L’amministratore di una fanpage su Facebook è responsabile assieme a Facebook del trattamento dei dati dei visitatori della sua pagina

L’autorità per la protezione può agire sia nei confronti di quest’ultimo sia nei confronti della Facebook.

La società tedesca Wirtschaftsakademie Schleswig-Holstein offre servizi di formazione attraverso segnatamente una fanpage presente su Facebook.

Gli amministratori di fanpage, quali la Wirtschaftsakademie, possono ottenere dati statistici anonimi sui visitatori di tali pagine servendosi di una funzione denominata Facebook Insights. Tali dati sono raccolti grazie a cookies attivi per due anni e salvati da Facebook sul computer dei visitatori della fanpage.

Con decisione del 3 novembre 2011, l’Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein ordinava alla Wirtschaftsakademie la disattivazione della sua fanpage. Infatti, secondo l’Unabhängiges Landeszentrum, né la Wirtschaftsakademie né Facebook avevano informato i visitatori della fanpage del fatto che Facebook raccoglieva, mediante cookie, informazioni personali che li riguardavano e che essi elaboravano successivamente tali informazioni.

Contro tale decisione, la Wirtschaftsakademie proponeva ricorso dinanzi ai tribunali amministrativi tedeschi affermando che il trattamento dei dati personali realizzato da Facebook non può esserle imputato e negando inoltre di aver incaricato Facebook di effettuare un trattamento di dati soggetto al suo controllo o rientrante nella sua sfera d’influenza. La Wirtschaftsakademie ne deduce che l’Unabhängiges Landeszentrum avrebbe dovuto agire direttamente contro Facebook e non contro di essa.

È in tale contesto che il Bundesverwaltungsgericht (Corte amministrativa federale, Germania) ha chiesto alla Corte di giustizia d’interpretare la direttiva 95/46 sulla protezione dei dati.

Nella sua sentenza C-210/16 del 5 giugno 2018, la Corte Europea di giustizia osservava, innanzitutto, che non si dubita nella presente causa del fatto che Facebook debbano essere considerate quali «responsabili del trattamento» dei dati analitici personali degli utenti di Facebook nonché delle persone che hanno visitato le fanpage presenti su Facebook. Infatti Facebook determina le finalità e gli strumenti del trattamento di tali dati.

In seguito, la Corte constata che un amministratore quale la Wirtschaftsakademie deve essere considerato responsabile, all’interno dell’Unione, assieme alla Facebook (Ireland) del trattamento dei dati interessati.

Infatti, un amministratore del genere partecipa, attraverso la propria azione d’impostazione dei parametri (in funzione, segnatamente, del suo pubblico destinatario nonché di obiettivi di gestione o promozione delle proprie attività), alla determinazione delle finalità e degli strumenti del trattamento dei dati personali dei visitatori della sua fanpage. In particolare, la Corte rileva a tal riguardo che l’amministratore della fanpage può chiedere di ricevere (in forma anonima) – e, quindi, di trattare – dati demografici concernenti il suo pubblico destinatario (in particolare tendenze in materia di età, sesso, situazione sentimentale e professionale), informazioni sullo stile di vita e sugli interessi di detto pubblico (incluse informazioni sugli acquisti e il comportamento di acquisto online dei visitatori della sua pagina, nonché le categorie di prodotti o di servizi di loro maggiore interesse) e dati territoriali che consentono all’amministratore della fanpage di stabilire dove avviare promozioni speciali o organizzare eventi e, in generale, di offrire informazioni maggiormente mirate.

Secondo la Corte, la circostanza che un amministratore di una fanpage utilizzi la piattaforma realizzata da Facebook per beneficiare dei servizi a essa collegati non può esonerarlo dal rispetto degli obblighi ad esso incombenti in materia di protezione dei dati personali.