Cosa comporta avere il pulsante “Mi piace” del Social Network Facebook all’interno di un sito web che si occupa di e-commerce?

La Corte di Giustizia, nella causa C-40/17, ha stabilito che l'uso del pulsante “Mi piace”, che indirizza le preferenze sui social network, non esime i rivenditori online dall'applicazione della normativa in tema di protezione dei dati personali degli utenti, che li considera quali responsabili del trattamento in solido.

La Fashion ID, rivenditore di abbigliamento online, (d'ora in poi rivenditore) aveva incorporato nel proprio sito web il plug-in “Mi piace” del social network Facebook, e conseguentemente aveva trasmesso al server di Facebook alcuni dati personali dei visitatori, indipendentemente dalla loro interazione con tale plug-in e dal fatto che tali soggetti erano degli iscritti o meno al social network. L'associazione tedesca di pubblica utilità per la tutela degli interessi dei consumatori (Verbraucherzentrale NRW), contestava al rivenditore di aver trasmesso alla Facebook Ireland i dati personali dei visitatori del suo sito Internet, da un lato, senza il consenso di questi ultimi e, dall'altro, in violazione degli obblighi d'informazione (informative privacy) previsti dalle disposizioni in tema di privacy.

Il Tribunale superiore del Land di Düsseldorf, (Germania) investito della controversia chiede alla Corte di giustizia d'interpretare le disposizioni della direttiva 95/46 CE in tema di protezione dei dati personali; il caso risale, infatti, ad un periodo antecedente l'adozione della normativa europea attuale del Regolamento n. 679 del 2016 - GDPR). In particolare, la Verbraucherzentrale NRW ha contestato al gestore dell'e-commerce di agire quale titolare del trattamento nella raccolta e trasmissione di tali dati personali alla piattaforma social, senza fornire al visitatore una preventiva informativa seguita dal relativo consenso. Al parziale accoglimento delle richieste in primo grado, ha fatto seguito il ricorso del rivenditore dinanzi al giudice del rinvio, il quale ha deciso di sospendere il procedimento e di sottoporre alla Corte di Giustizia dei quesiti specifici in tema di protezione dei dati personali.

Il primo quesito è se un'associazione di categoria per la tutela dei consumatori è legittimata ad agire in giudizio per la tutela dei relativi dati personali. Il secondo quesito è se l'operatore di un sito web che incorpori un plug-in social che trasmette dati personali al gestore del social network è da considerarsi titolare o contitolare di tal trattamento.

Il rivenditore, infine, chiede quale sia la base giuridica da porre a fondamento dei trattamenti nel caso in cui sia confermata la titolarità dei trattamenti in capo al proprietario del sito web.

Che valenza ha il “mi piace” di Facebook incorporato su un sito di e-commerce? Quale base di legittimità soggiace al trattamento dei dati personali nel caso analizzato?

La Corte di giustizia dell'Unione europea in applicazione della Direttiva 95/46 oggi abrogata, i cui principi si trovano confermati dal Regolamento europeo 2016/679, nella causa C-40/17, ha stabilito che il gestore di un sito Internet corredato del pulsante «Mi piace» di Facebook può essere configurato congiuntamente responsabile con Facebook della raccolta e della trasmissione dei dati personalidei visitatori del suo sito, anche se non può essere considerato responsabile del trattamento successivo di tali dati effettuato esclusivamente da Facebook.

In riferimento al primo quesito proposto dal rivenditore, la Corte dichiara che la Direttiva 95/46 non osta alla previsione di una normativa nazionale che permette alle associazioni per la tutela dei consumatori di agire o resistere in giudizi volti a stabilire responsabilità in materia di protezione dei dati personali (si ricorda che il Regolamento generale sulla protezione dei dati personali prevede, altresì, la possibilità estesa a tutti gli organismi del terzo settore.

