Corte di giustizia, 29 luglio 2019, causa C‑40/17, Fashion ID c. Verbraucherzentrale
Il gestore di un sito Internet il quale inserisce in un sito un plug-in social che consente al browser del visitatore del medesimo sito di richiamare contenuti del fornitore del plug-in in parola e di trasferire in tal modo a detto fornitore dati personali del visitatore, può essere considerato responsabile del trattamento, ai sensi dell’art. 2, lett. d), della direttiva 95/46. Tale responsabilità è tuttavia limitata all’operazione o all’insieme delle operazioni di trattamento dei dati personali di cui determina effettivamente le finalità e gli strumenti, vale a dire la raccolta e la comunicazione mediante trasmissione dei dati di cui trattasi
Sommario: 1 – Introduzione. 2 – Tasto “Like” e lo spettro degli shadow user. 3 – Le questioni pregiudiziali. 4 – Sulla corresponsabilità. 5 – Sul consenso e l’informativa . 6 – Tasto “Like” e profilazione alla luce del GDPR
- Introduzione
La condivisione di terze parti in una pagina web, così come viene definito un c.d. social plugin come il tasto “Like” di Facebook, rappresenta una sorta di cellula costitutiva del web nella sua attuale evoluzione. I cc.dd. plug-in di terze parti sono infatti strumenti che hanno segnato la fortuna di quello che fino a qualche anno addietro veniva definito il web 2.0. Si pensi ad esempio ai video integrati nelle pagine del web attraverso il c.d. codice embed. Ovvero contenuti che sono generati, conservati e archiviati in un database centrale, per poi essere veicolati, attraverso alcune stringhe di codice, nelle pagine più periferiche della rete, senza che le stesse abbiano necessariamente le effettive capacità tecniche per ospitarli come contenuti natii. Grazie a tali codici, la “coda lunga”[1] della rete, vale a dire ogni nicchia di un potenziale mercato, viene intercettata e monetizzata attraverso banner pubblicitari coincidenti con ciò che davvero interessa ai singoli utenti.
Ecco dunque che la Corte di giustizia, seguendo sostanzialmente le Conclusioni dall’Avvocato generale, lascia emergere alcune delle criticità che caratterizzano il rapporto tra privacy e le attività di behavioural advertising[2], quest’ultime sempre più attente ad ogni comportamento dell’utente e capaci di raggiungerlo e tracciarlo in ogni pagina in cui compare il tasto “Like”.
In tale ottica, la sentenza ha il pregio di aggiungere un tassello ulteriore alla definizione di data controller. Il caso si colloca infatti in quel recente filone giurisprudenziale della Corte di giustizia che interpreta in maniera estensiva ed evolutiva tale figura, al fine di garantire una sempre più efficace tutela dei dati personali.
A partire dalla nota sentenza c.d. Google Spain[3] la giurisprudenza eurounitaria è infatti stata mossa dall’intento di «garantire, mediante un’ampia definizione della nozione di “responsabile”, una tutela efficace e completa delle persone interessate»[4]. Seguendo tale approccio, i tratti distintivi della corresponsabilità sono stati più di recente riconosciuti anche tra la stessa Facebook e il titolare di una fanpage ospitata all’interno dello stesso social network[5], nonché tra un’organizzazione religiosa e i suoi consociati[6].
Tali reiterati interventi giurisprudenziali sono del resto conseguenza delle poche disposizioni riconducibili alla corresponsabilità dei data controller.
La direttiva 95/46/CE si limitava infatti a definire come responsabile «la persona fisica o giuridica, l’autorità pubblica, il servizio o qualsiasi altro organismo che, da solo o insieme ad altri, determina le finalità e gli strumenti del trattamento di dati personali»[7]. È soltanto con il nuovo Regolamento (UE) 2016/679[8] in materia di circolazione e tutela dei dati personali che la nozione ha trovato una più attenta disciplina nell’ambito della figura del c.d. Contitolare del trattamento ex art. 26 del GDPR stesso[9].
La sentenza prova dunque a delineare le differenti responsabilità che insistono su più corresponsabili coinvolti in un medesimo trattamento. Riconoscendo come tali responsabilità – e con esse i conseguenti obblighi informativi e di ottenimento del consenso – possono essere variamente ponderate a seconda del caso di specie.
