Civile.it
/internet
Osservatorio sul diritto e telecomunicazioni informatiche, a cura del dott. V. Spataro dal 1999, 9266 documenti.

Il dizionario e' stato letto volte.



Segui via: Email - Telegram
  Dal 1999   spieghiamo il diritto di internet  Store  Podcast  Dizionario News alert    
             

  


WPkit.it: privacy, formulari, check up per WordPress

Temi attuali:
Algoritmi ChatGPT Intelligenza artificiale Privacy WordPress



Privacy 05.06.2018    Pdf    Appunta    Letti    Post successivo  

GDPR: l'amministratore della pagina Facebook risponde dei dati degli iscritti

Essendo possibile applicare loro dei cookies.

ATTENZIONE: queste sono solo le conclusioni. La sentenza sta per essere pubblicata.
Spataro

 

C

CONCLUSIONI DELL’AVVOCATO GENERALE

YVES BOT

presentate il 24 ottobre 2017 (1)

Causa C210/16

Unabhängiges Landeszentrum für Datenschutz Schleswig‑Holstein

contro

Wirtschaftsakademie Schleswig‑Holstein GmbH,

con l’intervento di

Facebook Ireland Ltd,

Vertreter des Bundesinteresses beim Bundesverwaltungsgericht

[domanda di pronuncia pregiudiziale proposta dal Bundesverwaltungsgericht (Corte amministrativa federale, Germania)]

«Rinvio pregiudiziale – Direttiva 95/46/CE – Articoli 2, 4 e 28 – Tutela delle persone fisiche riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati – Provvedimento diretto a disattivare una fanpage sul social network Facebook – Nozione di “responsabile del trattamento” – Responsabilità del gestore di una fanpage – Responsabilità congiunta – Diritto nazionale applicabile – Portata dei poteri delle autorità di vigilanza»





1.        La presente domanda di pronuncia pregiudiziale verte sull’interpretazione degli articoli 2, lettera d), 4, paragrafo 1, 17, paragrafo 2, e 28, paragrafi 3 e 6, della direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (2), come modificata dal regolamento (CE) n. 1882/2003 del Parlamento europeo e del Consiglio, del 29 settembre 2003 (3).

2.        La suddetta domanda è stata sollevata nell’ambito di una controversia che contrappone la Wirtschaftsakademie Schleswig‑Holstein GmbH, società di diritto privato specializzata nel settore della formazione (in prosieguo: la «Wirtschaftsakademie»), all’Unabhängiges Landeszentrum für Datenschutz Schleswig‑Holstein, l’autorità di vigilanza regionale per la protezione dei dati del Land Schleswig‑Holstein (in prosieguo: l’«ULD»), avente ad oggetto la legittimità di un provvedimento da quest’ultima emesso nei confronti della Wirtschaftsakademie con cui le viene richiesto di disattivare una fanpage gestita sul sito di Facebook Ireland Ltd.

3.        Il suddetto provvedimento è motivato sulla base dell’asserita violazione delle disposizioni tedesche di recepimento della direttiva 95/46, in particolare alla luce del fatto che gli utenti di una fanpage non sono informati della raccolta dei loro dati personali compiuta dal social network Facebook (in prosieguo: «Facebook») attraverso cookie attivati sul loro disco rigido, al fine di realizzare statistiche sugli utenti destinate al gestore di detta pagina e permettere a Facebook di diffondere pubblicità mirate.

4.        La presente controversia si colloca nel contesto del fenomeno del «webtracking», consistente nell’osservare e analizzare il comportamento degli utenti Internet a fini commerciali e di marketing. Detto webtracking permette, in particolare, di identificare gli interessi degli utenti Internet osservando le loro abitudini di navigazione. Si parla, in tal caso, di «webtracking comportamentale» effettuato di norma mediante l’impiego di cookie.

5.        I suddetti cookie sono dei file di controllo attivati sul computer dell’utente Internet all’apertura di un sito web.

6.        Il webtracking è impiegato, in particolare, al fine di ottimizzare e di strutturare in maniera più efficace un sito web. Inoltre, esso permette ai pubblicitari di rivolgersi in modo mirato alle diverse fasce di pubblico.

7.        In base alla definizione che ne ha dato il gruppo di lavoro «Articolo 29» per la protezione dei dati (4) nel suo parere 2/2010, del 22 giugno 2010, sulla pubblicità comportamentale online (5), «[l]a pubblicità comportamentale si basa sull’osservazione del comportamento delle persone nel tempo. Questo tipo di pubblicità cerca di studiare le caratteristiche del comportamento delle persone attraverso le loro azioni (frequentazione ripetuta di certi siti, interazioni, parole chiave, produzione di contenuti online ecc.) al fine di elaborare un profilo specifico e quindi inviare messaggi pubblicitari che corrispondano perfettamente agli interessi dedotti» (6). A tal fine, devono essere raccolte e utilizzate informazioni provenienti dagli utenti e dalle loro apparecchiature terminali. La principale tecnologia di tracciamento utilizzata per monitorare gli utenti in rete si fonda sui tracking cookie (7). Così, «[la pubblicità comportamentale] utilizza le informazioni raccolte sul comportamento di navigazione degli internauti, ad esempio le pagine visitate o le ricerche effettuate, per selezionare le pubblicità da offrire» (8).

8.        Il tracciamento dei comportamenti di navigazione permette anche di fornire ai gestori di siti web statistiche sugli utenti concernenti le persone che accedono a detti siti.

9.        Per rispondere alle disposizioni in materia di protezione dei dati personali introdotte dalla direttiva 95/46, la raccolta e l’utilizzo di dati personali finalizzati all’elaborazione di statistiche sugli utenti e alla diffusione di pubblicità mirate devono soddisfare determinati presupposti. In particolare, i suddetti trattamenti non possono essere compiuti senza l’informazione e il consenso preventivi degli interessati.

10.      Tuttavia, l’esame della suddetta conformità presuppone che siano preliminarmente risolte varie questioni concernenti la definizione di responsabile del trattamento e l’individuazione del diritto nazionale applicabile, nonché dell’autorità competente per esercitare i poteri di intervento.

11.      La questione concernente l’identificazione del responsabile del trattamento risulta particolarmente spinosa ove, invece di installare sul suo sito web gli strumenti necessari all’elaborazione di statistiche sugli utenti e alla diffusione di pubblicità mirate, un operatore economico decida di servirsi di un social network, come Facebook, aprendo una fanpage al fine di beneficiare di strumenti analoghi.

12.      Anche le questioni attinenti all’individuazione del diritto nazionale applicabile e dell’autorità competente a esercitare poteri d’intervento appaiono complesse, quando il trattamento dei dati personali di cui trattasi implica l’intervento di più soggetti posti sia al di fuori che all’interno dell’Unione europea.

13.      In una fase in cui le autorità di vigilanza di vari Stati membri hanno deciso, negli ultimi mesi, di infliggere a Facebook alcune ammende in ragione della violazione delle norme relative alla protezione dei dati dei suoi utenti (9), la causa in esame permetterà alla Corte di precisare la portata dei poteri di intervento riconosciuti a un’autorità di vigilanza quale l’ULD con riferimento a un trattamento di dati personali implicante l’intervento di più soggetti.

14.      Al fine di comprendere pienamente gli aspetti giuridici della presente causa, occorre anzitutto descrivere il contesto di fatto in cui si colloca la controversia principale.

I.      Fatti e questioni pregiudiziali

15.      La Wirtschaftsakademie offre servizi di formazione attraverso una fanpage gestita sul social network Facebook.

16.      Le fanpage sono account utenti che possono essere attivate su Facebook, in particolare, da singole persone o imprese. Per farlo, il gestore della fanpage deve registrarsi presso Facebook e può così utilizzare la piattaforma da quest’ultima amministrata per presentarsi agli utenti di detto social network e per diffondere comunicazioni di ogni tipo al fine, segnatamente, di sviluppare un’attività commerciale.

17.      I gestori delle fanpage possono ottenere statistiche sugli utenti servendosi dello strumento «Facebook Insights», messo a loro disposizione gratuitamente da Facebook nel quadro di condizioni d’uso non modificabili. Le suddette statistiche sono elaborate da Facebook e personalizzate dal gestore di una fanpage in funzione di diversi criteri da esso selezionabili, quali l’età o il sesso. Dette statistiche forniscono così informazioni anonime sulle caratteristiche e sulle abitudini delle persone che hanno avuto accesso alla fanpage, permettendo ai relativi gestori di inviare comunicazioni più mirate.

18.      Al fine di elaborare le suddette statistiche sugli utenti, Facebook attiva sul disco rigido della persona che ha avuto accesso alla fanpage quantomeno un cookie contenente un codice identificativo unico, che resta attivo due anni. Il codice identificativo, che può essere collegato ai dati di collegamento dell’utente registrato su Facebook, è raccolto ed elaborato al momento dell’accesso alle pagine Facebook.

19.      Con decisione del 3 novembre 2011, in conformità all’articolo 38, paragrafo 5, primo periodo, del Bundesdatenschutzgesetz (legge tedesca sulla protezione dei dati, in prosieguo: il «BDSG») (10), l’ULD ordinava alla Wirtschaftsakademie, a pena di ammenda in caso di mancato adempimento nel termine prescritto, di disattivare la fanpage che essa aveva creato su Facebook all’indirizzo Internet «https://www.facebook.com/wirtschaftsakademie», poiché né la Wirtschaftsakademie, né Facebook informavano gli utenti della fanpage del fatto che quest’ultima raccoglieva i loro dati personali servendosi di cookie e che sottoponeva tali dati a un successivo trattamento. Avverso la suddetta decisione, la Wirtschaftsakademie presentava reclamo negando, essenzialmente, alla luce della normativa applicabile in materia di protezione dei dati, di essere responsabile del trattamento dei dati compiuto da Facebook e dei cookie da quest’ultimo installati.

20.      Con decisione del 16 dicembre 2011, l’ULD respingeva il suddetto reclamo, affermando che la responsabilità della Wirtschaftsakademie, quale fornitore di servizi, scaturiva dagli articoli 3, paragrafo 3, punto 4, e 12, paragrafo 1, del Telemediengesetz (legge sui media online) (11). Inoltre, creando la fanpage, la Wirtschaftsakademie contribuirebbe in maniera attiva e volontaria alla raccolta di dati personali da parte di Facebook, di cui essa beneficerebbe grazie alle statistiche sugli utenti messe a disposizione da detto social network.

21.      Avverso la suddetta decisione, la Wirtschaftsakademie ha quindi proposto ricorso dinanzi al Verwaltungsgericht (Tribunale amministrativo, Germania), affermando che le attività di trattamento dati da parte di Facebook non potrebbero esserle imputate e negando inoltre di aver incaricato Facebook, ai sensi dell’articolo 11 del BDSG (12), di effettuare un trattamento dati soggetto al suo controllo o rientrante nella sua sfera di influenza. A giudizio della Wirtschaftsakademie, l’ULD avrebbe erroneamente promosso un’azione nei suoi confronti invece che direttamente a carico di Facebook.

22.      Con sentenza del 9 ottobre 2013, il Verwaltungsgericht (Tribunale amministrativo) annullava la decisione impugnata dichiarando, sostanzialmente, che il gestore di una fanpage su Facebook non rappresenta un «organismo responsabile» ai sensi dell’articolo 3, paragrafo 7, del BDSG (13) e che la Wirtschaftsakademie non poteva essere destinataria di una misura adottata a norma dell’articolo 38, paragrafo 5, del BDSG.

23.      In seguito, l’Oberverwaltungsgericht (Tribunale amministrativo superiore del Land, Germania) respingeva l’appello proposto dall’ULD avverso la sentenza succitata in quanto infondato ritenendo, essenzialmente, che il divieto di trattamento dei dati sancito nella decisione impugnata fosse illegittimo nella misura in cui l’articolo 38, paragrafo 5, secondo periodo, del BDSG prevede un processo graduale la cui prima fase permette unicamente di adottare misure volte a sanare violazioni accertate in sede di trattamento dei dati. Un divieto immediato di trattamento dei dati sarebbe ipotizzabile unicamente ove un processo di trattamento dei dati fosse illegittimo nella sua globalità e a condizione che solo la sospensione di detto processo permetta di porvi rimedio. Ora, a giudizio dell’Oberverwaltungsgericht (Tribunale amministrativo superiore del Land), tale situazione non sussisterebbe nella fattispecie poiché Facebook potrebbe senz’altro far cessare le violazioni dedotte dall’ULD.

24.      Inoltre, il provvedimento sarebbe illegittimo in quanto, con riferimento ai dati raccolti da Facebook in sede di gestione della fanpage, la ricorrente non sarebbe un organismo responsabile ai sensi dell’articolo 3, paragrafo 7, del BDSG e, a norma del successivo articolo 38, paragrafo 5, di detta legge, un provvedimento potrebbe essere emesso soltanto nei confronti di un organismo siffatto. Nella fattispecie, solo Facebook deciderebbe della finalità e degli strumenti concernenti la raccolta e il trattamento dei dati personali utilizzati per la funzione «Facebook Insights». La ricorrente, dal canto suo, riceverebbe soltanto informazioni statistiche rese anonime.