Il giudice del riesame attribuisce al proprietario di un sito web che incorpori un plug-in social, la titolarità del trattamento rispetto ad alcune delle operazioni effettuate tramite plug-in: la raccolta e la trasmissione dei dati personali dei visitatori al social network, ciò anche in mancanza di un effettivo accesso ai dati trasmessi. Infatti, in relazione a tali trattamenti si individuano in capo al rivenditore autonome finalità di trattamento, in particolare: ottimizzare la pubblicità dei suoi prodotti rendendoli più visibili sul social e beneficiare del vantaggio commerciale che consiste nell'aumentare la pubblicità dei suoi beni. In riferimento alla definizione di titolare del trattamento, è il gestore del sito web a determinare nel plug-in lo strumento idoneo al raggiungimento delle predette finalità, esercitando un'influenza decisiva sulla raccolta e la trasmissione dei dati dei propri visitatori.

Secondo la Corte, il rivenditore pare non configurarsi quale responsabile delle operazioni di trattamento di dati effettuate dalla Facebook Ireland dopo la loro trasmissione a quest'ultima. Infatti, risulta escluso, da un lato, che il rivenditore determini le finalità e gli strumenti di tali operazioni. Dall'altro lato, quest'ultimo può essere considerato responsabile, congiuntamente con la Facebook Ireland, delle operazioni di raccolta e di comunicazione mediante trasmissione dei dati di cui trattasi, dal momento che si può concludere che il rivenditore e la Facebook Ireland ne determinano, congiuntamente, i motivi e le finalità. Pare in particolare che l'inserimento da parte del rivenditore del pulsante «Mi piace» di Facebook nel suo sito Internet gli consenta di ottimizzare la pubblicità per i suoi prodotti rendendoli più visibili sul social network Facebook quando un visitatore del suo sito Internet clicca su detto pulsante. È al fine di poter beneficiare di tale vantaggio commerciale che la Fashion ID sembra aver espresso il consenso, quantomeno implicitamente, alla raccolta e alla comunicazione mediante trasmissione dei dati personali dei visitatori del suo sito.

Quindi, tali operazioni di trattamento risultano essere state effettuate nell'interesse economico tanto del rivenditore quanto della Facebook Ireland, per la quale il fatto di poter disporre di tali dati ai propri fini commerciali costituisce la contropartita del vantaggio offerto alla Fashion ID. La Corte evidenzia che il gestore di un sito web (come quello del rivenditore), quale (cor)responsabile di talune operazioni di trattamento di dati dei visitatori del suo sito, come la raccolta dei dati e la loro trasmissione alla Facebook Ireland, deve fornire, al momento della raccolta, talune informazioni a tali visitatori, come, ad esempio, i propri riferimenti all'interno delle informative (come le indicazioni del Titolare del trattamento, le finalità del trattamento ecc.). Si tratta, quindi dell'informativa privacy presupposto indispensabile per ottenere un consenso libero, specifico ed informato.

La Corte fornisce, da ultimo, delle precisazioni in merito alle basi di legittimità del trattamento, previste dalla direttiva. Pertanto, per quanto riguarda il caso in cui la persona interessata abbia manifestato il proprio consenso, la Corte decide che il gestore di un sito Internet come il rivenditore è tenuto a ottenere tale consenso preventivamente (soltanto) per le operazioni di cui è (cor)responsabile, vale a dire la raccolta e la trasmissione. Per quanto riguarda i casi in cui il trattamento dei dati sia necessario alla realizzazione di un interesse legittimo, la Corte ha stabilito che ciascuno dei cor(responsabili) del trattamento, vale a dire il gestore del sito Internet e il fornitore del plug-in social, deve perseguire, con la raccolta e la trasmissione dei dati personali, un interesse legittimo affinché tali operazioni siano giustificate.

Le aziende non paiono tuttora consapevoli dei potenziali rischi, e quindi delle sanzioni, dell'essere ritenute responsabili in solido con i social network e con le Big Company per i dati personali che condividono incorporando il plug-in social, come il pulsante “Mi piace” di Facebook, sul loro sito web.

Ci si domanda quale possa essere l'applicazione che consenta, in concreto, di informare il soggetto interessato e acquisirne il consenso, considerando che la raccolta e la trasmissione dei dati avvengono al momento dell'atterraggio del visitatore sul sito web “incriminato” indipendentemente dall'interazione che lo stesso possa avere con il plug-in.

Ci si chiede, inoltre, se è possibile attribuire ai gestori di siti web tale adempimento o, in applicazione del principio di “privacy by design e by default” introdotto dal Regolamento europeo, dovrebbe essere implementata direttamente dai social network una soluzione tecnica ad hoc.