Dalla Corte di Giustizia dell’UE arriva un importante chiarimento relativo al trattamento dei dati personali degli utenti su Facebook. Secondo la Corte, infatti, l’amministratore di una pagina Facebook è “titolare del trattamento” dei dati personali degli utenti che la visitano insieme a Facebook ed è soggetto pertanto ai relativi obblighi di legge. La Corte ha avuto modo di affermare questo principio con la sentenza del 5 giugno 2018 (causa C-210/16), nella controversia insorta tra l’Autorità Regionale tedesca per la protezione dei dati personali e una società tedesca attiva nel settore della formazione.
Il caso aveva avuto origine nel 2011 con l’ordine di disattivazione della pagina Facebook della società da parte dell’Autorità, che aveva rilevato un trattamento dei dati degli utenti a mezzo di cookie in assenza di informativa agli utenti, sia da parte di Facebook, che da parte della società. La società replicava di non aver svolto alcun trattamento di dati personali, affermando la piena e sola responsabilità di Facebook che, a suo dire, avrebbe svolto un trattamento dei dati indipendente ed estraneo al controllo della società. La questione se l’amministratore di una pagina Facebook possa essere considerato “titolare del trattamento” ai sensi della normativa sulla protezione dei dati personali, con le conseguenze che ne derivano, è stata quindi rimessa da parte della Corte amministrativa federale tedesca alla Corte di Giustizia.
Ma chi è il “titolare del trattamento” ai sensi della normativa applicabile ratione temporisal caso sottoposto al vaglio della Corte di Giustizia? L’ora abrogata direttiva “madre” (dir. 95/46/CE) lo definiva come il soggetto che determina le finalità e gli strumenti del trattamento dei dati personali (definizione che oggi il Reg. UE 679/2016, “GDPR”, riprende sostanzialmente immutata). Ed è proprio nella definizione della direttiva madre che la Corte di Giustizia ha ravvisato una titolarità del trattamento in capo all’amministratore della pagina Facebook. La società tedesca amministratrice della pagina, come accade per tutti coloro che abbiano su Facebook una pagina dedicata, aveva infatti facoltà di richiedere al social networki dati anonimizzati dei visitatori della pagina, al fine di poter generare statistiche di consumo in base alle visualizzazioni e poter così prendere decisioni di carattere commerciale riguardanti eventi, promozioni, o semplicemente offrire informazioni più precise agli utenti. A parere della Corte di Giustizia, se l’amministratore della pagina è in grado di determinare nella maniera descritta le finalità del trattamento e i mezzi attraverso i quali tale trattamento viene svolto, può essere considerato un titolare del trattamento.
La Corte ha tuttavia riconosciuto una contitolarità del trattamento in capo alla società amministratrice della pagina e alla stessa Facebook, dal momento che quest’ultima determina in via principale le finalità e i mezzi del trattamento dei dati sulla propria piattaforma, puntualizzando anche che in caso di contitolarità la responsabilità non è equamente suddivisa tra i contitolari in maniera automatica, ma va determinata caso per caso. La contitolarità del trattamento è oggi disciplinata da una specifica norma del GDPR (art. 26), la quale prevede che i contitolari determinino in maniera trasparente, con un accordo interno, le rispettive responsabilità.
Tutti i soggetti che hanno una pagina Facebook o su altri social networke rientrano nel campo di applicazione della normativa sulla protezione dei dati personali dovranno quindi valutare se stiano effettuando un trattamento dei dati personali in contitolarità con il social networke regolare il rapporto con il proprio contitolare, a maggior ragione a seguito del principio stabilito dalla Corte di Giustizia. Tuttavia, di fronte a situazioni come quella sottoposta alla Corte, oggi più che mai comuni, in cui un operatore economico medio-piccolo si trova a condividere la titolarità del trattamento dei dati personali con un over the top, è difficile immaginare un’applicazione fedele della norma del GDPR sulla contitolarità. È molto probabile infatti che il potere contrattuale dei colossi del web e la serializzazione di fatto di questo tipo di rapporti daranno luogo ad “accordi” di contitolarità non negoziabili dagli operatori, quindi di fatto imposti dall’over the topdi turno.