25.      L’articolo 38, paragrafo 5, del BDSG non autorizzerebbe l’emissione di provvedimenti nei confronti di terzi. La cosiddetta responsabilità «indiretta» («Störerhaftung») su Internet, teorizzata dalla giurisprudenza dei giudici civili, non potrebbe essere applicata alle prerogative dei poteri pubblici. Benché l’articolo 38, paragrafo 5, del BDSG non indichi espressamente il destinatario del provvedimento di divieto, dall’economia, dall’oggetto e dallo spirito della disposizione succitata, nonché dalla sua genesi, si evincerebbe che il destinatario può essere unicamente l’organismo responsabile.

26.      Con il suo ricorso per cassazione (Revision), proposto dinanzi al Bundesverwaltungsgericht (Corte amministrativa federale, Germania), l’ULD fa valere, in particolare, una violazione dell’articolo 38, paragrafo 5, del BDSG e deduce vari errori procedurali commessi dal giudice di appello. Essa ritiene che la violazione commessa dalla Wirtschaftsakademie consista nell’aver affidato la realizzazione, l’hosting e la manutenzione di un sito Internet a un fornitore inadatto in quanto irrispettoso della normativa applicabile in materia di protezione dei dati, nella fattispecie Facebook Ireland. Il provvedimento con cui è intimata la disattivazione sarebbe così diretto a porre rimedio alla suddetta violazione commessa dalla Wirtschaftsakademie, vietandole di continuare a utilizzare l’infrastruttura di Facebook come base tecnica del suo sito Internet.

27.      Per quanto attiene alla raccolta e al trattamento dei dati delle persone che accedono alla fanpage da parte dell’interveniente nel procedimento principale, vale a dire Facebook Ireland, il giudice del rinvio ritiene che la Wirtschaftsakademie non sia «l’organismo che raccoglie, elabora o utilizza dati personali in proprio o attraverso terzi su commissione», ai sensi dell’articolo 3, paragrafo 7, del BDSG, o l’«organismo che, da solo o insieme ad altri, determina le finalità e gli strumenti del trattamento di dati personali», ai sensi dell’articolo 2, lettera d), della direttiva 95/46. Certamente, decidendo di creare una fanpage sulla piattaforma gestita dall’interveniente nel procedimento principale o dalla sua società controllante (nella fattispecie Facebook Inc., Stati Uniti), la Wirtschaftsakademie offrirebbe – di fatto – a detta interveniente la possibilità di procedere all’attivazione di cookie al momento dell’accesso alla fanpage in questione e di raccogliere, così facendo, dei dati. Tuttavia, tale decisione non permetterebbe alla Wirtschaftsakademie di influenzare, guidare, configurare o, ancora, controllare la natura e la portata del trattamento dei dati degli utenti della sua fanpage da parte dell’interveniente nel procedimento principale. Nemmeno le condizioni di utilizzo della fanpage riconoscerebbero alla Wirtschaftsakademie diritti di intervento o di controllo. Tali condizioni, fissate unilateralmente dall’interveniente nel procedimento principale, non sarebbero frutto di una trattativa negoziale e non attribuirebbero neppure alla Wirtschaftsakademie il diritto di vietare all’interveniente nel procedimento principale la raccolta e il trattamento dei dati degli utenti della fanpage.

28.      In linea di principio, il giudice del rinvio riconosce che la definizione giuridica di «responsabile del trattamento», formulata nell’articolo 2, lettera d), della direttiva 95/46, deve essere interpretata in maniera estensiva, nell’interesse di una tutela efficace del diritto alla vita privata. Tuttavia, la Wirtschaftsakademie non rientrerebbe in tale definizione poiché essa non esercita alcuna influenza, in fatto o in diritto, sulle modalità con cui l’interveniente nel procedimento principale elabora i dati personali sotto la propria responsabilità e in piena indipendenza. A tale proposito, non sarebbe sufficiente che la Wirtschaftsakademie possa oggettivamente trarre vantaggio dalla funzione «Facebook Insights» gestita dall’interveniente nel procedimento principale grazie ai dati, resi anonimi, che le sono trasmessi nell’ottica dell’utilizzo della sua fanpage.

29.      A giudizio del giudice del rinvio, la Wirtschaftsakademie non potrebbe neppure essere considerata come responsabile di un trattamento dei dati su commissione ai sensi dell’articolo 11 del BDSG e degli articoli 2, lettera e), e 17, paragrafi 2 e 3, della direttiva 95/46.

30.      Tale giudice ritiene necessario chiarire se e a quali condizioni i poteri di controllo e di intervento delle autorità di vigilanza in materia di protezione dei dati possano essere esercitati soltanto nei confronti del «responsabile del trattamento», ai sensi dell’articolo 2, lettera d), della direttiva 95/46, o se un organismo diverso dal responsabile del trattamento dei dati in base alla definizione risultante dalla suddetta disposizione possa essere ritenuto responsabile, per il fatto di aver scelto di ricorrere a Facebook per offrire informazioni.

31.      In quest’ultima ipotesi, il giudice del rinvio chiede se una responsabilità siffatta possa essere fondata su un’applicazione analogica degli obblighi di scelta e di controllo derivanti dall’articolo 17, paragrafo 2, della direttiva 95/46 nel quadro di un trattamento dei dati su commissione.

32.      Per potersi pronunciare sulla legittimità del provvedimento emanato nella fattispecie, il giudice del rinvio ritiene che sia parimenti necessario chiarire determinati aspetti concernenti la competenza delle autorità di vigilanza e la portata dei loro poteri di intervento.

33.      In particolare, il giudice del rinvio s’interroga sulla ripartizione delle competenze tra le autorità di vigilanza in un caso in cui una società controllante, come la Facebook Inc., disponga di diverse filiali nel territorio dell’Unione cui sono affidati compiti diversi in seno al gruppo.

34.      A tale proposito, il giudice del rinvio ricorda che, nella sentenza del 13 maggio 2014, Google Spain e Google (14), la Corte ha stabilito che «l’articolo 4, paragrafo 1, lettera a), della direttiva 95/46 deve essere interpretato nel senso che un trattamento di dati personali viene effettuato nel contesto delle attività di uno stabilimento del responsabile di tale trattamento nel territorio di uno Stato membro, ai sensi della disposizione suddetta, qualora il gestore di un motore di ricerca apra in uno Stato membro una succursale o una filiale destinata alla promozione e alla vendita degli spazi pubblicitari proposti da tale motore di ricerca e l’attività della quale si dirige agli abitanti di detto Stato membro» (15). Il giudice del rinvio si chiede se, ai fini dell’applicabilità della direttiva 95/46 e dell’individuazione dell’autorità di vigilanza competente, tale collegamento a uno stabilimento come quello di Facebook Germany GmbH, che – stando alle informazioni contenute nell’ordinanza di rinvio – si occupa della promozione e della vendita di spazi pubblicitari e di altre misure di marketing rivolte agli abitanti della Germania, sia rilevante in una situazione in cui una filiale stabilita in un altro Stato membro (nella fattispecie, l’Irlanda) interviene quale «responsabile del trattamento» per tutto il territorio dell’Unione.

35.      Per quanto attiene ai destinatari di una misura adottata in applicazione dell’articolo 28, paragrafo 3, della direttiva 95/46, il giudice del rinvio osserva che il provvedimento adottato nei confronti della Wirtschaftsakademie potrebbe derivare da un errore di valutazione, e risultare quindi illegittimo, se le violazioni ravvisate dall’ULD contro la normativa sulla protezione dei dati potevano essere eliminate agendo direttamente contro la filiale Facebook Germany stabilita in Germania.

36.      Il giudice del rinvio osserva altresì che l’ULD ritiene di non essere vincolata agli accertamenti e alle valutazioni compiuti dal Data Protection Commissioner (autorità di vigilanza in materia di protezione dei dati, Irlanda), il quale, in base alle indicazioni fornite dalla Wirtschaftsakademie e dall’interveniente nel procedimento principale, non avrebbe contestato il trattamento di dati personali oggetto del procedimento principale. Il giudice a quo vuole pertanto sapere, da una parte, se sia ammessa una siffatta valutazione autonoma da parte dell’ULD e, dall’altra, se l’articolo 28, paragrafo 6, secondo periodo, della direttiva 95/46 imponga a quest’ultima – tenuto conto delle divergenti valutazioni compiute dalle due autorità di vigilanza interessate in merito alla conformità del trattamento dei dati oggetto del procedimento principale con le norme fissate dalla direttiva 95/46 – di chiedere all’autorità di vigilanza in materia di protezione dei dati di esercitare i suoi poteri nei confronti di Facebook Ireland.

37.      In tale contesto, il Bundesverwaltungsgericht (Corte amministrativa federale) ha deciso di sospendere il procedimento e di sottoporre alla Corte le seguenti questioni pregiudiziali:

«1)      Se l’articolo 2, lettera d), della direttiva 95/46 debba essere interpretato nel senso che esso disciplina la responsabilità per violazioni delle disposizioni sulla protezione dei dati personali in modo tassativo e completo o se, nell’ambito delle “misure appropriate” ai sensi dell’articolo 24 [di detta] direttiva (…) e dei “poteri effettivi di intervento” ai sensi dell’articolo 28, paragrafo 3, secondo trattino, della medesima (…), rimanga spazio – nei rapporti tra fornitori di informazioni su più livelli – per una responsabilità in capo a un organismo che non è responsabile del trattamento dei dati ai sensi dell’articolo 2, lettera d), della [suddetta direttiva], rispetto alla scelta di un amministratore per la sua offerta informativa.

2)      Se dall’obbligo che incombe agli Stati membri, ai sensi dell’articolo 17, paragrafo 2, della direttiva 95/46(…), di disporre, in sede di trattamento dei dati su incarico, che il responsabile del trattamento deve scegliere un “incaricato del trattamento che presenti garanzie sufficienti in merito alle misure di sicurezza tecnica e di organizzazione dei trattamenti da effettuare” si possa dedurre a contrario che, nel caso di rapporti di utilizzo di altra natura, non collegati a un trattamento dei dati su incarico ai sensi dell’articolo 2, lettera e), [di detta] direttiva (…), non sussiste alcun obbligo di scelta diligente e un tale obbligo non può essere fondato neppure sulla normativa nazionale.

3)      Se, nel caso di una società controllante stabilita al di fuori dell’Unione e avente filiali giuridicamente indipendenti (controllate) in diversi Stati membri, l’autorità di vigilanza di uno Stato membro (nel caso di specie, la Germania) possa esercitare – ai sensi degli articoli 4 e 28, paragrafo 6, della direttiva 95/46(…) – i poteri ad essa trasferiti a norma dell’articolo 28, paragrafo 3, della medesima (…) nei confronti di una filiale posta sul suo territorio, anche quando tale filiale è competente soltanto per la promozione e la vendita di pubblicità ed altre misure di marketing dirette agli abitanti di detto Stato membro, mentre la filiale (controllata) con sede in un diverso Stato membro (nella fattispecie, l’Irlanda) ha, in base alla ripartizione dei compiti interna al gruppo, competenza esclusiva quanto alla raccolta e al trattamento dei dati personali in tutto il territorio dell’Unione europea e quindi anche nell’altro Stato membro (nella fattispecie, la Germania), se – di fatto – la decisione in merito al trattamento dei dati è assunta dalla controllante.

4)      Se gli articoli 4, paragrafo 1, lettera a), e 28, paragrafo 3, della direttiva 95/46(…) debbano essere interpretati nel senso che quando il responsabile del trattamento ha una filiale nel territorio di uno Stato membro (nella fattispecie, l’Irlanda) ed esiste un’altra filiale giuridicamente autonoma nel territorio di un altro Stato membro (nella fattispecie, la Germania), competente segnatamente per la vendita di spazi pubblicitari e la cui attività si rivolge agli abitanti di detto Stato, l’autorità di vigilanza competente in detto altro Stato membro (nella fattispecie, la Germania) può adottare misure o provvedimenti diretti all’attuazione della normativa sulla protezione dei dati personali anche nei confronti della filiale (nella fattispecie, in Germania) che, in base alla ripartizione dei compiti e delle responsabilità interna al gruppo, non è responsabile del trattamento, o se tali misure e provvedimenti possano essere adottati soltanto dall’autorità di vigilanza dello Stato membro (nella fattispecie, l’Irlanda) sul cui territorio ha la propria sede l’organismo responsabile a livello interno al gruppo.

5)      Se gli articoli 4, paragrafo 1, lettera a), e 28, paragrafi 3 e 6, della direttiva 95/46(…) debbano essere interpretati nel senso che quando le autorità di vigilanza di uno Stato membro (nella fattispecie, della Germania) agiscono nei confronti di un soggetto o di un organismo attivo sul loro territorio ai sensi dell’articolo 28, paragrafo 3, [di detta] direttiva (…) in ragione della scelta non diligente di un terzo coinvolto nel processo di trattamento dei dati (nella fattispecie, Facebook), poiché detto terzo violerebbe la normativa sulla protezione dei dati, l’autorità di vigilanza che interviene (nella fattispecie, la Germania) è vincolata alla valutazione compiuta, sotto il profilo della normativa sulla protezione dei dati, dall’autorità di vigilanza dell’altro Stato membro in cui il terzo responsabile del trattamento dei dati ha la sua filiale (nella fattispecie, in Irlanda), nel senso che essa non può compiere alcuna valutazione giuridica discordante, o se l’autorità di vigilanza che interviene (nella fattispecie, la Germania) possa valutare in modo autonomo preliminarmente alla propria azione la legittimità del trattamento dei dati compiuto da un terzo stabilito in un altro Stato membro (nella fattispecie, l’Irlanda).

