Il 29 luglio 2019 è stata pubblicata la sentenza della Corte di Giustizia nel caso Fashion ID GmbH & co. KG (C-40/2017) relativa all’interpretazione della direttiva 95/46/CE sulla protezione dei dati personali.
La Corte, in particolare, è stata chiamata a pronunciarsi sulla qualificazione da attribuire al gestore di un sito web che abbia incorporato nelle proprie pagine un plugin di terze parti (nel caso di specie: il pulsante Like di Facebook) che raccolga e comunichi i dati personali dei visitatori allo sviluppatore del componente.
La questione era stata sollevata nell’ambito di un’azione promossa da una associazione di consumatori tedesca volta a far accertare l’abusività della condotta tenuta dalla società Fashion ID, la quale aveva implementato sul proprio sito il plugin di Facebook per l’inclusione del pulsante “Mi Piace”. Tale componente trasmetteva a Facebook i dati personali degli utenti che visitavano il sito web, senza acquisire il consenso né informare gli interessati sull’esistenza del trattamento e sulle sue finalità.
Fashion ID si era difesa eccependo di essersi limitata ad incorporare nel proprio sito il plugin di terze parti, senza avere alcun controllo né sui dati trasmessi dal browser del visitatore dal proprio sito né su come o per quali finalità Facebook facesse uso di quei dati.
Nel risolvere la questione, la Corte ha rilevato che la nozione di “responsabile” (o “controller”) prevista dalla direttiva 95/46/CE – corrispondente alla nozione di Titolare – si debba interpretare in senso ampio, sì da ricomprendervi “qualunque persona fisico o giuridica che eserciti un’influenza su un trattamento di dati personali, per finalità proprie, e che partecipi perciò alla determinazione dei mezzi e delle finalità del trattamento” (par. 68).
È dunque sufficiente, per essere qualificato come “responsabile”, che il soggetto partecipi alla determinazione dei mezzi e delle finalità del trattamento. Ciò si verifica anche nell’ipotesi in cui l’operatore faccia uso di un componente di terzi che raccoglie e comunica dati personali al fine di implementare nel proprio sito web una funzionalità di condivisione social.
Non è invece richiesto che abbia il pieno controllo sui dati raccolti o sui trattamenti effettuati. Tale circostanza può tuttalpiù incidere sulla valutazione del ruolo e delle responsabilità del soggetto in relazione ai trattamenti effettuati.
Sulla base di tali considerazioni, la Corte ha ritenuto che Fashion ID, avendo implementato sul proprio sito il plugin di Facebook per il perseguimento di proprie finalità, e contribuendo in questo modo a raccogliere i dati degli utenti e a trasmetterli a Facebook, essendo di ciò consapevole, dovesse essere considerato un “responsabile” limitatamente a tali operazioni (par. 76).
Avendo incorporato il plugin nel proprio sito Fashion ID aveva infatti esercitato “un’influenza decisiva sulla raccolta e la comunicazione dei dati personali dei visitatori al fornitore del plugin” operazioni che non avrebbero avuto luogo senza tale plugin (par. 78).
Sulla base di tale qualificazione, la Corte ha ritenuto che il gestore del sito web, con la scelta di implementare il plugin di Facebook, si fosse posto in una posizione di responsabilità nei confronti degli utenti rispetto ai trattamenti effettuati dal componente tale da determinare l’obbligo di informare adeguatamente gli utenti circa l’esistenza del trattamento e di raccogliere il loro consenso alla comunicazione dei loro dati personali al gestore del plugin.
La decisione, resa in una fattispecie nella quale trovava applicazione la direttiva 95/46/CE, presenta aspetti di interesse anche in relazione al mutato quadro normativo.
Il ruolo del gestore del sito web, alla luce delle categorie previste dal GDPR, sembrerebbe qualificabile, secondo le nuove definizioni normative, a quella del “contitolare del trattamento”, prevista dall’art. 26 GDPR allorché “due o più titolari del trattamento determinano congiuntamente le finalità e i mezzi del trattamento”.
Secondo l’interpretazione fatta propria dalla Corte, tale posizione di contitolarità non si verificherebbe unicamente nell’ipotesi in cui i due Titolari costituiscano una struttura comune per il trattamento dei dati o determinino congiuntamente le finalità per le quali trattare i dati personali; ma anche nelle ipotesi in cui uno dei titolari si limiti a raccogliere e comunicare i dati all’altro titolare fruendo di un sistema messo a punto e controllato da quest’ultimo.
Sembra in ogni caso doversi richiedere che ciascuno dei contitolari effettui i trattamenti per finalità o interessi propri.
La decisione della Corte riconosce che la diversa posizione degli operatori coinvolti nel trattamento può determinare una differenziazione della responsabilità di ciascuno di essi in relazione alle diverse fasi del trattamento, anche in relazione all’obbligo di informare gli interessati circa la natura e le finalità dei trattamenti effettuati, posizione che va valutata anche in relazione al ruolo ricoperto nel rapporto con l’interessato.
In questo senso, l’art. 26 del GDPR sembra già in linea con il principio affermato dalla Corte, là dove prevede che i contitolari determinino, mediante un accordo interno, “le rispettive responsabilità in merito all'osservanza degli obblighi derivanti dal regolamento, con particolare riguardo all’esercizio dei diritti dell’interessato ed ai rispettivi ruoli nella prestazione delle informative previste dagli articoli 13 e 14 del Regolamento”.
Alla luce della decisione della Corte, occorrerà valutare se la posizione di contitolare del trattamento implichi sempre anche l’obbligo di concludere l’accordo previsto dall’art. 26 del GDPR oppure se, come sostenuto da alcuni autorevoli studiosi della materia, tale accordo sia facoltativo e, in sua assenza, ciascuno dei contitolari sia tenuto ad ottemperare a tutti gli obblighi normativi in relazione ai trattamenti rispetto ai quali può esercitare una posizione di controllo sui mezzi e le finalità.
In ogni caso, la decisione della Corte imporrà a tutti coloro che fanno uso di plugin e componenti aggiuntive sui propri siti web (ed in particolare i plugin di connessione con i social network) di rivalutare il proprio ruolo in relazione ai trattamenti effettuati da tali componenti, adeguando se necessario le informative e provvedendo a raccogliere i necessari consensi prima di dare corso ai trattamenti.