Civile.it
/internet
Osservatorio sul diritto e telecomunicazioni informatiche, a cura del dott. V. Spataro dal 1999, 9266 documenti.

Il dizionario e' stato letto volte.



Segui via: Email - Telegram
  Dal 1999   spieghiamo il diritto di internet  Store  Podcast  Dizionario News alert    
             

  


WPkit.it: privacy, formulari, check up per WordPress

Temi attuali:
Algoritmi ChatGPT Intelligenza artificiale Privacy WordPress



Privacy 19.12.2018    Pdf    Appunta    Letti    Post successivo  

Conclusioni dell'avvocato generale: si deve informare sull'uso dei plugin di terzi.

Conclusioni dell’avvocato generale nella causa C-40/17

Fashion ID GmbH & Co. KG / Verbraucherzentrale NRW eV

Avvocato generale Bobek:

"il gestore di un sito Internet che inserisce il plugin di un terzo, come il pulsante « Mi piace » di Facebook, il quale determina la raccolta e la trasmissione dei dati personali degli utenti, è corresponsabile di tale fase del trattamento dei dati Il gestore del sito Internet deve fornire agli utenti le informazioni minime richieste riguardo alle operazioni di trattamento dei dati e, se necessario, ottenere il loro consenso prima della raccolta e del trasferimento dei dati."
Spataro

 

C

CONCLUSIONI DELL’AVVOCATO GENERALE

MICHAL BOBEK

presentate il 19 dicembre 2018(1)

Causa C40/17

Fashion ID GmbH & Co. KG

contro

Verbraucherzentrale NRW e.V.

con l’intervento di:

Facebook Ireland Limited,

Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein‑Westfalen

[domanda di pronuncia pregiudiziale proposta dall’Oberlandesgericht Düsseldorf (Tribunale superiore del Land, Düsseldorf, Germania)]

«Rinvio pregiudiziale – Direttiva 95/46/CE – Protezione dei dati personali degli utenti di siti Internet – Legittimazione di un’associazione per la tutela dei consumatori a promuovere un’azione – Responsabilità del gestore di un sito Internet – Trasferimento di dati personali a terzi – Plugin integrato – Pulsante "Like" di Facebook – Interessi legittimi – Consenso della persona interessata – Obbligo di informazione»





I.      Introduzione

1.        La Fashion ID GmbH & Co. KG è una società che commercializza articoli di moda online. Essa ha inserito un plugin nel suo sito Internet: il pulsante «Like» (Mi piace) di Facebook. Di conseguenza, quando un utente entra nel sito Internet della Fashion ID, le informazioni relative all’indirizzo IP e alla stringa del browser di tale utente sono trasferite a Facebook. Detto trasferimento avviene automaticamente quando si apre il sito Internet della Fashion ID, indipendentemente dal fatto che l’utente abbia cliccato o meno il pulsante «Like» e abbia o meno un account Facebook.

2.        La Verbraucherzentrale NRW e.V., associazione tedesca per la tutela dei consumatori, ha avviato un’azione inibitoria contro la Fashion ID per il motivo che l’uso di tale plugin comporta la violazione della normativa sulla protezione dei dati.

3.        Investito della causa, l’Oberlandesgericht Düsseldorf (Tribunale superiore del Land, Düsseldorf, Germania) chiede chiarimenti sull’interpretazione di varie disposizioni della direttiva 95/46/CE (in prosieguo: la «Direttiva 95/46») (2). In via preliminare, il giudice del rinvio chiede se tale direttiva consenta alla normativa nazionale di riconoscere a un’associazione di consumatori la legittimazione a promuovere un’azione come quella di cui al caso di specie. Passando all’aspetto sostanziale, la questione principale è se la Fashion ID debba essere classificata come «responsabile del trattamento» in relazione al trattamento dei dati in corso, e in tal caso, quale sia il modo esatto di soddisfare i singoli obblighi imposti dalla direttiva 95/46 in tale situazione. Quali sono i soggetti cui si riferiscono i «legittimi interessi» che devono essere considerati nella ponderazione richiesta dall’articolo 7, lettera f), della direttiva 95/46? La Fashion ID ha il dovere di informare le persone interessate riguardo al trattamento? Ed è sempre la Fashion ID a dover raccogliere il consenso informato delle persone interessate al riguardo?