- Tasto “Like” e lo spettro degli shadow profiles
Nel dibattito intorno al tasto “Like” occorre registrare un primo precedente emerso ancora in Germania. In quella circostanza la questione non era assurta sino alla Corte di giustizia, ma aveva comunque destato un certo scalpore. L’autorità per la protezione dei dati dello Schleswig-Holstein aveva infatti ordinato ai gestori di siti web del lander di chiudere le proprie fanpage Facebook, nonché di rimuovere il pulsante “Like” di Facebook dai propri siti istituzionali; comminando altresì una sanzione alla stessa Facebook. In tale circostanza l’Autorità aveva asserito come il tasto “Like” avrebbe potuto creare dei veri e propri profili ombra anche per quegli utenti non iscritti al social network. Si così è aperto un dibattito che è stato poi oggetto negli anni anche di mediatiche interrogazioni parlamentari al Congresso USA[10] e al Parlamento europeo[11].
A fronte di questioni ancora attuali e sempre più trasversali, Il funzionamento del tasto “Like” appare prima facie piuttosto lineare.
Come sintetizzato nella ricostruzione dei fatti della sentenza: «[I]l browser comunica al server del fornitore esterno l’indirizzo IP del computer di detto visitatore, nonché I dati tecnici del browser, affinché il server possa stabilire in quale formato il contenuto debba essere inviato a tale indirizzo. Il browser trasmette inoltre informazioni sul contenuto richiesto»[12]. I suddetti dati vengono direttamente comunicati alla terza parte senza che vi sia controllo alcuno da parte di chi ha pubblicato la pagina: «[I]l gestore di un sito internet che propone un contenuto esterno inserendolo in tale sito non può verificare i dati che il browser trasmette e nemmeno l’impiego che ne fa il fornitore esterno, in particolare, se decida di archiviarli e di utilizzarli»[13].
Sicché quando un utente preme tasto “Like” in una qualsiasi pagina del web, esso comunica non soltanto con la pagina in cui il contenuto si trova, ma anche con Facebook stessa. Quest’ultima difatti registra l’avvenuta preferenza, mostrandola poi – attraverso criteri da essa stessa definiti – ai contatti dell’utente potenzialmente interessati a quel medesimo contenuto[14]. E tuttavia, anche quando l’utente non preme il tasto “Like”, il browser dell’utente comunica con Facebook per il solo fatto che l’utente abbia visitato il sito che incorpora il plug-in.
Si aggiunga che Facebook al solo passaggio dell’utente nella pagina ospitante il tasto “Like” rilascia i suoi cookie “tr” (di durata permanente) e “fr” (di durata di 100 giorni)[15] al fine di registrare l’attività dell’utente per scopi pubblicitari.
Non solo. Il dialogo tra Facebook e l’utente sussiste altresì nei casi in cui, come si accennava, l’utente non è neppure iscritto al social network.
In base a tale struttura, i flussi comunicativi tra un utente e Facebook si rinnovano ogni qual volta nel browser dell’utente compare il plug-in. Questo sedime di tracce, reiterato nel tempo, può certamente portare a ottenere ad una profilazione altamente definita. Si tratta, infatti, di un insieme sterminato di dati personali e metadati che, come sottolineato dalla Corte di giustizia in altra circostanza: «presi nel loro complesso, possono permettere di trarre conclusioni molto precise riguardo alla vita privata delle persone i cui dati sono stati conservati, come le abitudini quotidiane, i luoghi di soggiorno permanente o temporaneo, gli spostamenti giornalieri e non, le attività svolte, le relazioni sociali di queste persone e gli ambienti sociali da esse frequentati»[16].
- Le questioni pregiudiziali
Prima di procedere oltre nell’analisi, occorre una breve quanto scontata precisazione terminologica. Come noto, il soggetto designato come “responsabile del trattamento” nella vigenza della direttiva 95/46/CE coincide, a seguito dell’adozione del GDPR, con il titolare del trattamento ex art. 4, par. 1, n. 7, GDPR, non già con il responsabile del trattamento ex art. 4, par. 1, n. 8, GDPR che costituisce invece figura delegata dal titolare[17]. Alla luce di ciò, le considerazioni svolte dalla Corte di giustizia nel caso di specie possono essere trasposte pressoché de plano anche alle nuove categorie definite dal GDPR le quali riprendono per larghi tratti quelle già individuate dal precedente assetto, specie in termini definitori[18].
