L’articolo 2, lettera d), della direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, deve essere interpretato nel senso che la nozione di «responsabile del trattamento», ai sensi di tale disposizione, include l’amministratore di una fanpage presente su un social network.
Sommario: 1. Premessa. – 2. Fatto e decisioni nazionali. – 3. La sentenza della Corte di giustizia. – 4. Analisi della decisione. Dati anonimi e applicazione della direttiva. – 5. Titolarità e servizi forniti da terzi. – 6. Titolarità e contitolarità. – 7. Conclusioni.
- Premessa
Può accadere che una decisione giurisprudenziale, sebbene relativa a un quadro giuridico oramai abrogato, contenga disposizioni interessanti per il futuro, anche se letta alla luce delle riforme legislative intervenute.
È questo il caso della recente sentenza della Corte di giustizia sulla titolarità del trattamento in caso di pagine Facebook. La pronuncia in commento, come si accennava, impone di interrogarsi, da un lato, sul ruolo di soggetti che, pur gestendo pagine autonome del social network (ossia pagine di cui determinano i contenuti), sono legati al gestore della piattaforma da contratti di adesione, con condizioni (anche in materia di privacy) immodificabili; dall’altro, offre lo spunto per fare chiarezza sulla nozione di contitolarità introdotta (rectius: ribadita e precisata) dal Regolamento (UE) 2016/679.
- Fatto e decisioni nazionali
La Wirtschaftsakademie è un ente tedesco che si occupa di formazione. Nell’ambito della propria offerta promozionale, l’ente in questione gestisce una pagina su Facebook; appare opportuno precisare che tali pagine sono “aperte” e gestite da utenti del social network, che – come riferito nella sentenza – «possono ottenere dati statistici anonimi riguardanti i visitatori di tali pagine servendosi di una funzione denominata Facebook Insights, messa a loro disposizione gratuitamente da Facebook secondo condizioni d’uso non modificabili». Questi dati statistici sono raccolti per mezzo di cookie installati da Facebook sui terminali dei soggetti, anche non utenti del social network, che visitano la pagina.
Risulta che né la Wirtschaftsakademie né Facebook facessero menzione, nelle proprie informative al trattamento dei dati, di tale trattamento (ossia della raccolta di dati statistici). Tale omissione aveva determinato l’ordine, impartito il 3 novembre 2011, da parte dell’Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein (autorità di vigilanza regionale indipendente per la protezione dei dati dello Schleswig-Holstein) di rimuovere la pagina dell’ente di formazione presente sul social network.
A giudizio dell’autorità regionale garante, il gestore della pagina avrebbe agito in qualità di titolare del trattamento dei dati, avendo fornito «un contributo attivo e volontario alla raccolta, da parte di Facebook, di dati personali riguardanti i visitatori di tale fanpage» e beneficiando dalla comunicazione di tali informazioni statistiche[1].
L’ente di formazione, però, impugnava la decisione innanzi al Verwaltungsgericht (Tribunale amministrativo), eccependo di non essere nella posizione di modificare le condizioni di contratto del social network, né di incidere nella determinazione dei mezzi del trattamento dei dati. Con pronuncia del 9 ottobre 2013, il Verwaltungsgericht annullava la decisione dell’autorità garante, statuendo che il gestore della pagina Facebook non fosse un titolare del trattamento.
L’Oberverwaltungsgericht (Tribunale amministrativo superiore del Land) rigettava l’appello e confermava la sentenza del tribunale amministrativo, affermando che il social network sarebbe il solo titolare del trattamento, giacché deciderebbe, in autonomia, le finalità del trattamento dei dati, nell’ambito della funzione Facebook Insights, trasferendo al gestore della pagina esclusivamente informazioni anonime.
L’Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein impugnava la decisione di appello innanzi al Bundesverwaltungsgericht (Corte amministrativa federale), che, nuovamente, aderiva alle conclusioni dei giudici di primo grado, precisando, tuttavia, che la nozione di titolare del trattamento dovesse essere interpretata in maniera ampia, conformemente all’indirizzo della giurisprudenza della Corte di giustizia, sospendendo il procedimento e rimettendo la questione ai giudici comunitari.
- La sentenza della Corte di giustizia
La Corte di giustizia, investita della questione, ribalta però le conclusioni dei giudici tedeschi.
