Pagine Facebook e trattamento dati: ora anche il gestore è responsabile?

Con una pronuncia del 5 giugno 2018, la Corte di Giustizia dell’Unione Europea (in seguito anche CGUE) ha affrontato la complessa questione della delimitazione delle responsabilità connesse al trattamento dei dati personali allorché lo stesso sia effettuato sulla base dell’iscrizione a una fanpage su Facebook. In particolare, il quesito che si è posto – e ha originato la questione pregiudiziale devoluta alla CGUE – ha riguardato la possibilità di ritenere anche il gestore della pagina responsabile di eventuali illeciti relativi alle norme in materia di trattamento dei dati personali, in aggiunta ovviamente al  social network . Qual è, dunque, il rapporto tra gestione di pagine Facebook e trattamento dati tramite esse effettuato? Quanto ampie sono le responsabilità che ne derivano? Cerchiamo di comprenderlo sulla base di questa (innovativa) pronuncia della Corte.

Il caso

La vicenda da cui origina il caso, in realtà, è piuttosto semplice. Una società tedesca che offre servizi di formazione apriva una pagina Facebook per fidelizzare i propri clienti e far sì che gli iscritti rimanessero aggiornati rispetto alle attività dell’ente. Nel 2011, tuttavia, l’Authority del Land per la protezione dei dati personali ordinava al gestore della pagina di provvedere alla disattivazione della stessa, assegnando all’uopo un termine e prevedendo che in difetto sarebbe stata irrogata una sanzione amministrativa, giacché né Facebook né – e sarà questo il casus belli – il gestore della pagina avevano provveduto a fornire agli utenti la prescritta informativa sul trattamento dei dati personali. In particolare, il trattamento in questione era quello effettuato per mezzo del tool Facebook Insights, uno  strumento attraverso cui i gestori possono ottenere dati statistici anonimi riguardanti i visitatori delle proprie pagine e il cui funzionamento si fonda su marcatori (“cookie”) contenenti ciascuno un codice utente unico, assegnato al momento dell’accesso alla pagina. I cookie restano così attivi per due anni e sono salvati da Facebook sul disco fisso del computer o su qualsiasi altro supporto dei visitatori della pagina, mentre il codice utente può essere associato ai dati di collegamento degli utenti registrati su Facebook. Quel che era emerso, allora, è che agli utenti della pagina non fosse stato dato alcun avvertimento in ordine alla modalità di funzionamento, alla conservazione o al trattamento successivo dei dati immagazzinati.

Pagine Facebook e trattamento dati: le pronunce dei giudici amministrativi tedeschi

La società destinataria del provvedimento amministrativo inibitorio proponeva anzitutto un reclamo all’Autorità procedente, lamentando l’illegittimità dell’intimazione ricevuta a cagione del fatto che il gestore di una pagina Facebook non potesse né dovesse essere ritenuto responsabile per un trattamento dei dati effettuato da altro soggetto, ovverosia, nel caso di specie, Facebook Ireland Ltd, che aveva concretamente provveduto all’installazione dei cookie. Il reclamo veniva rigettato: in buona sostanza, l’organo amministrativo riteneva che, avendo creato la propria fanpage, la società fornisse un contributo attivo e volontario alla raccolta, da parte di Facebook, di dati personali riguardanti i visitatori della pagina, dati di cui essa beneficiava mediante statistiche messe a disposizione dalla piattaforma social. Tale decisione veniva quindi impugnata dalla società dinanzi al Tribunale Amministrativo, il quale accoglieva il ricorso, sentenziando che l’amministratore di una fanpage su Facebook non poteva essere destinatario di una misura quale quella adottata, giacché, ai sensi dell’articolo 3, paragrafo 7, del BDSG (Bundesdatenschutzgesetz, legge tedesca sulla protezione dei dati), «per organismo responsabile si intende qualsiasi persona o qualsiasi organismo che raccoglie, elabora o utilizzadati personali per suo conto o attraverso terzi su incarico»e tale qualifica non poteva attribuirsi al mero gestore della pagina, cui sostanzialmente pervengono solo informazioni statistiche derivanti da un trattamento effettuato integralmente da altri e sul quale il gestore non ha alcun potere. Avverso tale decisione proponeva appello l’Autorità per la protezione dei dati, ma il gravame era respinto dal Oberverwaltungsgericht (Tribunale amministrativo superiore del Land) con la conferma della motivazione di primo grado e la precisazione che l’impossibilità di considerare la pagina (o, meglio, il suo gestore) come un organismo responsabile derivava dal fatto che solo Facebook deciderebbe della finalità e degli strumenti relativi alla raccolta e al trattamento dei dati personali utilizzati nell’ambito della funzione Facebook Insights, mentre la fanpage riceverebbe solo informazioni statistiche, dunque rese anonime e non classificabili come dati personali.

