È di pochi giorni fa la sentenza della Corte di Giustizia dell’Unione europea (caso C-210-16) che si occupa della responsabilità degli amministratori di fanpage su Facebook.

Occorre premettere che la sentenza applica la normativa derivante dalla direttiva del '95, ma in sostanza il ragionamento seguito dalla Corte sarebbe stato sostanzialmente analogo applicando il regolamento europeo (GDPR) che ha sostituito la suddetta direttiva.

Dal comunicato stampa della Corte (qui quello del Garante tedesco) ricaviamo quanto segue:

L’amministratore di una fanpage su Facebook è responsabile assieme a Facebook del trattamento dei dati dei visitatori della sua pagina.
L’autorità per la protezione dei dati dello Stato membro in cui tale amministratore ha la propria sede può agire, in forza della direttiva 95/461, sia nei confronti di quest’ultimo sia nei confronti della filiale di Facebook stabilita in tale medesimo Stato.

La traduzione italiana del comunicato (e della stessa sentenza), però, genera alcuni dubbi dovuti ai termini utilizzati per i ruoli dei soggetti del trattamento. Infatti, si legge che l’amministratore di una fanpage è “responsabile”. Inoltre nella sentenza si utilizza più volte il termine “responsabile”. Se nel comunicato possiamo anche intendere “responsabile” nel senso che ne risponde insieme a Facebook, nella sentenza appare ovvio che si utilizza la traduzione italiana dei termini della direttiva precedente, e cioè “responsabile” e “incaricato” per intendere rispettivamente il “controller” e il “processor”.

Con l’applicazione del GDPR, invece, più correttamente il Garante ha stabilito che la traduzione di “controller” è “titolare”, e quella di “processor” è “responsabile” (art. 4 GDPR). Basta confrontare la definizione contenuta nel nuovo regolamento con quella riportata nella sentenza in italiano per capire che si tratta degli stessi soggetti.

Chiarito questo aspetto, essenziale per comprendere la questione, analizziamo brevemente cosa dice la sentenza.

Il Garante per il Land Schleswig-Holstein in Germania, intimava alla società Wirtschaftsakademie di disattivare una fanpage presente su Facebook, in considerazione del fatto che tramite la pagina venivano raccolti dati, mediante cookie, dei visitatori della pagina, e che in particolare le fanpage sono aperte anche a visitatori non iscritti al social network. I dati in questione erano trattati a mezzo di Facebook. La società impugnava il provvedimento, e il procedimento veniva sospeso in attesa di un chiarimento della Corte europea.

Il punto essenziale è di stabilire se la normativa in materia di protezione dei dati personali consente di ritenere “responsabile” (nel senso che ne risponde) del trattamento dei dati anche l’amministratore di una fanpage su Facebook, in caso di violazione delle relative norme. Nello specifico, infatti, non vi era alcuna informativa e raccolta di consensi.

La direttiva europea, infatti, definisce il “responsabile del trattamento” (data controller nella versione inglese e quindi titolare con riferimento al GDPR) in maniera ampia, come colui che, da solo o insieme ad altri, determina le finalità e gli strumenti del trattamento di dati personali. Nel caso specifico Facebook è sicuramente “titolare” del trattamento, in quanto determina le finalità e gli strumenti del trattamento delle persone che visitano la fanpage. Ma l’amministratore della fanpage decide di avvalersi dello strumento fanpage per diffondere la propria offerta di informazioni. Tale persona, infatti, stipula un contratto con Facebook Ireland all’apertura della fanpage, aderendo alle condizioni contrattuali, incluso l’utilizzo dei cookie e il relativo trattamento dei dati. In particolare, l’amministratore offre a Facebook la possibilità di posizionare cookie sui dispositivi dei visitatori, anche a quelli che non possiedono un profilo Facebook.

Già il posizionamento dei cookie determina la necessità di conformarsi alle norme, ma l’amministratore della fanpage riceve (tramite Facebook Insights in base ad impostazioni non modificabili) anche dati demografici relativi al suo pubblico, in particolare sul sesso, età, situazione sentimentale e professionale, informazioni sullo stile di vita e sugli interessi, sugli acquisti e i comportamenti di acquisto online, categorie di prodotti ed altro. È vero che i dati che riceve l’amministratore sono sostanzialmente dati aggregati (quindi anonimi), ma i dati raccolti, invece, sono dati identificativi che comunque Facebook utilizza per altri fini.

In conclusione, l’amministratore di una fanpage partecipa alla determinazione delle finalità e delle modalità del trattamento dei dati, e in tal senso diventa contitolare del trattamento dei dati, insieme a Facebook, e quindi ne risponde in caso di violazioni. Nel caso specifico gli utenti non erano stati informati dell’uso dei cookie e del conseguente trattamento dei dati a fini anche di profilazione.

Il fatto che poi il trattamento materiale dei dati sia delegato a Facebook non muta i termini del problema. I contitolari possono, infatti, avere diversi gradi di coinvolgimento nel trattamento, per cui il grado di responsabilità va valutato nel concreto e può essere differente. Anche se, non dimentichiamolo, in casi del genere l'interessato può rivolgersi indifferentemente ad entrambi i contitolari. Ovviamente rimane la difficoltà per gli amministratori delle fanpage di conformare il trattamento alle norme, informando correttamente gli utenti della pagina e eventualmente anche richiedendo il consenso.

Dal punto di vista pratico, come suggerisce Cristina Vicarelli, sarebbe utile che Facebook realizzi degli accordi con gli amministratori delle fanpage, fissando gli ambiti di responsabilità e i compiti, anche mettendo a disposizione strumenti per limitare il trattamento dei dati e per conformare la fanpage alla normativa. Più o meno come fa già da tempo Google con Analytics, consentendo di anonimizzare i dati già al momento della raccolta e di impedire l’incrocio con gli altri servizi di Google (quindi la profilazione). In questo modo, l’amministratore della fanpage rimarrebbe titolare del trattamento che però sarebbe molto meno invasivo, e Facebook regredirebbe a mero “processor”, elaborando i dati per conto del titolare. Limitando la raccolta a dati aggregati a fini esclusivamente di statistica, non occorrerebbe il consenso, ma solo informare correttamente gli utenti.

Il punto da tenere presente è che ogni qual volta vi è un trattamento di dati occorre informare gli utenti e se del caso ottenerne il consenso preventivo (tranne i casi di esenzione). La normativa, e in particolare il GDPR, ha proprio tale scopo di impedire i trattamenti non trasparenti. Nel caso specifico, infatti, un visitatore di una fanpage, considerato che può essere anche non iscritto a Facebook, non necessariamente sarà a conoscenza del fatto che i suoi dati sono raccolti e utilizzati da Facebook per finalità anche completamente differenti da quelle che ci si aspetta dall'amministratore della fanpage stessa.

Foto in anteprima via Pixabay