6)      Nell’ipotesi in cui l’autorità di vigilanza che interviene (nella fattispecie, la Germania) possa procedere a un esame autonomo: se l’articolo 28, paragrafo 6, secondo periodo, della direttiva 95/46(…) debba essere interpretato nel senso che la suddetta autorità di vigilanza può esercitare i poteri effettivi di intervento ad essa trasferiti in base all’articolo 28, paragrafo 3, [di detta] direttiva (…) nei confronti di un soggetto o di un organismo stabilito sul suo territorio a titolo di corresponsabilità nelle violazioni della normativa sulla protezione dei dati personali commesse da un terzo stabilito in un altro Stato membro a condizione che abbia previamente richiesto all’autorità di vigilanza di detto altro Stato membro (nella fattispecie, l’Irlanda) di esercitare i suoi poteri».

II.    Analisi

38.      Occorre precisare che le questioni pregiudiziali sollevate dal giudice del rinvio non vertono sul fatto se il trattamento di dati personali alla base delle censure formulate dall’ULD – vale a dire la raccolta e l’utilizzo di dati degli utenti di fanpage senza che essi ne siano preventivamente informati – violi o meno le norme fissate dalla direttiva 95/46.

39.      In base alle spiegazioni fornite dal giudice del rinvio, la legittimità del provvedimento sottoposto alla sua valutazione dipende dagli elementi di seguito indicati. A suo giudizio, occorre anzitutto stabilire se l’ULD fosse autorizzata a esercitare i suoi poteri di intervento nei confronti di un soggetto privo della qualità di responsabile del trattamento ai sensi dell’articolo 2, lettera d), della direttiva 95/46. Inoltre, il giudice del rinvio ritiene che, al fine della valutazione della legittimità del provvedimento in questione, occorra anche accertare se l’ULD fosse competente ad agire con riferimento al trattamento di dati personali oggetto del procedimento principale, se il fatto di aver emanato il suo provvedimento nei confronti della Wirtschaftsakademie invece che di Facebook Germany integri un errore di valutazione e, infine, se l’ULD abbia commesso un ulteriore errore di valutazione intimando alla Wirtschaftsakademie di disattivare la sua fanpage invece di chiedere previamente all’autorità di vigilanza in materia di protezione dei dati di esercitare i suoi poteri nei confronti di Facebook Ireland.

A.      Sulla prima e sulla seconda questione pregiudiziale

40.      Con le prime due questioni pregiudiziali, che a mio giudizio è opportuno esaminare congiuntamente, il giudice del rinvio chiede sostanzialmente alla Corte di stabilire se gli articoli 17, paragrafo 2, 24 e 28, paragrafo 3, secondo trattino, della direttiva 95/46 debbano essere interpretati nel senso che essi autorizzano le autorità di vigilanza a esercitare i loro poteri di intervento nei confronti di un organismo che, pur non potendo essere considerato come «responsabile del trattamento», ai sensi dell’articolo 2, lettera d), della medesima direttiva, potrebbe, nonostante tutto, essere ritenuto responsabile, in caso di violazione delle disposizioni in materia di protezione dei dati personali, per aver scelto di servirsi di un social network come Facebook per diffondere informazioni.

41.      Le suddette questioni muovono dall’assunto che la Wirtschaftsakademie non costituisca un «responsabile del trattamento» ai sensi dell’articolo 2, lettera d), della direttiva 95/46. Per tale motivo, il giudice del rinvio chiede se sia possibile adottare un provvedimento come quello oggetto del procedimento principale nei confronti di un soggetto che non risponde ai criteri fissati dalla suddetta disposizione.

42.      Tuttavia, ritengo si tratti di una premessa errata. Infatti, a mio giudizio, la Wirtschaftsakademie deve essere considerata come corresponsabile della fase del trattamento consistente nella raccolta dei dati personali da parte di Facebook.

43.      In conformità all’articolo 2, lettera d), della direttiva 95/46, per «responsabile del trattamento» si intende «la persona fisica o giuridica, l’autorità pubblica, il servizio o qualsiasi altro organismo che, da solo o insieme ad altri, determina le finalità e gli strumenti del trattamento di dati personali» (16).

44.      Il responsabile del trattamento svolge un ruolo fondamentale nell’ambito del sistema introdotto dalla direttiva 95/46 e la sua identificazione è pertanto essenziale. Infatti, la direttiva in parola prevede a carico del responsabile del trattamento una serie di obblighi diretti a garantire la protezione dei dati personali (17). Tale ruolo fondamentale è stato evidenziato dalla Corte nella sentenza del 13 maggio 2014, Google Spain e Google (18). Essa ha infatti dichiarato che il responsabile del trattamento deve assicurare, nell’ambito delle sue responsabilità, delle sue competenze e delle sue possibilità, che il trattamento dei dati in esame soddisfi le prescrizioni della direttiva 95/46, affinché le garanzie previste da quest’ultima possano sviluppare pienamente i loro effetti e possa essere effettivamente realizzata una tutela efficace e completa degli interessati, in particolare del loro diritto al rispetto della vita privata (19).

45.      Inoltre, dalla giurisprudenza della Corte emerge che la suddetta nozione deve essere definita in maniera ampia così da garantire una tutela efficace e completa degli interessati (20).

46.      Il responsabile del trattamento dei dati personali è il soggetto che decide perché e come saranno trattati i dati interessati. Come ha rilevato il gruppo di lavoro «Articolo 29», «[i]l concetto di responsabile del trattamento è funzionale, finalizzato cioè all’attribuzione di responsabilità laddove intervenga un’influenza effettiva: si basa quindi su un’analisi fattuale piuttosto che formale» (21).

47.      A mio giudizio, sono state di certo principalmente Facebook Inc. e, per quanto attiene all’Unione, Facebook Ireland a stabilire gli obiettivi e le modalità del suddetto trattamento posto che esse ne sono le ideatrici.

48.      Più precisamente, Facebook Inc. ha ideato il modello economico generale grazie al quale la raccolta dei dati personali all’atto dell’accesso alla fanpage, unitamente al loro utilizzo, permette, da una parte, la diffusione di pubblicità personalizzate e, dall’altra, l’elaborazione di statistiche sugli utenti destinate agli amministratori delle pagine di cui trattasi.

49.      Inoltre, dagli atti di causa emerge che Facebook Ireland è indicata da Facebook Inc. come incaricata del trattamento dei dati personali all’interno dell’Unione. In base alle spiegazioni fornite da Facebook Ireland, le modalità di funzionamento del social network possono subire taluni adattamenti all’interno dell’Unione (22).

50.      Peraltro, benché sia pacifico che chiunque risieda nel territorio dell’Unione e che desideri utilizzare Facebook è tenuto, al momento della sua iscrizione, a sottoscrivere un contratto con Facebook Ireland, occorre nel contempo osservare che i dati personali degli utenti di Facebook residenti nel territorio dell’Unione sono, in tutto o in parte, trasferiti verso server di proprietà di Facebook Inc. ubicati nel territorio degli Stati Uniti, ove essi sono oggetto di trattamento (23).

51.      Tenuto conto del coinvolgimento di Facebook Inc. e, per quanto attiene più nello specifico all’Unione, di Facebook Ireland nella determinazione delle finalità e degli strumenti del trattamento di dati personali oggetto del procedimento principale, tali due soggetti devono essere considerati, alla luce degli elementi a disposizione, come corresponsabili del trattamento di cui trattasi. A questo proposito, occorre osservare che l’articolo 2, lettera d), della direttiva 95/46 ipotizza espressamente una siffatta responsabilità congiunta. Come rilevato dallo stesso giudice del rinvio, spetterà a lui in definitiva chiarire le strutture decisionali e di trattamento dei dati interne al gruppo Facebook al fine di stabilire lo stabilimento o gli stabilimenti responsabili del trattamento ai sensi dell’articolo 2, lettera d), della direttiva 95/46 (24).

52.      A mio giudizio, alla responsabilità congiunta di Facebook Inc. e di Facebook Ireland deve aggiungersi, per quanto attiene alla fase del trattamento consistente nella raccolta dei dati personali da parte di Facebook (25), quella del gestore di una fanpage, come la Wirtschaftsakademie.

53.      Di certo, il gestore di una fanpage è anzitutto un utente di Facebook, di cui esso si serve per beneficiare degli strumenti messi a disposizione e godere di una maggiore visibilità. Tuttavia, tale constatazione non permette di escludere che esso possa anche essere considerato come responsabile della fase del trattamento di dati personali oggetto del procedimento principale, vale a dire quella della raccolta dei dati in questione da parte di Facebook.

54.      Al fine di stabilire se il gestore di una fanpage «determini» le finalità e gli strumenti del trattamento, occorre verificare se esso eserciti su di essi una qualche influenza, in fatto o in diritto. In ragione di tale elemento della definizione è possibile ritenere che il responsabile del trattamento non sia chi effettua il trattamento dei dati personali ma chi ne determina strumenti e finalità.

55.      Ricorrendo a Facebook per diffondere informazioni, il gestore della fanpage accetta in linea di principio che si proceda al trattamento dei dati personali degli utenti della sua pagina al fine di elaborare statistiche sugli utenti (26). Pur non essendo ovviamente l’ideatore dello strumento «Facebook Insights», detto gestore, facendovi ricorso, partecipa alla determinazione delle finalità e degli strumenti del trattamento dei dati personali cui sono sottoposti gli utenti della sua pagina.

56.      Infatti, da una parte, tale trattamento non potrebbe aver luogo senza la previa decisione del gestore di una fanpage di creare e gestire detta pagina sul social network Facebook. Permettendo il trattamento dei dati personali degli utenti della fanpage, il gestore di detta pagina aderisce al sistema introdotto da Facebook. Esso acquisisce in tal modo maggiore visibilità sul profilo degli utenti della sua fanpage, permettendo nel contempo a Facebook di meglio indirizzare la pubblicità diffusa nell’ambito di detto social network. Dal momento che accetta gli strumenti e le finalità del trattamento dei dati personali, come predefiniti da Facebook, il gestore della fanpage deve essere considerato coinvolto nella loro determinazione. Inoltre, così come esercita un’influenza determinante riguardo all’avvio del trattamento dei dati personali degli utenti della suddetta pagina, egli dispone parimenti del potere di farlo cessare, disattivando la fanpage.

57.      Dall’altra parte, benché le finalità e gli strumenti del dispositivo «Facebook Insights», in quanto tale, siano definiti in termini generali da Facebook Inc. congiuntamente a Facebook Ireland, il gestore di una fanpage ha la possibilità di influire sul suo concreto impiego definendo i criteri di elaborazione delle statistiche relative al pubblico. Nell’invitare il gestore di una fanpage a creare o modificare il pubblico della sua pagina, Facebook gli comunica che farà del suo meglio per mostrare tale pagina alle persone che per lui più contano. Con l’ausilio di filtri, il gestore di una fanpage può definire un pubblico personalizzato, il che gli permette non soltanto di meglio definire il gruppo di destinatari cui indirizzare le informazioni sulla sua offerta commerciale, ma soprattutto di individuare le categorie di soggetti i cui dati personali saranno raccolti da Facebook. Stabilendo il pubblico che intende raggiungere, il gestore di una fanpage determina nel contempo il pubblico destinatario i cui dati personali potranno essere oggetto di raccolta e di utilizzo da parte di Facebook. Oltre ad essere, con la creazione di una fanpage, l’elemento che dà origine al trattamento dei suddetti dati, il gestore di detta pagina svolge un ruolo di primo piano nella sua attuazione da parte di Facebook. Esso partecipa, in tal modo, alla determinazione degli strumenti e delle finalità del trattamento di cui trattasi, esercitando su di esso un’influenza di fatto.

58.      Dalle considerazioni che precedono deduco che, in circostanze come quelle del procedimento principale, il gestore di una fanpage su un social network come Facebook deve essere considerato responsabile della fase del trattamento di dati personali consistente nella raccolta, da parte di detto social network, dei dati relativi alle persone che accedono alla suddetta pagina.

59.      Tale conclusione è avvalorata dalla constatazione che il gestore di una fanpage, come la Wirtschaftsakademie, da una parte, e i fornitori di servizi, quali Facebook Inc. e Facebook Ireland, dall’altra, perseguono, rispettivamente, finalità strettamente collegate. La Wirtschaftsakademie vuole ottenere statistiche sugli utenti utili alla gestione della promozione della propria attività e tali statistiche presuppongono un trattamento di dati personali. Questo stesso trattamento permetterà inoltre a Facebook di meglio indirizzare la pubblicità che essa diffonde attraverso la propria rete.

60.      Pertanto, occorre respingere un’interpretazione fondata unicamente sulle clausole e sulle condizioni del contratto stipulato tra la Wirtschaftsakademie e Facebook Ireland. Infatti, la ripartizione dei compiti indicata in contratto può costituire soltanto un indizio del reale ruolo svolto dalle parti contraenti nell’ambito della realizzazione di un trattamento di dati personali. Diversamente, le suddette parti potrebbero attribuire artificiosamente la responsabilità del trattamento a una di esse. Ciò vale, a maggior ragione, quando le condizioni generali sono preventivamente predisposte dal social network e non sono oggetto di trattative. Pertanto, non si può escludere che responsabile del trattamento possa essere un soggetto che può soltanto aderire a un contratto o rifiutarlo. Detto contraente, avendo liberamente concluso il contratto, può sempre essere considerato responsabile del trattamento tenuto conto della concreta influenza esercitata sugli strumenti e sulle finalità del trattamento.

