Facebook: gli amministratori delle pagine sono responsabili sui dati personali

L’amministratore di una fanpage su Facebook è corresponsabile insieme alla stessa Facebook del trattamento dei dati personali dei visitatori della sua pagina. Lo ha stabilito una sentenza della Corte Ue. Gli amministratori delle pagine, infatti, possono ottenere dati statistici sui visitatori raccolti grazie a cookies associati agli utenti che consentono il monitoraggio del loro collegamento alla pagina.

LEGGI ANCHE > LA RESPONSABILITÀ DEI VOSTRI DATI TRA INGENUITÀ E MALAFEDE

La sentenza riguarda la società tedesca Wirtschaftsakademie Schleswig-Holstein che offre servizi di formazione attraverso una fanpage presente su Facebook. A novembre del 2011 l’autorità tedesca regionale indipendente per la protezione dei dati dello Schleswig-Holstein, aveva ordinato alla Wirtschaftsakademie la disattivazione della sua fanpage, in quanto né la società né Facebook avevano informato i visitatori della fanpage del fatto che il social raccoglieva, mediante cookie, informazioni personali che li riguardavano e che essi elaboravano successivamente tali informazioni. Contro tale decisione, la Wirtschaftsakademie ha ricorso dinanzi ai tribunali amministrativi tedeschi, affermando che il trattamento dei dati personali realizzato da Facebook non può esserle imputato e negando inoltre di aver incaricato Facebook di effettuare un trattamento di dati soggetto al suo controllo o rientrante nella sua sfera d’influenza. Per Wirtschaftsakademie  l’autorità avrebbe dovuto agire direttamente contro Facebook e non contro la sua società. La Corte amministrativa federale tedesca ha chiesto alla Corte di giustizia d’interpretare la direttiva 95/46 sulla protezione dei dati.

E qui viene il bello. La Corte di giustizia osserva, innanzitutto, che non si dubita nella presente causa del fatto che la società americana Facebook e, per quanto riguarda l’Unione, la sua filiale irlandese Facebook Ireland debbano essere considerate quali “responsabili del trattamento” dei dati personali degli utenti di Facebook nonché delle persone che hanno visitato le fanpage presenti su Facebook. Ma l’amministratore della suddetta pagina deve essere considerato responsabile, all’interno dell’Unione, assieme alla Facebook Ireland del trattamento dei dati interessati. Questo perché con l’impostazione dei parametri (in funzione, segnatamente, del suo pubblico destinatario nonché di obiettivi di gestione o promozione delle proprie attività) accede alla determinazione delle finalità e degli strumenti del trattamento dei dati personali dei visitatori della sua fanpage. La pagina fan infatti, come qualsiasi pagina fan FB può ricevere (in forma anonima) e trattare dati demografici concernenti il suo pubblico destinatario, informazioni sullo stile di vita e sugli interessi di detto pubblico (incluse informazioni sugli acquisti e il comportamento di acquisto online dei visitatori della sua pagina, nonché le categorie di prodotti o di servizi di loro maggiore interesse) e dati territoriali che consentono all’amministratore della fanpage di stabilire dove avviare promozioni speciali o organizzare eventi più mirati.

Con il riconoscimento di una responsabilità congiunta del gestore del social network e dell’amministratore di una fanpage si stabilisce così una più completa tutela dei diritti di cui godono le persone che visitano una fanpage, conformemente alle prescrizioni della direttiva 95/46 sulla protezione dei dati. Ora resta da capire dove esattamente la società tedesca abbia sbagliato e come può rimediare. Anche perché, paradossalmente, rischiano di violare la privacy anche tutte le fanpage nate da realtà europee e sottoposte oggi al GDPR.