Entrando nel merito della vicenda, vale sottolineare come l’associazione Verbraucherzentrale NRW, avente come finalità la tutela dei consumatori, ha promosso un procedimento giudiziario nei confronti di Fashion ID’s per obbligarla a porre fine all’inserimento del tasto “Like” di Facebook. Secondo quanto sostenuto dalla ricorrente, infatti, la convenuta non avrebbe correttamente adempiuto gli obblighi informativi in merito alla finalità e alle modalità del trattamento, con il conseguente mancato ottenimento di un consenso preventivo ed informato da parte dell’utente.
Il Tribunale superiore del Land Düsseldorf ha sottoposto dunque alla Corte di giustizia alcune questioni pregiudiziali. La prima vertente sulla legittimazione della richiamata associazione per i consumatori ad agire in materia di privacy. Le altre sono invece volte a comprendere se la pagina ospitante il tasto “Like” si possa qualificare o meno come data controller ai sensi dell’art. 2, lett. d) della direttiva 95/46 CE anche nel caso in cui la stessa pagina non possa incidere sulle concrete modalità di funzionamento del plug-in. Conseguenzialmente, un’altra complementare domanda ha ad oggetto l’esatta individuazione dei soggetti obbligati ad ottenere un consenso informato da parte degli utenti ai sensi degli artt. 7, lett. a), 2, lett. h), e 10 della direttiva 96/46/CE.
- Sulla corresponsabilità
Chiariti alcuni aspetti procedurali circa la piena legittimazione ad agire di un’Associazione portatrice di interessi esponenziali dei consumatori anche in materia di privacy[19], la Corte si è poi soffermata sul quesito al centro della vicenda: «in caso di contenuti di terzi inseriti in un sito Internet, chi è responsabile e di cosa esattamente»? [20]. La risposta a tale quesito passa necessariamente dalla possibilità di qualificare o meno il sito web ospitante un plug-in generato da terzi come data controller.
Sul punto, vale anzitutto ricordare come ai sensi dell’art. 2 della direttiva 95/46/CE (e ora ai sensi dell’art. 4. par. 1, n. 7, GDPR) la definizione di data controller ammette la possibilità che le finalità e gli strumenti di un determinato trattamento vengano determinati anche «insieme ad altri». Tale situazione di responsabilità congiunta è però ammessa nella misura in cui tra due o più soggetti sussista «identità di finalità e di strumenti del trattamento dei dati personali» o di una fase di esso[21]. La Corte muove dunque le proprie argomentazioni dalla pacifica possibilità che un determinato trattamento o alcune sue fasi possano essere svolte congiuntamente da più data controller purché ne condividano presupposti e finalità[22].
La corresponsabilità del trattamento non si traduce però nella parificazione delle responsabilità per i diversi data controller. Come la Corte ha avuto modo di sottolineare in altre circostanze, «tali operatori possono essere coinvolti in fasi diverse di tale trattamento e a diversi livelli, di modo che il grado di responsabilità di ciascuno di essi deve essere valutato tenendo conto di tutte le circostanze rilevanti del caso di specie». Una responsabilità congiunta, infatti, «non implica necessariamente una responsabilità equivalente»[23].
L’intervento simultaneo di più data controller in un medesimo trattamento, inoltre, non comporta che gli stessi possano avere invariabilmente un pieno accesso ai dati personali degli interessati. Siffatti privilegi d’accesso possono invero diversamente modularsi a seconda delle fasi del singolo trattamento[24], precedenti o successive l’une dalle altre[25]. Detto altrimenti, «un trattamento di dati personali può essere costituito da una o più operazioni, ciascuna delle quali riguarda una delle diverse fasi nelle quali si può articolare un trattamento di dati personali»[26].
Nel caso del plug in rappresentato dal tasto “Like”, i dati raccolti dalla pagina ospitante, ancorché da quest’ultima non conosciuti, vengono poi inoltrati a Facebook. La raccolta e la trasmissione sono dunque le fasi di trattamento per cui la Fashion ID è stata ritenuta a tutti gli effetti un data controller.
Ciò che rileva sul punto è la possibilità per la pagina ospitante di determinare, insieme a Facebook, i presupposti e le finalità del trattamento dei dati dei visitatori della pagina per le fasi di raccolta e trasmissione dei dati.
In tal senso, l’accettazione del plug-in da parte della pagina ospitante comporta, seguendo le argomentazioni della Corte, un’adesione implicita alla raccolta e alla trasmissione dei dati, al fine di poter trarre quei benefici pubblicitari possibili grazie alla visibilità ottenuta con l’utilizzo dal tasto “Like”.