II.    Contesto normativo

A.      Diritto dell’Unione

Direttiva 95/46

4.        L’obiettivo della direttiva 95/46 è fissato all’articolo 1. Il paragrafo 1 di tale articolo così recita: «Gli Stati membri garantiscono la tutela dei diritti e delle libertà fondamentali delle persone fisiche e particolarmente del diritto alla vita privata, con riguardo al trattamento dei dati personali». Ai sensi del paragrafo 2 della medesima disposizione «[g]li Stati membri non possono restringere o vietare la libera circolazione dei dati personali tra Stati membri, per motivi connessi alla tutela garantita a norma del paragrafo 1».

5.        L’articolo 2 contiene le seguenti definizioni:

«a)      “dati personali”: qualsiasi informazione concernente una persona fisica identificata o identificabile (“persona interessata”); si considera identificabile la persona che può essere identificata, direttamente o indirettamente, in particolare mediante riferimento ad un numero di identificazione o ad uno o più elementi specifici caratteristici della sua identità fisica, fisiologica, psichica, economica, culturale o sociale;

b)      “trattamento di dati personali” (“trattamento”): qualsiasi operazione o insieme di operazioni compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali, come la raccolta, la registrazione, l’organizzazione, la conservazione, l’elaborazione o la modifica, l’estrazione, la consultazione, l’impiego, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, nonché il congelamento, la cancellazione o la distruzione;

(…)

d)      “responsabile del trattamento”: la persona fisica o giuridica, l’autorità pubblica, il servizio o qualsiasi altro organismo che, da solo o insieme ad altri, determina le finalità e gli strumenti del trattamento di dati personali. Quando le finalità e i mezzi del trattamento sono determinati da disposizioni legislative o regolamentari nazionali o comunitarie, il responsabile del trattamento o i criteri specifici per la sua designazione possono essere fissati dal diritto nazionale o comunitario;

(…)

h)      “consenso della persona interessata”: qualsiasi manifestazione di volontà libera, specifica e informata con la quale la persona interessata accetta che i dati personali che la riguardano siano oggetto di un trattamento».

6.        L’articolo 7 prevede i principi che devono essere osservati affinché il trattamento dei dati sia legittimo: «Gli Stati membri dispongono che il trattamento di dati personali può essere effettuato soltanto quando:

a)      la persona interessata ha manifestato il proprio consenso in maniera inequivocabile, oppure

(…)

f)      è necessario per il perseguimento dell’interesse legittimo del responsabile del trattamento oppure del o dei terzi cui vengono comunicati i dati, a condizione che non prevalgano l’interesse o i diritti e le libertà fondamentali della persona interessata, che richiedono tutela ai sensi dell’articolo 1, paragrafo 1».

7.        L’articolo 10 stabilisce le informazioni minime che devono essere fornite alla persona interessata:

«Gli Stati membri dispongono che il responsabile del trattamento, o il suo rappresentante, debba fornire alla persona presso la quale effettua la raccolta dei dati che la riguardano almeno le informazioni elencate qui di seguito, a meno che tale persona ne sia già informata:

a)      l’identità del responsabile del trattamento ed eventualmente del suo rappresentante;

b)      le finalità del trattamento cui sono destinati i dati;

c)      ulteriori informazioni riguardanti quanto segue:

–        i destinatari o le categorie di destinatari dei dati,

–        se rispondere alle domande è obbligatorio o volontario, nonché le possibili conseguenze di una mancata risposta,

–        se esistono diritti di accesso ai dati e di rettifica in merito ai dati che la riguardano,

nella misura in cui, in considerazione delle specifiche circostanze in cui i dati vengono raccolti, tali informazioni siano necessarie per effettuare un trattamento leale nei confronti della persona interessata».

8.        Il capo III della direttiva 95/46 riguarda i ricorsi giurisdizionali, la responsabilità e le sanzioni. Gli articoli da 22 a 24 ivi contenuti prevedono quanto segue:

«Articolo 22

Ricorsi

Fatti salvi ricorsi amministrativi che possono essere promossi, segnatamente dinanzi all’autorità di controllo di cui all’articolo 28, prima che sia adita l’autorità giudiziaria, gli Stati membri stabiliscono che chiunque possa disporre di un ricorso giurisdizionale in caso di violazione dei diritti garantitigli dalle disposizioni nazionali applicabili al trattamento in questione.