61.      Così, il fatto che il contratto e le sue condizioni generali siano predisposte da un prestatore di servizi, e che l’operatore che si serve delle prestazioni da esso offerte non abbia accesso ai dati, non esclude che l’operatore possa essere considerato come un responsabile del trattamento, una volta che esso ha liberamente accettato le clausole contrattuali assumendosene in tal modo la piena responsabilità (27). In linea con il gruppo di lavoro «Articolo 29», occorre anche riconoscere che un eventuale squilibrio nei rapporti di forza tra fornitore e destinatario del servizio non osta alla qualificazione di quest’ultimo come «responsabile del trattamento» (28).

62.      D’altra parte, affinché una persona possa essere considerata responsabile del trattamento ai sensi dell’articolo 2, lettera d), della direttiva 95/46, non è necessario che essa disponga di un potere di controllo completo su tutti gli aspetti di un trattamento. Come osservato giustamente dal governo belga in udienza, nella prassi un siffatto controllo è sempre più raro. Sempre più di frequente, i trattamenti hanno natura complessa, nel senso che si compongono di diversi trattamenti distinti che coinvolgono molteplici soggetti i quali esercitano, a loro volta, gradi diversi di controllo. Di conseguenza, l’interpretazione che privilegia l’esistenza di un potere di controllo completo su tutti gli aspetti del trattamento può implicare gravi lacune in materia di tutela dei dati personali.

63.      Le vicende alla base della sentenza del 13 maggio 2014, Google Spain e Google (29), ne costituiscono un esempio. Infatti, la suddetta controversia verteva su un caso di fornitori di informazioni a cascata in cui parti diverse esercitavano ciascuna un’influenza distinta sul trattamento. Nell’ambito di detta causa, la Corte si è rifiutata di interpretare in maniera restrittiva la nozione di «responsabile del trattamento». Essa ha ritenuto che il gestore del motore di ricerca, «quale soggetto che determina le finalità e gli strumenti [della sua] attività [doveva] assicurare, nell’ambito delle sue responsabilità, delle sue competenze e delle sue possibilità, che detta attività [soddisfacesse] le prescrizioni della direttiva 95/46» (30). Inoltre, la Corte ha menzionato la possibilità di una responsabilità congiunta del gestore del motore di ricerca e degli editori di siti web (31).

64.      In linea con il governo belga, ritengo che l’interpretazione estensiva della nozione di «responsabile del trattamento» ai sensi dell’articolo 2, lettera d), della direttiva 95/46, che – a mio giudizio – deve prevalere nell’ambito della presente controversia, permetta di evitare abusi. Infatti, in caso contrario, un’impresa potrebbe sottrarsi ai propri obblighi in materia di protezione dei dati personali semplicemente ricorrendo ai servizi di un terzo. In altre parole, a mio avviso, non è possibile distinguere tra l’impresa che dota il proprio sito Internet di strumenti analoghi a quelli proposti da Facebook e quella che aderisce al social network Facebook per beneficiare degli strumenti da esso offerti. Pertanto, è opportuno garantire che gli operatori economici che si servono di un servizio di hosting per la loro pagina Internet non possano sottrarsi alla loro responsabilità aderendo alle condizioni generali di un prestatore di servizi. Inoltre, come osservato da detto stesso governo in udienza, non è irragionevole attendersi dalle imprese che scelgano con diligenza i fornitori di servizi.

65.      Ritengo pertanto che il fatto che un gestore di una fanpage utilizzi la piattaforma offerta da Facebook e si serva dei servizi ad essa collegati non lo liberi dagli obblighi su di esso gravanti in materia di protezione dei dati personali. A questo proposito, osservo che se avesse aperto una pagina Internet al di fuori di Facebook applicando uno strumento analogo a «Facebook Insights» per elaborare statistiche sugli utenti, la Wirtschaftsakademie sarebbe considerata responsabile del trattamento necessario ai fini di detta elaborazione. A mio giudizio, un siffatto operatore economico non dovrebbe essere esonerato dal rispetto delle norme in materia di protezione dei dati personali introdotte dalla direttiva 95/46 per il solo fatto che si serve della piattaforma del social network Facebook per promuovere le sue attività. Come osserva correttamente lo stesso giudice del rinvio, occorre impedire che un fornitore di informazioni possa, scegliendo un dato fornitore di servizi, sottrarsi agli obblighi che la normativa applicabile alla protezione dei dati gli impone nei confronti dei destinatari della sua offerta informativa, e che esso sarebbe tenuto ad adempiere se si trattasse di un semplice fornitore di contenuti (32). Un’interpretazione contraria implicherebbe un rischio di elusione delle norme sulla protezione dei dati personali.

66.      Inoltre, ritengo si debba evitare una distinzione artificiosa tra la situazione controversa nella fattispecie e quella oggetto della causa C‑40/17, Fashion ID (33).

67.      Nella suddetta causa si discute del caso in cui il gestore di un sito web inserisca nel suo sito una cosiddetta «icona di social media» (nella fattispecie, il pulsante «Mi piace» di Facebook) predisposta da un fornitore esterno (vale a dire Facebook) che trasmette i dati personali del computer dell’utente del sito web a un fornitore esterno.

68.      Nell’ambito della controversia all’origine della suddetta causa, un’associazione di tutela dei consumatori contesta alla società Fashion ID di aver permesso al social network Facebook di accedere ai dati personali degli utenti del suo sito, senza il loro consenso e in violazione degli obblighi di informazione previsti dalle norme in materia di protezione dei dati personali, inserendo all’interno di detto sito l’icona «Mi piace» fornita dal social network in questione. Posto che la Fashion ID autorizza Facebook ad accedere ai dati personali degli utenti del suo sito Internet, si rende pertanto necessario stabilire se essa possa o meno essere qualificata come «responsabile del trattamento» ai sensi dell’articolo 2, lettera d), della direttiva 95/46.

69.      Non ravviso in proposito alcuna differenza essenziale tra la situazione di un gestore di fanpage e quella del gestore di un sito web che inserisce, all’interno dello stesso, il codice di un fornitore di servizi di webtracking e favorisce così, all’insaputa dell’utente, la trasmissione di dati, l’installazione di cookie e la raccolta di dati a beneficio del fornitore dei suddetti servizi.

70.      I social plugin permettono ai gestori di siti web di utilizzare determinati servizi di social network sui propri siti al fine di incrementarne la visibilità, ad esempio, inserendo nel proprio sito il pulsante «Mi piace» di Facebook. Al pari dei gestori di fanpage, i gestori dei siti web che contengono social plugin possono servirsi del servizio «Facebook Insights» per ottenere informazioni statistiche precise sugli utenti del loro sito.

71.      Analogamente a quanto accade con l’accesso a una fanpage, la consultazione di un sito web contenente un social plugin attiva una trasmissione di dati personali verso il fornitore interessato.

72.      A mio giudizio, in un simile contesto e alla pari del gestore di una fanpage, il gestore di un sito web contenente un social plugin dovrebbe essere qualificato «responsabile del trattamento» ai sensi dell’articolo 2, lettera d), della direttiva 95/46, nella misura in cui influenza di fatto la fase del trattamento consistente nella trasmissione dei dati personali a Facebook (34).

73.      Aggiungo che, come osserva correttamente il governo belga, la constatazione secondo cui la Wirtschaftsakademie opera come corresponsabile del trattamento quando sceglie di avvalersi dei servizi di Facebook per la comunicazione di informazioni nulla toglie agli obblighi gravanti su Facebook Inc. e su Facebook Ireland, quali responsabili del trattamento. Infatti, è chiaro che i due soggetti succitati esercitano un’influenza determinante sulle finalità e sugli strumenti del trattamento di dati personali compiuto in sede di accesso a una fanpage e che essi utilizzano anche per finalità e interessi propri.

74.      Tuttavia, il riconoscimento di una corresponsabilità dei gestori delle fanpage per la fase del trattamento, consistente nella raccolta dei dati personali da parte di Facebook, contribuisce a garantire una protezione più completa dei diritti riconosciuti agli utenti di dette tipologie di pagine. Inoltre, il fatto di vincolare attivamente i gestori delle fanpage al rispetto delle norme in materia di protezione dei dati personali indicandoli come responsabili del trattamento può, indirettamente, sollecitare la piattaforma di social network stessa a conformarsi a tali norme.

75.      Occorre altresì precisare che l’esistenza di una corresponsabilità non implica affatto una responsabilità a parità di condizioni. Al contrario, i vari responsabili possono essere coinvolti in un trattamento di dati personali in fasi diverse e a diversi livelli (35).

76.      Secondo il gruppo di lavoro «Articolo 29», «[l]a possibilità di una responsabilità plurima tiene conto del numero crescente di situazioni in cui varie parti agiscono come responsabili del trattamento. La valutazione di questa corresponsabilità deve essere analoga alla valutazione della responsabilità “singola”: occorre adottare un approccio sostanziale e funzionale, che analizzi se le finalità e gli aspetti fondamentali degli strumenti [siano] determinati da più di una parte. La partecipazione delle parti alla determinazione delle finalità e degli strumenti del trattamento nel quadro di una corresponsabilità può assumere varie forme e non deve essere necessariamente ripartita in modo uguale» (36). In effetti, «quando vi è una pluralità di attori, questi possono avere una relazione molto stretta (condividendo, ad esempio, tutte le finalità e tutti gli strumenti di un trattamento) o più distante (condividendo ad esempio solo le finalità o gli strumenti, o una parte di essi). Va quindi esaminata un’ampia varietà di tipologie di corresponsabilità e ne vanno analizzate le rispettive conseguenze giuridiche, lasciando una certa flessibilità per tenere conto della crescente complessità della realtà attuale del trattamento dei dati» (37).

77.      A mio giudizio, dalla considerazioni che precedono deriva che il gestore di una fanpage sul social network Facebook deve essere considerato responsabile del trattamento dei dati personali compiuto nell’ottica dell’elaborazione di statistiche sugli utenti di detta pagina, a fianco di Facebook Inc. e di Facebook Ireland.

B.      Sulla terza e sulla quarta questione pregiudiziale

78.      Con la terza e quarta questione pregiudiziale, che a mio parere è opportuno esaminare congiuntamente, il giudice del rinvio chiede alla Corte di precisare l’interpretazione degli articoli 4, paragrafo 1, lettera a), e 28, paragrafi 1, 3 e 6, della direttiva 95/46 quando una società controllante stabilita al di fuori dell’Unione europea, come Facebook Inc., fornisce servizi di social network nel territorio dell’Unione servendosi di vari stabilimenti. Tra di essi, uno è designato dalla società controllante come responsabile del trattamento dei dati personali nel territorio dell’Unione (Facebook Ireland) e l’altro garantisce la promozione e la vendita di spazi pubblicitari e l’adozione di misure di marketing dirette agli abitanti della Germania (Facebook Germany). In tale contesto, il giudice del rinvio desidera sapere, da una parte, se l’autorità tedesca di vigilanza possa esercitare i suoi poteri di intervento al fine di ottenere la cessazione del controverso trattamento dei dati personali e, dall’altra, nei confronti di quale stabilimento possano essere esercitati tali poteri.

79.      In risposta ai dubbi sollevati dall’ULD e dal governo italiano in merito alla ricevibilità della terza e della quarta questione pregiudiziale, osservo che, nella sua decisione di rinvio, il Bundesverwaltungsgericht (Corte amministrativa federale) precisa che i chiarimenti richiesti su tali aspetti gli sono necessari al fine di potersi pronunciare sulla legittimità del provvedimento oggetto del procedimento principale. In particolare, tale giudice afferma che il provvedimento adottato nei confronti della Wirtschaftsakademie potrebbe derivare da un errore di valutazione ed essere, quindi, illegittimo ove le violazioni ravvisate dall’ULD contro la vigente normativa sulla protezione dei dati potessero essere eliminate agendo direttamente nei confronti della filiale Facebook Germany stabilita in Germania (38). A mio giudizio, la suddetta riflessione del giudice del rinvio permette di comprendere pienamente le ragioni che lo hanno indotto a sollevare dinanzi alla Corte la terza e la quarta questione pregiudiziale. Pertanto, tenuto conto della presunzione di rilevanza riconosciuta alle domande di pronuncia pregiudiziale (39), propongo alla Corte di rispondere alle suddette questioni.

80.      L’articolo 4 della direttiva 95/46, intitolato «Diritto nazionale applicabile», dispone quanto segue:

«1.      Ciascuno Stato membro applica le disposizioni nazionali adottate per l’attuazione della presente direttiva al trattamento di dati personali:

a)      effettuato nel contesto delle attività di uno stabilimento del responsabile del trattamento nel territorio dello Stato membro; qualora uno stesso responsabile del trattamento sia stabilito nel territorio di più Stati membri, esso deve adottare le misure necessarie per assicurare l’osservanza, da parte di ciascuno di detti stabilimenti, degli obblighi stabiliti dal diritto nazionale applicabile;

(…)».