La pagina ospitante e Facebook hanno dunque un intento simile, correlato alla loro reciproca attività economica[27]. Chiare le parole dell’Avvocato generale sul punto: «nonostante il fatto che l’uso commerciale specifico dei dati può non essere lo stesso, in generale, sia la convenuta che la Facebook Ireland sembrano perseguire complessivamente scopi commerciali secondo modalità tali da risultare reciprocamente complementari. In tal modo, sebbene non vi sia identità, sussiste unità di intenti: esiste uno scopo commerciale e pubblicitario».
D’altro canto, e spostando l’analisi alle fasi successive del trattamento, Facebook utilizza il tasto “Like” per estendere e migliorare costantemente le capacità della propria rete pubblicitaria. Per ogni aspetto successivo alla raccolta e alla trasmissione la responsabilità è dunque tutta in capo a Facebook, la quale è l’unica ad avere una piena disponibilità dei trattamenti. Di contro, la responsabilità della pagina ospitante il plug-in non si estende a tali fasi: «risulta escluso, a prima vista, che la Fashion ID determini le finalità e gli strumenti delle successive operazioni di trattamento di dati personali, effettuate dalla Facebook Ireland dopo la loro trasmissione a quest’ultima, cosicché la Fashion ID non può essere considerata responsabile di tali operazioni»[28].
- Sul consenso e l’informativa
Chiariti gli aspetti della corresponsabilità, occorre ora capire chi debba informare gli utenti e ottenere il consenso e per quali finalità.
Sulla base delle premesse di cui supra la Corte, seguendo le argomentazioni dell’Avvocato generale, ha avuto gioco facile nel sostenere che spetta alla pagina ospitante ottenere un consenso informato[29] per quanto concerne le fasi di raccolta e di trasmissione dei dati degli utenti.
Il trattamento dei dati si perfeziona, infatti, ogniqualvolta la pagina Internet viene effettivamente visitata. E un consenso eventualmente successivo, per di più ottenuto dal solo secondo corresponsabile, non sarebbe conforme «a una tutela efficace e tempestiva dei diritti delle persone interessate»[30].
Conclusioni identiche, e non poteva che essere altrimenti, vengono tratte per quanto concerne gli obblighi informativi[31]. Le informazioni relative al trattamento o ad alcune sue fasi devono infatti essere fornite al momento in cui dati vengono concretamente raccolti[32]. La pagina ospitante il plug-in ha dunque l’obbligo di informare il visitatore dei presupposti e delle finalità dei trattamenti in questione, ancorché limitatamente alle sole fasi di raccolta e trasmissione[33].
- Tasto “Like” e profilazione alla luce del GDPR
Come anticipato, la sentenza si colloca nel costante dibattito relativo al bilanciamento tra privacy e profilazione degli utenti per fini pubblicitari. Dibattito che negli ultimi anni, anche grazie all’entrata in vigore del GDPR., ha assunto una nuova centralità. Il cambio di paradigma è stato infatti di assoluto rilievo. Basti pensare che nella precedente direttiva la parola profilazione non veniva mai menzionata; mentre nel GDPR essa compare per ben 22 volte[34].
Ma ciò che più conta è l’esistenza di una definizione di profilazione. Intesa come: «qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica»[35].
Il tasto “Like” al pari di molti altri contenuti di terze parti è dunque uno strumento di profilazione dalla vasta portata capace di costituire un network dalle potenzialità pressoché illimitate, di cui il social network e le sue pagine interne rappresentano soltanto una minima parte.
Una rete così concepita rappresenta inoltre il principale canale di apprendimento dell’intelligenza artificiale promossa dai grande colosso del web. Il permanente feedback loop ottenuto dalle interazioni fra gli utenti, i produttori di contenuti, e i fornitori di pubblicità online genera infatti una vera e propria conoscenza collettiva, che alimenta ad ogni secondo i pochi cervelloni capaci di accogliere e leggere un flusso così sconfinato di informazioni.
Ben si comprendono allora le premure delle Corte nel delineare le diverse responsabilità in capo ai soggetti coinvolti in tali trattamenti.
Le conclusioni della Corte, peraltro, potrebbero astrattamente trovare applicazione in tutti quei casi in cui una c.d. “terza parte” sia in grado di dialogare con i browser degli utenti. Sicché la sentenza «implicazioni che vanno ben oltre il caso di specie»[36].