Articolo 23

Responsabilità

1.      Gli Stati membri dispongono che chiunque subisca un danno cagionato da un trattamento illecito o da qualsiasi altro atto incompatibile con le disposizioni nazionali di attuazione della presente direttiva abbia il diritto di ottenere il risarcimento del pregiudizio subito dal responsabile del trattamento.

2.      Il responsabile del trattamento può essere esonerato in tutto o in parte da tale responsabilità se prova che l’evento dannoso non gli è imputabile.

Articolo 24

Sanzioni

Gli Stati membri adottano le misure appropriate per garantire la piena applicazione delle disposizioni della presente direttiva e in particolare stabiliscono le sanzioni da applicare in caso di violazione delle disposizioni di attuazione della presente direttiva».

B.      Diritto tedesco

Gesetz gegen den unlauteren Wettbewerb

9.        L’articolo 3, paragrafo 1, del Gesetz gegen den unlauteren Wettbewerb (legge contro la concorrenza sleale; in prosieguo: l’«UWG») prevede che le pratiche commerciali illecite sono vietate.

10.      L’articolo 8, paragrafi 1 e 3, punto 3, dell’UWG stabilisce che una pratica commerciale illecita può dar luogo a un’ingiunzione di cessazione, o a un’ingiunzione di non fare o a inibitoria da parte di «enti legittimati», elencati nell’Unterlassungsklagengesetz (legge in materia di azione inibitoria) o indicati nell’elenco della Commissione europea, ai sensi dell’articolo 4, paragrafo 3, della direttiva 2009/22/CE relativa a provvedimenti inibitori a tutela degli interessi dei consumatori (3).

Unterlassungsklagengesetz

11.      L’articolo 2, paragrafi 1 e 2, punto 11, dell’Unterlassungsklagengesetz (legge in materia di azione inibitoria) prevede quanto segue:

«(1) Chiunque violi le disposizioni volte a tutelare i consumatori (leggi sulla tutela dei consumatori), con modalità diverse dall’applicazione o dalla raccomandazione di condizioni generali di vendita, può essere soggetto a un’ingiunzione di cessazione e a inibitoria nell’interesse della tutela dei consumatori.

(2) Ai fini della presente disposizione, per “leggi sulla tutela dei consumatori”, si intendono in particolare:

(...)

11.      le disposizioni che disciplinano la legittimità

a)      della raccolta dei dati personali di un consumatore da parte di un’impresa oppure

b)      del trattamento o dell’utilizzo, da parte di un’impresa, dei dati personali raccolti riguardanti un consumatore,

qualora i dati siano raccolti, trattati o utilizzati per fini pubblicitari, per ricerche di mercato e sondaggi, gestione di un’agenzia di credito, realizzazione di profili personali o profili utente, commercio di indirizzi o di altri dati o per scopi commerciali analoghi».

Telemediengesetz

12.      L’articolo 2, paragrafo 1, del Telemediengesetz (legge sui media elettronici; in prosieguo: il «TMG») prevede quanto segue:

«Ai sensi della presente legge:

1. per fornitore di servizi si intende ogni persona fisica o giuridica che metta a disposizione servizi di telecomunicazione propri o altrui o dia accesso al loro utilizzo; (...)».

13.      L’articolo 12, paragrafo 1, del TMG, così recita: «Il fornitore di servizi può raccogliere e utilizzare dati personali ai fini della messa a disposizione di servizi di telecomunicazione solo nella misura consentita dalla presente legge o da altra norma espressamente riguardante i servizi di telecomunicazione, ovvero qualora l’utente vi abbia prestato consenso».

14.      L’articolo 13, paragrafo 1, del TMG, prevede quanto segue:

«Il fornitore di servizi è tenuto, all’inizio della sessione, ad informare l’utente in forma generalmente comprensibile in merito alla tipologia, alla portata e agli obiettivi della raccolta e dell’utilizzo dei dati personali nonché del trattamento dei suoi dati in Stati non rientranti nell’ambito di applicazione della [direttiva 95/46], salvo che una tale informativa abbia già avuto luogo. In caso di procedura automatizzata che consenta una successiva identificazione dell’utente e predisponga una raccolta o un utilizzo di dati personali, l’utente deve essere informato all’inizio della procedura. L’utente deve poter aver accesso in ogni momento al contenuto dell’informativa».

