Di seguito, il mio nuovo articolo per la rivista online CyberLaws, reperibile qui.
Può il gestore di un sito internet, che inserisce al suo interno un plugin di terze parti come il tasto like di facebook o il tasto segui di twitter, essere ritenuto contitolare dell’eventuale trattamento effettuato dallo stesso?
Secondo l’Avvocato Generale intervenuto con le sue conclusioni il 19.12.2018 nella causa pendente dinanzi alla Corte di Giustizia UE C-40/2017 (Fashion ID GmbH & Co. KG / Verbraucherzentrale NRW eV), suddetto gestore è corresponsabile del trattamento secondo l’art. 2, lettera d), della direttiva 95/46, ossia contitolare del trattamento ai sensi “nuovo” Reg. UE 2016/679.
Il caso
Le conclusioni a cui è pervenuto l’Avvocato Generale sono state rese in un giudizio concernente il rinvio pregiudiziale operato dal Tribunale superiore del Land di Düsseldorf, in Germania.
La Fashion ID è una società tedesca che commercializza articoli di moda online. La controversia sorge dall’inserimento, nel proprio sito internet, del tasto like di facebook. Tale plugin, però, è in grado di trasferire a Facebook Ireland le informazioni relative all’indirizzo IP e la stringa del browser dell’utente, indipendentemente dal click o meno dell’utente sull’apposito tasto (ed indipendentemente dall’iscrizione dell’utente al social network).
A sollevare questo paventato illegittimo trattamento dati è un’associazione di consumatori tedeschi, la Verbraucherzentrale NRW.
Perché il gestore è corresponsabile (oggi contitolare) del trattamento?
La contestazione più limpida mossa dalla società convenuta è che la stessa non sia in grado di incidere sull’operazione di trattamento dei dati, che rimarrebbe dunque di competenza esclusiva della Facebook Ireland.
Com’è noto, la direttiva 95/46 ricomprende nella nozione di “responsabile del trattamento” una persona che “… da sol[a] o insieme ad altri determina le finalità e gli strumenti del trattamento di dati personali”. L’Avvocato Generale sottolinea come la Corte di Giustizia UE abbia già affrontato il fenomeno della responsabilità congiunta (Wirtschaftsakademie Schleswig‑Holstein, sentenza del 5 giugno 2018 C‑210/16), concludendo che l’amministratore di una fanpage su facebook agisce quale responsabile del trattamento assieme alla Facebook Ireland, in quanto capace di determinare le finalità del trattamento dei dati personali dei visitatori della suddetta fanpage tramite gli strumenti di targettizzazione e promozione messi a disposizione dal social network.
Sia su tale base, sia sulla base di altra giurisprudenza della Corte UE secondo la quale “… affinché vi sia una responsabilità congiunta non è necessario che ciascun responsabile del trattamento abbia accesso a (tutti) i dati personali in questione” (sentenza Jehovan todistajat del 10 luglio 2018 C‑25/17), l’Avvocato Generale conclude che il gestore del sito web agisce come responsabile del trattamento perché, tramite il plugin in questione, consente alla Facebook Ireland di ottenere i dati personali degli utenti del suo sito Internet.
Per l’Avvocato Generale il fatto che il gestore del sito web non acceda, poi, alle statistiche aggregate di Facebook Ireland non è dirimente, perché un corresponsabile (rectius, un contitolare) può essere sempre classificato come tale anche quando non ha accesso ai “frutti del lavoro congiunto”.
In altri termini sul gestore del sito web, alla luce della direttiva 95/46, ma a maggior ragione alla luce dei principi del Reg. UE 2016/679, graverebbe l’onere di informare gli utenti circa la raccolta dei dati personali limitatamente alle operazioni per le quali esso “codecide”effettivamente in merito agli strumenti e alle finalità del trattamento dei dati personali; onere che presupporrebbe che il consenso degli stessi venga dato prima che i dati siano raccolti e trasferiti.
L’ampliamento della nozione di corresponsabile (oggi, contitolare) del trattamento
Nonostante si sia occupata diverse volte di queste tematiche, la Corte UE non mai ha affrontato direttamente le implicazioni pratiche di un ampio approccio definitorio della nozione di corresponsabile per quanto riguarda le fasi successive dei precisi doveri e della specifica responsabilità delle parti classificate come tali.
Il criterio dirimente nella nozione di corresponsabile (oggi, contitolare) non può certamente essere la circostanza che la persona in questione abbia reso possibile la raccolta e il trasferimento dei dati personali, perché se così fosse, si finirebbe per coinvolgere anche l’utente stesso della piattaforma o del social network, il quale crea il proprio account, ne definisce le caratteristiche, invita i propri amici ad iscriversi.
