Consulenza e Formazione Sicurezza, Medicina Del Lavoro, Sistemi Di Gestione, Qualità, Privacy, Ambiente e Modelli Organizzativi

Sito internet: attenzione ai pulsanti social

Se avete un sito internet e al suo interno avete inserito un plug-in social, dovete prestare attenzione ai recenti orientamenti in materia di protezione dei dati personali.

Cominciamo, innanzitutto, spiegando che per plug-in si intende un programma non autonomo che interagisce con un altro programma per ampliarne o estenderne le funzionalità originarie. Indichiamo, quindi, con il termine plug-in social quel programma che permette di collegare, tramite icona sul sito, una pagina internet con una piattaforma social, ad esempio Facebook, Instagram, WordPress, LinkedIn, Telegram ecc.

Occorre però essere consapevoli che la presenza di quel pulsante innesca un flusso di dati tra sito web e il social di riferimento, senza che sia necessario cliccare sull’icona o essere iscritto al social. Solitamente, ogni volta che accediamo a un sito internet, viene infatti registrato il nostro indirizzo IP (l’identificativo univoco del dispositivo) e i cookies tracciano alcuni dei nostri comportamenti durante il periodo di connessione (pagine visitate, tempo di lettura, prodotti selezionati ecc.).

Ricordiamo che nella definizione di dato personale si esplicita che una persona fisica (l’interessato, ovvero l’utente del sito) può essere “identificata o identificabile, direttamente o indirettamente, anche grazie a un identificativo online” e che il termine trattamento indica “qualsiasi operazione, compiuta con o senza l’ausilio di processi automatizzati e applicata a dati personali, come la raccolta, la conservazione, l’estrazione, la consultazione, l’uso e la comunicazione mediante trasmissione”.

Da tutto ciò deriva che è necessario rispettare tutti gli adempimenti in materia privacy definiti dal Regolamento UE 2016/679 (GDPR), applicabile dal 25 maggio 2018.

A sollevare la questione è stata la Verbraucherzentrale NRW, associazione tedesca di pubblica utilità per la tutela degli interessi dei consumatori, che ha contestato alla Fashion ID GmbH & Co. KG, azienda di commercio online di abbigliamento che aveva incorporato nel suo sito il pulsante like di Facebook, di aver trasmesso a Facebook Ireland Ltd. i dati personali appartenenti ai visitatori del suo sito internet senza il loro consenso e in violazione degli obblighi d’informazione.

Investito della controversia, il Tribunale Superiore del Land di Düsseldorf chiedeva alla Corte di Giustizia dell’Unione Europea di interpretare alcune disposizioni sulla protezione dei dati relativi alla precedente Direttiva 95/46/CE (ancora viva per le azioni giudiziarie nonostante l’abrogazione a seguito dell’applicabilità del GDPR, poiché la normativa vigente lo consente).

Nella sentenza C-40/17 dello scorso 29 luglio, la Seconda Sezione della Corte con sede a Lussemburgo ha stabilito che il gestore di un sito internet è responsabile della raccolta, tramite plug-in social, dei dati personali dei visitatori del sito. Inoltre, i giudici hanno affermato che si configura come corresponsabile anche il fornitore del plug-in.

Tuttavia, da quanto enunciato dai giudici, l’esistenza di una responsabilità congiunta non implica necessariamente un piano di responsabilità equivalente, per un medesimo trattamento di dati personali, dei diversi soggetti coinvolti. Anzi, tali soggetti possono essere interessati in diverse fasi di tale trattamento e a differenti livelli, in modo tale da valutare il grado di responsabilità di ciascuno tenendo conto di tutte le circostanze rilevanti del caso di specie.

Ne deriva che il gestore del sito internet e il fornitore del plug-in social sono contitolari rispetto alle operazioni di raccolta e trasmissione dei dati personali dei visitatori del sito tramite plug-in. Ciò in quanto il gestore contribuisce a determinare i mezzi e le finalità del trattamento in questione. Infatti, incorporando un plug-in social nel proprio sito, il gestore del sito esercita un’influenza decisiva sulla raccolta e sulla trasmissione dei dati personali dei visitatori del sito al fornitore di quel plug-in.

Inoltre, la Corte osserva che l’inclusione di un plug-in come il pulsante like di Facebook nel proprio sito consente al gestore di ottimizzare la pubblicità dei suoi prodotti rendendoli più visibili sul social network, di fatto traendone un vantaggio economico, a prescindere dalla possibilità di accesso ai dati raccolti.

Per contro, il gestore del sito non può essere considerato responsabile delle operazioni di trattamento di dati effettuate dal fornitore del plug-in dopo che i dati sono stati trasferiti a quest’ultimo, in quanto esulano dalla sua sfera.

Se dunque consideriamo il gestore del sito come Titolare del trattamento per le attività di raccolta e trasmissione di dati tramite plug-in, ne conseguiranno gli obblighi previsti dalla normativa, tra cui l’informativa agli utenti.

Il gestore deve inoltre valutare la base giuridica più adatta rispetto alle finalità di trattamento in questione. Può infatti ricorrere all’interesse legittimo (art. 6.1 lett. f) GDPR) verificando che anche il fornitore del plug-in utilizzi e rispetti tale base giuridica, considerando che la Corte non ha espresso specificamente quali interessi possano considerarsi legittimi. Altrimenti il Titolare può prevedere il consenso dell’interessato (art. 6.1 lett.a) GDPR), garantendo all’utente che senza la prestazione del consenso non possa configurarsi alcuna raccolta e trasmissione dei dati. Il gestore del sito è tenuto ad acquisire il consenso solo per le operazioni di cui è corresponsabile, cioè la raccolta e la trasmissione dei dati attraverso il plug-in.

Quali sono quindi i risvolti pratici di questa sentenza?

I siti internet che incorporano plug-in social sono tenuti a verificare che le proprie privacy policy contengano espliciti riferimenti alle operazioni di raccolta e di trasmissione di dati relativi all’uso di tali plug-in. In caso di adozione del consenso come base giuridica, dovranno altresì assicurarsi di intraprendere le misure necessarie per raccoglierlo preventivamente. Rammentiamo che l’acquisizione del consenso tramite flag preselezionati non è conforme al GDPR.
Non resta quindi che attendere ulteriori sviluppi delle tematiche e prestare sempre attenzione agli strumenti aziendali utilizzati.