15.      Ai sensi dell’articolo 15, paragrafo 1, del TMG:

«Il fornitore di servizi può raccogliere e utilizzare i dati personali di un utente solo nella misura in cui ciò sia necessario per rendere possibile la fruizione di servizi di telecomunicazione e per fatturarla (dati di utenza). Costituiscono dati di utenza, in particolare:

1.      gli elementi per l’identificazione dell’utente,

2.      le informazioni su inizio e termine, nonché sulla durata della rispettiva fruizione e

3.      le indicazioni sui servizi di telecomunicazione fruiti dall’utente».

III. Fatti, procedimento, e questioni pregiudiziali

16.      La Fashion ID (in prosieguo: la «convenuta») è un rivenditore online. Essa commercializza articoli di moda sul suo sito Internet. La convenuta ha inserito nel suo sito Internet il plugin «Like», fornito dalla Facebook Ireland Limited (in prosieguo: la «Facebook Ireland» (4). Di conseguenza, il cosiddetto «pulsante “Like” di Facebook» compare sul sito Internet della convenuta.

17.      Nella decisione di rinvio viene inoltre spiegato il funzionamento della parte (non visibile) del plugin: quando un visitatore entra nel sito della convenuta, nel quale è collocato il pulsante «Like» di Facebook, il suo browser invia automaticamente informazioni relative all’indirizzo IP e alla stringa del browser dello stesso visitatore alla Facebook Ireland. La trasmissione di tali informazioni avviene senza che sia necessario cliccare effettivamente il pulsante «Like» di Facebook. Dalla decisione di rinvio sembra inoltre derivare che, quando si visita il sito Internet della convenuta, la Facebook Ireland colloca vari tipi di cookies (di sessione, datr e fr) nel dispositivo dell’utente.

18.      La Verbraucherzentrale NRW (in prosieguo: la «ricorrente), un’associazione per la tutela dei consumatori, ha avviato un procedimento giudiziario nei confronti della convenuta dinanzi al Landgericht (Tribunale del Land, Germania). La ricorrente ha chiesto un’ingiunzione per obbligare la convenuta a cessare l’inserimento del plugin social «Like» di Facebook con la motivazione che, presumibilmente, detta convenuta:

–        «non ha informato gli utenti della pagina Internet, in termini chiari ed espliciti, in merito alla finalità della raccolta e dell’impiego dei dati così trasmessi prima che il soggetto offerente il plugin iniziasse ad avere accesso all’indirizzo IP e alla stringa del browser dell’utente, e/o

–        non ha ottenuto, prima che l’accesso avesse luogo, il consenso degli utenti della pagina Internet all’accesso all’indirizzo IP e alla stringa del browser da parte dell’offerente il plugin e all’utilizzo dei dati, e/o

–        non ha informato gli utenti che avessero dato il loro consenso, ai sensi del secondo capo della domanda formulata in ricorso, della possibilità di revocarlo in ogni momento pro futuro, e/o

–        non ha indicato quanto segue: «Se siete utenti di un social network e non volete che quest’ultimo raccolga dati su di voi attraverso il nostro sito Internet e li colleghi ai vostri dati utenti salvati sul social network, siete pregati di uscire dal social network prima di visitare il nostro sito Internet».

19.      La ricorrente ha affermato che la Facebook Inc. o la Facebook Ireland registra l’indirizzo IP e la stringa del browser e li collega a un determinato utente (membro o non membro). La convenuta replica di non esserne a conoscenza. La Facebook Ireland sostiene che l’indirizzo IP viene trasformato in un indirizzo IP generico e viene salvato solo come tale e che l’indirizzo IP e la stringa del browser non vengono collegati ad account di utenti.

20.      Il Landgericht (Tribunale del Land) si è pronunciato a sfavore della convenuta sui primi tre motivi. La convenuta ha interposto appello. La ricorrente ha proposto un appello incidentale relativamente al quarto motivo.

21.      È in tale contesto di diritto e di fatto che l’Oberlandesgericht Düsseldorf (Tribunale superiore del Land, Düsseldorf) ha deciso di sottoporre alla Corte le seguenti questioni pregiudiziali:

1.      Se la normativa di cui agli articoli 22, 23 e 24 della direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (GU 1995, L 281, pag. 31), osti a una disciplina nazionale che, accanto ai poteri di intervento delle autorità di protezione dei dati e ai mezzi di ricorso riconosciuti all’interessato, riconosca ad associazioni senza scopo di lucro che si occupino della tutela degli interessi dei consumatori la facoltà di agire, in caso di violazione, nei confronti dell’autore della medesima.

