Con una recente sentenza la Corte Europea ha deciso sulla causa C-40/17, stabilendo che il gestore di un sito internet in cui è possibile cliccare sull’icona «like» può essere ritenuto responsabile della raccolta e della trasmissione dei dati personali dei visitatori insieme con Facebook.
La causa era incominciata in Germania, dove un’associazione di consumatori aveva contestato a un’azienda di capi di abbigliamento che vende online la trasmissione di tali dati senza il consenso degli interessati e senza informare questi ultimi sui loro diritti in materia. In altri termini, al momento in cui si cliccava su «like», non appariva alcun messaggio che descrivesse le conseguenze di tale azione sulla protezione dei dati personali e chiedesse il consenso.
Secondo la Corte, l’azienda non pare poter essere considerata responsabile del trattamento dei dati effettuato da Facebook dopo la trasmissione, ma può rispondere delle operazioni di raccolta e di trasmissione a Facebook, congiuntamente proprio con quest’ultimo. La ragione è che probabilmente l’azienda e Facebook sembrano decidere congiuntamente motivi e finalità della raccolta e della trasmissione.
La Corte si esprime al condizionale perché la verifica definitiva di ciò andrà fatta dai giudici nazionali. Ma spiega che l’azienda, prevedendo nel proprio sito la possibilità di cliccare sul «like», riesce a ottenere maggiore visibilità su Facebook. E ciò presuppone un consenso quantomeno implicito dell’azienda alla raccolta e alla comunicazione dei dati a Facebook.
Di qui un interesse economico sia dell’azienda sia del gestore del social network e quindi la loro responsabilità congiunta verso l’utente del sito aziendale che, cliccando su «like», determina la trasmissione di alcuni suoi dati a Facebook.
L’altra conseguenza evidenziata dalla Corte in questo schema di raccolta e trasmissione dei dati è che l’azienda deve informare gli utenti sulla sua identità e sulle finalità del trattamento dei dati. Il che, nella pratica quotidiana, si traduce nell’apertura di finestre di testo che spesso gli utenti non leggono.
Un particolare interessante è che tutti questi adempimenti vengono ritenuti dalla Corte necessari già all’epoca in cui è iniziata la causa, quando vigeva non l’attuale regolamento Gdpr (2016/679, criticato da più parti per le complessità che introduce), ma la precedente direttiva 95/46.
Quest’ultima, fra i sei casi in cui il trattamento dei dati personali è lecito, includeva quello in cui c’è il consenso dell’interessato. La Corte precisa che il consenso va ottenuto dal gestore del sito solo per le operazioni di cui è responsabile o corresponsabile (come nel caso deciso ieri); quando invece il trattamento è lecito in quanto necessario a realizzare un interesse legittimo, in casi come quello in questione, occorre che sia tale sia l’interesse dell’azienda sia quello del social network.