La questione non è di poco conto e potrebbe trovare non facili ostacoli proprio in ragione delle previsioni introdotte con il GDPR. Con riferimento all’informativa e al consenso, infatti, stando agli approdi della sentenza in commento, le pagine ospitanti il plug-in, pur non avendo il controllo dei dati, devono ottenere un consenso informato per le fasi di raccolta e trasmissione dei dati nonché, traslando il reasoning all’attuale quadro di riferimento, adottare un c.d. accordo di contitolarità ex art. 26, parr. 1 e 2, GDPR .
Nel dettaglio i contitolari «determinano in modo trasparente, mediante un accordo interno, le rispettive responsabilità …, con particolare riguardo all’esercizio dei diritti dell’interessato, e le rispettive funzioni di comunicazione delle informazioni di cui agli articoli 13 e 14»[37]. Tale accordo «riflette adeguatamente i rispettivi ruoli e i rapporti dei contitolari con gli interessati». Inoltre, «il contenuto essenziale dell’accordo è messo a disposizione dell’interessato»[38].
All’atto pratico però la questione non è di facile soluzione. Ad oggi, infatti, per inserire contenuti di terze parti in qualsiasi pagina web è sufficiente copiare ed incollare poche stringhe di codice nel codice html della pagina ospitante. Subordinare un tale processo al raggiungimento di un accordo può allora potenzialmente minare molti dei processi ormai consolidati nello sviluppo della rete.
Ma vi è di più. Nell’attuale scenario legislativo, l’interessato «può esercitare i propri diritti ai sensi del presente regolamento nei confronti di e contro ciascun titolare del trattamento»[39].
Interessanti sul punto alcuni chiarimenti prospettati dall’Avvocato generale, che, sebbene non siano stati espressamente ripresi dalla Corte di giustizia, sembrerebbero essere sostanzialmente avallati. L’Avvocato generale ha infatti avuto modo di soffermarsi sul soggetto cui spetta evadere gli obblighi relativi al diritto di accesso e di rettifica circa i dati raccolti e poi trasmessi. Tali obblighi, non potendo essere evasi dalla pagina ospitante che, come visto, non conosce il contenuto dei dati, devono necessariamente ricadere nella responsabilità della terza parte. Vale a dire Facebook: «se responsabilità congiunta significa responsabilità per l’operazione (o le operazioni) per cui sussiste l’unità di finalità e di strumenti tra i responsabili del trattamento, logicamente gli altri obblighi conseguenti previsti dalla direttiva, come quelli riguardanti il consenso, l’informazione, l’accesso o la rettifica dovrebbero corrispondere alla portata di tale obbligo originario»[40]. La soluzione per quanto apparentemente scontata sembra però ancora una volta stridere con quella sorta di obbligazione in solido che sembrerebbe essere prevista dall’articolo 26, par. 3, del GDPR in caso di contitolarità: «l’interessato può esercitare i propri diritti […] nei confronti di e contro ciascun titolare del trattamento».
[1] C. Anderson, The long Tail: Why the Future of Business is Selling Less of More, New York, 2006,
[2] Per farsi un’idea di un dibattito ormai risalente si veda M. Hildebrandt, S. Gutwirth, Profiling the European Citizen, Heidelberg, 2008.
[3] V. CGUE, C-131/12 (2014), § 65; si veda da ultimo O. Pollicino, L’”autunno caldo” della Corte di giustizia in tema di tutela dei diritti fondamentali in rete e le sfide del costituzionalismo alle prese con I nuovi poteri private in ambito digitale, in Federalismi.it 19, 2019, 2 ss.
[4] V. in tal senso CGUE, C-25/17, Jehovan todistajat (2018), § 66.
[5] V. la sentenza CGUE, C-210/16, Wirtschaftsakademie Schleswig-Holstein (2018) in cui la Corte ha affermato che «si deve ritenere che l’amministratore di una fanpage presente su Facebook, quale la Wirtschaftsakademie, partecipa, attraverso la propria azione d’impostazione dei parametri, in funzione, segnatamente, del suo pubblico destinatario nonché di obiettivi di gestione o promozione delle sue attività, alla determinazione delle finalità e degli strumenti del trattamento dei dati personali dei visitatori della sua fanpage. Pertanto, tale amministratore deve essere, nella fattispecie, qualificato come responsabile di tale trattamento, all’interno dell’Unione, assieme alla Facebook Ireland, ai sensi dell’articolo 2, lettera d), della direttiva 95/46». Per un commento alla sentenza richiamata v. G. M. Riccio, Titolarità e contitolarità dei dati personali alla luce della decisione della Corte di giustizia sulle fanpage di Facebook, in questa Rivista, 3, 2018, 252 ss. Cfr. altresì Jehovan todistajat, cit., § 69.