Innanzi tutto, viene ricordato, così come aveva fatto il Bundesverwaltungsgericht, che il concetto di titolare di cui alla direttiva 95/46/CE sia da interpretare in senso estensivo. Difatti, sebbene la sentenza ammetta che i trattamenti dei dati degli utenti «sono effettuati essenzialmente attraverso il posizionamento, da parte di Facebook, sul computer o su ogni altro dispositivo delle persone che hanno visitato la fanpage, di cookie usati per memorizzare informazioni nei browser web e che, se non eliminati, restano attivi per due anni», tuttavia, ciò avviene in funzione della circostanza che un altro soggetto abbia creato una fanpage sul social network e svolga funzioni di amministratore di tale pagina.
In altri termini, seguendo il ragionamento dei giudici del Lussemburgo, se l’ente di formazione non avesse dato vita alla pagina, allora Facebook non avrebbe effettuato alcun trattamento di dati degli utenti. Inoltre, l’amministratore di una pagina svolgerebbe «un’azione d’impostazione dei parametri in base, segnatamente, al suo pubblico destinatario nonché agli obiettivi di gestione o di promozione delle sue attività, che influisce sul trattamento di dati personali ai fini della creazione di statistiche stabilite a partire dalle visite della fanpage» e, al contempo, l’amministratore della pagina «può, tramite filtri messi a disposizione da Facebook, definire i criteri a partire dai quali si devono stabilire tali statistiche e designare perfino le categorie di persone i cui dati personali saranno oggetto di utilizzo da parte di Facebook».
- Analisi della decisione. Dati anonimi e applicazione della direttiva
La pronuncia della Corte di giustizia si presta ad una duplice lettura.
La prima è improntata a valutazioni di politica del diritto e di effettività delle disposizioni in materia di protezione dei dati personali. L’altra, che giunge a esiti in parte contrapposti, fondata sull’interpretazione letterale del dato testuale della direttiva.
Si è detto che la sentenza adotta, conformemente alla giurisprudenza precedente, un’interpretazione ampia del concetto di titolare del trattamento, parametrata non solo (e non tanto) sull’effettiva capacità di determinare le finalità e i mezzi del trattamento, quanto sull’allargamento dell’ambito di responsabilità – ripartita in capo a più soggetti, seppur con diversi gradi di partecipazione nei processi di trattamento dei dati[2].
Un’analisi più aderente al testo normativo, tuttavia, avrebbe però dovuto condurre a conclusioni differenti e, forse, antitetiche.
Innanzi tutto, è la decisione stessa a ricordare che le informazioni trasmesse da Facebook alla Wirtschaftsakademie fossero anonime, andando ad individuare insiemi di utenti (quelli che, nella prassi, si identificano come cluster) anonimi, senza possibilità per il gestore della pagina internet di individuare i singoli utenti e, quindi, di operare dei trattamenti personalizzati ulteriori.
Al riguardo, è appena il caso di ricordare che, ai sensi del Considerando 26, la direttiva non trova applicazione ai trattamenti di dati resi anonimi, «in modo tale che la persona interessata non è più identificabile». Il medesimo principio è stato reiterato anche nel Regolamento (UE) 2016/679, dove si afferma – curiosamente sempre nel Considerando 26 – che i «principi di protezione dei dati non dovrebbero pertanto applicarsi a informazioni anonime, vale a dire informazioni che non si riferiscono a una persona fisica identificata o identificabile o a dati personali resi sufficientemente anonimi da impedire o da non consentire più l’identificazione dell’interessato»[3].
La conclusione, alla luce di tale principio, è che la disciplina in materia di protezione dei dati personali non dovrebbe applicarsi del tutto alla Wirtschaftsakademie, atteso che i dati ricevuti dal social network non consentono un’identificazione degli utenti.
- Titolarità e servizi forniti da terzi
La decisione, però, non si sofferma su di un altro punto, che, a parere di chi scrive, potrebbe essere interessante nella definizione (e nella perimetrazione) dei ruoli dei soggetti coinvolti nella fattispecie. Si allude, in particolare, al fatto che il gestore della pagina sia in grado di visualizzare i soggetti che “seguono” la pagina (per mezzo dei like alla pagina stessa), i commenti degli utenti ovvero di ricevere informazioni dagli stessi, per mezzo dei moduli di contatto.
