Direttore Scientifico: Prof.ssa Avv. Giusella Finocchiaro
Curatrice Editoriale: Dott. Giulia Giapponesi

Facebook-loginAi sensi della direttiva 95/46/CE l’amministratore di una pagina Facebook è da considerarsi responsabile* del trattamento dei dati personali dei visitatori.

Sembra allungarsi ogni giorno di più la lista delle problematiche relative alla protezione dei dati personali degli utenti di Facebook. Questa volta l’attenzione è sulle fanpage, le pagine pubbliche dedicate ad aziende, prodotti o personaggi famosi, gestite da amministratori che ne curano i contenuti e la diffusione pubblicitaria.

Come di consueto nella web-economy, il servizio è gratuito e il guadagno del provider si basa sulla pubblicità, ovvero sul commercio di dati. In altre parole, chiunque può aprire e gestire gratuitamente una fanpage su Facebook, che, in cambio, raccoglie dati degli utenti attraverso il posizionamento sui browser web di chi visita la pagina, di cookie usati per memorizzare informazioni, che, se non eliminati, restano attivi per due anni.

In particolare, Facebook riceve, registra ed elabora le informazioni memorizzate nei cookie quando una persona visita «servizi Facebook, servizi forniti da altri membri delle Aziende di Facebook e servizi forniti da altre aziende che usano i servizi Facebook».

Tuttavia, grazie a questa prassi anche gli amministratori delle pagine godono di vantaggi commerciali. Le fanpage di Facebook offrono servizi di statistica che permettono, ad esempio, di “conoscere” il profilo dei visitatori che “mettono i like” alla pagina o che ne utilizzano le applicazioni, consentendo agli amministratori di proporre al loro pubblico un contenuto più pertinente e sviluppare funzionalità che possano interessarlo in maggior misura. Per questo, la creazione di una fanpage su Facebook implica da parte del suo amministratore l’impostazione di parametri basati sul suo pubblico destinatario nonché sugli obiettivi di gestione o di promozione delle sue attività, che influisce sul trattamento di dati personali ai fini della creazione di statistiche stabilite a partire dalle visite della pagina. L’amministratore, quindi, può, tramite filtri messi a disposizione da Facebook, definire i criteri a partire dai quali si devono stabilire tali statistiche e designare perfino le categorie di persone i cui dati personali saranno oggetto di utilizzo da parte di Facebook. Di conseguenza, l’amministratore di una fanpage contribuisce indirettamente a determinare le modalità di trattamento dei dati personali dei visitatori della sua pagina.

Dunque chi è responsabile del trattamento dei dati personali dei visitatori di una fanpage di Facebook: il social network o l’amministratore del profilo della pagina? O entrambi?

Questa, in estrema sintesi, la domanda presentata alla Corte nell’ambito di una controversia tra l’ULD (autorità di vigilanza regionale indipendente per la protezione dei dati dello Schleswig-Holstein, Germania) e, dall’altro, la Wirtschaftsakademie, società operante nel settore della formazione, in merito alla legittimità di un provvedimento emesso dall’ULD con cui si intima alla Wirtschaftsakademie di disattivare la sua fanpage di Facebook per violazioni nel trattamento dei dati.

La Corte ha chiarito innanzi tutto che il responsabile del trattamento, sia persona giuridica o fisica, non deve necessariamente essere un unico organismo e può riguardare vari attori che a vario titolo maneggiano i dati. Pertanto l’amministratore di una fanpage, come la Wirtschaftsakademie, contribuisce a determinare, assieme con la Facebook Ireland e la Facebook Inc., le finalità e gli strumenti del trattamento dei dati personali dei visitatori e può, quindi, anch’essa essere considerata quale «responsabile del trattamento», ai sensi dell’articolo 2, lettera d), della direttiva 95/46.

A tal riguardo, risulta che qualsiasi persona che desideri creare una fanpage su Facebook stipula con la Facebook Ireland un contratto specifico relativo all’apertura della sua pagina e aderisce, a tale titolo, alle condizioni di utilizzo della pagina, inclusa la politica relativa in materia di cookie. Di fatto, diventa quindi corresponsabile del trattamento.

Inoltre, l’amministratore della fanpage può chiedere di ricevere – e, quindi, chiedere che siano trattati – dati demografici concernenti il suo pubblico destinatario, in particolare tendenze in materia di età, sesso, situazione sentimentale e professionale, informazioni sullo stile di vita e sugli interessi di detto pubblico, nonché informazioni sugli acquisti e il comportamento di acquisto online dei visitatori, le categorie di prodotti o di servizi di loro maggiore interesse, come pure dati territoriali che consentono all’amministratore di stabilire dove avviare promozioni speciali o organizzare eventi e, in generale, di offrire informazioni maggiormente mirate.

Anche se il servizio è progettato e offerto da Facebook e solo da esso regolato, l’amministratore di una fanpage che beneficia dei servizi a essa collegati non può essere esonerato dagli obblighi in materia di protezione dei dati personali.

Inoltre, la Corte ha ritenuto importante sottolineare che le fanpage presenti su Facebook possono essere visitate anche da persone che non sono utilizzatori di Facebook e che quindi non dispongono di un account utente. In tal caso, la responsabilità dell’amministratore della pagina relativamente al trattamento dei dati personali appare ancor più importante, poiché la mera consultazione della fanpage da parte di visitatori esterni fa scattare automaticamente il trattamento dei loro dati personali.

La Corte ha quindi stabilito che il riconoscimento di una responsabilità congiunta di Facebook e dell’amministratore di una fanpage in relazione al trattamento dei dati personali dei visitatori contribuisce a garantire una più completa tutela dei diritti di cui godono le persone che visitano una fanpage, conformemente alle prescrizioni della direttiva 95/46.

Tuttavia, la sentenza della Corte di Giustizia precisa che la corresponsabilità non si traduce necessariamente in una responsabilità equivalente. Al contrario, Facebook e gli amministratori possono essere coinvolti nel trattamento dei dati in fasi diverse e a diversi livelli, e quindi il grado di responsabilità deve essere valutato tenendo conto di tutte le circostanze rilevanti del caso di specie.

La decisione della Corte è destinata ad avere un ampio impatto sulla gestione delle fanpage Facebook che, secondo le ultime statistiche, sono oggi oltre 65 milioni.

La sentenza è consultabile su QUESTA pagina.

* NdA: Ai fini della corretta comprensione dell’articolo, si segnala sin d’ora che nel recepimento nazionale delle disposizioni della Direttiva, il legislatore italiano ha operato una diversa scelta lessicale, indicando con la denominazione “titolare”, il soggetto che nella Direttiva è chiamato “responsabile”, e denominando invece “responsabile”, colui che nella Direttiva è “incaricato”. Ove dunque ricorra il termine “responsabile del trattamento”, così come inteso dalla Direttiva, occorrerà far riferimento alla figura che usualmente in Italia chiamiamo “titolare del trattamento.