In caso di risposta negativa alla prima questione:

2.      Se, in un caso come quello in esame, in cui un soggetto inserisca nella propria pagina Internet un codice di programma in forza del quale il browser dell’utente richiami contenuti di un terzo trasferendo in tal modo dati personali a terzi, il soggetto autore dell’inserimento sia il “responsabile del trattamento” ai sensi dell’articolo 2, lettera d), della [direttiva 95/46], qualora egli non sia in grado di incidere su detta operazione di trattamento dei dati.

3.      In caso di risposta negativa alla seconda questione: se l’articolo 2, lettera d), della [direttiva 95/46] debba essere interpretato nel senso che disciplini la responsabilità in termini esaustivi, ostando alla proposizione di un’azione civile nei confronti di un terzo che, pur non essendo il «responsabile del trattamento», abbia dato origine all’operazione di trattamento senza peraltro incidervi.

4.      In un caso come quello in esame, quali siano i soggetti cui si riferiscono i “legittimi interessi” che devono essere tenuti in considerazione, a norma dell’articolo 7, lettera f), della direttiva [95/46]. Se si tratti dell’interesse all’inserimento di contenuti di terzi o dell’interesse del terzo.

5.      Quale sia il soggetto cui debba essere espresso, in un caso come quello in esame, il consenso richiesto negli articoli 7, lettera a), e 2, lettera h), della direttiva [95/46].

6.      Se l’obbligo di informazione di cui all’articolo 10 della direttiva [95/46] riguardi, in una situazione come quella in esame, anche il gestore di una pagina Internet che abbia inserito il contenuto di un terzo dando così luogo al trattamento di dati personali da parte dei terzi».

22.      Hanno presentato osservazioni scritte la ricorrente, la convenuta, la Facebook Ireland, la Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein‑Westfalen (Commissario federale tedesco per la protezione dei dati e per la libertà di informazione, Renania Settentrionale-Vestfalia; in prosieguo: la «LDI NW»), i governi belga, tedesco, italiano, austriaco e polacco, nonché la Commissione. All’udienza del 6 settembre 2018 hanno presentato osservazioni orali la ricorrente, la convenuta, la Facebook Ireland, la LDI NW, il Belgio, la Germania, l’Austria e la Commissione.

IV.    Valutazione

23.      Nelle presenti conclusioni propongo che la direttiva 95/46 non osta a una normativa nazionale che riconosce a un’associazione incaricata della tutela dei consumatori, come la ricorrente, la legittimazione a intentare un’azione nei confronti del presunto autore di una violazione delle leggi in materia di protezione dei dati (A). Ritengo inoltre che la convenuta sia corresponsabile del trattamento, assieme alla Facebook Ireland, con una responsabilità limitata, tuttavia, a una fase specifica del trattamento dei dati (B). In terzo luogo, sono dell’avviso che la ponderazione prevista all’articolo 7, lettera f), della direttiva 95/46 richieda che si tenga conto degli interessi legittimi non solo della convenuta, ma anche della Facebook Ireland (nonché, naturalmente, dei diritti delle persone interessate) (C). In quarto luogo, il consenso informato della persona interessata per una determinata fase del trattamento dei dati deve essere espresso alla convenuta. La convenuta ha altresì l’obbligo di fornire informazioni alla persona interessata (D).

A.      La normativa nazionale che riconosce la legittimazione ad agire ad associazioni incaricate della tutela degli interessi dei consumatori

24.      Con la prima questione, il giudice del rinvio chiede in sostanza se la direttiva 95/46 osti a una norma nazionale che consente alle associazioni per la tutela degli interessi dei consumatori di avviare un procedimento giudiziario nei confronti del presunto autore di una violazione delle leggi in materia di protezione dei dati. A tal riguardo, il giudice del rinvio cita in particolare gli articoli da 22 a 24 della direttiva 95/46. Detto giudice osserva che la normativa nazionale di cui trattasi potrebbe essere considerata una «misura appropriata» ai sensi dell’articolo 24. Inoltre, esso sottolinea che il regolamento (UE) 2016/679 (in prosieguo: il «RGPD») (5), che ha sostituito la direttiva 95/46, conferisce ora espressamente siffatto diritto alle associazioni all’articolo 80, paragrafo 2 (6).