Dopo ben due pronunce che veicolavano una interpretazione piana e garantista della legge tedesca in materia di protezione dei dati, tuttavia, approdato il caso dinanzi alla Corte Amministrativa Federale, la posizione dell’Autorità amministrativa viene meglio precisata: si assume, infatti, che la società – con la registrazione sulla piattaforma social – sostanzialmente avrebbe commissionato la realizzazione, l’hosting e la manutenzione di un sito Internet a un fornitore inadatto (Facebook Ireland) in quanto irrispettoso della normativa applicabile in materia di protezione dei dati; per gli effetti, dovrebbe rispondere (insieme all’appaltatore Facebook) degli illeciti che risultano esser stati perpetrati. Ebbene, anche tale impostazione non trova riscontro dinanzi al supremo organo di giustizia amministrativa, che però – pur riconfermando la non riconducibilità del gestore della pagina tout court alla categoria dell’organismo responsabile – spariglia le carte affermando che, in linea di principio, tale nozione possa essere interpretata in modo estensivo nell’interesse di una tutela efficace del diritto alla vita privata, come peraltro già sostenuto da altra recente giurisprudenza in materia dello stesso organo giurisdizionale. La possibilità di una interpretazione estensiva, allora, giustifica – secondo la Corte Amministrativa Federale – la sospensione del giudizio con formulazione di una questione pregiudiziale di interpretazione alla Corte di Giustizia dell’Unione Europea in ordine all’effettiva portata, si badi, non già del BDSG (legge tedesca sulla privacy), bensì della Direttiva 46/95/CE (attualmente superata dal GDPR) della quale, però, la legge nazionale è atto di recepimento e alla quale dunque essa risulta vincolata in punto di interpretazione.

La soluzione della CGUE

Per risolvere il quesito relativo all’ampiezza delle responsabilità dei vari attori nel rapporto tra pagine Facebook e trattamento dati occorre allora precisare come il quesito che viene posto alla Corte del Lussemburgo, per quanto qui d’interesse, attiene segnatamente alla definizione di «responsabile del trattamento» così come dettata dall’art. 2 lett. d) della Dir. 46/95/CE e ciò al fine di comprendere se possa essere considerato tale un soggetto gestore di una fanpage su Facebook «a motivo della scelta di essersi avvalso di tale social network per diffondere la propria offerta d’informazioni».

Il punto di partenza da cui muove la Corte è quello per cui la direttiva 95/46 è volta a garantire un elevato grado di tutela delle libertà e dei diritti fondamentali delle persone fisiche, in particolare della loro vita privata, riguardo al trattamento dei dati personali (viene richiamata, in proposito, la sentenza dell’11 dicembre 2014, Ryneš, C‑212/13, EU:C:2014:2428). Proprio per questo motivo, il responsabile del trattamento viene definito in maniera ampia, incentrando lo status sulla sussistenza di un potere di determinazione delle finalità e degli strumenti da impiegare per il trattamento dei dati.

La normativa tedesca, invece, fornisce un inquadramento molto più ampio della categoria, affermando, come si è visto, che «per organismo responsabile si intende qualsiasi persona o qualsiasi organismo che raccoglie, elabora o utilizza dati personali per suo conto o attraverso terzi su incarico» (art. 3 par. 7 BDSG). Per il vero, allora, sembra quasi che la normativa tedesca proceda a fondere, in un unica totalizzante categoria le distinte figure di:

• «responsabile del trattamento», ossia la persona fisica o giuridica, l’autorità pubblica, il servizio o qualsiasi altro organismo che, da solo o insieme ad altri, determina le finalità e gli strumenti del trattamento di dati personali. Quando le finalità e i mezzi del trattamento sono determinati da disposizioni legislative o regolamentari nazionali o comunitarie, il responsabile del trattamento o i criteri specifici per la sua designazione possono essere fissati dal diritto nazionale o comunitario (art. 2 lett. d) Dir. 46/95/CE);
• «incaricato del trattamento», ossia la persona fisica o giuridica, l’autorità pubblica, il servizio o qualsiasi altro organismo che elabora dati personali per conto del responsabile del trattamento (art. 2 lett. e) Dir. 46/95/CE);
• «destinatario», ossia la persona fisica o giuridica, l’autorità pubblica, il servizio o qualsiasi altro organismo che riceve comunicazione di dati, che si tratti o meno di un terzo. Tuttavia, le autorità che possono ricevere comunicazione di dati nell’ambito di una missione d’inchiesta specifica non sono considerate destinatari (art. 2 lett. g) Dir. 46/95/CE).

