giovedì, Marzo 28, 2024
Uncategorized

Il caso della responsabilità del titolare di una fanpage: la Corte di Giustizia si pronuncia

Nel mondo del web e della tecnologia sono sempre più numerose le imprese e le società che affidano ai social network la conoscenza e le informazioni che riguardano i prodotti e i settori di loro competenza. Possiamo dire che è la nuova frontiera della pubblicità e del marketing, ma a quale costo? Quello della privacy e tutela dei dati degli utenti.

Un caso particolare venuto alla ribalta negli ultimi mesi riguarda una società tedesca, la Wirtschaftakademie Scheswig Holstein, specializzata nel settore della formazione che offriva agli utenti i propri servizi attraverso la pagina Facebook e l’Autorità Garante regionale per la protezione dei dati dello Schleswig-Holstein.[1]

La vicenda in questione è anteriore al 25 maggio 2018, tuttavia avendo i giudici della Corte emesso la sentenza nel giugno del 2018 hanno, quindi, rispettato i precetti del nuovo Regolamento 2016/679. L’Autorità Garante regionale per la protezione dei dati ha ordinato la chiusura della pagina sul più famoso social network a causa della violazione della direttiva 95/46/CE. Proprio per trovare una risposta a questo caso la Corte Amministrativa federale tedesca ha richiesto, tramite rinvio pregiudiziale, un parere alla Corte di Giustizia.[2]

Per la Corte di Giustizia sia Facebook Inc. che Facebook Ireland, succursale in Europa e quindi soggetta alla legislazione europea in materia, si devono ritenere “responsabili del trattamento” perché avendo la società titolare della pagina la sede in Germania, era tenuta al rispetto delle disposizioni della Direttiva 95/46/CE precisamente nella parte relativa al “responsabile del trattamento” oltre che all’osservanza della legge tedesca sulla protezione dei dati.

Il motivo oggetto dell’ordine di chiusura riguarda la mancata informazione agli utenti del fatto che attraverso cookies, installati, per un periodo di due anni, sul disco fisso dei computer o smartphone degli utenti venivano raccolti dati e informazioni e poi elaborati per altri scopi. Questa operazione di raccolta dati e informazioni era possibile attraverso una funzione che Facebook stesso aveva messo a disposizione dei gestori delle pagine. Si tratta di Facebook Insights: una applicazione creata dalla società di Palo Alto che consente la raccolta di dati e di informazioni sugli utenti nel momento in cui questi accedono alla pagina social.[3] L’elemento chiave della sentenza della Corte di Giustizia è la questione relativa alla responsabilità dell’amministratore della pagina Facebook poiché è lui che individua i mezzi attraverso i quali effettuare il trattamento dati dei visitatori della pagina.[4]

Tuttavia non si tratta della responsabilità di un singolo, bensì di una forma di responsabilità solidale, come ha affermato il gran plenum della Corte di Giustizia, per rispettare le regole comunitarie soprattutto alla luce anche del Regolamento UE 2016/679. Rientra, dunque, tra le competenze dell’Autorità Garante per la protezione dei dati di ogni stato membro garantire il rispetto delle norme in materia e quindi la possibilità, in caso di violazione di queste ultime, di irrogare sanzioni a Facebook Inc. La Corte di Giustizia ha così precisato che “l’amministratore di una fanpage può chiedere di trattare dati che riguardano i destinatari degli annunci contenuti nella pagina[5].

La raccolta di dati e informazioni riguardanti i visitatori della pagina è “importante” per chi gestisce una fanpage perché consente di indirizzare messaggi e offerte specifiche a questi ultimi. Si può trattare quasi di offerte “su misura”, ma il risvolto negativo è relativo proprio alla questione della protezione dei dati personali e la tutela degli utenti nonché visitatori della pagina stessa soprattutto in base al nuovo Regolamento europeo. Quindi sulla base di quanto emerso dalla giurisprudenza della Corte si può dire chiaramente che chi gestisce una fanpage è responsabile, in quanto amministratore della stessa, perché il Social Network dà la possibilità di impostare “personalmente i parametri con cui regolare il proprio campo o settore di intervento[6].

