Dati personali e social network: quando si configura la contitolarità?

Un verdetto destinato a creare un significativo precedente in materia di contitolarità. Si tratta della sentenza pronunciata lo scorso 5 giugno nella causa C-210/16 con cui la Corte di Giustizia si è espressa sul tema del trattamento dei dati personali di utenti Facebook.

La vicenda vede protagonista la Wirtschaftsakademie, un ente tedesco operante nel settore della formazione. Nell’ambito della propria offerta promozionale, la struttura gestiva una pagina in grado di “ottenere dati statistici anonimi riguardanti i visitatori servendosi di una funzione denominata Facebook Insights, messa a loro disposizione gratuitamente da Facebook secondo condizioni d’uso non modificabili”.

Per capire l’evoluzione del caso bisogna fare un passo indietro…

Nel 2011 l’Autorità aveva imposto alla struttura formativa la disattivazione della pagina Facebook, motivando la decisione con la rilevazione di un trattamento dei dati degli utenti attraverso l’utilizzo di un cookie installato da Facebook, e grazie al quale l’ente otteneva risultanze statistiche, senza che né l’uno né l’altro ne avessero fatto menzione nelle rispettive informative.

Di fronte a tale accusa, l’ente sosteneva la propria estraneità al trattamento di dati personali, adducendo a Facebook l’intera responsabilità di aver attuato il trattamento in maniera del tutto autonoma ed indipendente. Una questione piuttosto spinosa, quella riferita alla possibilità di considerare l’amministratore di una pagina Facebook “titolare del trattamento” ai sensi dell’art. 4 del Regolamento UE 2016/679 che, non trovando risposta definitiva nei giudici della corte amministrativa federale tedesca, dopo l’annullamento – nell’ottobre del 2013 – della decisione impugnata, era stata rimessa all’autorità della Corte di Giustizia.

E arriviamo ai giorni nostri

Nel formulare la propria risoluzione del caso la Corte di Giustizia si è basata sulla Direttiva 95/46 – definizione ripresa nella sostanza anche dal Regolamento UE 679/2016 – secondo cui il titolare del trattamento è definito come il soggetto che determina le finalità, le modalità e le misure di sicurezza relative al trattamento dei dati personali.

Applicando tale principio alla fattispecie in esame emerge che, se da un lato è vero che

“tali trattamenti di dati personali mirano segnatamente, da un lato, a consentire a Facebook di migliorare il proprio sistema di pubblicità che esso diffonde attraverso il suo network e, dall’altro, a consentire all’amministratore della fanpage di ottenere statistiche stabilite da Facebook a partire dalle visite di tale pagina, a fini di gestione della promozione della propria attività, consentendogli di conoscere, ad esempio, il profilo dei visitatori che apprezzano la sua fanpage o che utilizzano le sue applicazioni, affinché esso possa proporre loro un contenuto più pertinente e sviluppare funzionalità che possano interessarli in maggior misura”

è altrettanto vero che

“l’amministratore di una fanpage presente su Facebook, mediante la creazione di una siffatta pagina, offre a Facebook la possibilità di posizionare cookie sul computer o su qualsiasi altro dispositivo della persona che ha visitato la sua fanpage, indipendentemente dal fatto che tale persona possieda o meno un profilo Facebook”. Ulteriore aspetto da considerare è che “la creazione di una fanpage su Facebook implica da parte del suo amministratore un’azione d’impostazione dei parametri in base, segnatamente, al suo pubblico destinatario nonché agli obiettivi di gestione o di promozione delle sue attività, che influisce sul trattamento di dati personali ai fini della creazione di statistiche stabilite a partire dalle visite della fanpage. Tale amministratore può, tramite filtri messi a disposizione da Facebook, definire i criteri a partire dai quali si devono stabilire tali statistiche e designare perfino le categorie di persone i cui dati personali saranno oggetto di utilizzo da parte di Facebook”.

Alla luce di quanto detto è dunque evidente che “l’amministratore di una fanpage presente su Facebook contribuisce al trattamento dei dati personali dei visitatori della sua pagina”.

Si tratta in definitiva di una titolarità congiunta quella riconosciuta dalla Corte di Giustizia a Facebook e all’amministratore della fanpage. Un riconoscimento che “contribuisce a garantire una più completa tutela dei diritti di cui godono le persone che visitano una fanpage” sebbene – è necessario evidenziare – “l’esistenza di una contitolarità non si traduce necessariamente in una responsabilità equivalente dei diversi operatori nell’ambito del trattamento dei dati personali”. Il grado di responsabilità dei vari attori coinvolti nel processo deve essere infatti valutato tenendo conto di tutte le circostanze rilevanti del caso di specie.

In materia, il Regolamento Europeo 2016/679 disciplina la contitolarità del trattamento all’art. 26 in cui prevede che, laddove siano presenti due o più titolari del trattamento questi determino “in modo trasparente, mediante un accordo interno, le rispettive responsabilità in merito all’osservanza degli obblighi derivanti dal presente regolamento, con particolare riguardo all’esercizio dei diritti dell’interessato, e le rispettive funzioni di comunicazione delle informazioni di cui agli articoli 13 e 14 (…)” accordo che deve riflettere i rispettivi ruoli e i rapporti dei contitolari con l’interessato. È fondamentale, poi, ai sensi della norma, che il contenuto essenziale dell’accordo sia messo a disposizione dell’interessato.

Quest’ultimo, poi, indipendentemente dalle disposizioni dell’accordo succitato, può esercitare i propri diritti ai sensi del presente regolamento nei confronti di e contro ciascun titolare del trattamento.

La sentenza sopra citata offre lo spunto per ribadire l’importanza – nell’ambito della gestione di una pagina social – di valutare quali siano i soggetti realmente coinvolti e quali finalità e mezzi implichi il trattamento. Il caso tedesco insegna che il ruolo di titolare del trattamento e le conseguenti responsabilità non siano di esclusiva competenza del proprietario della piattaforma ma gravano anche sui soggetti che, a qualsiasi titolo, traggano un beneficio dallo stesso trattamento anche se i dati analizzati sono trattati in forma anonima.

Cosa fare, dunque, per essere compliant al Regolamento Europeo 2016/679?
Rendere all’interessato un’informativa, magari inserendo apposito link nella fanpage, in cui si dà atto all’interessato (con profilo Facebook o meno), dei trattamenti svolti sui propri dati personali anche mediante l’installazione di un cookie. Auspicabile a questo scopo la collaborazione di Facebook.