Corte di Giustizia, GDPR e social network. Chi è responsabile?

Corte di Giustizia, GDPR e social network. Chi è responsabile?

In una recente sentenza (C-210/16), la Corte di Giustizia dell’UE ha affrontato la tematica della privacy degli utenti sui social nel momento in cui vengono in contatto con le fanpage (le cd. Pagine Facebook et similia) arrivando a statuire che i relativi amministratori sono da considerarsi titolari del trattamento dei dati, ergo responsabili di questi.

Nel caso di specie la Wirtschaftsakademie Schleswig-Holstein GmbH, una società privata, aveva ricevuto nel 2011 l’ordine di disattivare la propria fanpage da parte dell’autorità tedesca di vigilanza regionale per la protezione dei dati del Land Schleswig-Holstein, in quanto aveva rilevato un trattamento dei dati degli utenti[1] senza previa informativa né da parte della società né da Facebook. La società, aveva tentato, invano, di dimostrare la sola ed esclusiva responsabilità del social in quanto unico conoscitore dei dati reali, ritenendosi estranea a qualsiasi trattamento, essendo, di fatto, i dati fornitigli in forma anonima. La stessa riusciva ad ottenere l’annullamento della decisione. Infatti il giudice dell’impugnazione aveva ritenuto solo Facebook decisore della finalità e degli strumenti relativi alla raccolta e al trattamento dei dati personali utilizzati nell’ambito della funzione Facebook Insights, mentre la Wirtschaftsakademie, dal canto suo, aveva ricevuto solo informazioni statistiche rese anonime.

La diatriba su chi dovesse essere considerato responsabile del trattamento dei dati veniva sospesa dalla Corte federale, investita della questione, la quale sottoponeva alla CGUE più quesiti pregiudiziali volti a comprendere se l’amministratore di una pagina Facebook possa essere considerato “titolare del trattamento” ai sensi della normativa sulla protezione dei dati personali.

Nonostante nelle more del giudizio sia intervenuto il Reg. UE 679/2016 “GDPR” la definizione di “titolare del trattamento” rispetto alla normativa ratione temporis del caso a quo (Direttiva 95/46/CE) resta immutata: soggetto che determina le finalità e gli strumenti del trattamento dei dati personali.

Alla luce di questa definizione il ragionamento della Corte ha portato a ravvisare nell’amministratore della pagina il titolare del trattamento dei dati. È da sottolineare che “è vero che le statistiche sull’utenza stabilite da Facebook sono unicamente trasmesse all’amministratore della fanpage in forma anonima, ciò non toglie che la realizzazione di tali statistiche si fonda sulla raccolta preliminare, mediante cookie installati da Facebook sul computer o su ogni altro dispositivo delle persone che hanno visitato tale pagina, e sul trattamento dei dati personali di tali visitatori a siffatti fini statistici”. È quindi da ritenersi l’amministratore partecipe della determinazione delle finalità e degli strumenti del trattamento dei dati personali dei visitatori della sua fanpage. Pertanto, va qualificato come responsabile di tale trattamento. La corte prosegue aggiungendo che si può ravvisare in Facebook un contitolare[2] come espressamente previsto dal GDPR.

È ravvisabile qui una difficoltà pratica nella misura in cui si vengano a considerare le enormi differenze economiche e di posizione nel mercato tra un amministratore di pagina e il colosso Facebook. È, infatti, improbabile che quest’ultimo contratti con ogni singolo amministratore o che lasci a questo la possibilità di personalizzare la responsabilità condivisa, essendo, invece, molto più realistico immaginare una sottoposizione di condizioni di utilizzo e di accettazione similmente a quanto avviene con i profili personali dello stesso social, ove la scelta si riassume nell’accettazione o nell’esclusione dal social.

Sarebbe da prospettarsi un orientamento più realistico da parte della corte o comunque uno spiraglio che consenta agli amministratori di non subire meramente la posizione di Facebook, ma che permetta loro di dimostrare almeno l’avvenuto  reale rispetto o meno dell’art. 26 GDPR.


[1] Da intendersi “trattamento di dati personali” : qualsiasi operazione o insieme di operazioni compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali, come la raccolta, la registrazione, l’organizzazione, la conservazione, l’elaborazione o la modifica, l’estrazione, la consultazione, l’impiego, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, nonché il congelamento, la cancellazione o la distruzione

[2] La contitolarità del trattamento è espressamente prevista all’art. 26 del GDPR: “Allorché due o più titolari del trattamento determinano congiuntamente le finalità e i mezzi del trattamento, essi sono contitolari del trattamento. Essi determinano in modo trasparente, mediante un accordo interno, le rispettive responsabilità in merito all’osservanza degli obblighi derivanti dal presente regolamento, con particolare riguardo all’esercizio dei diritti dell’interessato, e le rispettive funzioni di comunicazione delle informazioni di cui agli articoli 13 e 14, a meno che e nella misura in cui le rispettive responsabilità siano determinate dal diritto dell’Unione o dello Stato membro cui i titolari del trattamento sono soggetti. Tale accordo può designare un punto di contatto per gli interessati.”

consulenza_per_privati_e_aziende          consulenza_per_avvocati

Salvis Juribus – Rivista di informazione giuridica
Ideatore, Coordinatore e Capo redazione Avv. Giacomo Romano
Listed in ROAD, con patrocinio UNESCO
Copyrights © 2015 - ISSN 2464-9775
Ufficio Redazione: redazione@salvisjuribus.it
Ufficio Risorse Umane: recruitment@salvisjuribus.it
Ufficio Commerciale: info@salvisjuribus.it
The following two tabs change content below.

Articoli inerenti