La questione, per essere più chiari, non attiene, semplicisticamente, alla posizione di gestore della fanpage, il quale può essere considerato titolare del trattamento limitatamente ai dati raccolti per mezzo della fanpage stessa: sul punto, anche prima della decisione in commento, non vi erano dubbi, atteso che i dati personali ottenuti dalla piattaforma possono essere utilizzati secondo logiche e modalità operative che sono rimesse al gestore della pagina.
Il punto è che la Corte di giustizia impone un obbligo di informazione, in capo al gestore nei confronti degli utenti della pagina (anche non iscritti alla pagina stessa), di informare questi ultimi in merito alle modalità di un trattamento che, tuttavia, sono poste in essere autonomamente da un altro soggetto (il gestore del social network). Per essere più chiari, seguendo il ragionamento della sentenza, sulla Wirtschaftsakademie, pur non avendo alcun dominio sulle scelte relative ai mezzi adoperati né sulle modalità di trattamento, graverebbe un obbligo di informare i propri utenti sul funzionamento del servizio Facebook Insights e sul modo in cui tale servizio raccoglie e tratta i loro dati personali.
È evidente, però, che tale opzione interpretativa rischia di prestarsi a soluzioni, a parere di chi scrive, preoccupanti, finendo per stravolgere la ratio legislativa, che assegna il ruolo di titolare al soggetto in grado di scegliere (e, quindi, di modificare) finalità e mezzi del trattamento. Non a caso, l’obbligo di informazione di cui all’art. 13 del Regolamento (UE) 2016/679 grava su tale soggetto e non su altri: del resto, nel caso in commento, l’ente di formazione tedesco non avrebbe potuto fare altro che informare i propri utenti dell’utilizzo del servizio fornito dalla piattaforma di social network, non potendo comunque modificare il “settaggio” di tale servizio e, probabilmente, scontando un’evidente asimmetria informativa, avendo accesso alle sole informazioni sul servizio fornite dal gestore della piattaforma.
- Titolarità e contitolarità
Un altro aspetto della sentenza che merita di essere approfondito riguarda la posizione di contitolarità tra Facebook e l’ente di formazione, così come ipotizzato da alcuni commentatori[4].
A parere di chi scrive, la contitolarità è un’ipotesi rara o, quanto meno, residuale. L’art 26 del Regolamento stabilisce che sussista tale situazione «Allorché due o più titolari del trattamento determinano congiuntamente le finalità e i mezzi del trattamento, essi sono contitolari del trattamento».
Pare opportuno precisare che, a nostro avviso, la norma debba essere interpretata tenendo conto dell’antecedente normativo di riferimento (art. 2, direttiva 95/46/CE) che, nel qualificare il titolare del trattamento, lo definiva come il soggetto che «da solo o insieme ad altri, determina le finalità e gli strumenti del trattamento di dati personali»[5]. In merito a tale disposizione, si era pronunciato il Gruppo di lavoro Articolo 29, nella Opinion n. 1/2010, che ricomprendeva in tale fattispecie i casi in cui «i vari attori coinvolti determinano insieme, a volte in misura diversa, le finalità e/o i mezzi di un trattamento»[6].
In altri termini, il riferimento a finalità e mezzi deve intendersi in senso non cumulativo, nel senso che occorre la ricorrenza di entrambi gli elementi per l’applicazione della disposizione, essendo sufficiente, invece, che i soggetti coinvolti cooperino alla determinazione dei mezzi o delle finalità del trattamento.
Nella fattispecie in commento, tuttavia, come già evidenziato non è chiaro se il gestore della piattaforma sia o meno nella posizione di contribuire alla scelta né del primo né dell’altro elemento[7]: non dovrebbe, quindi, sussistere un’ipotesi di contitolarità, ma di titolarità autonoma, di dati personali differenti, così come chiarito in precedenza.
- Conclusioni
La decisione in commento allarga esponenzialmente l’ambito di applicazione dell’art. 4, par. 1, n. 7 del Regolamento (UE) 2016/679, ampliando la nozione oltre i soggetti che, effettivamente, determinano finalità e mezzi del trattamento e ricomprendendovi anche coloro che, in qualche modo, hanno contribuito alla determinazione delle finalità del trattamento.
