Key-words: personal data - facebook La Corte di Giustizia dell'Unione Europea ha stabilito che il gestore di un sito Internet corredato del pulsante "mi piace" può essere considerato responsabile, congiuntamente con Facebook, della raccolta e della comunicazione mediante trasmissione dei dati personali dei visitatori del suo sito. È quanto emerge dalla sentenza nella causa C-40/17 con cui la Corte di Giustizia ha stabilito che la Fashion ID, impresa tedesca di abbigliamento di moda online, e la Facebook Ireland determinassero congiuntamente i motivi e le finalità di tale raccolta e trasmissione. L’impresa tedesca, infatti, mediante l'inserimento nel proprio sito internet del pulsante "mi piace" consentiva la trasmissione alla Facebook Ireland di taluni dati personali, di interesse economico in quanto utili ai fini commerciali, di ogni visitatore che consultasse il sito internet della Fashion ID, in assenza di alcun suo consenso ed indipendentemente dal fatto che egli fosse iscritto al social network o che avesse cliccato sul suddetto pulsante "mi piace". D'altro canto, dall’inserimento del pulsante sul proprio sito anche la Fashion ID ricavava un vantaggio commerciale, consistente nella possibilità di ottimizzare la pubblicità per i suoi prodotti rendendoli più visibili su Facebook ogni volta in cui un visitatore del sito cliccava sul pulsante "mi piace". L'assenza di alcun consenso da parte dei visitatori del sito internet della Fashion ID, così come la mancanza di tutte le informazioni previste dalle disposizioni relative alla protezione dei dati personali hanno spinto la Verbraucherzentrale NRW, un'associazione tedesca per la tutela degli interessi dei consumatori, a ricorrere all’Oberlandesgericht Düsseldorf (Tribunale superiore del Land di Düsseldorf, Germania) che ha a sua volta chiesto alla Corte di Giustizia dell'Unione Europea di interpretare varie disposizioni della direttiva 95/46/CE sulla protezione dei dati personali, applicabile alla causa in esame anche se dal 25 maggio 2018 è sostituita dal regolamento 2016/679 del Parlamento europeo e del Consiglio sulla protezione dei dati, ben noto con l’acronimo GDPR). Pur non prevedendo infatti espressamente, come fa il GDPR, il diritto per le associazioni per la tutela degli interessi dei consumatori di agire in giudizio contro il presunto autore di una lesione della protezione dei dati personali, la precedente Direttiva non negava comunque tale possibilità. La Corte di Giustizia ha stabilito che la Fashion ID, in quanto corresponsabile con Facebook di talune operazioni di trattamento di dati personali dei visitatori del suo sito (operazioni di raccolta e di comunicazione mediante trasmissione dei dati di cui trattasi), deve dunque fornire a tali visitatori, al momento della raccolta informazioni come la sua identità e le finalità del trattamento dei dati. La Corte ha però anche chiarito che l’impresa tedesca non può essere invece considerata responsabile delle operazioni di trattamento di dati effettuate da Facebook dopo che le sono stati trasmessi i dati in quanto non è il gestore del sito della Fashion ID a determinare le finalità e gli strumenti di tali operazioni di trattamento.
Source: Corte di Giustizia dell’Unione Europea Link: https://curia.europa.eu/jcms/upload/docs/application/pdf/2019-07/cp190099it.pdf
view: document (Corte di Giustizia dell’Unione Europea (Seconda Sezione), Sentenza Fashion ID GmbH & Co.KG contro Verbraucherzentrale NRW eV, 29 luglio 2019, C-40/17, ECLI:EU:C:2019:629) To read the PDF click here. |