Strumenti

Shape 5 Live Search

logo

Con l'applicazione del Regolamento europeo in materia di protezione dei dati personali sono sorti numerosi dubbi con riferimento all'utilizzo degli strumenti posti a disposizione da Facebook. Cerchiamo di chiarire alcuni punti. 

Precisiamo che quando ci riferiamo a Facebook parliamo di Facebook Ireland (4 Grand Canal Square Grand Canal Harbour Dublin 2 Ireland) quale titolare dei trattamenti operati in Europa. Il punto focale della normativa è che qualsiasi soggetto che può influenzare in qualche modo un trattamento (lo rende possibile) finisce per esserne titolare e quindi ne risponde giuridicamente. 

 

Like di Facebook

L'utilizzo dei Like e in genere dei plugin o widget posti a disposizione da Facebook per i gestori dei siti è stato analizzato dalla sentenza della Corte di Giustizie UE del 2019 n. 40/17. Trattandosi di un caso del 2017 la Corte non applica il GDPR, ma i principi sono analoghi. 

Secondo la Corte UE il gestore del sito web si comporta da titolare del trattamento nel momento in cui decide di utilizzare degli strumenti messi a disposizione da Facebook, anche se il trattamento sui dati operato da Facebook è ovviamente molto più invasivo. Il gestore (indicato nei documenti di Facebook quale "publisher") decide, quindi, anche solo parzialmente della finalità e dei mezzi, in particolare con riferimento alla "raccolta" e "comunicazione" dei dati alla terza parte, cioè Facebook Ireland. In tal modo contribuendo ad allargare la quantità delle persone che Facebook traccia. Infatti il gestore generalmente utilizza i tool di Facebook per fini commerciali, aumentando la pubblicità dei suoi prodotti.

Cioé perchè un soggetto sia titolare del trattamento non è necessario che compartecipi a tutte le finalità. Nel caso specifico, infatti, il gestore del sito non avrà accesso a tutti i dati raccolti tramite il suo sito da parte di Facebook. In genere il gestore del sito ha accesso solo a dati aggregati. 

Il differente peso nelle decisioni ovviamente comporta anche differente responsabilità. Per cui Facebook Ireland sarà titolare dei trattamenti che afferiscono alla sua attività, mentre il gestore delle sue, Essendo i trattamenti interconnessi siamo in presenza di contitolari (joint controller). L'outsourcing di servizi è una pratica comune, ma nel caso specifico il terzo opera dei trattamenti ulteriori sui dati, rispetto a quelli richiesti espressamente dal gestore del sito, per cui si rientra nell'ipotesi dei titolari congiunti

Il gestore del sito dovrà quindi chiedere il consenso al trattamento dei dati. Poiché le informazioni comunicate a Facebook non si limitano ad informazioni conservate nel dispositivo di navigazione, non è utilizzabile il legittimo interesse come base giuridica del trattamento dei dati. In breve non si tratta di cookie tecnici. Inoltre un legittimo interesse è difficilmente configurabile per Facebook considerato che vengono raccolti anche dati che riguardano soggetti non iscritti a Facebook e che quindi non hanno alcun collegamento con l'azienda. Correlato all'obbligo di acquisire il consenso vi è l'obbligo di informare correttamente l'interessato (il visitatore del sito) del tipo di trattamento, quindi indicando i dati che saranno raccolti, che i dati saranno comunicati a Facebook e cosa ne farà Facebook. Per tale ultimo incombente si potrà riferire direttamente alle informative messe a disposizione da Facebook. 

Il gestore del sito può essere sanzionato per aver utilizzato i plugin di Facebook senza una corretta informazione o gestione. 

 

Pagine Fan su Facebook

Una sentenza della Corte di Giustizia UE del 2018 (C-210/16) si occupa della gestione delle fanpage su Facebook. Trattandosi di causa del 2016 sono applicate le norme precedenti al GDPR, ma i principi sono sostranzialmente gli stessi. 

Secondo la Corte UE l’amministratore di una fanpage su Facebook è titolare del trattamento assieme a Facebook del trattamento dei dati dei visitatori della sua pagina, in quanto decide di avvalersi degli strumenti di Facebook per offrire i propri servizi, e in tal senso stipula un contratto con Facebook Ireland all’apertura della fanpage, aderendo alle condizioni contrattuali, incluso l’utilizzo dei cookie e il relativo trattamento dei dati. In particolare, l’amministratore offre a Facebook la possibilità di posizionare cookie sui dispositivi dei visitatori, anche a quelli che non possiedono un profilo Facebook. 

Inoltre l'amministratore riceve, tramite Facebook Insights ma in base ad impostazioni preconfigurate da Facebook e non modificabili, dati demografici e di altro tipo (sesso, età, situazione sentimentale e professionale, informazioni sullo stile di vita e sugli interessi, sugli acquisti e i comportamenti di acquisto online, categorie di prodotti ed altro) relativi al pubblico della fanpage. Tali dati sono aggregati, ma i dati raccolti e comunicati a Facebook sono identificativi. Quindi, partecipando alla determinazione delle finalità e delle modalità del trattamento, l'amministratore è titolare congiunto del trattamento insieme a Facebook Ireland, e quindi risponde del suo trattamento in caso di violazioni. Anche qui dovrà informare correttamente gli interessati, anche del trattamento a fini di profilazione.