[6] Si veda il caso Jehovan todistajat, cit., in cui una comunità religiosa che è stata ritenuta corresponsabile del trattamento per i dati raccolti dai suoi consociati nell’ambito dell’attività di proselitismo, nonostante la stessa comunità religiosa non avesse apparentemente accesso ai dati in questione. In tale causa erano i singoli membri della comunità dei Testimoni di Geova ad essere fisicamente in possesso dei dati personali. Purtuttavia la Corte ha ritenuto sufficiente che l’attività di predicazione, nel corso della quale i dati personali venivano apparentemente raccolti, fosse organizzata, coordinata e incoraggiata da tale comunità. V. altresì §§ 66 e 94 delle Conclusioni dell’Avvocato generale, caso in commento, § 66 e § 70 della sentenza in commento, nonché § 66, Wirtschaftsakademie Schleswig-Holstein, cit.
[7] V. art. 2, lett. d). Sulla sostanziale continuità delle categorie tra la direttiva 95/46/CE e il Regolamento (UE) 2016/679 si veda ex plurimis P. Passaglia, Privacy e nuove tecnologie, un rapporto difficile. Il caso emblematico dei social media tra regole generali e ricerca di una specificità, in Consulta online, 3, 2016, 7.
[8] Nel seguito per brevità, “GDPR”.
[9] A mente dell’art. 26 del GDPR «[A]llorché due o più titolari del trattamento determinano congiuntamente le finalità e i mezzi del trattamento, essi sono contitolari del trattamento». V. ex plurimis M Bassini, Data Controller: A Shifting Paradigm in the Digital Age, in Bocconi Legal Papers, 13, 2019, 103 ss.; E. Pelino, I soggetti del trattamento, in L. Bolognini, E. Pelino, C. Bistolfi (a cura di), Il regolamento privacy europeo, Milano, 2016, 133 ss.; L. Greco, I ruoli: titolare e responsabile, in G. Finocchiaro (a cura di), Il nuovo Regolamento europeo sulla privacy e sulla protezione dei dati personali, Bologna, 2017, 251 ss. M. L. Salvati, Art. 26, in G. M Riccio, G. Scorza, E. Belisario (a cura di), GDPR e normativa privacy, Padova, 2018, 258 ss; S. Zipponi, Art. 26, in L. Bolognini, E. Pelino (a cura di), Codice della disciplina privacy, Milano, 2019, 206 ss.
[10] Dell’11 aprile 2018, le cui risposte possono trovarsi in forma estesa online.
[11] Del 24 maggio 2018, reperibile online.
[12] V. § 26 della sentenza in commento.
[13] Ibidem.
[14] Per chi ha elementi basici di informatica è sufficiente richiamare le brevi stringhe di codice html da inserire in qualsiasi pagina web per poter generare il tasto mi piace: <div class=”fb-like” data-href=”https://developers.Facebook.com/docs/plug-ins/” data-width=”” data-layout=”standard” data-action=like data-size=”small” data-show-faces=”true” data-share=”true”></div>, dove il comando “data-href” sta ad indicare la pagina con cui dialoga il tasto in questione, Facebook per l’appunto.
[15] V. § 17, Conclusioni dell’Avvocato generale, cit.
[16] V. CGUE, cause riunite C‑293/12 e C‑594/12, Digital Rights Ireland e Seitlinger e a., § 27.
[17] Questo mutamento terminologico ha riguardato unicamente la tradizione italiana della direttiva 95/46/CE e del GDPR, mentre nella versione inglese si continua a parlare di “data controller”.
[18] Art. 2, c. 1, lett. d), direttiva 95/46/CE: «“responsabile del trattamento”: la persona fisica o giuridica, l’autorità pubblica, il servizio o qualsiasi altro organismo che, da solo o insieme ad altri, determina le finalità e gli strumenti del trattamento di dati personali. Quando le finalità e i mezzi del trattamento sono determinati da disposizioni legislative o regolamentari nazionali o comunitarie, il responsabile del trattamento o i criteri specifici per la sua designazione possono essere fissati dal diritto nazionale o comunitario».
