di Gabriella Lax - Il gestore di un sito Internet che inserisce il plugin di un terzo, come il pulsante "mi piace" su Facebook, il quale determina la raccolta e la trasmissione dei dati personali degli utenti, è corresponsabile di tale fase del trattamento dei dati. Queste le conclusioni dell'avvocato generale Michal Bobek proposte alla Corte di giustizia dell'Unione europea, come riporta un comunicato dello stesso organo.
Corte Ue, like su Facebook e privacy
Dunque, secondo le conclusioni dell'avvocato generale che, ricordiamo, non vincolano la Corte di giustizia Ue, il gestore del sito internet deve fornire agli utenti le informazioni minime richieste riguardo alle operazioni di trattamento dei dati e, se necessario, ottenere il loro consenso prima della raccolta e del trasferimento dei dati.Nel caso di specie, Fashion ID (società tedesca che commercializza articoli di moda online), ha inserito un plugin nel suo sito internet: il pulsante «Like» di Facebook. Di conseguenza, quando un utente entra nel sito internet della Fashion ID, le informazioni relative all'indirizzo IP e alla stringa del browser di tale utente sono trasferite a Facebook. Detto trasferimento avviene automaticamente quando si apre il sito Internet della Fashion ID, indipendentemente dal fatto che l'utente abbia cliccato il pulsante «Like» e abbia o meno un account Facebook. Da qui i motivi dell'azione inibitoria partita dalla Verbraucherzentrale NRW, associazione tedesca per la tutela dei consumatori, contro la Fashion ID. Secondo l'associazione di consumatori l'uso del pulsante «Like» di Facebook comporta la violazione della normativa sulla protezione dei dati. Investito della causa, l'Oberlandesgericht Düsseldorf (Tribunale superiore del Land, Düsseldorf, Germania) chiede l'interpretazione di varie disposizioni della precedente direttiva sulla protezione dei dati del 1995 1 (che rimane applicabile alla causa in esame, ma è stata sostituita dal nuovo regolamento generale sulla protezione dei dati del 2016 2 con effetto a decorrere dal 25 maggio 2018).
Secondo l'avvocato generale, la Corte, in primis, dovrebbe dichiarare che la direttiva non osta a una normativa nazionale che riconosce ad associazioni senza scopo di lucro la legittimazione ad avviare un procedimento giudiziario nei confronti del presunto autore di una violazione della normativa in materia di protezione dei dati, al fine di tutelare gli interessi dei consumatori. Ed ancora, la Corte dichiarare dovrebbe dichiarare che, ai sensi della direttiva sulla protezione dei dati, il gestore di un sito Internet (come la Fashion ID), che abbia inserito nel proprio sito Internet il plugin di un terzo (come il pulsante «Like» di Facebook), il quale determina la raccolta e la trasmissione di dati personali dell'utente, è considerato corresponsabile del trattamento, assieme a detto terzo (nella fattispecie la Facebook Ireland). La responsabilità (congiunta) del responsabile del trattamento dovrebbe essere limitata alle operazioni per le quali esso codecide effettivamente in merito agli strumenti e alle finalità del trattamento dei dati persona. Salvo verifica da parte del giudice del rinvio, sembra che sia la Facebook Ireland che la Fashion ID abbiano volontariamente determinato la fase di raccolta e di trasmissione del trattamento dei dati e, sebbene non vi sia identità, sussiste unità di intenti: esiste uno scopo commerciale e pubblicitario (la decisione della Fashion ID di inserire il pulsante «Like» di Facebook nel proprio sito Internet sembra ispirata dall'intento di aumentare la visibilità dei suoi prodotti attraverso il social network).
Corte Ue, interessi legittimi controbilanciati dai diritti degli utenti internet
Pertanto, riguardo alla fase di raccolta e di trasmissione nell'ambito del trattamento dei dati, la Fashion ID agisce come responsabile del trattamento e la sua responsabilità, in tal senso, è congiunta con quella della Facebook Ireland. Per quanto riguarda la legittimità del trattamento di dati personali in mancanza del consenso dell'utente del sito Internet 3, secondo l'avvocato generale siffatto trattamento è lecito ai sensi della direttiva, in particolare qualora siano soddisfatte tre condizioni cumulative: in primo luogo, il perseguimento dell'interesse legittimo del responsabile del trattamento oppure del terzo o dei terzi cui vengono comunicati i dati; in secondo luogo, la necessità del trattamento dei dati personali per il perseguimento dell'interesse legittimo e, in terzo luogo, la condizione che non prevalgano i diritti e le libertà fondamentali della persona interessata dalla tutela dei dati. La proposta dell'avvocato alla Corte è quella di dichiarare che gli interessi legittimi di entrambi i corresponsabili in questione (la Fashion ID e la Facebook Ireland) devono essere tenuti in considerazione e controbilanciati dai diritti degli utenti del sito Internet. L'avvocato generale propone inoltre di dichiarare che il consenso dell'utente del sito Internet, se necessario, deve essere prestato al gestore del sito Internet (la Fashion ID) che abbia inserito i contenuti di un terzo. Del pari, l'obbligo di fornire all'utente del sito Internet le informazioni minime richieste grava sul gestore del sito Internet.