Ad ogni modo, passaggio fondamentale della sentenza per decodificare esattamente il rapporto tra gestione delle pagine Facebook e trattamento dati è quello in cui si pone in rilievo come il responsabile del trattamento non sia necessariamente un unico soggetto, giacché tale status viene a sussistere in capo a colui che «da solo o insieme ad altri» determina finalità e strumenti. Da tale argomentazione la CGUE ricava un corollario: oltre al responsabile in via “principale” (che nel caso di specie viene incontestabilmente individuato in Facebook Ireland) anche gli «altri» che insieme a lui operano come «attori che partecipano a tale trattamento» dovranno essere soggetti alle norme dettate per il responsabile del trattamento. Da tale asserto pare quasi che si possa affermare come – instaurando un parallelismo con l’ordinamento penale italiano – secondo la CGUE l’inciso «da solo o insieme ad altri» svolgerebbe una funzione similare a quella che è propria degli artt. 110 e 113 del codice penale che disciplinano il concorso di persone nel reato e la cooperazione colposa, vale a dire una funzione di estensione della punibilità e livellamento delle responsabilità.

Non si può non sottolineare, tuttavia, che tale ricostruzione non pare propriamente la più fedele al tenore testuale della disposizione, giacché se si afferma che il «responsabile del trattamento» è il soggetto che opera «da solo o con altri» – a contrario – pare legittimo affermare che agli “altri” non sia attribuito (o perlomeno non automaticamente attribuito) lo status di responsabile: esso, infatti, secondo una lettura “piana” della norma, pare rimanere in capo a un solo soggetto (quello dotato del potere decisorio) anche quando nelle sue attività intervengano altri operatori. Certamente è ben possibile che in concreto sia più d’un soggetto a esercitare il potere decisorio e allora non v’è dubbio che lo status di responsabile graverà su ciascuno: ma se tale fosse il caso, la clausola esaminata non avrebbe alcuna funzione “estensiva”, bensì solo una (ben più modesta) attitudine descrittiva, limitandosi a chiarire che lo status può essere rivestito anche da più soggetti. In altri termini, non pare del tutto condivisibile la “poco impegnativa” espressione utilizzata dalla CGUE secondo cui, nel rapporto tra pagine Facebook e trattamento dati, le responsabilità dettate dalla legge possano eo ipso estendersi ai «vari attori che partecipano a tale trattamento» intrattenendo rapporti con il responsabile “principale”. In effetti, più innanzi la Corte in qualche misura corregge il tiro, precisando come – posto che in astratto il responsabile ben può essere, per così dire, plurisoggettivo – per risolvere il caso di specie occorra comunque verificare se la società di formazione abbia o meno determinato fini e strumenti del trattamento. Dunque, pare potersi affermare che si ritorna a monte: occorrerà vagliare se – con riguardo specifico alla posizione del gestore della pagina – sia possibile o meno ravvisare i requisiti connotativi del responsabile del trattamento. A giudizio della CGUE, all’interrogativo può però fornirsi risposta positiva: ciò, invero, non già perché si possa ritenere, come opinato dalla Autorità amministrativa tedesca, che il gestore della pagina avesse commissionato il trattamento a un soggetto inidoneo. E, infatti, «il mero fatto di utilizzare un social network quale Facebook non rende un utilizzatore di Facebook corresponsabile di un trattamento di dati personali effettuato da tale network».

Occorre però precisare, secondo la Corte, che «l’amministratore di una fanpage presente su Facebook […] offre a Facebook la possibilità di posizionare cookie sul computer o su qualsiasi altro dispositivo della persona che ha visitato la sua fanpage, indipendentemente dal fatto che tale persona possieda o meno un profilo Facebook». A ciò va aggiunto – ed è questo il punto essenziale della pronuncia – che risulta possibile, da parte del soggetto amministratore, «un’azione d’impostazione dei parametri in base, segnatamente, al suo pubblico destinatario nonché agli obiettivi di gestione o di promozione delle sue attività, che influisce sul trattamento di dati personali ai fini della creazione di statistiche stabilite a partire dalle visite della fanpage». Più specificamente, il gestore può, tramite filtri messi a disposizione da Facebook, definire i criteri a partire dai quali si devono stabilire tali statistiche e designare perfino le categorie di persone i cui dati personali saranno oggetto di utilizzo da parte di Facebook, richiedendo di ricevere dati demografici relativi a età, sesso, situazione sentimentale e professionale, stile di vita e interessi, informazioni sugli acquisti e comportamento in fase di acquisto, categorie di prodotti, servizi di maggior interesse o dati territoriali. Ebbene, richiedendo queste informazioni, l’amministratore in buona sostanza domanda a Facebook di effettuare un (particolare) trattamento di dati personali.  Ciò comporta, a giudizio della CGUE, che si possa concludere nel senso di ritenere che «l’amministratore di una fanpage presente su Facebook contribuisce al trattamento dei dati personali dei visitatori della sua pagina». Neanche per escludere lo status di co-resposabile dell’amministratore vale, secondo la Corte, il dato per cui le informazioni che Facebook gli “riversa” sono oramai rese anonime: quel che conta, infatti, è che – almeno a monte – mediante il sistema dei cookie il trattamento abbia ad oggetto veri e propri dati personali, in quanto trattasi di informazioni che attengono a un soggetto identificato o identificabile. E, del resto, «la direttiva 95/46 non impone che, qualora vi sia una responsabilità congiunta di più operatori per un medesimo trattamento, ciascuno abbia accesso ai dati personali interessati».

