Corte di Giustizia dell’Unione: Facebook e siti corresponsabili per il pulsante «mi piace»

Avv. Vincenzo Colarocco Il 29 luglio 2019, la Corte di Giustizia dell’Unione Europea ha emesso una importante sentenza in materia di data protection. Con tale pronuncia, la Corte ha stabilito che il gestore di un sito Internet che scelga di inserire il pulsante “Like” fornito dalla piattaforma Facebook per consentire all’utente di esprimere il proprio gradimento in relazione ai prodotti proposti, può essere ritenuto congiuntamente responsabile con il social network della raccolta e della trasmissione dei dati personali dei visitatori a tale piattaforma. La Corte si è pronunciata sulla vicenda che ha coinvolto la Fashion ID, impresa tedesca di abbigliamento di moda online, e la Verbraucherzentrale NRW, associazione tedesca di pubblica utilità per la tutela degli interessi dei consumatori. L’associazione in questione ha rilevato come la Fashion ID avrebbe trasmesso a Facebook Ireland i dati personali dei visitatori del proprio sito web senza il loro consenso ed in violazione degli obblighi di informazione previsti dalle disposizioni sulla protezione dei dati personali. La Verbraucherzentrale NRW ha quindi proposto dinanzi al Landgericht Düsseldorf (tribunale regionale di Düsseldorf, Germania) un'ingiunzione contro la Fashion ID per porre fine a tale pratica. La questione è giunta fino alla Corte lussemburghese, stante la decisione del Tribunale regionale superiore di Düsseldorf di sospendere il procedimento e di sottoporre alla CGUE le seguenti questioni pregiudiziali:

• se la legittimazione attiva[1] ad agire per far valere i diritti degli interessati coinvolti nel trattamento spetti anche alle associazioni di categoria, e dunque alla Verbraucherzentrale NRW, associazione tedesca di pubblica utilità per la tutela degli interessi dei consumatori che ha dato inizio alla vertenza;
• in caso di soluzione negativa della prima questione, se possa considerarsi “titolare del trattamento” un soggetto che, inserendo nel proprio sito web un codice di programma che consente al browser dell'utente di trasmettere dati personali a terzi, non può avere alcuna influenza su tale trattamento di dati[2];
• se, in simili ipotesi, possa essere preso in considerazione l’interesse all’inserimento di contenuti di terzi o nell’interesse di terzi;[3]
• in tale scenario, quale sia il soggetto tenuto alla raccolta del consenso al trattamento dei dati, nonché obbligato a rendere l’informativa.[4]

Con riferimento alla prima questione sollevata, la Corte di Giustizia ha affermato che, gli artt. 22-24 e i par. 3 e 4 dell’art. 28 della direttiva 95/46 non ostano ad una normativa nazionale che consenta alle associazioni di consumatori di promuovere un'azione giudiziaria nei confronti del presunto autore della violazione della protezione dei dati personali. A fondamento di tale assunto viene posta una norma fondamentale del diritto dell’Unione, ossia l’art. 288, III comma del TFUE, il quale dispone che gli Stati membri sono tenuti, in sede di recepimento di una direttiva, a garantirne la piena efficacia disponendo, allo stesso tempo, di un ampio margine di discrezionalità quanto alla scelta delle modalità e dei mezzi per garantirne l'attuazione. Tale libertà lascia a ciascuno Stato membro la facoltà di adottare tutte le misure necessarie per garantire la piena efficacia della direttiva in questione, conformemente all'obiettivo che persegue. A tal proposito viene anche richiamato il decimo Considerando della direttiva 95/46, che stabilisce che il ravvicinamento delle legislazioni nazionali applicabili in questo settore non deve portare ad un indebolimento della protezione da esse fornita, ma deve, al contrario, mirare a garantire un elevato livello di protezione nell'Unione. La linea sostenuta da Fashion ID e Facebook Ireland, quindi, non è accettata dalla Corte, la quale non ritiene che qualsiasi azione legale non espressamente prevista dalla direttiva sarebbe esclusa, ma che gli articoli 22, 23 e 28 della direttiva 95/46 lasciano agli Stati membri la facoltà di decidere in merito ai dettagli o di scegliere tra le opzioni, cosicché gli Stati membri hanno per molti aspetti un margine di manovra per il recepimento di detta direttiva. Per quanto concerne, poi, la seconda questione pregiudiziale e come espressamente previsto dall'articolo 2, lettera d), della direttiva 95/46, la nozione di "titolare del trattamento" si riferisce all'organismo che, "da solo o insieme ad altri", determina le finalità e gli strumenti del trattamento dei dati personali: non ci si riferisce necessariamente ad un unico organismo e può riguardare diversi soggetti coinvolti nel trattamento, ognuno dei quali è soggetto alle disposizioni applicabili in materia di protezione dei dati. Ciò detto, l'esistenza di una responsabilità congiunta non si traduce necessariamente in una responsabilità equivalente, per lo stesso trattamento dei dati personali, dei diversi attori. Al contrario, questi soggetti possono essere coinvolti in fasi diverse di questo trattamento e in misura diversa, cosicché il livello di responsabilità di ciascuno di essi deve essere valutato tenendo conto di tutte le circostanze pertinenti del caso. Ebbene, nel caso in esame, sembra che, nonostante l’impossibilità per Fashion ID di determinare le finalità e le modalità di successivi trattamenti di dati personali effettuati da Facebook Ireland dopo la loro trasmissione a quest'ultima, questa sia, invece, in grado di determinare il trasferimento del dato mediante l’apposizione del pulsante “mi piace” sulla pagina web dell’azienda Fashion ID, e tanto anche al fine di beneficiare della visibilità procurata dal social network. L’ultima questione affrontata ha, come anticipato, a che vedere con l’individuazione del soggetto deputato alla raccolta del consenso per il trattamento dei dati, nonché obbligato a rendere l’informativa necessaria. Qualificato come “titolare del trattamento” il gestore di un sito web che inserisca in tale sito un “modulo social” che consente al browser del visitatore di tale sito web di richiedere contenuti al fornitore di tale modulo e di trasmettere a tale fornitore i dati personali di tale visitatore, questi assume gli obblighi imposti dalla direttiva per tale figura. Ragion per cui, la raccolta del consenso e l’obbligo di rendere l’informativa inerente il trattamento dei dati gravano anche in capo a questo soggetto.   [1] Cfr. punto 42, n.1 della sentenza: “Se il regime previsto dagli artt. 22, 23 e 24 della direttiva [95/46] osti ad una normativa nazionale che, oltre ai poteri di intervento delle autorità preposte alla protezione dei dati e all'azione legale dell'interessato, conferisce, in caso di violazione, alle associazioni di pubblica utilità che difendono gli interessi dei consumatori il potere di agire contro l'autore di una violazione.” [2] Cfr. punto 42, n.2 della sentenza: “Se, in un caso come quello di specie, in cui qualcuno inserisce nel suo sito web un codice di programma che consente al browser dell'utente di richiedere contenuti a terzi e di trasmettere a tal fine dati personali a terzi, la persona che rende l'inserimento "responsabile del trattamento" ai sensi dell'art. 2, lett. d), della direttiva [95/46], qualora non possa avere egli stesso alcuna influenza su tale trattamento di dati.” [3] Cfr. punto 42, n.4 della sentenza: “In un contesto come quello del caso di specie, quale sia l'"interesse legittimo" da prendere in considerazione nella ponderazione da effettuare ai sensi dell'art. 7, lett. f), della direttiva [95/46]. È nell'interesse dell'inserimento di contenuti di terzi o nell'interesse di terzi?” [4] Cfr. punto 42, n.5 della sentenza: “In un contesto come quello del caso di specie, a chi deve essere dato il consenso di cui agli artt. 7, lett. a), e 2, lett. h), della direttiva [95/46]. Se l'obbligo di informare l'interessato ai sensi dell'art. 10 della direttiva [95/46] in una situazione come quella che si verifica nel caso di specie si applichi anche al gestore del sito che ha inserito il contenuto di un terzo ed è quindi all'origine del trattamento di dati personali da parte di un terzo”.