[19] Con la prima questione, il giudice del rinvio richiede se ai sensi degli artt. da 22 a 24 della direttiva 95/46/CE l’associazione Verbraucherzentrale NRW, ente esponenziale degli interessi dei consumatori, sia legittimata ad agire in giudizio a tutela di una lamentata violazione privacy. Preliminarmente la Corte rileva che non deriva dalla direttiva alcun obbligo per gli Stati Membri di introdurre nel proprio ordinamento la legittimazione per le associazioni esponenziali degli interessi dei consumatori ad agire in giudizio per far valere la normativa privacy (v. § 47). Purtuttavia, la Corte ritiene che un siffatto obbligo trovi fondamento nella disposizione di cui all’art. 288, par. 3, TFUE. Ossia il margine di discrezionalità di cui godono Stati Membri nell’attuare una direttiva trova un suo limite nella necessità di conseguire comunque il risultato di fondo della direttiva stessa (in tal senso, al § 49, si cita anche una consolidata giurisprudenza in merito: sentenze del 6 ottobre 2010, C‑389/08, Base e a., §§ 24 e 25, nonché del 22 febbraio 2018, C‑103/16, Porras Guisado, § 57.) E pertanto, risulta coerente all’obiettivo della direttiva 95/46/CE di garantire una tutela efficace e completa con riguardo al trattamento dei dati personali (v. anche Google Spain), una normativa come quella tedesca che prevede la legittimazione ad agire per le associazioni nei termini di cui sopra. Viceversa, la Corte non ha accolto quanto eccepito da Fashion ID e Facebook. Ossia che gli enti esponenziali non sarebbero legittimati ad agire in quanto la direttiva, operando un’armonizzazione a riguardo, ai sensi degli artt. 22, 23 e 28 legittimerebbe ad agire solamente le persone interessate e le autorità di controllo della protezione dei dati. A parere della Corte le disposizioni della direttiva in tema di agire giudiziario sono contraddistinte dal carattere di generalità, non recando indicazioni sull’iter procedimentale. Né a parere della Corte, infine, la legittimazione ad agire in capo alle stesse autorità di controllo ne pregiudicherebbe l’esistenza (v. § 60).
[20] V. § 53, Conclusioni dell’Avvocato generale, cit.
[21] Ivi, § 100, nonché § 70 della sentenza in commento. V. altresì CGUE, Wirtschaftsakademie Schleswig-Holstein, cit., § 29.
[22] CGUE, Wirtschaftsakademie Schleswig-Holstein, cit., §§ 26-27. La Corte segue dunque l’approccio che già era stato suggerito dall’ex WP 29 nell’Opinion 1/2010 sui concetti di “responsabile del trattamento” e “incaricato del trattamento” del 16 febbraio 2010. A mente dell’ex WP 29 infatti «si è in presenza di una situazione di contitolarità quando varie parti determinano, per specifici trattamenti, o la finalità o quegli aspetti fondamentali degli strumenti che caratterizzano il titolare del trattamento». Lo stesso WP29 nel delineare i connotati della c.d. contitolarità asimmetrica afferma che «nel contesto della contitolarità, comunque, la partecipazione delle parti alla determinazione congiunta può assumere varie forme e non deve essere necessariamente ripartita in modo uguale. In effetti, quando vi è una pluralità di attori, questi possono avere una relazione molto stretta (condividendo, ad esempio, tutte le finalità e tutti gli strumenti di un trattamento) o più distante (condividendo ad esempio solo le finalità o i mezzi, o una parte di essi)» (cfr. p. 20). Del resto nell’Opinion richiamata il gruppo ex WP29 aveva annoverato anche la Pubblicità comportamentale tra gli esempi in cui potrebbe sussistere una corresponsabilità tra diversi soggetti. Nel dettaglio «A seconda delle condizioni di collaborazione fra l’editore e il fornitore di reti pubblicitarie (ad es. il fatto che l’editore consento o meno il trasferimento dei dati verso il fornitore di reti pubblicitarie, anche ridirigendo l’utente sulla pagina web di quest’ultimo) essi possono essere corresponsabili per l’insieme di trattamenti sottesi alla pubblicità comportamentale».
[23] V. §§ 66 e 94, Conclusioni dell’Avvocato generale, cit., nonché GGUE, § 66 e § 70 della sentenza in commento, e Jehovan todistajat, cit., § 66, e Wirtschaftsakademie Schleswig-Holstein, cit., § 66.
[24] V. CGUE, Jehovan todistajat, cit., § 69, nonchè Wirtschaftsakademie Schleswig-Holstein, cit., § 39.
[25] V. § 101, Conclusioni dell’Avvocato generale, cit., nonché § 74 della sentenza in commento.
[26] § 72 della sentenza in commento.
