Ancora NEWS in ambito privacy a distanza di ormai due mesi dall’entrata in vigore del Regolamento UE 2016/679 che ha cambiato le sorti del trattamento dei dati personali riferiti a persone fisiche.
Questa volta un importante chiarimento arriva direttamente dalla Corte di Giustizia dell’UE ed è relativo al trattamento dei dati personali degli utenti su Facebook.
In effetti luci ed ombre popolavano l’ambito “social network”, soprattutto con riferimento alla titolarità del trattamento.
Gli scaricabarili più accaniti si rifugiavano dietro alla privacy policy dei colossi del web, profittando del clima di forte incertezza normativa.
Ed invece la Corte di Giustizia definitivamente afferma che l’amministratore di una pagina Facebook è “titolare del trattamento” dei dati personali degli utenti che la visitano insieme a Facebook ed è soggetto pertanto ai relativi obblighi di legge.
La leva che ha portato all’affermazione di questo principio è stata la sentenza del 5 giugno 2018 (causa C-210/16), nella controversia insorta tra l’Autorità Regionale tedesca per la protezione dei dati personali e una società tedesca attiva nel settore della formazione.
Un caso tutto europeo che aveva avuto origine nel 2011 con l’ordine di disattivazione della pagina Facebook della società da parte dell’Autorità, che aveva rilevato un trattamento dei dati degli utenti a mezzo di cookie in assenza di informativa agli utenti, sia da parte di Facebook, che da parte della società.
La società replicava, convinta di non aver svolto alcun trattamento di dati personali, affermando la piena e sola responsabilità di Facebook che, a suo dire, avrebbe svolto un trattamento dei dati indipendente ed estraneo al controllo della società.
La questione se l’amministratore di una pagina Facebook possa essere considerato “titolare del trattamento” ai sensi della normativa sulla protezione dei dati personali, con le conseguenze che ne derivano, è stata quindi rimessa da parte della Corte amministrativa federale tedesca alla Corte di Giustizia.
Chi è, quindi, il “titolare del trattamento”? In realtà è più facile del previsto.
Da bravi giuristi dovremmo sapere, infatti, che la primissima direttiva “mamma” (dir. 95/46/CE oggi abrogata) già lo definiva come il soggetto che determina le finalità e gli strumenti del trattamento dei dati personali (definizione che il Reg. UE 679/2016 riprende in toto).
E chi conosce un minimo le logiche di Facebook sa che l’amministratore di una pagina ha la facoltà di richiedere al social network i dati anonimizzati dei visitatori della pagina, al fine di poter generare statistiche di consumo in base alle visualizzazioni.
Orbene, per logica conseguenza (questo, peraltro, il ragionamento seguito dalla Corte di Giustizia) se l’amministratore della pagina è in grado di determinare nella maniera descritta le finalità del trattamento e i mezzi attraverso i quali tale trattamento viene svolto, può essere considerato un titolare del trattamento.
La Corte, tuttavia, ha fatto un passo in più, riconoscendo una contitolarità del trattamento in capo alla società amministratrice della pagina e alla stessa Facebook, dal momento che quest’ultima determina in via principale le finalità e i mezzi del trattamento dei dati sulla propria piattaforma, puntualizzando anche che in caso di contitolarità la responsabilità non è equamente suddivisa tra i contitolari in maniera automatica, ma va determinata caso per caso.
Una valvola di salvezza, in un certo senso, che permette di tirare un sospiro di sollievo, se si pensa che la contitolarità del trattamento è oggi disciplinata da una specifica norma del GDPR (art. 26), la quale prevede che i contitolari determinino in maniera trasparente, con un accordo interno, le rispettive responsabilità.
A cosa bisogna prestare attenzione allora?
Sicuramente una prima raccomandazione riguarda tutti i soggetti che hanno una pagina Facebook o su altri social network e rientrano nel campo di applicazione della normativa sulla protezione dei dati personali. Costoro dovranno valutare se ed in che misura stanno effettuando un trattamento dei dati personali in contitolarità con il social network e conseguentemente regolare il rapporto con il proprio contitolare.
Banalità? Forse.
Tuttavia, di fronte a situazioni come quella sottoposta alla Corte in cui un utente medio-piccolo si
trova a condividere la titolarità del trattamento dei dati personali con un gigante, è difficile immaginare un’applicazione fedele della norma del GDPR sulla contitolarità.
È più facile immaginare un orizzonte meno equilibrato, dove il potere contrattuale dei colossi del web e la maggior diffusione di questo tipo di rapporti daranno luogo a veri e propri “accordi” di contitolarità non negoziabili dagli operatori, quindi di fatto imposti dall’over the top di turno.
Egidio Oronzo
Avvocato