La recente decisione della Corte di Giustizia europea sul caso Fashion ID (case 40-17) porta a numerosi interrogativi su come conformarsi alle norme vigenti in materia di protezione dei dati personali.

In breve, Fashion ID è un rivenditore di abbigliamento tedesco che incorpora (embed) sul suo sito un plugin di Facebook (Like). Ciò comporta che quando il visitatore visualizza (sul suo browser) la pagina contenente il plugin di Facebook, il browser del visitatore avvia una comunicazione con i server della terza parte (Facebook Ireland) per poter visualizzare correttamente il plugin stesso. Quindi già alla visita del sito (anche senza cliccare sul plugin) i server di Facebook ricevono una serie di informazioni sul visitatore che possono essere utilizzate per finalità che sono del tutto indipendenti dallo scopo del visitatore (es. acquisto del prodotto) e dello stesso sito visitato (vendita del prodotto).

L’associazione dei consumatori Verbraucherzentrale NRW porta in giudizio Fashion ID sostenendo che vi è una violazione dei diritti dei visitatori del sito perché non vi era una richiesta di consenso né un’informativa che spiegava che i dati sono comunicati a Facebook.

Nel procedimento giudiziario vengono parzialmente accolte le richieste dell’associazione dei consumatori. Fashion ID impugna il provvedimento sostenendo che il tribunale erra nel ritenere Fashion ID titolare del trattamento in quanto Fashion ID non ha alcuna influenza sul trattamento dei dati da parte di Facebook e non ha nemmeno informazioni su quale tipo di trattamento opera Facebook su quei dati.
La corte tedesca decide di inviare gli atti alla Corte di Giustizia europea.

La decisione della CJEU

Occorre premettere che il caso è del 2017, quando non era ancora entrato in applicazione il regolamento europeo (GDPR). Per cui si applica la direttiva precedente, anche se non vi sono particolari differenze normative.

Innanzitutto la Corte sostiene (qui il provvedimento in inglese – non risulta tradotto in italiano –) che, se da un lato la direttiva del ‘95 non obbliga gli Stati a prevedere delle norme interne che consentano alle associazioni dei consumatori di tutelare i diritti dei cittadini in procedimenti legali, questo non comporta che neghi tale possibilità. Anzi, una normativa interna che consenta alle associazioni dei consumatori di avviare un procedimento legale contro chi viola i diritti di cittadini aumenta la tutela dei cittadini stessi, e quindi deve ritenersi del tutto compatibile con la direttiva.

Di seguito la Corte afferma che il titolare del trattamento (data controller) è definito in maniera ampia nella direttiva, e quindi non è soltanto colui il quale decide delle finalità e dei mezzi del trattamento, ma anche chi decide solo parzialmente di finalità e mezzi. Inoltre, precisa la Corte, anche un caso di titolarità congiunta (joint controller) non implica una ripartizione di responsabilità uguale e in particolare non implica che tutti i titolari abbiano accesso a tutti i dati. Al contrario, i titolari congiunti possono essere coinvolti in differenti stadi di trattamento, con la conseguenza che le loro responsabilità devono essere valutate in base alle sole parti del trattamento che li riguarda.

Per capirci, il gestore del sito (nei provvedimenti talvolta lo trovate anche indicato come “publisher”) si comporta da titolare del trattamento con riferimento ai trattamenti di “raccolta” e “comunicazione” dei dati ("collection and disclosure by transmission of the data") alla terza parte (Facebook Ireland), per cui la sua responsabilità è limitata a questi due trattamenti. Ovviamente Facebook Ireland è responsabile quale titolare dei trattamenti che afferiscono alle sue attività. In tal senso entrambe le parti sono titolari, congiunti nello specifico perché i trattamenti sono interconnessi (senza la raccolta e comunicazione non potrebbero avvenire i trattamenti da parte di Facebook). Fashion ID, infatti, per fini commerciali (l’uso del plugin consente di aumentare la pubblicità dei suoi prodotti) incorpora i plugin di Facebook permettendo a quest’ultima di operare trattamenti propri, compreso quello di inviare pubblicità personalizzata sulla base del comportamento dei visitatori dei sito web, e compreso il comportamento sul sito di Fashion ID.

La Corte rimarca il fatto che tramite il sito vengono raccolti e comunicati dati che possono anche non riguardare soggetti iscritti a Facebook, così in tal modo il sito web collabora ad allargare la quantità delle persone che Facebook “traccia”. In questo senso la responsabilità di Fashion ID è maggiore (sempre con riferimento ai suoi trattamenti).

...a website, such as that of Fashion ID, is visited both by those who are members of the social network Facebook, and who therefore have an account on that social network, and by those who do not have one. In that latter case, the responsibility of the operator of a website, such as Fashion ID, for the processing of the personal data of those persons appears to be even greater, as the mere consultation of such a website featuring the Facebook ‘Like’ button appears to trigger the processing of their personal data by Facebook Ireland

Ulteriormente la Corte precisa che nel caso specifico non è utilizzabile come base giuridica il legittimo interesse del titolare, in quanto i dati comunicati a Facebook non si limitano ad informazioni conservate nel dispositivo (computer) e quindi, ai sensi dell’art. 5(3) della direttiva, andava chiesto il consenso. Non si tratta di cookie tecnici, se vogliamo dirla diversamente.

