È stata pubblicata lo scorso 5 giugno la sentenza della Corte di Giustizia dell’Unione europea (caso C-210-16) che chiarisce la responsabilità degli amministratori di fanpage su Facebook in caso di violazione delle norme relative alla tutela dei dati personali.
Nel caso specifico la Corte ha rimarcato che, sebbene il mero fatto di utilizzare un social network quale Facebook non rende un utilizzatore di Facebook corresponsabile di un trattamento di dati personali effettuato da tale network, non si può non rilevare che l’amministratore di una fanpage presente su Facebook, mediante la creazione di una siffatta pagina, offre a Facebook la possibilità di posizionare cookie sul computer o su qualsiasi altro dispositivo della persona che ha visitato la sua fanpage, indipendentemente dal fatto che tale persona possieda o meno un profilo Facebook.
Emerge pertanto che la creazione di una fanpage su Facebook implica da parte del suo amministratore un’azione d’impostazione dei parametri in base, segnatamente, al suo pubblico destinatario nonché agli obiettivi di gestione o di promozione delle sue attività, che influisce sul trattamento di dati personali ai fini della creazione di statistiche stabilite a partire dalle visite della fanpage. Tale amministratore può, tramite filtri messi a disposizione da Facebook, definire i criteri a partire dai quali si devono stabilire tali statistiche e designare perfino le categorie di persone i cui dati personali saranno oggetto di utilizzo da parte di Facebook.
Di conseguenza, l’amministratore di una fanpage presente su Facebook contribuisce al trattamento dei dati personali dei visitatori della sua pagina.
In particolare, l’amministratore della fanpage può chiedere di ricevere – e, quindi, chiedere che siano trattati – dati demografici concernenti il suo pubblico destinatario, in particolare tendenze in materia di età, sesso, situazione sentimentale e professionale, informazioni sullo stile di vita e sugli interessi di detto pubblico, nonché informazioni sugli acquisti e il comportamento di acquisto online dei visitatori della sua pagina, le categorie di prodotti o di servizi di loro maggiore interesse, come pure dati territoriali che consentono all’amministratore della fanpage di stabilire dove avviare promozioni speciali o organizzare eventi e, in generale, di offrire informazioni maggiormente mirate.
Se è vero che le statistiche sull’utenza stabilite da Facebook sono unicamente trasmesse all’amministratore della fanpage in forma anonima, ciò non toglie che la realizzazione di tali statistiche si fonda sulla raccolta preliminare, mediante cookie installati da Facebook sul computer o su ogni altro dispositivo delle persone che hanno visitato tale pagina, e sul trattamento dei dati personali di tali visitatori a siffatti fini statistici.
In tale contesto, si deve ritenere che l’amministratore di una fanpage presente su Facebook, partecipa, attraverso la propria azione d’impostazione dei parametri, in funzione, segnatamente, del suo pubblico destinatario nonché di obiettivi di gestione o promozione delle sue attività, alla determinazione delle finalità e degli strumenti del trattamento dei dati personali dei visitatori della sua fanpage. Pertanto, tale amministratore deve essere, nella fattispecie, qualificato come responsabile di tale trattamento, all’interno dell’Unione, assieme alla Facebook Ireland, ai sensi dell’articolo 2, lettera d), della direttiva 95/46.
La circostanza che un amministratore di una fanpage utilizzi la piattaforma realizzata da Facebook per beneficiare dei servizi a essa collegati non può infatti esonerarlo dal rispetto degli obblighi ad esso incombenti in materia di protezione dei dati personali.
Nel caso specifico inoltre, è importante sottolineare che le fanpage presenti su Facebook possono essere visitate anche da persone che non sono utilizzatori di Facebook e che quindi non dispongono di un account utente su tale social network. In tal caso, la responsabilità dell’amministratore della fanpage relativamente al trattamento dei dati personali di tali persone appare ancor più importante, poiché la mera consultazione della fanpage da parte di visitatori fa scattare automaticamente il trattamento dei loro dati personali.
Tuttavia, si deve precisare che l’esistenza di una corresponsabilità non si traduce necessariamente in una responsabilità equivalente dei diversi operatori nell’ambito di un trattamento di dati personali il cui grado di responsabilità deve essere valutato tenendo conto di tutte le circostanze rilevanti del caso di specie. Anche se in casi del genere l’interessato può rivolgersi indifferentemente ad entrambi i contitolari.
La sentenza commentata applica la normativa derivante dalla direttiva del ’95, ma in sostanza il ragionamento seguito dalla Corte sarebbe stato sostanzialmente analogo applicando il nuovo regolamento europeo (GDPR) che ha sostituito la suddetta direttiva.
E’ pertanto consigliabile per gli amministratori delle fanpage di conformare il trattamento alle norme sulla Privacy informando correttamente gli utenti della pagina e eventualmente anche richiedendo il consenso preventivo per evitare trattamenti non trasparenti.
