Le aziende che incorporano il pulsante “Mi piace” di Facebook sui loro siti web e che dunque consentono di condividere le preferenze degli utenti sul social network devono essere ritenute responsabili della raccolta dei dati e della protezione degli stessi. Lo ha stabilito una sentenza della Corte di Giustizia Ue.
La sentenza fa seguito alla causa intentata dall’ente tedesco Verbraucherzentrale NRW,nei confronti del sito di e-commerce di moda Fashion ID accusato di aver violato le norme sulla protezione dei dati personali attraverso l’uso del pulsante “Like” sul proprio sito poiché avrebbe consentito a Facebook di raccogliere dati sugli utenti del sito.
Il proprietario di un sito Web può essere ritenuto congiuntamente responsabile per “la raccolta e la trasmissione a Facebook dei dati personali dei visitatori del suo sito Web”, ha dichiarato il tribunale lussemburghese. “Al contrario, tale operatore non è, in linea di principio, un responsabile del trattamento per il successivo trattamento di tali dati effettuato da Facebook da solo.” La decisione non può essere impugnata.
Se da un lato la sentenza stabilisce che “Fashion ID sembra non poter essere considerata responsabile delle operazioni di trattamento di dati effettuate dalla Facebook Ireland dopo la loro trasmissione a quest’ultima. Infatti, risulta escluso, prima facie, che la Fashion ID determini le finalità e gli strumenti di tali operazioni”, dall’altro evidenzia che “per contro, la Fashion ID può essere considerata responsabile, congiuntamente con la Facebook Ireland, delle operazioni di raccolta e di comunicazione mediante trasmissione dei dati di cui trattasi, dal momento che si può concludere (fatte salve le verifiche che devono essere effettuate dall’Oberlandesgericht Düsseldorf) che la Fashion ID e la Facebook Ireland ne determinano, congiuntamente, i motivi e le finalità”.
Secondo molti esperti di privacy le aziende non sono consapevoli dei potenziali rischi dell’essere ritenute responsabili in solido con i social network e con le online company per i dati che condividono incorporando il plug-in social, come il pulsante “Mi piace” di Facebook sul loro sito web. “I plug-in per siti Web sono caratteristiche comuni e importanti di Internet moderno”, ha dichiarato il consigliere generale associato di Facebook Jack Gilbert in una nota. “Stiamo esaminando attentamente la decisione del tribunale e lavoreremo a stretto contatto con i nostri partner per garantire che possano continuare a beneficiare dei nostri plug-in sociai e altri strumenti aziendali nel pieno rispetto della legge”.
Il caso risale a prima dell’adozione della normativa Gdpr in Europa. Tuttavia, il concetto di due società viste come “controllori” congiunti per motivi di protezione dei dati, rimane rilevante nelle nuove regole, ha dichiarato all’agenzia Bloomberg Tom De Cordier, avvocato specializzato in tecnologia e protezione dei dati presso il CMS DeBacker di Bruxelles.”Se qualcosa va storto sul lato della raccolta dei dati, le aziende possono essere incriminate tanto quanto Facebook”.
Il testo integrale della sentenza della Corte Ue