La Corte rimarca, inoltre, che entrambi i titolari congiunti avrebbero dovuto avere un legittimo interesse. Cosa che comunque risulterebbe difficile per Facebook, in special modo visto che i dati riguardano anche persone non iscritte a Facebook e che quindi non hanno alcun collegamento con l’azienda.

In ultimo la Corte si occupa della questione del consenso. È indubitabile che dal fatto che il gestore del sito assume il ruolo dei titolare del trattamento, con riferimento alle sole operazione per le quali stabilisce (insieme a Facebook) le finalità e i mezzi, ne discende che è il gestore del sito a dover raccogliere il consenso. Ovviamente tale consenso sarà relativo alle sole operazioni che il gestore del sito pone in essere, e cioè la raccolta e la comunicazione alla terza parte. Collegato a questo obbligo vi è l’ulteriore onere di informare correttamente il visitatore prima che venga raccolto il consenso. Anche l’informazione è correlata alle sole operazioni che pone in essere il gestore del sito.

Alcune considerazioni

Appare abbastanza ovvio che la Corte di Giustizia allarghi il concetto di titolare del trattamento, di per sé già definito in maniera ampia. Il caso è diverso rispetto al caso Wirtschaftsakademie dove la Corte giungeva alla conclusione che il gestore di una pagina fan su Facebook è titolare (congiunto) del trattamento perché sostanzialmente può vedere i dati. Tutte le decisioni sono prese da Facebook, compreso i mezzi, ma l’amministratore della pagina ha la possibilità di vedere le statistiche sugli utenti. In tal modo ha un effetto sull'elaborazione operata da Facebook e contribuisce alla determinazione degli scopi e dei mezzi.

Leggi anche >> Chi amministra le pagine fan di Facebook è responsabile del trattamento dei dati dei visitatori?

Invece, con questa sentenza, qualsiasi soggetto che può influenzare in qualche modo un trattamento (lo rende possibile) finisce per esserne titolare e quindi responsabile (nel senso che ne risponde giuridicamente, da non confondere col “responsabile” del trattamento).

Il problema principale sta nel fatto che nell’economia digitale non è facile attribuire correttamente i ruoli, a differenza dell’economia reale dove la distinzione è immediata. Un normale business non digitale, infatti, distingue chiaramente tra titolare, colui che decide le operazioni, e gli altri soggetti che operano elaborazioni congiuntamente al titolare o in autonomia. Nell’ambiente digitale, invece, specialmente con la nascita e lo sviluppo di piattaforme di elaborazione in cloud, le relazioni tra i soggetti sono molto più complesse. È abbastanza normale, infatti, che il titolare si serva di piattaforme esterne per ridurre i costi, ma che la piattaforma, una volta ottenuti i dati, operi elaborazioni del tutto separate rispetto al titolare, per alimentare il suo proprio business. È che utilizzi altri fornitori a sua volta. È chiaro che qui andiamo ben oltre la figura del “processor” (responsabile del trattamento in Italia), il quale invece è vincolato alle istruzioni (e quindi anche alle finalità) del titolare.

Ormai la quasi totalità dei servizi software comporta da un lato una centralizzazione delle operazioni su piattaforme esterne, dall’altro la decentralizzazione delle decisioni, perché appunto le finalità (e i mezzi) non sono più decise dal titolare, ma più soggetti cooperano alla decisione, oppure stabiliscono finalità del tutto indipendenti gli uni dagli altri. Molti di questi flussi, inoltre, non sono affatto trasparenti, e il tutto appare in ovvia torsione col principio di trasparenza del GDPR.

Sotto questo profilo sembrerebbe che il regolamento europeo sia per lo più un’evoluzione della precedente direttiva, e che non mirasse espressamente a regolamentare i rapporti tra soggetti dell'ambiente digitale, quanto piuttosto il legislatore avesse in mente il modello di gestione dell’ambiente non digitale. Non vi sono, infatti, criteri chiari per distinguere i ruoli nella complessità dell’ambiente digitale, con servizi e decisioni che si soprappongono senza alcun continuità.

Le decisioni sui “mezzi” (es. quale software, quale hardware...) sono sempre più spesso delegate ad un terzo. Il titolare si limita a firmare un contratto di fornitura di servizi. In questi casi decisioni essenziali sono prese direttamente dal fornitore del servizio, come ad esempio la selezione dei dati da raccogliere e trattare (anche dati che al titolare non servono), i tempi di conservazione, il luogo di conservazione (i dati di un servizio cloud potrebbero essere spostati al di fuori dello spazio SEE anche se il titolare non ne è conoscenza), ecc...

