NEWS

Se avete un sito di e-commerce, ecco cosa comporta avere il pulsante “mi piace” di Facebook

La Corte di Giustizia dell’Unione Europea con la sentenza nella causa C-40/17 (scarica il testo in calce) sancisce il principio che il gestore di un sito Internet corredato del pulsante «Mi piace» di Facebook può essere congiuntamente responsabile con Facebook della raccolta e della trasmissione dei dati personali dei visitatori del suo sito, anche se non può essere considerato poi responsabile del trattamento successivo di tali dati effettuato esclusivamente da Facebook.


Il caso concreto è quello di un’impresa tedesca di abbigliamento di moda online la Fashion ID, che ha inserito nel proprio sito Internet il pulsante «Mi piace».

Tale inserimento comporta che, quando un visitatore consulta il sito Internet della Fashion ID, taluni dati personali di tale visitatore sono trasmessi alla Facebook Ireland senza che il visitatore ne sia consapevole e indipendentemente dal fatto che egli sia iscritto al social network Facebook o che abbia cliccato sul pulsante «Mi piace».

La Verbraucherzentrale NRW, associazione tedesca di pubblica utilità per la tutela degli interessi dei consumatori, a questo punto contesta alla Fashion ID di aver trasmesso alla Facebook Ireland dati personali appartenenti ai visitatori del suo sito Internet, da un lato, senza il consenso di questi ultimi e, dall’altro, in violazione degli obblighi d’informazione previsti dalle disposizioni relative alla normativa sulla protezione dei dati personali.

L’Oberlandesgericht Düsseldorf (Tribunale superiore del Land di Düsseldorf, Germania) investito della controversia chiede alla Corte di giustizia d’interpretare varie disposizioni della direttiva 95/46 CE sulla protezione dei dati (che rimane applicabile alla causa in esame anche se successivamente sostituita dal regolamento UE sulla protezione dei dati n. 2016/679 con effetto a decorrere dal 25 maggio 2018).

Nella sentenza la Corte precisa, innanzitutto, che la precedente direttiva sulla protezione dei dati non osta a che alle associazioni per la tutela degli interessi dei consumatori sia concesso il diritto di agire in giudizio contro il presunto autore di una lesione della protezione dei dati personali.

La Corte osserva che il nuovo regolamento generale sulla protezione dei dati prevede ora espressamente tale possibilità, estesa tra l’altro, a tutti gli organismi del terzo settore.

La Corte constata poi che la Fashion ID sembra non poter essere considerata responsabile delle operazioni di trattamento di dati effettuate dalla Facebook Ireland dopo la loro trasmissione a quest’ultima. Infatti, risulta escluso, prima facie, che la Fashion ID determini le finalità e gli strumenti di tali operazioni.

Per contro, la Fashion ID può essere considerata responsabile, congiuntamente con la Facebook Ireland, delle operazioni di raccolta e di comunicazione mediante trasmissione dei dati di cui trattasi, dal momento che si può concludere che la Fashion ID e la Facebook Ireland ne determinano, congiuntamente, i motivi e le finalità.

Sembra in particolare che l’inserimento da parte della Fashion ID del pulsante «Mi piace» di Facebook nel suo sito Internet le consenta di ottimizzare la pubblicità per i suoi prodotti rendendoli più visibili sul social network Facebook quando un visitatore del suo sito Internet clicca su detto pulsante.

È al fine di poter beneficiare di tale vantaggio commerciale, inserendo un simile pulsante nel suo sito Internet, che la Fashion ID sembra aver espresso il consenso, quantomeno implicitamente, alla raccolta e alla comunicazione mediante trasmissione dei dati personali dei visitatori del suo sito.
Quindi, tali operazioni di trattamento risultano essere state effettuate nell’interesse economico tanto della Fashion ID quanto della Facebook Ireland, per la quale il fatto di poter disporre di tali dati ai propri fini commerciali costituisce la contropartita del vantaggio offerto alla Fashion ID.

La Corte sottolinea che il gestore di un sito Internet come la Fashion ID, quale (cor)responsabile di talune operazioni di trattamento di dati dei visitatori del suo sito, come la raccolta dei dati e la loro trasmissione alla Facebook Ireland, deve fornire, al momento della raccolta, talune informazioni a tali visitatori, come, ad esempio, la sua identità e le finalità del trattamento. Si tratta, naturalment,e della classica informativa presupposto indispensabile per ottenere un consenso che sia libero, specifico ed informato.

La Corte fornisce ancora delle precisazioni in merito a due dei sei casi di trattamento lecito di dati personali, previsti dalla direttiva.

Pertanto, per quanto riguarda il caso in cui la persona interessata abbia manifestato il proprio consenso, la Corte decide che il gestore di un sito Internet come la Fashion ID è tenuto a ottenere tale consenso preventivamente (soltanto) per le operazioni di cui è (cor)responsabile, vale a dire la raccolta e la trasmissione.

Per quanto riguarda i casi in cui il trattamento dei dati sia necessario alla realizzazione di un interesse legittimo, la Corte decide che ciascuno dei cor(responsabili) del trattamento, vale a dire il gestore del sito Internet e il fornitore del plug-in social, deve perseguire, con la raccolta e la trasmissione dei dati personali, un interesse legittimo affinché tali operazioni siano giustificate per quanto lo riguarda.
In effetti la configurazione e la nozione di interesse legittimo sono maggiormente precisate nel successivo regolamento n. 2016/679, in particolar modo all’art. 6 dove vengono definite le diverse condizioni di liceità del trattamento.

Fonte Altalex - Articolo di Michele Iaselli, Coordinatore del Comitato Scientifico di Federprivacy

Note sull'Autore

Michele Iaselli Michele Iaselli

Coordinatore del Comitato Scientifico di Federprivacy. Avvocato, docente di logica ed informatica giuridica presso l’Università degli Studi di Napoli Federico II. Docente a contratto di informatica giuridica presso LUISS - dipartimento di giurisprudenza. Specializzato presso l'Università degli Studi di Napoli Federico II in "Tecniche e Metodologie informatiche giuridiche". Presidente dell’Associazione Nazionale per la Difesa della Privacy. Funzionario del Ministero della Difesa - Twitter: @miasell

Prev Perché il nuovo lusso sarà essere offline
Next Il Garante per la privacy bavarese si prepara a sparare sulla Croce Rossa

Vademecum per prenotare online le vacanze senza brutte sorprese

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy