L’avvocato generale Ue sul rapporto tra siti privati e Facebook
di Antonio Ciccia Messina

Chi inserisce il pulsante «mi piace» di Facebook sul suo sito Internet è contitolare del trattamento con l’azienda di Mark Zuckerberg. Anche se la raccolta dei dati di chi si collega al sito e la comunicazione a Facebook potrebbe essere fatta senza necessità di consenso ad hoc. Inoltre, le associazioni dei consumatori possono proporre una causa per violazioni della privacy.
Queste le conclusioni dell’avvocato generale presso la Corte di Giustizia dell’Unione europea, nella causa C-40/17: ora tocca alla Corte pronunciarsi nel merito.
Se passasse la linea dell’avvocato generale ci sarebbero molte conseguenze pratiche per chi posiziona il pulsante «mi piace» sul suo sito.

Nel caso specifico una società tedesca, che commercializza articoli di moda, ha inserito nel suo sito il pulsante «like» di Facebook: di conseguenza, quando un utente entra nel sito, le informazioni relative all’indirizzo IP e alla stringa del browser sono trasferite a Facebook. Questo avviene anche se uno non ha cliccato il pulsante «Like» e anche se non ha un account Facebook.
Una associazione per la tutela dei consumatori ha proposto un’azione inibitoria per violazione della privacy.
La questione è approdata alla Corte Ue, chiamata a pronunciarsi in base alla direttiva 95/46 sulla privacy, che, nel frattempo, è stata sostituita dal regolamento Ue 2016/679 (Gdpr), ma i principi sono in larga parte estensibili.

Il primo quesito riguarda il ruolo di Facebook e quello della società titolare del sito.
Secondo l’avvocato generale siamo di fronte a due contitolari del trattamento, perché sono da considerate parti di una joint-venture.
Se confermata, questa impostazione porterebbe, in base al Gdpr (articolo 26), alla necessità di stipulare un accordo di contitolarità: risultato non facile da realizzare con il colosso di Menlo Park.
La contitolarità riguarderebbe, comunque, la fase di raccolta e di trasmissione dei dati e non le fasi precedenti o successive dell’intera catena di trattamento.
Il secondo quesito riguarda la necessità o meno di acquisire il consenso della persona che si connette al sito. Sul punto l’avvocato generale è aperto alla conclusione per cui non sia necessario il consenso, in quanto propone di tenere in considerazione gli interessi legittimi dei contitolari, da controbilanciare con i diritti degli utenti.
Le ricadute di questo orientamento, se confermato, riguardano la compilazione dell’informativa (in cui si deve specificare la natura del legittimo interesse) e nella compliance aziendale (si devono adottare politiche di protezione dei diritti degli interessati).

L’obbligo di fornire all’utente del sito le informazioni minime richieste grava, secondo l’avvocato generale, sul gestore del sito Internet.
Se, invece, si optasse per la necessità del consenso, l’avvocato generale propone di dichiarare che il consenso debba essere prestato al gestore del sito Internet.
L’ultimo quesito riguarda la legittimazione ad iniziare una causa per violazione dei dati. Sul punto le conclusioni dell’avvocato generale si allineano a quanto disposto dall’articolo 80 Gdpr: la normativa nazionale può riconoscere questo potere alle associazioni senza scopo di lucro.

Fonte: