Il plug-in "mi piace" sul proprio sito crea problemi di privacy

10/07/2020 09:26

a cura dell'avv. Marco Martorana, Presidente ASSOdata

La CGEU ha stabilito ruoli e responsabilità in campo privacy dei soggetti che mettono sul proprio sito web il plug-in "mi piace" di Facebook.

Attenzione a mettere il plug-in social "mi piace" di Facebook sul proprio sito web: comporta il trattamento di dati personali dei visitatori. Così ha affermato la Corte di Giustizia dell'Unione Europea con la sentenza 40/17 del 29 luglio 2019, nella quale ha anche definito in modo chiaro quali siano i ruoli e le responsabilità, ai sensi della normativa a tutela della privacy, dei soggetti coinvolti in questa situazione.

Il caso
La questione era se il gestore del sito web sul quale era stato inserito il plug-in (l'impresa di moda online Fashion ID) potesse essere considerato titolare del trattamento (anche se, nella sentenza, si usa il termine "responsabile" perché si riferisce ancora alla vecchia dicitura della Direttiva 95/46/CE) e, in tal caso, si erano poste alcune questioni riguardanti il legittimo interesse del titolare, gli obblighi di raccolta del consenso e quelli di informazione agli utenti. Il problema era, insomma, stabilire la ripartizione di ruoli e responsabilità per quanto riguardava la raccolta e il trattamento dei dati degli utenti tra il gestore del sito e Facebook. La sola presenza del plug-in sul sito di Fashion ID, infatti, faceva sì che i dati dei visitatori del sito fossero raccolti e trasferiti automaticamente (e senza che gli utenti ne fossero consapevoli) a Facebook Ireland, anche per quanto riguardava i dati di persone che non cliccavano affatto sul plug-in "mi piace" e, perfino, di quelle che non avevano nemmeno un profilo registrato su Facebook.


Chi è il titolare del trattamento?
L'impresa di moda negava di avere qualsiasi ruolo nel trattamento di tali dati, sostenendo di non avere alcuna influenza né sui dati trasmessi dal browser del visitatore del suo sito né sul possibile utilizzo che Facebook ne avrebbe fatto. Questa soluzione è stata rifiutata dalla Corte: secondo le definizioni fornite dall'articolo 4 del Regolamento 679/2016 (GDPR), che ha ripreso quelle contenute nell'articolo 2 della Direttiva 95/46/CE (cui fa riferimento la sentenza in questione), titolare del trattamento è colui che determina i fini e i mezzi di trattamento dei dati e, nella nozione di trattamento, rientra qualsiasi operazione riguardante i dati, tra cui la semplice raccolta. Per questo motivo, nel caso di specie, si configurava la presenza simultanea di due titolari del trattamento (Fashion ID e Facebook Ireland), ognuno in relazione al tipo di trattamento da ciascuno effettuato: per Fashion ID, la raccolta dei dati riguardanti i visitatori del suo sito e la loro trasmissione a Facebook Ireland, e per quest'ultimo l'utilizzo di queste informazioni per finalità proprie ivi compresa la profilazione delle preferenze espresse dagli interessati. Il fatto che Fashion ID non avesse alcun controllo sul trattamento dei dati effettuato da Facebook era irrilevante, perché per quel trattamento il titolare era Facebook Ireland. Questa conclusione evidenzia un messaggio importante per le imprese: la posizione di titolarità deve essere apprezzata con riferimento a singoli trattamenti. Sui medesimi dati possono essere effettuati anche più operazioni di trattamento, e per ciascuna di esse diverso può essere il soggetto che opera in qualità di titolare. È pertanto necessario capire quali operazioni vengano effettuate sui dati e chi ne determina i fini e i mezzi; solo in questo modo si possono stabilire i ruoli in relazione a quel set di dati, che possono essere ricoperti da più soggetti simultaneamente.

Alcune conseguenze della definizione dei ruoli
Alla Corte veniva poi chiesto di fornire qualche ulteriore precisazione: nel caso in cui la base giuridica del trattamento sia il "legittimo interesse del titolare", a quale titolare ci si deve riferire? Chi si deve occupare della raccolta del consenso, invece, nei casi in cui il trattamento si basi su quello? Chi deve adempiere gli obblighi di informazione nei confronti degli utenti?
La risposta a queste domande, in realtà, è piuttosto lineare: individuato il trattamento svolto da ciascun soggetto, stabilito che quel soggetto è titolare, si risolvono a cascata tutte le altre questioni. Ogni titolare deve rispondere per le operazioni sui dati da lui effettuate: deve identificare la base giuridica del trattamento e adempiere ai vari obblighi nei confronti dei soggetti interessati. Il legittimo interesse come base giuridica deve essere proprio del titolare cui fa capo quel trattamento; quindi, nel caso di Fashion ID, era necessario che l'impresa di moda avesse un proprio legittimo interesse riguardante le operazioni di raccolta e trasmissione dei dati a Facebook. La presenza di un legittimo interesse di Facebook non poteva giustificare in alcun modo l'attività di trattamento effettuata da Fashion ID (e viceversa). Allo stesso modo, per basare il trattamento sul consenso degli interessati, è necessario che ogni titolare richieda autonomamente il consenso con riferimento alle operazioni da lui stesso effettuate. Infine, ogni titolare ha l'obbligo di fornire agli interessati le informazioni riguardanti il trattamento dei dati da lui svolto.

Conclusione
La questione affrontata dalla Corte è interessante per il modo in cui dimostra che la chiave di volta per applicare la normativa a tutela della privacy è sempre la comprensione effettiva delle operazioni di trattamento svolte dai vari soggetti. Dall'entrata in vigore del GDPR (nel maggio 2018) non è più possibile approcciarsi al tema della protezione dei dati personali con superficialità, sperando di potere scaricare le responsabilità su qualcun altro per il semplice fatto che non sono chiare le dinamiche delle operazioni svolte sui dati: la normativa parla chiaro nel definire ruoli e compiti di ognuno e la sua violazione rischia di esporre a sanzioni fino a svariati milioni di euro.

Vetrina