31 luglio 2019
Integrazione del plugin "Like" di Facebook in un sito Internet: se il trasferimento dei dati relativi all'indirizzo IP degli utenti avviene automaticamente il gestore del sito internet è responsabile del trattamento?
Il gestore di un sito Internet corredato del pulsante "Mi piace" di Facebook può essere congiuntamente responsabile con Facebook della raccolta e della trasmissione dei dati personali dei visitatori del suo sito. Per contro, in linea di principio, non è responsabile del trattamento successivo di tali dati effettuato esclusivamente da Facebook.
In tal senso si è pronunciata la Corte di Giustizia dell’Unione Europea con la sentenza 29 luglio 2019 (C-40/17), rispondendo in merito alle questioni sollevate dal giudice di rinvio, il quale ha chiesto chiarimenti sull’interpretazione di varie disposizioni della direttiva n. 95/46/CE sulla protezione dei dati (che rimane applicabile alla causa in esame ma è stata sostituita dal regolamento UE n. 2016/679 sulla protezione dei dati con effetto a decorrere dal 25 maggio 2018).
La Fashion ID è un rivenditore online. Essa commercializza articoli di moda sul suo sito Internet ed ha inserito nel suo sito Internet il plugin "Like", fornito dalla Facebook Ireland Limited. Di conseguenza, il cosiddetto «pulsante "Like" di Facebook» compare sul suo sito Internet. Quando un visitatore entra nel sito della società, nel quale è collocato il pulsante «Like» di Facebook, il suo browser invia automaticamente informazioni relative all’indirizzo IP e alla stringa del browser dello stesso visitatore alla Facebook Ireland. La trasmissione di tali informazioni avviene senza che sia necessario cliccare effettivamente il pulsante «Like» di Facebook. Inoltre, quando si visita il sito Internet della convenuta, la Facebook Ireland colloca vari tipi di cookies (di sessione, datr e fr) nel dispositivo dell’utente.
La Verbraucherzentrale NRW (ricorrente), un’associazione per la tutela dei consumatori, ha avviato un procedimento giudiziario nei confronti della Fashion ID (convenuta) dinanzi al Landgericht (Tribunale del Land, Germania). La ricorrente ha chiesto un’ingiunzione per obbligare la convenuta a cessare l’inserimento del plugin social "Like" di Facebook con la motivazione che, presumibilmente, detta convenuta:
- non ha informato gli utenti della pagina Internet, in termini chiari ed espliciti, in merito alla finalità della raccolta e dell’impiego dei dati così trasmessi prima che il soggetto offerente il plugin iniziasse ad avere accesso all’indirizzo IP e alla stringa del browser dell’utente,
- non ha ottenuto, prima che l’accesso avesse luogo, il consenso degli utenti della pagina Internet all’accesso all’indirizzo IP e alla stringa del browser da parte dell’offerente il plugin e all’utilizzo dei dati,
- non ha informato gli utenti che avessero dato il loro consenso, ai sensi del secondo capo della domanda formulata in ricorso, della possibilità di revocarlo in ogni momento pro futuro,
- non ha indicato quanto segue: «Se siete utenti di un social network e non volete che quest’ultimo raccolga dati su di voi attraverso il nostro sito Internet e li colleghi ai vostri dati utenti salvati sul social network, siete pregati di uscire dal social network prima di visitare il nostro sito Internet».
La ricorrente ha affermato che la Facebook Inc. o la Facebook Ireland registra l’indirizzo IP e la stringa del browser e li collega a un determinato utente (membro o non membro). La convenuta replica di non esserne a conoscenza. La Facebook Ireland sostiene che l’indirizzo IP viene trasformato in un indirizzo IP generico e viene salvato solo come tale e che l’indirizzo IP e la stringa del browser non vengono collegati ad account di utenti.
Il Landgericht (Tribunale del Land) si è pronunciato a sfavore della convenuta, la quale ha interposto appello.
In tale contesto l’Oberlandesgericht Düsseldorf (Tribunale superiore del Land di Düsseldorf) ha deciso di sottoporre alla Corte di Giustizie UE le seguenti questioni pregiudiziali:
«1. Se la normativa di cui agli articoli 22, 23 e 24 della direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, osti a una disciplina nazionale che, accanto ai poteri di intervento delle autorità di protezione dei dati e ai mezzi di ricorso riconosciuti all’interessato, riconosca ad associazioni senza scopo di lucro che si occupino della tutela degli interessi dei consumatori la facoltà di agire, in caso di violazione, nei confronti dell’autore della medesima.
In caso di risposta negativa alla prima questione:
2. Se, in un caso come quello in esame, in cui un soggetto inserisca nella propria pagina Internet un codice di programma in forza del quale il browser dell’utente richiami contenuti di un terzo trasferendo in tal modo dati personali a terzi, il soggetto autore dell’inserimento sia il "responsabile del trattamento" ai sensi dell’articolo 2, lettera d), della [direttiva 95/46], qualora egli non sia in grado di incidere su detta operazione di trattamento dei dati.
3. In caso di risposta negativa alla seconda questione: se l’articolo 2, lettera d), della [direttiva 95/46] debba essere interpretato nel senso che disciplini la responsabilità in termini esaustivi, ostando alla proposizione di un’azione civile nei confronti di un terzo che, pur non essendo il «responsabile del trattamento», abbia dato origine all’operazione di trattamento senza peraltro incidervi.
