L’amministratore di una fanpage su Facebook è responsabile, assieme a quest’ultimo, del trattamento dei dati dei visitatori della sua pagina, raccolti tramite cookies ed elaborati successivamente per scopi di marketing.
L’autorità per la protezione dei dati dello Stato membro in cui tale amministratore ha la propria sede può agire nei suoi confronti ed in quelli della filiale di Facebook stabilita in quello stesso paese.
È quanto sancito dalla Corte giustizia UE, C-210/16 del 5 giugno 2018, rispetto alle nuove regole sulla tutela della privacy che prevedono limiti più stringenti in tema di trattamento dei dati degli utenti.
Tutto è partito da una società tedesca, specializzata nel settore della formazione, che offriva i propri servizi tramite una fanpage su FB.
Ma, prima di tutto, che cos’è una fanpage?
Iniziamo col dire che questa parola è stata coniata proprio Facebook stesso.
Una fanpage è un account attivato su Facebook da singole persone fisiche od imprese. Per attivarla l’utente, dopo essersi registrato sul social, può utilizzare la piattaforma da quest’ultimo amministrata per presentarsi agli utenti del social per diffondere comunicazioni di ogni tipo sul mercato dei media e del pubblico: nella fattispecie, la società tedesca pubblicizzava la sua attività commerciale.
È ormai noto che le pagine dedicate ad un brand (fanpage) aiutano le aziende e i marchi a condividere le loro notizie e a connettersi, o meglio ad interagire con i propri fan. Cos’è un fan? Semplicemente, un fan, è una persona a cui piace il vostro lavoro o il vostro brand; è una persona interessata a quello che scrivete o che condividete e che vuole tenersi in contatto con voi. Il “tenersi in contatto” è la chiave di volta del brand stesso.
Se il concetto di fanpage è ormai diffuso nella comunità di internet, poco note sono le dinamiche che ruotano dietro queste realtà.
Gli amministratori delle fanpage possono ottenere dati statistici anonimi sui visitatori delle stesse usando la funzione c.d. Facebook Insights, messa a loro disposizione gratuitamente dal social network secondo condizioni d’uso non modificabili.
Nel caso di specie, questi dati erano raccolti ed elaborati dalla società tedesca ad ogni accesso alla pagina tramite cookies, marcatori contenenti un codice unico per ciascun visitatore della stessa, attivi per due anni (salvo cancellazione) e salvati sul disco fisso del PC od altro supporto dell’utente.
L’autorità regionale indipendente per la protezione dei dati personali (il ‘Garante della privacy’ tedesco) ordinò alla ricorrente, in qualità di «amministratore» della fanpage, di disattivarla, contestando alla ditta ed a FB l’illecita attività di webtracking svolta all’insaputa degli utenti in aperta violazione delle norme sulla tutela della privacy.
La ricorrente impugnò in sede amministrativa la decisione del Garante sostenendo che non erano ascrivibili a suo carico responsabilità in materia poichè il responsabile del trattamento era Facebook e non aveva mai dato mandato al social di effettuare un trattamento di dati soggetto al suo controllo o rientrante nella sua sfera d’influenza.
La Corte interna adita ha sollevato una pregiudiziale per avere delucidazioni sul punto. La CGUE è stata di diversa opinione.
Chi è il responsabile del trattamento?
È il punto focale della sentenza, poiché il responsabile del trattamento dei dati gioca un ruolo essenziale.
L’attività di webtracking consiste nell’uso di cookies per tracciare un profilo per fini di marketing dell’utente di un sito o di una certa pagina web e rivolgergli offerte mirate e su ‘misura’ dei suoi gusti ed interessi.
I dati raccolti tramite i cookies sono sia demografici che territoriali (sesso, età, stato sentimentale, professione, interessi, preferenze commerciali, area di residenza etc.) e sono volti a migliorare la struttura del sito o della fanpage ed a permettere ai pubblicitari di rivolgersi in modo mirato alle diverse fasce di pubblico che visita il sito e/o la pagina web.
Orbene, è noto che i cookies raccolgono le informazioni su chiunque usi i servizi di Facebook o forniti da altri membri delle aziende di questo social o che usino i suoi servizi. In breve, partners e terzi possono usare i cookie sui servizi di Facebook per fornire servizi direttamente a tale social network e alle aziende che fanno pubblicità su Facebook.
Non vi è dubbio che Facebook sia il responsabile del trattamento dei dati: ne determina gli strumenti e le finalità. Parimenti, però, anche l’amministratore della fanpage è qualificabile come responsabile del trattamento: quest’ultimo infatti imposta i parametri del trattamento dei dati dei visitatori della stessa in base al suo bacino d’utenza, agli obiettivi di gestione e di promozione aziendale, determinandone le finalità e le modalità.
Inoltre, l’amministratore della pagina può chiedere di ricevere in forma anonima i dati raccolti dai cookies di Facebook per dette finalità di webtracking e per creare promozioni su misura degli utenti.
Ergo, Facebook e l’amministratore sono responsabili per il trattamento dei dati e risponderanno in solido per ogni violazione delle norme sulla tutela della privacy.
Chi sanziona queste violazioni?
L’autorità di controllo (Garante), qualora un’azienda stabilita in uno stato extracomunitario disponga di diverse filiali nell’UE (come nel caso di Facebook che ha sede negli Usa, ma filiali in tutta l’UE), è autorizzata ad esercitare tutti i poteri conferitigli in forza anche delle norme interne di attuazione della stessa, nei confronti dell’amministratore della fanpage (organismo stabilito nel suo territorio) e della filiale locale di Facebook (nel nostro caso Facebook Germany).
Attenzione dunque, tutto si gioca su una corretta informativa da distribuire al Cliente, corredata da un consenso ben formulato.
Egidio Oronzo
Avvocato