PLUGIN DI TERZI NEL PROPRIO SITO? CO-RESPONSABILITÀ NEL TRATTAMENTO DEI DATI PERSONALI
Una persona che abbia inserito un plugin di terzi nel proprio sito internet, inserimento che determina la raccolta e la trasmissione di dati personali dell’utente, è considerata responsabile del trattamento ai sensi dell’articolo 2, lettera d) della direttiva 95/46. Tuttavia, tale responsabilità del responsabile del trattamento è limitata alle operazioni per le quali esso codecide effettivamente sugli strumenti e sulle finalità del trattamento dei dati personali
Causa C-40/17
Nel caso di specie, una società che commercializzava articoli di moda online aveva inserito un plugin nel suo sito internet, il pulsante “Like” di Facebook. Pertanto, nel caso in cui un utente entrava nel loro sito internet le informazioni riguardanti l’indirizzo IP e alla stringa del browser di tale utente veniva trasferita a Facebook; tale trasferimento avveniva in automatico all’apertura del sito, a prescindere dal fatto che l’utente avesse o meno premuto sul tasto “like” o avesse un account Facebook.
L’associazione tedesca per la tutela dei consumatori aveva intrapreso un’azione inibitoria nei confronti di tale società in quanto detto plugin comportava la violazione della normativa sulla protezione dei dati, in quanto la società non avrebbe adeguatamente informato gli utenti della propria pagina in merito alla finalità della raccolta e dell’impiego dei dati prima che il soggetto offerente il plugin iniziasse ad avere accesso all’indirizzo IP dell’utente.
Il Tribunale Tedesco si era pronunciato a sfavore della società convenuta che per tale motivo aveva proposto ricorso al Tribunale superiore, il quale aveva deciso di sottoporre alla Corte diverse questioni pregiudiziali riguardanti la direttiva 95/46/CE del Parlamento europeo e del Consiglio inerente alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati.
Il giudice del rinvio chiede se la direttiva 95/46/CE osti ad una norma nazionale che permetta alle associazioni per la tutela degli interessi dei consumatori di avviare un procedimento giudiziario nei confronti del presunto autore di una violazione delle leggi in materia di protezione dei dati.
La Corte intervenuta sulla questione ha chiarito che:
“La norma inserita nell’articolo 288 TFUE secondo il quale la direttiva vincola lo Stato membro cui è rivolta per quanto riguarda il risultato da raggiungere, salva restando la competenza degli organi nazionali in merito alla forma e ai mezzi, che meglio garantiscono il risultato che deve essere conseguito dalla direttiva”.
Da quanto appena detto ne deriva che, al fine di attuare gli obblighi previsti da una direttiva, gli Stati membri sono liberi di adottare qualunque misura che ritengano opportuna, purché tale misura non sia espressamente esclusa dalla direttiva stessa o non sia contraria agli obblighi da essa previsti.
Nello specifico, il testo della direttiva 95/46 non esclude in alcun modo la possibilità di riconoscere nel diritto nazionale, la legittimazione ad agire ad associazioni incaricate della tutela dei diritti dei consumatori.
Un’altra questione che ci si pone è se la società convenuta sia responsabile del trattamento dei dati personali ex art. 2, lett. d) della direttiva 95/46, anche se priva della capacità di incidere sull’operazione di trattamento dei dati.
La Corte ha già chiarito con diverse pronunce che l’indirizzo IP in alcune circostanze può costituire un dato personale, sottolineando che, a tal fine, affinché vi sia
“una persona identificabile, ai sensi dell’articolo 2, lettera a) della direttiva 95/46, non è necessario che tale informazione consenta di per sé sola di identificare la persona interessata, e può essere quindi necessario il ricorso ad ulteriori dati. Non si richiede che tutte le informazioni che consentono di identificare la persona interessata debbano essere in possesso di una sola persona purché la possibilità di combinare i rispettivi dati costituisca un mezzo che può essere ragionevolmente utilizzato per identificare la persona interessata”.
Nel caso di specie, l’indirizzo Ip e la stringa del browser costituiscono effettivamente dati personali e soddisfano i criteri ex art. 2 lettera a) della direttiva 95/46.
In base all’art. 2 lett. d) della direttiva 95/46 la nozione di responsabile del trattamento comprenda una persona che
“da sola o insieme ad altri determina le finalità e gli strumenti del trattamento dei dati personali”.
Pertanto la nozione di responsabile al trattamento può riferirsi a più soggetti.
Quindi si può dire che Facebook Ireland sia coresponsabile con la convenuta per il trattamento dei dati personali?
La Corte ha precisato che:
“l’esistenza di una corresponsabilità non si traduce necessariamente in una responsabilità equivalente dei diversi operatori nell’ambito di un trattamento di dati personali. Tali operatori possono essere coinvolti in fasi diverse di tale trattamento e a diversi livelli, di modo che il grado di responsabilità di ciascuno di essi deve essere valutato tenendo conto di tutte le circostanze rilevanti del caso di specie”.
Si deve specificare che la nozione di trattamento dei dati personali comprende
“qualsiasi operazione o insieme di operazioni compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali, come la raccolta, la registrazione, l’organizzazione, la conservazione, l’elaborazione o la modifica, l’estrazione, la consultazione, l’impiego, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, nonché il congelamento, la cancellazione o la distruzione”.
Un soggetto coresponsabile ha la responsabilità dell’operazione o delle operazioni per le quali condivide o codetermina le finalità e gli strumenti per quanto riguarda un’operazione di trattamento.
Nel caso in esame quindi risulta che la società convenuta e Facebook Ireland decidano assieme gli strumenti e le finalità del trattamento dei dati personali nella loro fase di raccolta e di trasmissione.
I giudici hanno disposto che la responsabilità della società deve essere limitata alla sola fase del trattamento dei dati a cui partecipa.
Alla luce di quanto appena esposto la Corte ha disposto che:
“Una persona, come la convenuta, che abbia inserito un plugin di terzi nel proprio sito internet, inserimento che determina la raccolta e la trasmissione di dati personali dell’utente è considerata responsabile del trattamento ai sensi dell’articolo 2, lettera d) della direttiva 95/46. Tuttavia, tale responsabilità del responsabile del trattamento è limitata alle operazioni per le quali esso codecide effettivamente sugli strumenti e sulle finalità del trattamento dei dati personali”.