Si conclude, quindi, nel senso che l’amministratore di una fanpage possa essere considerato (co)responsabile del trattamento dei dati in quanto contribuisce a determinare finalità e strumenti del trattamento. Precisa però la Corte che l’esistenza di una corresponsabilità «non si traduce necessariamente in una responsabilità equivalente dei diversi operatori […]. Al contrario, tali operatori possono essere coinvolti in fasi diverse di tale trattamento e a diversi livelli, di modo che il grado di responsabilità deve essere valutato tenendo conto di tutte le circostanze rilevanti nel caso di specie».

In sintesi e a scanso di fraintendimenti, quindi, è scorretto affermare che la CGUE abbia dichiarato tour court gli amministratori di una pagina Facebook responsabili per il trattamento dei dati in qualunque modo correlato alla fruizione della pagina stessa da parte degli utenti. Quel che la Corte ha statuito, invece, è che il gestore può essere considerato corresponsabile allorquando faccia uso del tool Facebook Insights personalizzando e specificando le informazioni che intende ricevere: solo in questa ipotesi, infatti, può ritenersi che il gestore in un certo qual modo “commissioni” a Facebook la raccolta e il processamento dei dati al fine di ricavarne informazioni statistiche e, quindi, contribuisca a definire finalità e forme del trattamento, risultando così assuntore delle vesti di un co-responsabile del trattamento. In ogni caso, però, la responsabilità dei diversi responsabili non sarà automaticamente di pari grado, dovendosi verificare l’effettivo potere di incidenza dell’uno e dell’altro nell’economia del trattamento.

Cosa accade con il GDPR?

All’indomani della sentenza, il principio espresso dalla Corte è stato poi da taluni “dequotato” o “banalizzato” sulla scorta dell’assunto per cui si tratterebbe di una pronuncia resa con riferimento a una Direttiva (la 46/95/CE) oramai non più in vigore, in quanto abrogata dal GDPR.

La premessa è in effetti corretta, in quanto ai sensi dell’art. 94 del GDPR la direttiva in questione è stata abrogata a decorrere dal 25 maggio 2018 e tutti i riferimenti normativi che rimandano a essa devono intendersi ad oggi effettuati rispetto al GDPR. La conclusione o l’ipotesi di conclusione è invece grossolanamente erronea: il GDPR, infatti, non solo non stravolge, ma rafforza la tutela dei dati personali rispetto agli standard già assicurati dalla Direttiva, sicché se – come si è visto – il punto di partenza idoneo a giustificare una interpretazione estensiva della normativa è stato rinvenuto dalla CGUE proprio nella necessità di assicurare una elevata protezione alla privacy, ecco che tale ratio è non solo conforme, ma ulteriormente rafforzata dal GDPR. Concettualmente, dunque, il mutamento di disciplina non smentisce ma conferma gli approdi della Corte.

Anche dal punto di vista strettamente tecnico, però, occorre riscontrare come le norme di riferimento siano rimaste essenzialmente immutate nel passaggio dalla Direttiva al Regolamento, di là da un riordino puramente terminologico. E, infatti, quel che prima la Direttiva qualificava come «responsabile del trattamento» oggi è dal Regolamento definito come «titolare del trattamento», ma la definizione continua a recare il medesimo profilo contenutistico, incentrandosi sul potere di determinazione – individuale o congiunto – delle finalità e dei mezzi del trattamento. Può quindi ragionevolmente affermarsi che i principi di diritto espressi dalla Corte di Giustizia con la pronuncia in esame in riferimento al rapporto tra responsabilità delle pagine Facebook e trattamento dati restino pienamente validi e, anzi, siano ancor meglio sorretti dalla nuova normativa dettata dal GDPR.