In sintesi, dalla lettura della ratio decidendi della Corte di giustizia, sembra potersi evincere che tale ruolo competa anche ai soggetti che, pur non incidendo sulla scelta dei mezzi adoperati per il trattamento (mezzi che sono predeterminati dal gestore della piattaforma), abbiano contribuito, con le proprie scelte, a definire l’area di operatività e di intervento del trattamento.
Seguendo l’iter argomentativo della Corte, infatti, dovrebbe ritenersi che la titolarità del trattamento gravi anche sui soggetti che fissano i parametri di un servizio offerto da terzi (che, di fatto, è l’unico che tratta dati di carattere personale, potendo identificare i soggetti interessati) e che, a qualsiasi titolo, beneficiano del trattamento stesso, seppur limitatamente a dati anonimizzati.
[1] Una precisazione linguistica, a tal riguardo, si impone. Nella sentenza si parla di “responsabile” anziché di “titolare”; si tratta di un errore di traduzione, che reitera la dissociazione tra la direttiva 95/46/CE, dove si parlava di responsabili, e la l. 675/1996 (e poi, successivamente, il d.lgs. 196/2003) che invece discorreva di titolari del trattamento, così come oggi l’art. 4 della versione italiana del Regolamento (UE) 2016/679 che, sul punto, ha evitato discrasie linguistiche tra fonti comunitarie e fonti nazionali.
[2] È quanto palesato dalla Corte di giustizia nel p. 42 della decisione, dove si afferma che «il riconoscimento di una responsabilità congiunta del gestore del social network e dell’amministratore di una fanpage presente su tale network in relazione al trattamento dei dati personali dei visitatori di tale fanpage contribuisce a garantire una più completa tutela dei diritti di cui godono le persone che visitano una fanpage, conformemente alle prescrizioni della direttiva 95/46». Sottolinea l’importanza della ripartizione dei ruoli e delle relative responsabilità L. Greco, I ruoli: titolare e responsabile, in Il nuovo Regolamento europeo sulla privacy e sulla protezione dei dati personali, Bologna, 2017, 251.
[3] Il Regolamento distingue tra anonimizzazione e pseudononimizzazione, nel solco di quanto già affermato dal Gruppo di lavoro Articolo 29, nel Parere n. 5/2014 del 10 aprile 2014 sulle tecniche di anonimizzazione, dove si affermava che «l’anonimizzazione è una tecnica che si applica ai dati personali al fine di ottenere una deidentificazione irreversibile». Pertanto, nel primo caso, sono adoperate delle tecniche che determinano una deidentificazione irreversibile e non consentono di risalire al dato personale (dato c.d. dettagliato); nell’altro, invece, è possibile risalire nuovamente all’identità del soggetto. La pseudonimizzazione è una metodologia che si pone l’obiettivo di allontanare il dato dalla persona, rendendo complessa la riferibilità del dato alla persona stessa, senza tuttavia rompere il legame che esiste tra il dato e la persona, come è invece nell’obiettivo delle tecniche di anonimizzazione. Il principale strumento tecnico con cui questo allontanamento è effettuato è la crittografia o cifratura dei dati; essa può essere applicata a diversi attributi con cui la persona è descritta e può basarsi su vari schemi di cifratura. Ai sensi dell’art. 4, par. 1, n. 5 del Regolamento, la pseudononimizzazione è «il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile».
[4] Questa è l’opinione, tra gli altri, di N. Blanc, Wirtschaftsakademie Schleswig-Holstein: Towards a Joint Responsibility of Facebook Fan Page Administrators for Infringements to European Data Protection Law?, in 4 European Data Protection L. Rev. 120 (2018), seppur in merito alla opinion dell’Avvocato Generale.
[5] Concorda sulla sussistenza di una linea di continuità tra il regolamento e la direttiva anche M.L. Salvati, Commento all’art. 26, in G.M. Riccio – G. Scorza – E. Belisario (a cura di), GDPR e normativa privacy commentato, Milano, in corso di pubblicazione, la quale correttamente osserva che, tuttavia, il GDPR abbia previsto una normativa analitica sui rapporti tra contitolari, nell’interesse principale dei soggetti interessati.
[6] Parere 1/2010 sui concetti di “responsabile del trattamento” e “incaricato del trattamento”, adottato il 16 febbraio 2010, 21.
[7] Su questa incertezza si sofferma anche O. Lynskey, Another Turn of the Screw? The ‘Facebook Fanpages’ Judgment, in European Law Blog, 25 June 2018.