4. In un caso come quello in esame, quali siano i soggetti cui si riferiscono i "legittimi interessi" che devono essere tenuti in considerazione, a norma dell’articolo 7, lettera f), della direttiva [95/46]. Se si tratti dell’interesse all’inserimento di contenuti di terzi o dell’interesse del terzo.
5. Quale sia il soggetto cui debba essere espresso, in un caso come quello in esame, il consenso richiesto negli articoli 7, lettera a), e 2, lettera h), della direttiva [95/46].
6. Se l’obbligo di informazione di cui all’articolo 10 della direttiva [95/46] riguardi, in una situazione come quella in esame, anche il gestore di una pagina Internet che abbia inserito il contenuto di un terzo dando così luogo al trattamento di dati personali da parte dei terzi».
In via preliminare, il giudice del rinvio chiede se la direttiva n. 95/46/CE sulla protezione dei dati consenta alla normativa nazionale di riconoscere a un’associazione di consumatori la legittimazione a promuovere un’azione come quella di cui al caso di specie. Passando all’aspetto sostanziale, la questione principale è se la Fashion ID debba essere classificata come "responsabile del trattamento" in relazione al trattamento dei dati in corso, e in tal caso, quale sia il modo esatto di soddisfare i singoli obblighi imposti dalla direttiva 95/46 in tale situazione. Quali sono i soggetti cui si riferiscono i "legittimi interessi" che devono essere considerati nella ponderazione richiesta dall’articolo 7, lettera f), della direttiva 95/46? La Fashion ID ha il dovere di informare le persone interessate riguardo al trattamento? Ed è sempre la Fashion ID a dover raccogliere il consenso informato delle persone interessate al riguardo?
Nel rispondere in ordine alle predette questioni con la sentenza in esame, la Corte di Giustizia precisa, innanzitutto, che la direttiva n. 95/46/CE sulla protezione dei dati non osta a che alle associazioni per la tutela degli interessi dei consumatori sia concesso il diritto di agire in giudizio contro il presunto autore di una lesione della protezione dei dati personali. Il nuovo regolamento generale sulla protezione dei dati (GDPR - regolamento 27 aprile 2016, n. 2016/679) prevede ora espressamente tale possibilità.
La Corte constata poi che la Fashion ID sembra non poter essere considerata responsabile delle operazioni di trattamento di dati effettuate dalla Facebook Ireland dopo la loro trasmissione a quest’ultima. Infatti, risulta escluso, prima facie, che la Fashion ID determini le finalità e gli strumenti di tali operazioni. Per contro, la Fashion ID può essere considerata responsabile, congiuntamente con la Facebook Ireland, delle operazioni di raccolta e di comunicazione mediante trasmissione dei dati di cui trattasi, dal momento che si può concludere (fatte salve le verifiche che devono essere effettuate dall’Oberlandesgericht Düsseldorf) che la Fashion ID e la Facebook Ireland ne determinano, congiuntamente, i motivi e le finalità. Sembra, in particolar,e che l’inserimento da parte della Fashion ID del pulsante "Mi piace" di Facebook nel suo sito Internet le consenta di ottimizzare la pubblicità per i suoi prodotti rendendoli più visibili sul social network Facebook quando un visitatore del suo sito Internet clicca su detto pulsante. È al fine di poter beneficiare di tale vantaggio commerciale, inserendo un simile pulsante nel suo sito Internet, che la Fashion ID sembra aver espresso il consenso, quantomeno implicitamente, alla raccolta e alla comunicazione mediante trasmissione dei dati personali dei visitatori del suo sito. Quindi, tali operazioni di trattamento risultano essere state effettuate nell’interesse economico tanto della Fashion ID quanto della Facebook Ireland, per la quale il fatto di poter disporre di tali dati ai propri fini commerciali costituisce la contropartita del vantaggio offerto alla Fashion ID.
La Corte sottolinea che il gestore di un sito Internet come la Fashion ID, quale (cor)responsabile di talune operazioni di trattamento di dati dei visitatori del suo sito, come la raccolta dei dati e la loro trasmissione alla Facebook Ireland, deve fornire, al momento della raccolta, talune informazioni a tali visitatori, come, ad esempio, la sua identità e le finalità del trattamento.
Infine, la Corte di Giustizia fornisce precisazioni in merito a due dei sei casi di trattamento lecito di dati personali, previsti dalla direttiva. Pertanto, per quanto riguarda il caso in cui la persona interessata abbia manifestato il proprio consenso, la Corte decide che il gestore di un sito Internet come la Fashion ID è tenuto a ottenere tale consenso preventivamente (soltanto) per le operazioni di cui è (cor)responsabile, vale a dire la raccolta e della trasmissione. Per quanto riguarda i casi in cui il trattamento dei dati sia necessario alla realizzazione di un interesse legittimo, la Corte decide che ciascuno dei cor(responsabili) del trattamento, vale a dire il gestore del sito Internet e il fornitore del plug-in social, deve perseguire, con la raccolta e la trasmissione dei dati personali, un interesse legittimo affinché tali operazioni siano giustificate per quanto lo riguarda.