81.      Nel suo parere 8/2010, del 16 dicembre 2010, sul diritto applicabile(40), il gruppo di lavoro «Articolo 29» fa riferimento all’applicazione dell’articolo 4, paragrafo 1, lettera a), della direttiva 95/46 nell’ambito della situazione di seguito descritta: «Una piattaforma di social network ha la sede centrale in un paese terzo e uno stabilimento in uno Stato membro. Lo stabilimento definisce e attua le politiche relative al trattamento dei dati personali delle persone residenti dell’[Unione]. La rete di social network si rivolge attivamente ai residenti di tutti gli Stati membri dell’[Unione] che costituiscono un’importante quota di clienti e introiti. Installa anche cookie sui computer degli utenti dell’[Unione]. In questo caso, la legge applicabile sarà, a norma dell’articolo 4, paragrafo 1, lettera a), [della direttiva 95/46,] la legge sulla protezione dei dati dello Stato membro dell’[Unione] in cui è stabilita l’azienda. La questione se la rete di social network ricorr[a] a strumenti situati nel territorio di altri Stati membri è irrilevante, dato che l’intero trattamento è effettuato nel contesto delle attività dell’unico stabilimento e la direttiva esclude l’applicazione cumulativa della lettera a) e della lettera c) dell’articolo 4, paragrafo 1 [di detta direttiva]» (41). Inoltre, il gruppo di lavoro «Articolo 29» precisa che «l’autorità di controllo dello Stato membro in cui è stabilita la rete di social network nell’[Unione] – a norma dell’articolo 28, paragrafo 6, [di detta direttiva] – avrà l’obbligo di collaborare con altre autorità di controllo per trattare, ad esempio, richieste o denunce provenienti dai residenti di altri paesi dell’[Unione]» (42).

82.      La fattispecie illustrata nel precedente paragrafo pone pochi problemi dal punto di vista della determinazione del diritto nazionale applicabile. Infatti, in quest’ipotesi, posto che la società madre dispone di un solo stabilimento all’interno dell’Unione, il trattamento dei dati personali controverso è disciplinato dal diritto dello Stato membro in cui esso ha sede.

83.      La situazione diviene più complessa quando, come nella fattispecie, una società stabilita in uno Stato terzo, quale Facebook Inc., svolge le sue attività nell’Unione, da una parte, servendosi di uno stabilimento da essa designato come responsabile esclusivo, all’interno del gruppo Facebook, della raccolta e del trattamento dei dati personali per tutto il territorio dell’Unione (Facebook Ireland) e, dall’altra, attraverso altri stabilimenti, tra cui uno situato in Germania (Facebook Germany) e preposto, stando alle indicazioni contenute nell’ordinanza di rinvio, alla promozione e alla vendita di spazi pubblicitari e all’attuazione di altre misure di marketing dirette agli abitanti del suddetto Stato membro (43).

84.      In una situazione del genere, l’autorità tedesca di vigilanza è competente ad esercitare poteri di intervento diretti a far cessare il trattamento di dati personali di cui Facebook Inc. e Facebook Ireland sono corresponsabili?

85.      Al fine di rispondere alla suddetta questione, occorre stabilire se l’autorità tedesca di vigilanza sia legittimata ad applicare il suo diritto nazionale a un siffatto trattamento.

86.      A tale proposito, dall’articolo 4, paragrafo 1, lettera a), della direttiva 95/46 si evince che un trattamento dati effettuato nel contesto delle attività di uno stabilimento è disciplinato dal diritto dello Stato membro sul cui territorio esso è stabilito.

87.      La Corte ha già statuito che, alla luce dell’obiettivo perseguito dalla direttiva in oggetto, consistente nel garantire una tutela efficace e completa delle libertà e dei diritti fondamentali delle persone fisiche e, segnatamente, del diritto alla vita privata, riguardo al trattamento dei dati personali, l’espressione «nel contesto delle attività di uno stabilimento», contenuta nell’articolo 4, paragrafo 1, lettera a), di detta direttiva, non può ricevere un’interpretazione restrittiva (44).

88.      L’applicabilità di una legge di attuazione di uno Stato membro a un trattamento di dati personali presuppone la sussistenza di due requisiti. In primo luogo, il responsabile di tale trattamento deve disporre di uno «stabilimento» in detto Stato membro. In secondo luogo, il trattamento deve aver luogo «nel contesto delle attività» di detto stabilimento.

89.      Per quanto attiene in primis alla nozione di «stabilimento» ai sensi dell’articolo 4, paragrafo 1, lettera a), della direttiva 95/46, la Corte, interpretando la suddetta nozione in maniera estensiva e flessibile, ha già precisato che essa si estende a qualsiasi attività reale ed effettiva, anche minima, esercitata tramite un’organizzazione stabile (45), escludendo così qualsiasi impostazione formalistica (46).

90.      In tale ottica, occorre valutare sia il grado di stabilità dell’organizzazione, sia l’esercizio effettivo delle attività nello Stato membro interessato (47), prendendo in considerazione la natura specifica delle attività economiche e delle prestazioni di servizi in questione (48). A tale proposito, è pacifico che Facebook Germany, la cui sede si trova ad Amburgo (Germania), si dedica all’esercizio effettivo e reale di un’attività attraverso un’organizzazione stabile in Germania. Essa rappresenta pertanto uno «stabilimento» ai sensi dell’articolo 4, paragrafo 1, lettera a), della direttiva 95/46.

91.      In secondo luogo, per quanto attiene alla questione se il trattamento di dati personali di cui trattasi sia compiuto «nel contesto delle attività» di detto stabilimento, ai sensi dell’articolo 4, paragrafo 1, lettera a), della direttiva 95/46, la Corte ha già ricordato che tale disposizione esige che il trattamento venga effettuato non «dallo» stesso stabilimento interessato, bensì soltanto «nel contesto delle attività» di quest’ultimo (49).

92.      Come emerge dal parere 8/2010, «la nozione di “contesto delle attività” – e non di ubicazione dei dati – è un fattore decisivo per determinare il campo di applicazione della legge applicabile. La nozione di “contesto delle attività” implica che la legge applicabile non è quella dello Stato membro in cui è stabilito il responsabile del trattamento, ma quella dello Stato membro in cui uno stabilimento del responsabile del trattamento svolge attività [correlate al trattamento di dati personali o implicanti tale trattamento]. In questo contesto, è cruciale il livello di partecipazione di ciascuno stabilimento alle attività nel cui contesto sono trattati i dati personali. Si dovrebbe tenere conto, inoltre, della natura delle attività degli stabilimenti e della necessità di garantire un’effettiva protezione dei diritti delle persone. Nell’analisi di questi criteri dovrebbe essere seguito un approccio funzionale: più che l’indicazione teorica della legge applicabile effettuata dalle parti, dovrebbero essere decisivi il loro comportamento pratico e la loro interazione» (50).

93.      La Corte è stata chiamata a verificare il rispetto di tale condizione nella sentenza del 13 maggio 2014, Google Spain e Google (51). Essa ne ha fornito un’interpretazione estensiva, affermando che il trattamento di dati personali realizzato per le esigenze di servizio da un motore di ricerca come Google Search, il quale è gestito da un’impresa con sede in uno Stato terzo ma avente uno stabilimento in uno Stato membro, viene effettuato «nel contesto delle attività» di tale stabilimento qualora quest’ultimo sia destinato a garantire, in tale Stato membro, la promozione e la vendita degli spazi pubblicitari proposti dal suddetto motore di ricerca, che servono a rendere redditizio il servizio offerto da quest’ultimo (52). Infatti, la Corte ha osservato che «in circostanze del genere, le attività del gestore del motore di ricerca e quelle del suo stabilimento situato nello Stato membro interessato sono inscindibilmente connesse, dal momento che le attività relative agli spazi pubblicitari costituiscono il mezzo per rendere il motore di ricerca in questione economicamente redditizio e che tale motore è, al tempo stesso, lo strumento che consente lo svolgimento di dette attività» (53). A supporto della sua conclusione, la Corte ha aggiunto che quando la visualizzazione di dati personali su una pagina di risultati di una ricerca è «accompagnata, sulla stessa pagina, da quella di pubblicità correlate ai termini di ricerca, è giocoforza constatare che il trattamento di dati personali in questione viene effettuato nel contesto dell’attività pubblicitaria e commerciale dello stabilimento del responsabile del trattamento nel territorio di uno Stato membro, nella fattispecie il territorio spagnolo» (54).

94.      Ora, in base alle informazioni contenute nell’ordinanza di rinvio, Facebook Germany è preposta alla promozione e alla vendita di spazi pubblicitari, nonché all’attuazione di altre misure di marketing rivolte agli abitanti della Germania. Nella misura in cui mira, in particolare, a permettere a Facebook di meglio indirizzare le pubblicità da esso diffuse, il trattamento di dati personali controverso nel procedimento principale, consistente nella raccolta di tali dati mediante cookie installati sui computer degli utenti della fanpage, deve essere considerato come attuato nel contesto delle attività svolte da Facebook Germany in Germania. A tale proposito, tenuto conto del fatto che un social network come Facebook trae le proprie entrate principalmente dalla pubblicità diffusa sulle pagine web che gli utenti creano e cui essi accedono (55), le attività dei corresponsabili del trattamento, vale a dire Facebook Inc. e Facebook Ireland, devono essere considerate come inscindibilmente collegate a quelle di uno stabilimento come Facebook Germany. Inoltre, a seguito del trattamento dei dati personali reso possibile dall’installazione di un cookie sul computer dell’utente di una pagina rientrante nel nome di dominio Facebook.com, l’accesso a una pagina Facebook si accompagna alla visualizzazione, sulla stessa pagina web, di pubblicità concernenti gli interessi del suddetto utente. Se ne deve dedurre che il trattamento di dati personali di cui trattasi è compiuto nell’ambito dell’attività pubblicitaria e commerciale svolta dallo stabilimento del responsabile del trattamento nel territorio di uno Stato membro, nella fattispecie, nel territorio tedesco.

95.      Il fatto che, a differenza di quanto avvenuto nel caso alla base della sentenza del 13 maggio 2014, Google Spain e Google (56), il gruppo Facebook disponga di una sede europea, nella fattispecie in Irlanda, non impedisce di applicare al caso di specie l’interpretazione dell’articolo 4, paragrafo 1, lettera a), della direttiva 95/46, fornita dalla Corte nell’ambito della succitata sentenza. Essa ha ivi manifestato la volontà di evitare che un trattamento di dati personali venga sottratto agli obblighi e alle garanzie previsti dalla direttiva in parola. Nell’ambito del presente procedimento, si è sostenuto che, nel presente contesto, il problema connesso a una siffatta elusione non si porrebbe poiché il responsabile del trattamento è stabilito in uno Stato membro, nella fattispecie in Irlanda. Seguendo tale logica, occorrerebbe pertanto interpretare l’articolo 4, paragrafo 1, lettera a), della direttiva nel senso che esso impone al suddetto responsabile del trattamento di tener conto unicamente di una normativa nazionale e di far capo a una sola autorità di vigilanza, vale a dire – rispettivamente – la normativa e l’autorità irlandesi.

96.      Tuttavia, una siffatta interpretazione è contraria alla formulazione dell’articolo 4, paragrafo 1, lettera a), della direttiva 95/46 e alla genesi di detta disposizione. Infatti, come osservato correttamente in udienza dal governo belga, la direttiva in esame non introduce un meccanismo di «sportello unico», né sancisce il principio del paese d’origine (57). A questo proposito, non si deve confondere quello che era l’obiettivo politico perseguito dalla Commissione europea nella sua proposta di direttiva e la soluzione che è stata infine approvata dal Consiglio dell’Unione europea. Nella direttiva in parola, il legislatore ha scelto di non considerare come prioritaria l’applicazione del diritto nazionale dello Stato membro in cui si trova lo stabilimento principale del responsabile del trattamento. Il risultato, codificato nella direttiva 95/46, rispecchia la volontà degli Stati membri di mantenere la propria competenza esecutiva nazionale. Disapplicando il principio del paese di origine, il legislatore dell’Unione ha permesso a ciascuno Stato membro di applicare la propria normativa nazionale, consentendo così il cumulo di legislazioni nazionali applicabili (58).

97.      Con l’articolo 4, paragrafo 1, lettera a), di tale direttiva, in presenza all’interno dell’Unione europea di più stabilimenti di un responsabile del trattamento, il legislatore dell’Unione ha volutamente scelto di permettere che più normative nazionali in materia di protezione dei dati personali possano trovare applicazione al trattamento dei dati personali dei residenti degli Stati membri interessati, al fine di garantire una protezione efficace dei loro diritti in tali Stati.

98.      Ciò trova conferma nel considerando 19 della direttiva 95/46, il quale precisa che «quando un unico responsabile del trattamento è stabilito nel territorio di diversi Stati membri, in particolare per mezzo di filiali, esso deve assicurare, segnatamente per evitare che le disposizioni vengano eluse, che ognuno degli stabilimenti adempia gli obblighi previsti dalla legge nazionale applicabile alle attività di ciascuno di essi».

99.      Pertanto, dall’articolo 4, paragrafo 1, lettera a), della direttiva 95/46 – il cui secondo periodo, in linea con le indicazioni del considerando 19 di detta direttiva, precisa che, qualora uno stesso responsabile del trattamento sia stabilito nel territorio di più Stati membri, esso deve adottare le misure necessarie per assicurare l’osservanza, da parte di ciascuno di detti stabilimenti, degli obblighi stabiliti dal diritto nazionale applicabile – deduco che la struttura di un gruppo caratterizzata dalla presenza di stabilimenti del responsabile del trattamento in più Stati membri non deve far sì che a quest’ultimo sia consentito eludere il diritto dello Stato membro in cui ciascuno di detti stabilimenti ha la propria sede.

