07 Giu Privacy: gli amministratori di pagine Facebook sono corresponsabili, insieme al social network, del trattamento dei dati degli utenti (Corte di Giustizia, Grande Sezione, sent. 05 giugno 2018, causa C-210/16).
Nella decisione in epigrafe, la Corte di Giustizia dell’Unione Europea (di seguito “CGUE”), mediante il meccanismo del rinvio pregiudiziale di cui all’art. 267 TFUE, viene investita dalla Corte amministrativa federale tedesca di alcune questioni inerenti l’interpretazione della Direttiva 95/46/CE[1] relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali.Con la sentenza del 5 giugno 2018, qui in commento, la CGUE ha aderito a una nozione estensiva di “responsabile del trattamento”, ritenendo l’’amministratore di una fanpage su Facebook quale “corresponsabile del trattamento” ai sensi dell’art. 2 della Direttiva 95/46/CE. La CGUE, inoltre, si è pronunciata sulla legittimazione delle Autorità di controllo degli Stati membri ad esercitare i poteri d’intervento in caso di violazione delle disposizioni relative alla protezione dei dati poste in essere da un terzo responsabile del trattamento, il quale ha la propria sede in uno Stato membro diverso da quello dell’autorità procedente.
La questione trae origine da una controversia insorta tra l’Autorità per la protezione dei dati dello Schleswig-Holstein (stato del nord della Germania) e una società tedesca di diritto privato specializzata nel settore della formazione, la Wirtschaftsakademie. Il merito della questione verteva sulla legittimità di un provvedimento emesso dalla suddetta Autorità, attraverso il quale era stato intimato alla Wirtschaftsakademie di chiudere la fanpage di qest’ultima presente su Facebook e che aveva ad oggetto l’offerta di servizi di formazione. La suddetta Autorità riteneva che Wirtschaftsakademie avesse violato le norme relative alla protezione dei dati e, nello specifico, l’art. 38 par. 5 del BDSG[2], in quanto né la suddetta società, né Facebook avevano provveduto ad informare gli utenti in merito al fatto che, eseguendo l’accesso alla fanpage, gli stessi acconsentivano al trattamento dei loro dati per mezzo di cookie non anonimi.
Sul punto la CGUE, rileva, in primis, come Facebook Ireland e la sua filiale Facebook Germany siano da considerare quali responsabili del trattamento dei dati personali degli utenti dell’omonimo social network.
Fatte le premesse di cui sopra, la CGUE affronta, inoltre, la delicata questione relativa alla posizione ricoperta dall’amministratore di una fanpage nell’ambito del trattamento dei dati personali degli utenti iscritti a quest’ultima. Desta particolare interesse l’argomentazione seguita dalla CGUE, secondo la quale, la Wirtschaftsakademie, quale amministratore di una fanpage, è stata qualificata, insieme a Facebook, quale responsabile del trattamento dei dati personali degli interessati.
L’argomentazione della CGUE si basa sull’assunto per cui Wirtschaftsakademie e Facebook determinano congiuntamente le finalità e le modalità di trattamento dei dati personali degli utenti della fanpage, i quali, nel caso di specie, avevano altresì la possibilità di accedere a dati demografici, di geo-localizzazione e a informazioni attinenti lo stile di vita e gli interessi di questi ultimi. La CGUE specifica, inoltre, che la condicio sine qua non affinché Wirtschaftsakademie possa essere considerata quale corresponsabile del trattamento risiede nel fatto che, quest’ultima, offriva la possibilità al social network di posizionare cookie sul computer od altro dispositivo dell’utente che avesse anche solo visitato la predetta fanpage.
La CGUE si sofferma, inoltre, sui profili di responsabilità indicando, nello specifico, come l’esistenza di una situazione corresponsabilità non comporti un’automatica ed equivalente responsabilità dei diversi operatori (i.e. responsabili) nell’ambito delle operazioni di trattamento. Sul punto, la CGUE chiarisce che il grado di responsabilità degli operatori deve essere valutato tenendo in debita considerazione tutte le rilevanti circostanze del caso concreto e, in particolare, del livello di coinvolgimento dei singoli operatori nell’ambito dei trattamenti condotti dagli stessi.
Di grande interesse, infine, l’ulteriore rilievo della Corte, secondo la quale l’Autorità di controllo di uno Stato membro è legittimata ad utilizzare i poteri d’intervento previsti di cui alla direttiva 95/46/CE, anche nei confronti di un soggetto stabilito nel territorio del medesimo Stato membro dell’Autorità, anche se per violazioni commesse da un terzo soggetto il quale ha la propria sede in altro Stato membro (nel caso di specie, si trattava di violazioni commesse da Facebook Ireland e non direttamente da Facebook Germany).
Infine, la CGUE chiarisce che l’Autorità di controllo procedente può autonomamente agire nei confronti di un titolare per illeciti commessi da terzi nello Stato membro in cui questa esercita i propri poteri di intervento, senza necessità di consultare preventivamente, o agire di concerto, con l’Autorità di controllo di un altro Stato membro.
[1] Ad oggi abrogata dal Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 (o “GDPR”)
[2] Legislazione Privacy nazionale tedesca.
