L'amministratore di una fanpage su Facebook è responsabile del trattamento dei dati

L'amministratore di una fanpage su Facebook è responsabile assieme a Facebook del trattamento dei dati dei visitatori della sua pagina. Lo ha stabilito la Corte di Giustizia con la sentenza 5 giugno 2018 causa C-210/16 indicando che «l'autorità per la protezione dei dati dello Stato membro in cui l' amministratore ha la propria sede può agire, in forza della direttiva 95/46, sia nei confronti di quest'ultimo sia nei confronti della filiale di Facebook stabilita in tale medesimo Stato». Il caso ha origine da una controversia che ha coinvolto la società tedesca Wirtschaftsakademie Schleswig-Holstein e l'Autorità di vigilanza.
Il caso - La società tedesca Wirtschaftsakademie Schleswig-Holstein è specializzata nel settore della formazione. Essa offre servizi di formazione attraverso segnatamente una fanpage presente su Facebook. li amministratori di fanpage possono ottenere dati statistici anonimi sui visitatori di tali pagine servendosi di una funzione denominata Facebook Insights, messa a loro disposizione gratuitamente da Facebook secondo condizioni d'uso non modificabili. Tali dati sono raccolti grazie a marcatori («cookie») contenenti ciascuno un codice utente unico, attivi per due anni e salvati da Facebook sul disco fisso del computer o su qualsiasi altro supporto dei visitatori della fanpage. Il codice utente, che può essere associato ai dati di collegamento degli utenti registrati su Facebook, è raccolto ed elaborato al momento dell'accesso alle fanpage.
Con decisione del 3 novembre 2011, l'Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein (autorità di vigilanza regionale indipendente per la protezione dei dati dello Schleswig-Holstein, Germania), in qualità di autorità di controllo incaricata, in forza della direttiva 95/46 sulla protezione dei dati, di sorvegliare l'applicazione nel Land Schleswig-Holstein delle disposizioni adottate dalla Germania in attuazione di tale direttiva, ordinava alla Wirtschaftsakademie la disattivazione della sua fanpage. Infatti, secondo l'Unabhängiges Landeszentrum, né la Wirtschaftsakademie né Facebook avevano informato i visitatori della fanpage del fatto che Facebook raccoglieva, mediante cookie, informazioni personali che li riguardavano e che essi elaboravano successivamente tali informazioni.
Contro tale decisione, la Wirtschaftsakademie proponeva ricorso dinanzi ai tribunali amministrativi tedeschi affermando che il trattamento dei dati personali realizzato da Facebook non può esserle imputato e negando inoltre di aver incaricato Facebook di effettuare un trattamento di dati soggetto al suo controllo o rientrante nella sua sfera d'influenza. La Wirtschaftsakademie ne deduce che l'Unabhängiges Landeszentrum avrebbe dovuto agire direttamente contro Facebook e non contro di essa.
È in tale contesto che il Bundesverwaltungsgericht (Corte amministrativa federale, Germania) ha chiesto alla Corte di giustizia d'interpretare la direttiva 95/46 sulla protezione dei dati.
La posizione della Corte - Nella sua sentenza, la Corte di giustizia osserva, innanzitutto, che non si dubita nella presente causa del fatto che la società americana Facebook e, per quanto riguarda l'Unione, la sua filiale irlandese Facebook Ireland debbano essere considerate quali «responsabili del trattamento» dei dati personali degli utenti di Facebook nonché delle persone che hanno visitato le fanpage presenti su Facebook. Infatti, tali società determinano, in via principale, le finalità e gli strumenti del trattamento di tali dati.
In seguito, la Corte constata che un amministratore quale la Wirtschaftsakademie deve essere considerato responsabile, all'interno dell'Unione, assieme alla Facebook Ireland del trattamento dei dati interessati. Infatti, un amministratore del genere partecipa, attraverso la propria azione d'impostazione dei parametri (in funzione, segnatamente, del suo pubblico destinatario nonché di obiettivi di gestione o promozione delle proprie attività), alla determinazione delle finalità e degli strumenti del trattamento dei dati personali dei visitatori della sua fanpage. In particolare, la Corte rileva a tal riguardo che l'amministratore della fanpage può chiedere di ricevere (in forma anonima) - e, quindi, di trattare – dati demografici concernenti il suo pubblico destinatario (in particolare tendenze in materia di età, sesso, situazione sentimentale e professionale), informazioni sullo stile di vita e sugli interessi di detto pubblico (incluse informazioni sugli acquisti e il comportamento di acquisto online dei visitatori della sua pagina, nonché le categorie di prodotti o di servizi di loro maggiore interesse) e dati territoriali che consentono all'amministratore della fanpage di stabilire dove avviare promozioni speciali o organizzare eventi e, in generale, di offrire informazioni maggiormente mirate.
Secondo la Corte, la circostanza che un amministratore di una fanpage utilizzi la piattaforma realizzata da Facebook per beneficiare dei servizi a essa collegati non può esonerarlo dal rispetto degli obblighi ad esso incombenti in materia di protezione dei dati personali.
La Corte sottolinea che il riconoscimento di una responsabilità congiunta del gestore del social network e dell'amministratore di una fanpage presente su tale network in relazione al trattamento dei dati personali dei visitatori di tale fanpage contribuisce a garantire una più completa tutela dei diritti di cui godono le persone che visitano una fanpage, conformemente alle prescrizioni della direttiva 95/46 sulla protezione dei dati.

fonte: Cassa Forense - Dat Avvocato