100. Aggiungo che, a mio giudizio, a seguito della sentenza del 28 luglio 2016, Verein für Konsumenteninformation (59), l’interpretazione nel senso di un’applicazione esclusiva del diritto dello Stato membro in cui si trova la sede europea di un gruppo internazionale non è più sostenibile. In tale sentenza, la Corte ha stabilito che il trattamento di dati personali effettuato da un’impresa di commercio elettronico è disciplinato dal diritto dello Stato membro verso il quale detta impresa dirige le proprie attività, qualora sia accertato che essa procede al trattamento dei dati in esame nel contesto delle attività di uno stabilimento situato in detto Stato membro. La Corte si è pronunciata in tal senso benché Amazon, alla pari di Facebook, sia un’impresa che dispone non soltanto di una sede europea all’interno di uno Stato membro, ma anche di una presenza fisica in più Stati membri. Anche in un caso siffatto, occorre esaminare se il trattamento dei dati s’inserisca nel contesto delle attività di uno stabilimento in uno Stato membro diverso da quello in cui si trova la sede europea del responsabile del trattamento.

101. Pertanto, come osserva il governo belga, è del tutto possibile che uno stabilimento diverso da quello della sede europea di un’impresa sia rilevante ai fini dell’applicazione dell’articolo 4, paragrafo 1, lettera a), della direttiva 95/46.

102. Nell’ambito del sistema introdotto dalla direttiva, ove il responsabile del trattamento disponga di più stabilimenti all’interno dell’Unione, il luogo in cui è effettuato il trattamento, al pari di quello in cui detto responsabile ha fissato la sua sede all’interno dell’Unione, non è determinante per stabilire il diritto nazionale applicabile a un trattamento dei dati e per riconoscere a un’autorità di vigilanza la competenza ad esercitare i suoi poteri di intervento.

103. A tale proposito, la Corte non dovrebbe a mio giudizio anticipare il regime istituito dal regolamento generale sulla protezione dei dati (60), che troverà applicazione dal 25 maggio 2018. Nel quadro di detto regime è stato creato un meccanismo di sportello unico. Ciò significa che un responsabile del trattamento che compie trattamenti transfrontalieri, come Facebook, avrà quale interlocutore una sola autorità di vigilanza, vale a dire l’autorità di vigilanza capofila che sarà quella del luogo in cui si trova lo stabilimento principale del responsabile del trattamento. Tuttavia, detto regime e il sofisticato meccanismo di cooperazione da esso introdotto non sono ancora applicabili.

104. Certamente, dal momento in cui Facebook ha scelto di stabilire in Irlanda la sua sede principale all’interno dell’Unione, l’autorità di vigilanza di detto Stato membro è chiamata a svolgere un ruolo importante per verificare se esso rispetti le norme introdotte dalla direttiva 95/46. Tuttavia, come riconosciuto da detta stessa autorità, ciò non significa che essa disponga – nel quadro del sistema attuale fondato sulla direttiva in parola – di una competenza esclusiva per le attività di Facebook all’interno dell’Unione (61).

105. L’insieme degli elementi che precedono mi portano a ritenere, in linea con il governo belga, con il governo dei Paesi Bassi e con l’ULD, che l’interpretazione data dalla Corte dell’articolo 4, paragrafo 1, lettera a), della direttiva 95/46 nella sentenza del 13 maggio 2014, Google Spain e Google (62), trovi applicazione anche in una situazione come quella oggetto del procedimento principale, in cui un responsabile del trattamento è stabilito in uno Stato membro dell’Unione e dispone di più stabilimenti sul suo territorio.

106. Pertanto, alla luce delle indicazioni fornite dal giudice del rinvio in merito alla natura delle attività svolte da Facebook Germany, si deve ritenere che il trattamento di dati personali controverso sia compiuto nel contesto delle attività di detto stabilimento e che, in una situazione come quella oggetto del procedimento principale, l’articolo 4, paragrafo 1, lettera a), della direttiva 95/46 ammetta l’applicazione del diritto tedesco in materia di protezione dei dati personali (63).

107. L’autorità di vigilanza tedesca è quindi competente ad applicare il suo diritto nazionale al trattamento di dati personali oggetto del procedimento principale.

108. Dall’articolo 28, paragrafo 1, della direttiva in esame si evince che ciascuna autorità di vigilanza creata da uno Stato membro sorveglia, nel territorio di tale Stato, l’osservanza delle disposizioni di attuazione della direttiva stessa adottate dagli Stati membri.

109. A norma dell’articolo 28, paragrafo 3, della direttiva 95/46, le suddette autorità di vigilanza dispongono, in particolare, di poteri investigativi, come il diritto di raccolta di qualsiasi informazione necessaria all’esercizio della loro funzione di controllo, e di poteri effettivi d’intervento, come quello di ordinare il congelamento, la cancellazione o la distruzione dei dati, oppure di vietare a titolo provvisorio o definitivo un trattamento, ovvero quello di rivolgere un avvertimento o un monito al responsabile del trattamento. Tali poteri di intervento possono comprendere quello di sanzionare il responsabile del trattamento dei dati, eventualmente imponendogli un’ammenda (64).

110. Dal canto suo, l’articolo 28, paragrafo 6, della direttiva 95/46 così recita:

«Ciascuna autorità di controllo, indipendentemente dalla legge nazionale applicabile al trattamento in questione, è competente per esercitare, nel territorio del suo Stato membro, i poteri attribuitile a norma del paragrafo 3. Ciascuna autorità può essere invitata ad esercitare i suoi poteri su domanda dell’autorità di un altro Stato membro.

Le autorità di controllo collaborano tra loro nella misura necessaria allo svolgimento dei propri compiti, in particolare scambiandosi ogni informazione utile».

111. Considerato che il trattamento di dati personali controverso nel procedimento principale è soggetto al diritto dello Stato membro cui essa appartiene, l’autorità tedesca di vigilanza può esercitare tutti i suoi poteri di intervento al fine di garantire l’applicazione del diritto tedesco e il rispetto di tale diritto da parte di Facebook nel territorio tedesco. Tale conclusione si evince dalla sentenza del 1o ottobre 2015, Weltimmo (65), che ha permesso di precisare la portata dell’articolo 28, paragrafi 1, 3 e 6, della direttiva 95/46.

112. L’obiettivo principale di detta causa era stabilire se l’autorità ungherese di controllo fosse competente a imporre un’ammenda a un prestatore di servizi stabilito in un altro Stato membro, vale a dire in Slovacchia. La determinazione di tale competenza imponeva di esaminare preliminarmente la questione se, in applicazione del criterio fissato dall’articolo 4, paragrafo 1, lettera a), della direttiva 95/46, il diritto ungherese trovasse o meno applicazione.

113. Nella prima parte della sua risposta, la Corte ha fornito al giudice del rinvio una serie di indicazioni idonee a consentirgli di accertare l’esistenza, in Ungheria, di uno stabilimento del responsabile del trattamento. Peraltro, essa ha giudicato che il trattamento era stato realizzato nel contesto delle attività di detto stabilimento e che l’articolo 4, paragrafo 1, lettera a), della direttiva 95/46 consentiva, in un caso come quello ivi in esame, l’applicazione del diritto ungherese in materia di tutela dei dati personali.

114. Pertanto, sulla base della succitata prima parte della risposta fornita dalla Corte, era possibile confermare la competenza dell’autorità ungherese a infliggere, in applicazione del diritto ungherese, un’ammenda a un prestatore di servizi stabilito in un altro Stato membro, nella fattispecie la Weltimmo.

115. In altre parole, dal momento che il diritto ungherese poteva ritenersi il diritto applicabile in virtù del criterio di cui all’articolo 4, paragrafo 1, lettera a), della direttiva 95/46, l’autorità ungherese di vigilanza era competente ad assicurarne il rispetto in caso di violazione da parte di un responsabile del trattamento, benché quest’ultimo avesse sede in Slovacchia. Grazie alla suddetta disposizione della direttiva 95/46, era possibile ritenere che la Weltimmo, benché avesse sede in Slovacchia, fosse stabilita anche in Ungheria. La presenza in quest’ultimo paese di uno stabilimento del responsabile del trattamento, che svolgeva attività nell’ambito delle quali era effettuato il trattamento di cui trattasi, costituiva così il punto di collegamento necessario per riconoscere l’applicabilità del diritto ungherese e, come corollario, la competenza dell’autorità ungherese di vigilanza a garantirne il rispetto nel territorio di detto paese.

116. La seconda parte della risposta dalla Corte – che ha indotto quest’ultima a illustrare il principio dell’applicazione territoriale dei poteri di ciascuna autorità di vigilanza – è stata fornita unicamente in via subordinata, vale a dire «nell’ipotesi in cui l’autorità ungherese di controllo consideri che la Weltimmo abbia, non in Ungheria, ma in un altro Stato membro, uno stabilimento, ai sensi dell’articolo 4, paragrafo 1, lettera a), della direttiva 95/46, che svolge attività nel contesto delle quali è effettuato il trattamento dei dati personali (…)» (66). Si trattava pertanto della risposta alla questione se, «nel caso in cui l’autorità ungherese di controllo giungesse alla conclusione che il diritto applicabile al trattamento dei dati personali non è il diritto ungherese, ma il diritto di un altro Stato membro, l’articolo 28, paragrafi 1, 3 e 6, della direttiva 95/46 debba essere interpretato nel senso che detta autorità può esercitare soltanto i poteri previsti all’articolo 28, paragrafo 3, di tale direttiva, conformemente al diritto di tale altro Stato membro, e non può imporre sanzioni» (67).

117. Nella citata seconda parte della sua risposta, la Corte ha pertanto precisato la portata sia materiale, sia territoriale dei poteri che un’autorità di vigilanza può esercitare in una determinata situazione, vale a dire quando non trova applicazione il diritto del suo Stato membro.

118. In tale ipotesi, la Corte ha stabilito che «i poteri di tale autorità non comprendono necessariamente tutti quelli di cui è investita secondo il diritto del suo Stato membro» (68). Così, «essa può esercitare i suoi poteri investigativi indipendentemente dal diritto applicabile e ancor prima di sapere quale sia il diritto nazionale che si applica al trattamento controverso. Tuttavia, essa, qualora giunga alla conclusione che si applica il diritto di un altro Stato membro, non può imporre sanzioni al di fuori del territorio del suo Stato membro. In una situazione del genere, essa è tenuta, in virtù dell’obbligo di collaborazione di cui all’articolo 28, paragrafo 6, [della direttiva 95/46], a chiedere all’autorità di controllo di tale altro Stato membro di accertare un’eventuale violazione di tale diritto e di imporre sanzioni se questo lo consente, appoggiandosi, se del caso, sulle informazioni che essa le avrà comunicato» (69).

119. Traggo dalla sentenza del 1o ottobre 2015, Weltimmo (70), i seguenti insegnamenti ai fini della presente controversia.

120. A differenza dell’ipotesi su cui la Corte, nell’ambito della succitata seconda parte della sentenza del 1o ottobre 2015, Weltimmo (71), ha fondato il suo ragionamento in merito ai poteri dell’autorità di vigilanza, la controversia nella presente fattispecie è riconducibile a una situazione, analoga a quella corrispondente alla prima parte di detta sentenza, in cui, come precedentemente rilevato, il diritto nazionale applicabile è in effetti quello dello Stato membro dell’autorità di vigilanza che esercita i suoi poteri di intervento, in ragione della presenza, nel territorio di detto Stato, di uno stabilimento del responsabile del trattamento la cui attività è inscindibilmente connessa a tale trattamento. La presenza di detto stabilimento in Germania costituisce il punto di collegamento necessario ai fini dell’applicazione del diritto tedesco al trattamento dei dati personali controverso.

121. Una volta che è soddisfatta la suddetta condizione preliminare, l’autorità tedesca di vigilanza deve essere riconosciuta competente a garantire, nel territorio tedesco, il rispetto delle disposizioni in materia di protezione dei dati personali esercitando tutti i poteri di cui essa dispone in forza delle disposizioni tedesche di attuazione dell’articolo 28, paragrafo 3, della direttiva 95/46. Tali poteri possono comprendere un provvedimento di divieto, temporaneo o definitivo, di trattamento.

122. Quanto alla questione del destinatario di una siffatta misura, le soluzioni ipotizzabili risultano due.

123. La prima soluzione consiste nel ritenere, sulla scorta di una lettura restrittiva del campo di applicazione ratione loci dei poteri di intervento riconosciuti alle autorità di vigilanza, che queste ultime possano esercitare detti poteri soltanto nei confronti dello stabilimento del responsabile del trattamento situato nel territorio del loro Stato membro. Se, come nella presente causa, tale stabilimento, nella fattispecie Facebook Germany, non è il responsabile del trattamento e non può pertanto soddisfare direttamente la richiesta dell’autorità di vigilanza diretta a ottenere la cessazione del trattamento dei dati, esso dovrà trasmettere tale domanda al responsabile del trattamento affinché questi possa darvi seguito.

124. Per contro, la seconda soluzione consiste nel ritenere che il responsabile del trattamento, essendo l’unico a esercitare un’influenza determinante sul trattamento dei dati di cui trattasi, debba essere il destinatario diretto di una misura con cui è ingiunta la cessazione di un siffatto trattamento.

125. A mio giudizio, occorre privilegiare questa seconda soluzione, in quanto è coerente con il ruolo fondamentale che il responsabile del trattamento ricopre nel sistema introdotto dalla direttiva 95/46 (72). Permettendo di non passare necessariamente, come intermediario, per lo stabilimento che svolge le attività nell’ambito delle quali è compiuto un trattamento, una siffatta soluzione può garantire un’applicazione immediata ed efficace delle disposizioni nazionali in materia di protezione dei dati personali. D’altra parte, l’autorità di vigilanza che emette direttamente nei confronti di un responsabile del trattamento non stabilito nel territorio del suo Stato membro, quali Facebook Inc. o Facebook Ireland, un provvedimento con cui intima la cessazione di un trattamento di dati, resta nei limiti della sua competenza, che consiste nel garantire che nel territorio del suddetto Stato il trattamento sia conforme al diritto dello stesso. A tale riguardo, poco importa che il responsabile o i responsabili del trattamento siano stabiliti in un altro Stato membro o in uno Stato terzo.