[27] §§ 80-85 della sentenza in commento.
[28] § 76 della sentenza in commento.
[29] Ex artt. 2, lett. h) e 7, lett. a) della direttiva 95/46/CE.
[30] § 132, Conclusioni dell’Avvocato generale, cit.
[31] Ex art. 10 della direttiva 95/46/CE, a mente del quale «Gli Stati membri dispongono che il responsabile del trattamento, o il suo rappresentante, debba fornire alla persona presso la quale effettua la raccolta dei dati che la riguardano almeno le informazioni elencate qui di seguito, a meno che tale persona ne sia già informata: a) l’identità del responsabile del trattamento ed eventualmente del suo rappresentante; b) le finalità del trattamento cui sono destinati i dati; c) ulteriori informazioni riguardanti quanto segue: i destinatari o le categorie di destinatari dei dati, se rispondere alle domande è obbligatorio o volontario, nonché le possibili conseguenze di una mancata risposta, se esistono diritti di accesso ai dati e di rettifica in merito ai dati che la riguardano nella misura in cui, in considerazione delle specifiche circostanze in cui i dati vengono raccolti, tali informazioni siano necessarie per effettuare un trattamento leale nei confronto della persona interessata».
[32] § 104 della sentenza in commento, che rimanda al caso CGUE, C‑553/07, Rijkeboer (2009), § 68, e a C‑473/12, IPI (2013), § 23.
[33] § 105 della sentenza in commento, e § 133, Conclusioni dell’Avvocato generale, cit.
[34] La sola attività di profilazione è, poi, sufficiente ad estendere in ambito extra-UE l’applicazione del GDPR. Parimenti, tale attività costituisce, ex art. 35, par. 3, lett. a), GDPR, uno dei casi in cui la valutazione d’impatto è qualificata come obbligatoria. Per quanto concerne, inoltre, gli obblighi informativi, a mente dell’art. 14, par. 2, lett. g) GDPR (rubricato “Informazioni da fornire qualora i dati personali non siano stati ottenuti presso l’interessato”), il titolare del trattamento è altresì tenuto a «fornire all’interessato l’esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all’articolo 22, par. 1 e 4, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato». Infine, è altresì interessante considerare come la profilazione riceva venga espressamente menzionata più volte nell’art. 21 GDPR., dedicato al diritto di opposizione. Per una panoramica si veda F. Pizzetti, La protezione dei dati personali e la sfida dell’Intelligenza Artificiale, in F. Pizzetti (a cura di), Intelligenza Artificiale, protezione dei dati personali e regolazione, Torino, 2018, 5 ss.; I. Destri, A. M. Lotto, La profilazione, in G. Cassano, V. Colarocco, G.B. Gallus, F.P. Micozzi (a cura di), Il processo di adeguamento al GDPR, Milano, 2018, 131 ss.; G. De Gregorio, R. Torino, Privacy, tutela dei dati personali e big data, in E. Tosi (a cura di) Privacy digitale, Milano, 2019, 447 ss.; M. Siano, L. Montuori, Evoluzione del concetto di consenso informato nel mondo digitale e transizione del marketing tradizionale alle attuali sfide della profilazione, in G. Busia, L. Liguria, O. Pollicino (a cura di), Le nuove frontiere della privacy nelle tecnologie digitali, Roma, 2016, 125 ss.; sia altresì consentito rimandare alle conclusioni del volume O. Pollicino, V. Lubello, M. Bassini (a cura di), Identità ed eredità digitali. Stato dell’arte e possibili soluzioni al servizio del cittadino, Roma, 2016, 141 ss.
[35] Art. 4, n. 4, GDPR; nozione che va poi letta in combinato disposto con il considerando 24 della direttiva il quale afferma che per «Per stabilire se un’attività di trattamento sia assimilabile al controllo del comportamento dell’interessato, è opportuno verificare se le persone fisiche sono tracciate su internet, compreso l’eventuale ricorso successivo a tecniche di trattamento dei dati personali che consistono nella profilazione della persona fisica, in particolare per adottare decisioni che la riguardano o analizzarne o prevederne le preferenze, i comportamenti e le posizioni personali».
[36] Così l’Avvocato generale Michal Bobek nell’introdurre le questioni alla Corte di giustizia, § 52.
[37] Art. 26, par. 1 GDPR.
[38] Art. 26, par. 2, GDPR.
[39] Art. 26, par. 3, GDPR.
[40] § 136 della sentenza in commento.