Gli amministratori di fanpage di Facebook considerati contitolari assieme a Facebook del trattamento, posto in essere da Facebook, dei dati personali dei visitatori delle fanpage

 

Background

La Corte di Giustizia dell’Unione Europea (la “Corte“), con una sentenza del 5 giugno 2018 che ha fatto scalpore, ha stabilito che gli amministratori di fanpage sui social network possono essere considerati “contitolari”, insieme alle società responsabili di tali social network, del trattamento dei dati personali degli utenti dei social network che può essere effettuato tramite tali pagine.

Anche se basata sull’ora abrogata Direttiva 95/46/CE, la decisione mantiene rilevanza anche nel quadro normativo attuale, date le similitudini tra le disposizioni della direttiva considerate e quelle del GDPR.

 

Questioni principali

Gli amministratori delle fanpage di Facebook possono ottenere informazioni statistiche anonime sui visitatori delle pagine medesime – indipendentemente dal fatto che questi abbiano o meno un account Facebook – tramite il servizio “Facebook Insights”. Questo servizio inserisce automaticamente dei “cookie” (ovvero piccoli file di testo) sui dispositivi utilizzati dai visitatori, contenenti un codice utente univoco, che può essere letto e abbinato a tali utenti da Facebook. Le informazioni ottenute (considerate “dati personali”) vengono utilizzate sia per fornire statistiche aggregate agli amministratori delle pagine, sia per consentire a Facebook di migliorare la “targetizzazione” degli annunci pubblicitari sulla propria rete.

La decisione della Corte ha origine dall’azione dell’autorità tedesca di controllo del Land Schleswig-Holstein, che ha emesso un’ordinanza contro la Wirtschaftsakademie Schleswig-Holstein GmbH – amministratore di una fanpage di Facebook – di disattivazione di tale pagina. Alla base del ragionamento di tale decisione è stato il fatto che né l’amministratore né Facebook hanno informato i visitatori circa il trattamento che sarebbe stato posto in essere. L’amministratore ha contestato tale conclusione, sostenendo essenzialmente di non poter essere considerato un titolare del trattamento per i trattamenti effettuati esclusivamente da Facebook. La questione è stata sottoposta ai tribunali tedeschi e si è conclusa con un deferimento alla Corte di giustizia dell’Unione europea.

L’avvocato generale Bot, nelle sue Conclusioni, ha rilevato che la decisione di creare e gestire una fanpage su Facebook è ciò che fa scattare il trattamento dei dati, e che gli amministratori delle pagine possono influenzare in modo decisivo la cessazione di tale trattamento disattivando la pagina fan. La Corte ha rilevato che il semplice utilizzo di un social network non sarebbe sufficiente per rendere l’utente un contitolare del trattamento dei dati personali posto in essere dal social network; tuttavia, creando una fanpage e affidandosi a “Facebook Insights”, l’amministratore della pagina di fatto abilita Facebook a collocare dei cookie sui dispositivi dei visitatori.

Inoltre, “Facebook Insights” permette agli amministratori di definire i criteri astratti riguardanti il “target audience” della loro fanpage, sulla base dei quali vengono raccolte le informazioni e generate le statistiche (ad esempio: età, sesso, occupazione, abitudini di acquisto). Pertanto, la Corte ha ritenuto che gli amministratori contribuiscano a determinare le finalità del trattamento dei dati personali dei visitatori, anche se in realtà non ricevono “dati personali” (ma solo relazioni statistiche aggregate, dunque anonime) – ciò perché, come chiarisce la Corte, “la direttiva 95/46 non impone che, qualora vi sia una responsabilità congiunta di più operatori per un medesimo trattamento, ciascuno abbia accesso ai dati personali interessati.”

Per concludere, la Corte ha sottolineato che il ricorso ad un social network per beneficiare dei servizi ad esso connessi non esenta gli amministratori delle pagine fan dal rispetto degli obblighi in materia di trattamento dei dati personali, in particolare dall’obbligo di fornire informazioni adeguate agli interessati.

 

Implicazioni pratiche

La sentenza della Corte evidenzia che le imprese devono rivalutare il loro rapporto con i social network, in quanto queste possono essere considerate contitolari del trattamento dei dati personali posto in essere dai social network, se consentono o contribuiscono in qualche modo a tale trattamento.

L’art. 26 del GDPR richiede che i contitolari stabiliscano un accordo per determinare le rispettive responsabilità ai fini della conformità al GDPR. Si prevede che i social network forniscano i mezzi per la creazione di questi accordi – Facebook ha rilasciato una dichiarazione in merito (disponibile solo in lingua tedesca) – anche se non si conoscono ancora le misure concrete adottate.

Nel breve termine, le aziende che gestiscono fanpage su Facebook (o situazioni analoghe su altri social) dovrebbero considerare di:

  • Fornire all’interno della fanpage alcune informazioni su questo trattamento – ad esempio, menzionare l’uso di cookie, il tipo di informazioni raccolte e lo scopo del trattamento.
  • Rivolgersi ai social network per chiarire come intendono gestire (1) gli obblighi di informazione nei confronti delle persone interessate e (2) la necessità di un accordo ai sensi dell’articolo. 26 GDPR, che ripartisca le responsabilità.
  • In caso le soluzioni prospettate non vadano a buon fine o non vengano ritenute soddisfacenti, considerare l’ipotesi di disattivare le pagine fan fino a quando gli operatori dei social network non presentino ulteriori misure di conformità.