126. Preciso, inoltre, collegandomi alla risposta che ho proposto di dare alla prima e alla seconda questione pregiudiziale, che – tenuto conto dell’obiettivo di garantire la protezione più completa possibile dei diritti riconosciuti agli utenti delle fanpage – la possibilità per l’ULD di esercitare i suoi poteri d’intervento nei confronti di Facebook Inc. e di Facebook Ireland non esclude affatto, a mio giudizio, l’adozione di misure nei confronti della Wirtschaftsakademie e non può, di per sé, pregiudicare la legittimità di queste ultime (73).

127. Dalle considerazioni che precedono si evince che l’articolo 4, paragrafo 1, lettera a), della direttiva 95/46 deve essere interpretato nel senso che un trattamento di dati personali, come quello controverso nel procedimento principale, viene effettuato nel contesto delle attività di uno stabilimento del responsabile di tale trattamento nel territorio di uno Stato membro, ai sensi della suddetta disposizione, quando un’impresa che gestisce un social network apre in detto Stato membro una filiale incaricata della promozione e della vendita degli spazi pubblicitari da essa proposti e la cui attività è rivolta agli abitanti del suddetto Stato membro.

128. Inoltre, in un caso come quello oggetto del procedimento principale, in cui il diritto nazionale applicabile al trattamento dei dati personali interessato è quello dello Stato membro cui appartiene un’autorità di vigilanza, l’articolo 28, paragrafi 1, 3 e 6, della direttiva 95/46 deve essere interpretato nel senso che la suddetta autorità di vigilanza può esercitare tutti i poteri effettivi di intervento che le sono riconosciuti dall’articolo 28, paragrafo 3, della direttiva di cui trattasi nei confronti del responsabile del trattamento, anche quando detto responsabile è situato in un altro Stato membro o in uno Stato terzo.

C.      Sulla quinta e sulla sesta questione pregiudiziale

129. Con la quinta e sesta questione pregiudiziale, che a mio giudizio è opportuno esaminare congiuntamente, il giudice del rinvio chiede in sostanza alla Corte di stabilire se l’articolo 28, paragrafi 1, 3 e 6, della direttiva 95/46, debba essere interpretato nel senso che, in circostanze quali quelle controverse nel procedimento principale, l’autorità di vigilanza dello Stato membro in cui si trova lo stabilimento del responsabile del trattamento (Facebook Germany) è autorizzata a esercitare i suoi poteri di intervento in maniera autonoma e senza essere previamente tenuta a richiedere all’autorità di vigilanza dello Stato membro in cui è situato il responsabile del trattamento (Facebook Ireland) di esercitare i suoi poteri.

130. Nella sua ordinanza di rinvio, il Bundesverwaltungsgericht (Corte amministrativa federale tedesca) illustra il collegamento tra le suddette due questioni pregiudiziali e il controllo della legittimità del provvedimento che esso è chiamato a effettuare nel quadro della controversia principale. Il suddetto giudice afferma così, essenzialmente, che l’adozione di un provvedimento nei confronti della Wirtschaftsakademie potrebbe essere considerata come derivante da un errore di valutazione da parte dell’ULD se l’articolo 28, paragrafo 6, della direttiva 95/46 dovesse essere interpretato nel senso che, in circostanze come quelle oggetto del procedimento principale, esso impone a un’autorità di vigilanza – quale l’ULD – di chiedere all’autorità di vigilanza di un altro Stato membro – nella fattispecie, all’autorità di vigilanza in materia di protezione dei dati – di esercitare i suoi poteri qualora le due autorità interessate giungano a conclusioni diverse quanto alla conformità del trattamento dei dati compiuto da Facebook Ireland con le norme sancite dalla direttiva 95/46.

131. Come stabilito dalla Corte nella sentenza del 1o ottobre 2015, Weltimmo (74), nell’ipotesi in cui il diritto applicabile al trattamento dei dati personali interessati non sia quello dello Stato membro dell’autorità di vigilanza che intende esercitare i suoi poteri di intervento, ma quello di un altro Stato membro, l’articolo 28, paragrafi 1, 3 e 6, della direttiva 95/46 deve essere interpretato nel senso che la suddetta autorità non può imporre, sulla base del diritto del suo Stato membro, sanzioni nei confronti del responsabile del trattamento dei dati che non è stabilito nel territorio di detto Stato, ma, secondo l’articolo 28, paragrafo 6, della medesima direttiva, dovrebbe chiedere l’intervento dell’autorità di vigilanza dello Stato membro del quale si applica la legge (75).

132. In una situazione del genere, l’autorità di vigilanza del primo Stato membro perde la sua competenza a esercitare il suo potere sanzionatorio nei confronti di un responsabile del trattamento stabilito in un altro Stato membro. Essa è quindi tenuta, in virtù dell’obbligo di collaborazione di cui all’articolo 28, paragrafo 6, della direttiva 95/46, a chiedere all’autorità di vigilanza di tale altro Stato membro di accertare un’eventuale violazione del diritto di detto Stato e di imporre sanzioni se questo lo consente, appoggiandosi, se del caso, sulle informazioni che essa le avrà comunicato (76).

133. Come rilevato in precedenza, la situazione oggetto della presente controversia è ben diversa in quanto il diritto applicabile è proprio quello dello Stato membro dell’autorità di vigilanza che intende esercitare i suoi poteri di intervento. In un tal caso, l’articolo 28, paragrafo 6, della direttiva 95/46 deve essere interpretato nel senso che non impone alla suddetta autorità di vigilanza di chiedere all’autorità di vigilanza dello Stato membro, in cui è stabilito il responsabile del trattamento, di esercitare i suoi poteri di intervento nei confronti di quest’ultimo.

134. Aggiungo che, conformemente a quanto prevede l’articolo 28, paragrafo 1, secondo periodo, della direttiva 95/46, l’autorità di vigilanza competente a esercitare i suoi poteri di intervento nei confronti di un responsabile del trattamento, stabilito in uno Stato membro diverso da quello di detta autorità, esercita in piena indipendenza le funzioni attribuitele.

135. Come emerge dalle considerazioni che precedono, la direttiva 95/46 non sancisce il principio del paese d’origine, né introduce un meccanismo di sportello unico quale quello previsto nel regolamento 2016/679. Pertanto, un responsabile del trattamento che dispone di stabilimenti in più Stati membri è pienamente soggetto al controllo di più autorità di vigilanza ogniqualvolta trovino applicazione le normative degli Stati membri di dette autorità. Benché sia auspicabile che le suddette autorità di vigilanza si accordino e cooperino tra loro, nulla obbliga però un’autorità di vigilanza di riconosciuta competenza ad allineare la sua posizione a quella assunta da un’altra autorità di vigilanza.

136. Alla luce di quanto precede, ritengo che l’articolo 28, paragrafi 1, 3 e 6, della direttiva 95/46 debba essere interpretato nel senso che, in circostanze quali quelle controverse nel procedimento principale, l’autorità di vigilanza dello Stato membro in cui si trova lo stabilimento del responsabile del trattamento è autorizzata a esercitare i suoi poteri di intervento nei confronti del suddetto responsabile in maniera autonoma, e senza essere tenuta a richiedere previamente all’autorità di vigilanza dello Stato membro in cui quest’ultimo è situato di esercitare i suoi poteri.

III. Conclusione

137. Alla luce delle considerazioni che precedono, propongo di rispondere come segue alle questioni pregiudiziali sollevate dal Bundesverwaltungsgericht (Corte amministrativa federale, Germania):

1)      L’articolo 2, lettera d), della direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, come modificata dal regolamento (CE) n. 1882/2003 del Parlamento europeo e del Consiglio, del 29 settembre 2003, deve essere interpretato nel senso che il gestore di una fanpage su un social network, quale Facebook, costituisce un responsabile del trattamento ai sensi della disposizione di cui trattasi con riferimento al trattamento dei dati personali, consistente nella raccolta da parte di detto social network dei dati personali di chi accede alla suddetta pagina, al fine di elaborare statistiche sugli utenti della stessa.

2)      L’articolo 4, paragrafo 1, lettera a), della direttiva 95/46, come modificata dal regolamento n. 1882/2003, deve essere interpretato nel senso che un trattamento di dati personali come quello controverso nel procedimento principale è effettuato nel territorio di uno Stato membro nel contesto delle attività di uno stabilimento del responsabile di tale trattamento, ai sensi della disposizione suddetta, quando un’impresa che gestisce un social network apre in detto Stato membro una filiale destinata alla promozione e alla vendita degli spazi pubblicitari proposti da tale impresa e la cui attività è diretta agli abitanti di detto Stato membro.

3)      In un caso come quello oggetto del procedimento principale, in cui il diritto nazionale applicabile al trattamento dei dati personali interessato è quello dello Stato membro cui appartiene un’autorità di vigilanza, l’articolo 28, paragrafi 1, 3 e 6, della direttiva 95/46, come modificata dal regolamento n. 1882/2003, deve essere interpretato nel senso che la suddetta autorità di vigilanza può esercitare tutti i poteri effettivi di intervento che le sono riconosciuti dall’articolo 28, paragrafo 3, della direttiva di cui trattasi nei confronti del responsabile del trattamento, anche quando detto responsabile è situato in un altro Stato membro o in uno Stato terzo.

4)      L’articolo 28, paragrafi 1, 3 e 6, della direttiva 95/46, come modificata dal regolamento n. 1882/2003, deve essere interpretato nel senso che, in circostanze quali quelle controverse nel procedimento principale, l’autorità di vigilanza dello Stato membro in cui si trova lo stabilimento del responsabile del trattamento è autorizzata a esercitare i suoi poteri di intervento nei confronti del suddetto responsabile in maniera autonoma, e senza essere tenuta a richiedere previamente all’autorità di vigilanza dello Stato membro in cui quest’ultimo è situato di esercitare i suoi poteri.


1      Lingua originale: il francese.


2      GU 1995, L 281, pag. 31.


3      GU 2003, L 284, pag. 1; in prosieguo la «direttiva 95/46».


4      In prosieguo: il «gruppo di lavoro “Articolo 29”».


5      In prosieguo: il «parere 2/2010».


6      Parere 2/2010, pag. 5.


7      Parere 2/2010, pag. 6. In base alle spiegazioni fornite dal gruppo di lavoro «Articolo 29» nel parere di cui trattasi, «[i]n genere, il sistema funziona nel modo seguente: di norma, il fornitore di rete pubblicitaria colloca un tracking cookie nell’apparecchiatura terminale dell’interessato la prima volta che questo accede a un sito web che trasmette un messaggio pubblicitario della sua rete. Il cookie consiste in un breve testo alfanumerico che viene archiviato (e successivamente recuperato) da un fornitore di rete nell’apparecchiatura terminale dell’interessato. Nell’ambito della pubblicità comportamentale, il cookie consentirà al fornitore di rete pubblicitaria di riconoscere un visitatore che ritorna su quel sito web o visita un qualsiasi altro sito web partner di quella rete pubblicitaria. Le visite ripetute consentiranno al fornitore di rete pubblicitaria di creare un profilo del visitatore, che sarà usato per la trasmissione di messaggi pubblicitari personalizzati».


8      Parere 1/2010 del gruppo di lavoro «Articolo 29», del 16 febbraio 2010, sui concetti di «responsabile del trattamento» e «incaricato del trattamento»; in prosieguo: il «parere 1/2010», pag. 24.


9      In tal senso, in data 11 settembre 2017, l’Agencia española de protección de datos (Agenzia spagnola per la protezione dei dati) ha annunciato di aver inflitto un’ammenda di EUR 1,2 milioni a Facebook Inc. In precedenza, e con delibera del 27 aprile 2017, la Commission nationale de l’informatique et des libertés (Commissione nazionale per l’informatica e le libertà – CNIL, Francia) ha deciso di infliggere alle società Facebook Inc. e Facebook Ireland, solidalmente responsabili, una sanzione pecuniaria pari a EUR 150 000.


10      L’articolo 38, paragrafo 5, del BDSG, così dispone:


      «Al fine di garantire il rispetto della presente legge e delle altre disposizioni in materia di protezione dei dati, l’autorità di vigilanza può ordinare misure dirette a eliminare le infrazioni accertate nella raccolta, nel trattamento o nell’utilizzo dei dati personali nonché i problemi tecnici o organizzativi rilevati. In caso di violazioni o inadempimenti gravi, in particolare se implicanti notevoli rischi per il diritto alla vita privata, l’autorità preposta può vietare la raccolta, il trattamento o l’utilizzo [dei dati] oppure il ricorso a determinate procedure qualora le infrazioni o gli inadempimenti non siano sanati in tempo utile in violazione del provvedimento di cui al primo periodo e nonostante l’irrogazione di un’ammenda. Essa può chiedere la revoca del garante della protezione dei dati ove questi non disponga delle competenze e dell’affidabilità necessarie per svolgere le sue mansioni».