Alla luce della recente applicazione del GDPR potrebbero emergere delle “incomprensioni” nel nostro ordinamento e a riguardo il Garante per la protezione dei dati in Italia ha precisato che “il titolare del trattamento è quello che viene definito, nel Regolamento, “controller”; mentre il “processor” è il responsabile del trattamento”.[7]

Fondamentale è avere chiara la distinzione tra le due figure, già introdotte con la Direttiva 95/46/CE. Con “data controller” si individua il “titolare del trattamento dei dati”, che appartengono al soggetto al quale si riferiscono[8]; mentre per “data processor” si intende il “responsabile del trattamento” e a norma dell’articolo 4 del GDPR si vuole individuare e definire “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati per conto del titolare[9]. Effettivamente la reale distinzione tra le due figure va individuata nel disposto dell’articolo 28 del Regolamento su citato ove al comma 1 viene enunciato che è il titolare del trattamento a ricorrere, qualora lo dovesse ritenere necessario, ai responsabili del trattamento che siano in grado di attuare misure tecniche e organizzative adeguate perché il trattamento soddisfi i requisiti prefissati dal Regolamento stesso[10].

L’intervento dei giudici di Lussemburgo ha avuto come esito quello di chiarire l’importanza delle figure del responsabile e del titolare del trattamento nel momento in cui l’Unione Europea vedeva il nuovo Regolamento Europeo acquistare sempre più importanza per la tutela dei dati personali. Inoltre, si è dimostrato che i social network sono soggetti al rispetto delle regole che l’UE, qualora vi fosse qualche dubbio a riguardo.

 

 

[1] Sentenza Corte di Giustizia, Causa C-210/16, qui disponibile:

[2] E.Dalmanzio, La responsabilità dell’amministratore di una fanpage facebook per il trattamento dei dati riguardante gli utenti della sua pagina in una recente pronuncia della Corte di Giustizia in Diritto dell’informatica, 15 giugno 2018, qui disponibile: http://www.dirittodellinformatica.it/privacy-e-sicurezza/gdpr/la-responsabilita-dellamministratore-di-una-fanpage-facebook-per-il-trattamento-dei-dati-riguardante-gli-utenti-della-sua-pagina-in-una-recente-pronuncia-della-corte-di-giustizia-ue.html

[3] Redazione Corriere Comunicazione, Privacy, nuova stretta per Facebook: anche le fanpage finiscono nel mirino della Ue in Corriere Comunicazione, Qui disponibile: https://www.corrierecomunicazioni.it/privacy/privacy-nuova-stretta-per-facebook-anche-le-fanpage-finiscono-nel-mirino-della-ue/

[4] Redazione La legge per tutti, Facebook: obblighi dell’amministratore di una pagina (fanpage), 6 giugno 2018, qui disponibile:

[5] M.Iaselli, Facebook:l’amministratore di una fanpage rimane responsabile del tratamento deidati. Corte di Giustizia, Sez. Grande, sentenza 05/06/2018 n. C-210/16 in Altalex, 14 giugno 2018, qui disponibile: http://www.altalex.com/documents/news/2018/06/06/facebook-amministratore-fanpage

[6] E.Dalmanzio, trattamentodei dati di pagine Facebook, le responsabilità, Diritto dell’informatica, 16 giugno 2018, qui disponibile:

[7] Vedi supra nota 5

[8] R.Panetta, Gdpr, ecco chi sono (e cosa fanno) il data controller e il data processor in Corriere Comunicazioni, 13 marzo 2018, https://www.corrierecomunicazioni.it/privacy/gdpr/gdpr-ecco-chi-sono-e-cosa-fanno-il-data-controller-e-il-data-processor/

[9] Vedi supra nota 8

[10] Articolo 28 Regolamento UE: “qualora un trattamento debba essere effettuato per conto del titolare del trattamento, quest’ultimo ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato”.

Giulia Cavallari

Nata a Bologna nel 1992. Dopo aver conseguito la maturità classica prosegue gli studi presso l'Università di Bologna iscrivendosi alla Facoltà di Giurisprudenza. Laureata con una tesi in Diritto di Internet dal titolo "Il Regolamento generale sulla protezione dei dati e il consenso dei minori al trattamento dei dati personali" sotto la guida della Professoressa Finocchiaro. Nel novembre 2017 ha relazionato all'Internet Governance Forum- IGF Youth. E' in questo periodo che si avvicina e appassiona al diritto di internet e all'informatica giuridica sentendo la necessità di approfondire gli studi in materia.  Gli interessi principali spaziano dalla protezione dei dati personali alla cybersecurity e all'ambito delle nuove tecnologie al ruolo che il diritto di internet ha assunto e assumerà nei prossimi anni.

Lascia un commento