La giurisprudenza della Corte europea ci dice che stabilire se un soggetto è titolare del trattamento deve essere deciso nel concreto, analizzando effettivamente ciò che fa, e che nel complesso del trattamenti può anche accadere che alcune decisioni siano delegate a terze parti. La ripartizione delle decisioni non deve necessariamente essere equa, per cui può ben accadere che un soggetto si limiti a decidere solo con riferimento ad uno dei tanti trattamenti operati. In tal senso quel soggetto può assumere il ruolo di titolare (autonomo o congiunto a seconda dei casi) con riferimento al singolo trattamento, indipendentemente dal fatto che sia un singolo privato a confronto con una grande azienda multinazionale. È ovvio, però, che le sue responsabilità saranno limitate ai soli trattamenti per i quali decide mezzi e/o finalità. Anche il fatto che poi il soggetto non abbia accesso ai dati non inficia in alcun modo il suo ruolo di titolare di quel trattamento.

Le parti sono libere di stabilire contrattualmente le rispettive responsabilità, fermo restando che le norme assegnano all’interessato il diritto di rivolgersi a qualsiasi delle parti in causa, indipendentemente dalla ripartizione contrattuale.

Certamente si pone un problema nel momento in cui uno dei soggetti ha una forza contrattuale maggiore dell’altra. È piuttosto difficile che un privato che utilizzi un plugin Facebook possa imporre una sua ripartizione delle responsabilità a Facebook. Accadrà, invece, che avremo degli accordi di ripartizione fissati dalla grande azienda e non negoziabili. Si dirà che il gestore del sito può sempre scegliere di non utilizzare lo strumento della grande azienda. Ma tale scelta non appare veramente libera dato che alcune grandi aziende si trovano in una situazione di semimonopolio. Cioè, se qualcuno vuole fare business e quindi vuole essere trovato online, giocoforza deve accettare gli accordi proposti dalla grande azienda a pena di scomparire del tutto.

Cosa accade, quindi, se il contitolare non coopera, e non si riesce a raggiungere un accordo? Non esistono criteri per risolvere una situazione del genere, come del resto non esistono criteri nemmeno per stabilire la ripartizione delle responsabilità tra i contitolari. Non sono identificate le responsabilità minime da rispettare. Vi è un generale criterio di “responsabilità solidale” che potrebbe andare a vantaggio della multinazionale del web. La Corte europea sostiene in maniera anche piuttosto chiara che il gestore di un sito può essere multato per il semplice fatto di aver utilizzato dei sistemi che non risultano conformi alle norme (ribadiamo che qui stiamo parlando di titolarità congiunta e non di designazione di responsabili esterni).

L’avvocato generale nel suo parere puntualizzava che assegnando una responsabilità agli attori economici più piccoli, questo potrebbe portare a una presa di coscienza e quindi a richiedere ai grandi attori economici una maggiore protezione dei dati, così determinando una catena positiva di conformità alle norme. Nella pratica c'è il rischio che si avrà l’effetto opposto, e cioè che i grandi attori riusciranno più facilmente a scaricare sulle spalle dei piccoli parte delle loro responsabilità.

Le conseguenze pratiche

La decisione si limita alla valutazione sulla ripartizione dei ruoli e del consenso. Difficile estrapolare altro. Ciò che si può dire è che la responsabilità è limitata alle fasi per le quali i titolari condividono scopi e/o mezzi e quindi per il gestore del sito va limitata a dette fasi soltanto.

Il gestore del sito dovrà, quindi, oltre a gestire i cookie correttamente, chiedendo il consenso preventivo, informare che i dati saranno raccolti e comunicati a Facebook Ireland. Anche l'informazione sarà limitata ai trattamenti operati dal gestore del sito.

Per quanto riguarda le responsabilità è ovvio che nel confronto col gigante dei social il privato avrebbe delle sanzioni minime, ma il gestore del sito può essere multato per aver utilizzato i plugin di Facebook senza una corretta informazione o gestione.

Infine, occorre considerare che il medesimo criterio di ripartizione potrebbe doversi applicare in tutti i casi in cui un sito utilizzi servizi di terze parti e relativi cookie, quando il terzo stabilisce proprie finalità e/o mezzi.

Conclusioni

L’incertezza normativa che regnava in materia con la precedente direttiva non pare affatto scalfita dall’ingresso del GDPR. Inoltre, nonostante parecchia enfasi, non sembra che il GDPR sia stato realmente concepito avendo in mente le problematiche delle nuove tecnologie, quanto piuttosto appare una elaborazione della vecchia normativa con limitate modifiche adeguative alle nuove realtà. Ciò che occorrerebbe è una ripartizione sostanziale delle responsabilità nei casi di titolarità congiunta e definizioni più chiare in modo che sia più semplice identificare i ruoli in Internet, dove i sistemi e le piattaforme si intrecciano tra loro creando dei flussi di dati opachi e difficili da inquadrare correttamente nei vari ruoli.

Immagine in anteprima via PixaBay