11      L’articolo 12 della legge sui media online è del seguente tenore:


«(1)      Il fornitore di servizi può raccogliere e impiegare dati personali ai fini della messa a disposizione di media online solo se consentito dalla presente legge o da un’altra normativa riguardante espressamente i media online, oppure se l’utente vi abbia prestato consenso.


(…)


(3)      Ove non sia diversamente stabilito, le norme vigenti per la tutela dei dati personali trovano applicazione anche nel caso in cui i dati non costituiscano oggetto di trattamento automatizzato».


12      La disposizione di cui trattasi riguarda il trattamento di dati personali su commissione.


13      In forza della suddetta disposizione, «per organismo responsabile si intende qualsiasi persona oppure organismo che raccoglie, elabora o utilizza dati personali in proprio o attraverso terzi su commissione».


14      C‑131/12, EU:C:2014:317.


15      Punto 60 della citata sentenza.


16      In base alle definizioni contenute nel parere 1/2010, il termine «finalità» indica «un risultato sperato, che si persegue o che guida le azioni previste» e per «strumento» si intende «il modo di ottenere un risultato o di raggiungere un fine» (pag. 13).


17      Così, ad esempio, in conformità all’articolo 6, paragrafo 2, di tale direttiva, il responsabile del trattamento è tenuto a garantire il rispetto dei principi relativi alla qualità dei dati elencati nell’articolo 6, paragrafo 1, della stessa direttiva. In forza degli articoli 10 e 11 della direttiva 95/46, sul responsabile del trattamento grava un obbligo di informazione nei confronti degli interessati da un trattamento di dati personali. In applicazione dell’articolo 12 di tale direttiva, il diritto di accesso ai dati riconosciuto agli interessati viene esercitato nei confronti del responsabile del trattamento. Lo stesso vale per il diritto di opposizione previsto dall’articolo 14 della direttiva in questione. In forza dell’articolo 23, paragrafo 1, della direttiva 95/46, gli Stati membri dispongono che «chiunque subisca un danno cagionato da un trattamento illecito o da qualsiasi altro atto incompatibile con le disposizioni nazionali di attuazione [di detta] direttiva abbia il diritto di ottenere il risarcimento del pregiudizio subito dal responsabile del trattamento». Infine, i poteri effettivi di intervento delle autorità di vigilanza, come previsti nell’articolo 28, paragrafo 3, della direttiva in questione, vengono esercitati nei confronti dei responsabili del trattamento.


18      C‑131/12, EU:C:2014:317.


19      V., in questo senso, sentenza del 13 maggio 2014, Google Spain e Google (C‑131/12, EU:C:2014:317, punti 38 e 83).


20      V., in particolare, sentenza del 13 maggio 2014, Google Spain e Google (C‑131/12, EU:C:2014:317, punto 34).


21      Parere 1/2010, pag. 10.


22      Così, in base alle spiegazioni fornite da Facebook Ireland, quest’ultima introduce con regolarità funzioni messe a disposizione esclusivamente degli interessati all’interno dell’Unione e adattate a tali persone. In altri casi, Facebook Ireland sceglie di non offrire nell’Unione prodotti messi a disposizione negli Stati Uniti da Facebook Inc.


23      V. sentenza del 6 ottobre 2015, Schrems (C‑362/14, EU:C:2015:650, punto 27).


24      V. ordinanza di rinvio, punto 39.


25      Nell’ambito della presente fattispecie non rileva la determinazione della finalità e degli strumenti del trattamento successivo alla trasmissione a Facebook dei dati degli utenti di una fanpage. Occorre concentrarsi sulla fase del trattamento qui controversa, vale a dire quella della raccolta dei dati degli utenti di una fanpage senza che essi ne siano stati informati e senza che sia stato debitamente ottenuto il loro consenso.


26      Dalle condizioni di utilizzo di Facebook emerge che le statistiche sugli utenti permettono al gestore di una fanpage di accedere a informazioni sul suo pubblico destinatario al fine di poter creare contenuti più adatti ad esso. Le statistiche sugli utenti forniscono al gestore di una fanpage dati demografici concernenti il suo pubblico destinatario, in particolare in materia di età, sesso, situazione sentimentale e professionale, informazioni sullo stile di vita e sugli interessi di detto pubblico, nonché informazioni sugli acquisti da esso compiuti, segnatamente, il suo comportamento di acquisto online, le categorie di prodotti o di servizi di suo maggiore interesse e dati territoriali che permettono al gestore della fanpage di stabilire dove avviare promozioni speciali e organizzare eventi.


27      V., in questo senso, parere 1/2010, pag. 27.


28      Ibidem, pag. 27: «Lo squilibrio fra il potere contrattuale di un piccolo responsabile del trattamento rispetto a un grosso fornitore di servizi non può giustificare il fatto che il primo accetti clausole e condizioni non conformi alla normativa sulla protezione dei dati».


29      C‑131/12, EU:C:2014:317.


30      Sentenza del 13 maggio 2014, Google Spain e Google (C‑131/12, EU:C:2014:317, punto 38 e, in questo senso, punto 83).


31      Sentenza del 13 maggio 2014, Google Spain e Google (C‑131/12, EU:C:2014:317, punto 40).


32      V. ordinanza di rinvio, punto 35.


33      Causa ancora pendente dinanzi alla Corte.


34      Come osserva l’autorità svizzera per la protezione dei dati, «[b]enché, nella maggior parte dei casi, la registrazione e l’analisi dei dati siano compiuti, in senso stretto, dal fornitore di servizi di webtracking, è responsabile anche il gestore del sito web. Infatti, esso inserisce nel proprio sito il codice del fornitore di servizi di webtracking e favorisce così, all’insaputa dell’utente, la trasmissione di dati, l’installazione di cookie e la raccolta di dati a beneficio del fornitore dei suddetti servizi». V. Explications concernant le webtracking, del Préposé fédéral à la protection des données et à la transparence (Autorità federale svizzera per la tutela dei dati e per la trasparenza – PFPDT), reperibile all’indirizzo Internet: https://www.edoeb.admin.ch/datenschutz/00683/01103/01104/index.html?lang=fr.


35      V., in questo senso, parere 1/2010, pag. 23.


36      Parere 1/2010, pagg. 33 e 34.


37      Parere 1/2010, pag. 20.


38      V. ordinanza di rinvio, punto 40.


39      V., in particolare, sentenza del 31 gennaio 2017, Lounani (C‑573/14, EU:C:2017:71, punto 56 e giurisprudenza ivi citata).


40      In prosieguo: il «parere 8/2010».


41      Pagg. 31 e 32 del suddetto parere.


42      Pag. 32 del parere citato.


43      La determinazione del diritto nazionale applicabile e l’individuazione dello stabilimento che può essere destinatario delle azioni dei soggetti danneggiati e delle autorità di vigilanza risulta complessa in ragione della struttura adottata da gruppi come Google e Facebook per sviluppare le loro attività a livello mondiale. V., su tali questioni, Svantesson, D., «Enforcing Privacy Across Different Jurisdiction», Enforcing Privacy: Regulatory, Legal and Technological Approaches, Springer, Berlino, 2016, pagg. da 195 a 222, in particolare pagg. da 216 a 218.


44      V., in particolare, sentenza del 1o ottobre 2015, Weltimmo (C‑230/14, EU:C:2015:639, punto 25 e giurisprudenza ivi citata).


45      V., in particolare, sentenza del 28 luglio 2016, Verein für Konsumenteninformation (C‑191/15, EU:C:2016:612, punto 75 e giurisprudenza ivi citata).


46      V. sentenza del 1o ottobre 2015, Weltimmo (C‑230/14, EU:C:2015:639, punto 29).


47      V., segnatamente, sentenza del 28 luglio 2016, Verein für Konsumenteninformation (C‑191/15, EU:C:2016:612, punto 77 e giurisprudenza ivi citata).


48      V. sentenza del 1o ottobre 2015, Weltimmo (C‑230/14, EU:C:2015:639, punto 29).


49      V., in particolare, sentenza del 28 luglio 2016, Verein für Konsumenteninformation (C‑191/15, EU:C:2016:612, punto 78 e giurisprudenza ivi citata).


50      Pag. 33 del parere 8/2010. V., inoltre, in questo senso, pagg.15 e 16 di detto parere.


51      C‑131/12, EU:C:2014:317.


52      Punto 55 della citata sentenza.


53      Punto 56 della citata sentenza.


54      Punto 57 della citata sentenza.


55      V., in questo senso, parere 5/2009 del gruppo di lavoro «Articolo 29», del 12 giugno 2009. sui social network online, pag. 5.


56      C‑131/12, EU:C:2014:317.


57      V., in particolare, «Update of Opinion 8/2010 on applicable law in light of the CJEU judgment in Google Spain», del gruppo di lavoro «Articolo 29», del 16 dicembre 2015, pagg. 6 e 7.


58      V., nel senso della possibile applicazione di più normative nazionali, il parere 8/2010: «Il riferimento a “uno” stabilimento significa che la presenza di uno stabilimento del responsabile del trattamento nel territorio di uno Stato membro determina l’applicabilità della legge di quello Stato membro, e che la presenza di altri stabilimenti di quel responsabile del trattamento nel territorio di altri Stati membri determina l’applicabilità delle leggi di tali Stati membri» (pag. 33).


59      C‑191/15, EU:C:2016:612.


60      Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46 (GU 2016, L 119, pag. 1).


61      V., a tale proposito, Hawkes, B., «The Irish DPA and its Approach to Data Protection», Enforcing Privacy: Regulatory, Legal and Technological Approaches, Springer, Berlin, 2016, pagg. da 441 a 454, in particolare pag. 450, nota a piè di pagina 11. L’autore osserva che «[t]he degree to which, under existing EU law, other European DPAs can assert jurisdiction over entities such as Facebook-Ireland is not entirely clear, linked as it is to interpretations of Article 4 of Directive 95/46/EC, notably the phrase “the processing is carried out in the context of the activities of an establishment of the controller on the territory of the Member State”. The DPC, in its audit report, stated that: “[I]t ha(d) jurisdiction over the personal data processing activities of [Facebook-Ireland] based on it being established in Ireland” but that this “should not however be interpreted as asserted sole jurisdiction over the activities of Facebook in the EU”.


62      C‑131/12, EU:C:2014:317.


63      V., secondo una logica comparabile, Common Statement by the Contact Group of the Data Protection Authorities of The Netherlands, France, Spain, Hamburg and Belgium, 16 May 2017, nel quale le suddette autorità dichiarano che: «(…) The DPAs united in the Contact Group conclude that their respective national data protection law applies to the processing of personal data of users and non-users by the Facebook Group in their respective countries and that each DPA has competence. Following case law from the European Court of Justice (…), the DPAs note that the Facebook Group has offices in multiple countries in the EU. These offices aim to promote and increase the sales of targeted advertising aimed at national users and non-users of the service. For its revenues, the Facebook Group almost completely depends on the sale of advertising space, and personal data must necessarily be processed for the type of targeted advertising services offered by the Facebook Group. Therefore, the activities of these offices are “inextricably linked” to the data processing by the Facebook Group, and all the investigated national offices are relevant establishments under Article 4(1)a of the European Data Protection Directive 95/46/EC».


64      V. sentenza del 1o ottobre 2015, Weltimmo (C‑230/14, EU:C:2015:639, punto 49).


65      C‑230/14, EU:C:2015:639.


66      V. sentenza del 1o ottobre 2015, Weltimmo (C‑230/14, EU:C:2015:639, punto 42).


67      V. sentenza del 1o ottobre 2015, Weltimmo (C‑230/14, EU:C:2015:639, punto 43).


68      V. sentenza del 1o ottobre 2015, Weltimmo (C‑230/14, EU:C:2015:639, punto 55).


69      V. sentenza del 1o ottobre 2015, Weltimmo (C‑230/14, EU:C:2015:639, punto 57).


70      C‑230/14, EU:C:2015:639.


71      C‑230/14, EU:C:2015:639.


72      V., a questo proposito, paragrafo 44 delle presenti conclusioni.


73      V. anche paragrafi da 73 a 77 delle presenti conclusioni.


74      C‑230/14, EU:C:2015:639.


75      Sentenza del 1o ottobre 2015, Weltimmo (C‑230/14, EU:C:2015:639, punto 60).


76      Sentenza del 1o ottobre 2015, Weltimmo (C‑230/14, EU:C:2015:639, punto 57)

05.06.2018 Spataro
Curia


Osservatorio privacy - come trattare i dati di un dipendente infedele…
Caso Unicredit - alcune riflessioni
Banche - sanzione per misure organizzative e tecniche per accesso a dati comuni non finanziari - doc 9991020
Battesimo e privacy
Privacy in Svizzera: prevale il segreto bancario sull'interesse a conoscere
Garante provvedimento per cartelle inviate a pazienti sbagliati e integrazione software - n. 9988652
Come funziona la Privacy, l'intelligenza artificiale e il riconoscimento della posizione tramite fotografia.
FCC (USA): Robocall con voci generate dalla AI e' illegale. Elezioni e Marketing avvertiti.
Provvedimento del 7 dicembre 2023 [9978568] dating online, password e durata
Company offering electronic communication services – no complete information of the data subjects & no sufficient technical and organisational measures | European Data Protection Board



Segui le novità in materia di Privacy su Civile.it via Telegram
oppure via email: (gratis Info privacy)





dallo store:
visita lo store








Dal 1999 il diritto di internet. I testi sono degli autori e di IusOnDemand srl p.iva 04446030969 - diritti riservati - Privacy - Cookie - Condizioni d'uso - in 0.084