Con l'applicazione del Regolamento europeo in materia di protezione dei dati personali sono sorti numerosi dubbi con riferimento all'utilizzo degli strumenti posti a disposizione da Facebook. Cerchiamo di chiarire alcuni punti. 

Quando ci riferiamo a Facebook parliamo di Facebook Ireland (4 Grand Canal Square Grand Canal Harbour Dublin 2 Ireland) quale titolare dei trattamenti operati in Europa. Il punto focale della normativa è che qualsiasi soggetto che può influenzare in qualche modo un trattamento (lo rende possibile) finisce per esserne titolare e quindi ne risponde giuridicamente. 

Per quanto riguarda il trattamento dei dati, con riferimento agli utenti (interessati) i dati non sono solo quelli forniti direttamente da essi, ma si vedono considerare anche i dati "osservati" (observed) dal social provider, come ad esempio i dati comportamentali (i contenuti visualizzati) ma anche i dati ottenuti da servizi terzi e unificati, casomai anche tramite data onboarding, e infine i dati ricavati (inferred) dal social provider a seguito di analisi (ad esempio la preferenza verso un prodotto o servizio in base alla frequenza di visualizzazione dello stesso). I dati personali che tratta il social media possono essere utilizzati per realizzare dei criteri in base ai quali gli inserzionisti inviano pubblicità mirata agli utenti. 

 

Like di Facebook

L'utilizzo dei Like e in genere dei plugin o widget posti a disposizione da Facebook per i gestori dei siti è stato analizzato dalla sentenza della Corte di Giustizie UE del 2019 n. 40/17 (Fashion ID). Trattandosi di un caso del 2017 la Corte non ha applicato il GDPR, ma i principi sono analoghi. 

Secondo la Corte UE il gestore del sito web si comporta da titolare del trattamento nel momento in cui decide di utilizzare degli strumenti messi a disposizione da Facebook, anche se il trattamento sui dati operato da Facebook è ovviamente molto più invasivo. Il gestore (indicato nei documenti di Facebook quale "publisher") decide, quindi, anche solo parzialmente della finalità e dei mezzi, in particolare con riferimento alla "raccolta" e alla "comunicazione" dei dati alla terza parte (cioè Facebook Ireland). In tal modo contribuendo ad allargare la quantità delle persone che Facebook traccia. Infatti il gestore generalmente utilizza i tool di Facebook per fini commerciali, aumentando la pubblicità dei suoi prodotti.

Cioé, perchè un soggetto sia titolare del trattamento non è necessario che compartecipi a tutte le finalità. Nel caso specifico, infatti, il gestore del sito non avrà accesso a tutti i dati raccolti tramite il suo sito da parte di Facebook. In genere il gestore del sito ha accesso solo a dati aggregati. Il differente peso nelle decisioni ovviamente comporta anche differente responsabilità. Per cui Facebook Ireland sarà titolare dei trattamenti che afferiscono alle sue attività, mentre il gestore del sito delle proprie, Essendo i trattamenti interconnessi siamo in presenza di contitolari (joint controller). L'outsourcing di servizi è una pratica comune, ma nel caso specifico il terzo opera dei trattamenti ulteriori sui dati, rispetto a quelli richiesti espressamente dal gestore del sito, per cui si rientra nell'ipotesi dei titolari congiunti

Il gestore del sito dovrà quindi chiedere il consenso al trattamento dei dati. Poiché le informazioni comunicate a Facebook non si limitano ad informazioni conservate nel dispositivo di navigazione, non è utilizzabile il legittimo interesse come base giuridica del trattamento dei dati. In breve non si tratta di cookie tecnici. Inoltre un legittimo interesse è difficilmente configurabile per Facebook considerato che vengono raccolti anche dati che riguardano soggetti non iscritti a Facebook e che quindi non hanno alcun collegamento con l'azienda. Correlato all'obbligo di acquisire il consenso vi è l'obbligo di informare correttamente l'interessato (il visitatore del sito) del tipo di trattamento, quindi indicando i dati che saranno raccolti, che i dati saranno comunicati a Facebook e cosa ne farà Facebook. Per tale ultimo incombente si potrà riferire direttamente alle informative messe a disposizione da Facebook. 

Il gestore del sito può essere sanzionato per aver utilizzato i plugin di Facebook senza una corretta informazione o gestione. 

 

Pagine Fan su Facebook

Una sentenza della Corte di Giustizia UE del 2018 (C-210/16 Wirtschaftsakademie) si occupa della gestione delle fanpage su Facebook. Trattandosi di causa del 2016 sono applicate le norme precedenti al GDPR, ma i principi sono sostranzialmente gli stessi. 

Secondo la Corte UE l’amministratore di una fanpage su Facebook è titolare assieme a Facebook del trattamento dei dati dei visitatori della sua pagina, in quanto decide di avvalersi degli strumenti di Facebook per offrire i propri servizi, e in tal senso stipula un contratto con Facebook Ireland all’apertura della fanpage, aderendo alle condizioni contrattuali, incluso l’utilizzo dei cookie e il relativo trattamento dei dati. In particolare, l’amministratore offre a Facebook la possibilità di posizionare cookie sui dispositivi dei visitatori, anche a quelli che non possiedono un profilo Facebook. 

Inoltre l'amministratore riceve, tramite Facebook Insights, ma in base ad impostazioni preconfigurate da Facebook e non modificabili, dati demografici e di altro tipo (sesso, età, situazione sentimentale e professionale, informazioni sullo stile di vita e sugli interessi, sugli acquisti e i comportamenti di acquisto online, categorie di prodotti ed altro) relativi al pubblico della fanpage. Tali dati sono aggregati, ma i dati raccolti e comunicati a Facebook sono identificativi. Quindi, partecipando alla determinazione delle finalità e delle modalità del trattamento, l'amministratore è titolare congiunto del trattamento insieme a Facebook Ireland, e quindi risponde del suo trattamento in caso di violazioni. Anche qui dovrà informare correttamente gli interessati, anche del trattamento a fini di profilazione

 

Responsabilità dei titolari congiunti

I titolari del trattamento, congiuti con Facebook, sono tenuti a porre in atto un accordo trasparente che determini le relative responsabilità in tema di conformità al GDPR, e in particolare con riferimento all'esercizio dei diritti dell'interessato e agli obblighi di fornire le opportune informazioni agli stessi.