L’Avvocato Generale cerca di districarsi in questa ostica materia tenendo anche conto del “nuovo” Reg. UE 2016/679, ratione temporis non applicabile al caso in oggetto, il quale, all’art. 26, sembra aver predisposto un nuovo regime di responsabilità congiunta. L’articolo 26, paragrafo 1, del GDPR consente ai contitolari del trattamento di “… determina[re] (…) le rispettive responsabilità in merito all’osservanza degli obblighi”. Alla luce del GDPR, dunque, i contitolari dovrebbero determinare, mediante un accordo interno, le rispettive responsabilità in merito all’osservanza degli obblighi derivanti dal regolamento, con particolare attenzione ai diritti dell’interessato e alle rispettive funzioni di comunicazione delle informazioni previste dalla legge europea (artt.13 e 14 GDPR). Ma con quale limite ciò sarebbe possibile con contitolari ingombranti come la Facebook Ireland? E, soprattutto, quanto sarebbe dirimente visto che l’articolo 26, paragrafo 3, del GDPR chiarisce che l’”interessato può esercitare i propri diritti … nei confronti di e contro ciascun titolare del trattamento”, indipendentemente da un siffatto accordo. In altre parole, qualsiasi contitolare può essere quindi ritenuto responsabile del trattamento dei dati in questione.
Conclusioni e ricadute
Come detto, l’Avvocato Generale, in ultima analisi, propende per una decisione di corresponsabilità del gestore che inserisca nel proprio sito internet un plugin di terze parti in grado di raccogliere alcuni dati personali degli ignari naviganti.
Ma lo fa con alcune precisazioni e limitazioni, dalle quali si evincono le perplessità in merito ad un indiscriminato ampliamento della nozione di corresponsabile (oggi, contitolare).
Prima di tutto, infatti, siffatta corresponsabilità non può essere ritenuta equivalente, ed il gestore del sito web non può essere ritenuto responsabile per le fasi precedenti o per le fasi successive dell’intera catena di trattamento per le quali non è in grado di determinare le finalità o gli strumenti, ma solo per la raccolta congiunta, finalizzata, a dire dell’Avvocato Generale, al perseguimento di scopi commerciali complementari.
Sarebbe ingiusto attribuire la responsabilità a qualcuno che non ha alcun controllo sul risultato, anche perché, in questo modo, chi esercita effettivamente il controllo potrebbe celarsi dietro tutti gli altri soggetti nominalmente corresponsabili, attenuando la protezione effettiva. Tale paradosso risulta ancor più eccessivo in relazione all’amministratore di una pagina facebook, ritenuto contitolare assieme alla Facebook Ireland.
A ciò si aggiunga che la sola circostanza che i dati siano stati utilizzati dal titolare o dal contitolare in modo illecito o scorretto, non è idonea di per sé ad ingenerare nell’utente il diritto al risarcimento del danno, con tutte le conseguenze pratiche che da ciò deriva.
Quindi, anche se la Corte UE dovesse propendere per l’illegittimo trattamento dei dati degli utenti del sito web con il plugin in questione, dallo stesso non deriverebbe per forza di cose un danno risarcibile.
Quest’ultimo, infatti, non si sottrae alla verifica della “gravità della lesione” e della “serietà del danno” in quanto anche per tale diritto opera il bilanciamento con il principio di solidarietà ex art. 2 Cost., di cui il principio di tolleranza della lesione minima è intrinseco precipitato: sicché, determina una lesione ingiustificabile del diritto non la mera violazione delle prescrizioni poste dalla normativa sul trattamento dei dati personali, ma solo quella che ne offenda in modo sensibile la sua portata effettiva (cft. Cass. Civ. Sez. I, 4.6.2018, n. 14242; la Suprema Corte, ovviamente, ha come base normativa il d.lgs. 196/2003 ante modifica, ma il medesimo principio pare applicabile anche con il Reg. UE 2016/679).
Per finire, dalle argomentazioni svolte dall’Avvocato Generale sembrerebbe che sul gestore contitolare gravi l’onere di informazione e di richiesta del consenso preventivo alla raccolta dei dati operati dal plugin di terze parti. Ma se sull’ampliamento dell’informativa da parte del gestore del sito internet non dovrebbero esserci dubbi, è lo stesso Avvocato Generale a propendere per la non necessità di acquisizione del consenso, in considerazione della possibile presenza di un interesse legittimo del contitolare gestore del sito web, la cui sussistenza è da bilanciare caso per caso con i diritti degli interessati.
Articoli citati
A. MESSINA, Risponde della privacy chi usa il tasto mi piace, 2018
Provvedimenti citati