica: chiusura dell’istruttoria

Avv. Vincenzo Colarocco

Il Garante per la privacy ha concluso, con provvedimento del 10 gennaio 2019 [doc. web n. 9080914], l’istruttoria avviata nei confronti di Facebook sul caso “Cambridge Analytica”, società di analisi che ha raccolto i dati personali di oltre 50 milioni di utenti di Facebook. Nel corso dell’istruttoria veniva accertato, preliminarmente, che i fatti si sarebbero verificati prima dell’applicabilità del Regolamento UE 2016/679 –quindi sotto la vigenza della Direttiva 95/46/CE– e ben prima del Codice Privacy, così come modificato ai sensi del D.lgs. 101/2018. Al termine delle verifiche è stato accertato che i dati personali dei cittadini italiani (tra i quali, a mero titolo esemplificativo, i dati del profilo pubblico (nominativo e genere), data di nascita, lista di amici, ecc.), acquisiti tramite l’app “Thisisyourdigitallife” e raccolti attraverso la funzione “Facebook Login”, venivano trattati illecitamente, in quanto in assenza di una idonea informativa e di uno specifico consenso. Nel corso della medesima istruttoria è inoltre emerso –e nello specifico in occasione delle elezioni politiche del 4 marzo 2018– che mediante il prodotto “Candidati” veniva consentito agli elettori, previo rilascio del loro indirizzo postale, di avere specifiche informazioni sui candidati nella propria circoscrizione elettorale, nonché, nella “Sezione notizie”, veniva data la possibilità di acquisire “informazioni sul voto” e/o di “condividere” il fatto di aver votato. Sul punto, il Garante ha rilevato che queste funzioni, messe a disposizione dalla piattaforma Facebook, non erano previste, né tantomeno indicate nella “data policy” di quest’ultima, ed erano pertanto, difficilmente riconducibili all’ambito delle proprie finalità, oltre che potenzialmente idonee a rilevare le opinioni politiche dei cittadini italiani. Il Garante ha, dunque, negato l’utilizzo a Facebook di ogni dato personale o informazione espressa dagli utenti mediante le modalità sopradescritte trasmettendo all’Autorità per la protezione dei dati irlandese le valutazioni di competenza.