25.      La convenuta e la Facebook Ireland sostengono che la direttiva 95/46 non riconosce la legittimazione ad agire di tali associazioni, in quanto detta legittimazione non è espressamente prevista nella direttiva 95/46, la quale mira, a loro avviso, alla piena armonizzazione. Secondo la convenuta, riconoscere in tal modo la legittimazione ad agire costituirebbe una minaccia all’indipendenza delle autorità di controllo a causa delle pressioni dell’opinione pubblica alle quali tali autorità sarebbero esposte.

26.      La ricorrente, la LDI NW, e tutti i governi che hanno preso posizione nella fattispecie condividono la tesi secondo la quale la direttiva 95/46 non osta alla normativa in questione.

27.      Concordo con quest’ultima tesi (7).

28.      Ritengo importante richiamare, anzitutto, la norma costituzionale (generale) inserita nell’articolo 288 TFUE secondo il quale la «direttiva vincola lo Stato membro cui è rivolta per quanto riguarda il risultato da raggiungere, salva restando la competenza degli organi nazionali in merito alla forma e ai mezzi» che meglio garantiscono il risultato che deve essere conseguito dalla direttiva (8).

29.      Ne deriva che, per attuare gli obblighi previsti da una direttiva, gli Stati membri sono liberi di adottare qualsiasi misura che essi ritengano adeguata, purché tale misura non sia espressamente esclusa dalla direttiva stessa, o non sia contraria agli obiettivi di tale direttiva.

30.      Il testo della direttiva 95/46 non esclude espressamente la possibilità di riconoscere, nel diritto nazionale, la legittimazione ad agire ad associazioni incaricate della tutela dei diritti dei consumatori.

31.      Considerati gli obiettivi della direttiva 95/46, questi includono l’obiettivo di «garantire una tutela efficace e completa delle libertà e dei diritti fondamentali delle persone fisiche, segnatamente del diritto alla vita privata, con riguardo al trattamento dei dati personali» (9). Inoltre, conformemente al considerando 10 della direttiva 95/46, «il ravvicinamento delle legislazioni nazionali applicabili in materia non deve avere per effetto un indebolimento della tutela da esse assicurata, ma deve, anzi, mirare a garantire un elevato grado di tutela nella Comunità» (10).

32.      Dalla decisione di rinvio è possibile desumere che la Germania ha riconosciuto la legittimazione ad agire per associazioni come la ricorrente per contestare ciò che tali associazioni considerano una pratica commerciale illecita o una pratica che viola le leggi in materia di tutela dei consumatori, leggi, queste ultime, che includono la normativa sulla protezione dei dati.

33.      In tale contesto, non vedo come il riconoscimento di tale legittimazione sia in ogni caso contrario agli scopi della direttiva 95/46 o indebolisca i tentativi di conseguire tali obiettivi. Anzi, il riconoscimento della legittimazione ad agire a questo tipo di associazioni sembra piuttosto favorire il conseguimento degli obiettivi e l’attuazione della direttiva contribuendo efficacemente al rafforzamento dei diritti delle persone interessate attraverso mezzi di ricorso collettivi (11).

34.      Ritengo che agli Stati membri che lo desiderano non sia quindi impedito di prevedere una norma per la legittimazione ad agire delle associazioni, come quella che consente alla ricorrente di proporre il ricorso oggetto del procedimento principale.

35.      Alla luce di tale risposta, considero un po’ fuorviante la discussione svoltasi nel corso di tale procedimento, incentrata sulla questione se la normativa nazionale in esame debba rientrare specificamente nell’articolo 24 della direttiva 95/46, come un tipo di «misura appropriata», o se possa rientrare nell’articolo 22. Se si ritiene che gli Stati membri debbano attuare una direttiva con qualsiasi mezzo che gli stessi ritengano adeguato e che a tale specifica modalità di attuazione non osti né il testo né la ratio e lo scopo della direttiva, la questione della disposizione specifica della direttiva in base alla quale sia possibile classificare una particolare misura nazionale è di secondaria importanza (12). Tuttavia, per quel che vale, l’espressione «le misure appropriate per garantire la piena applicazione delle disposizioni della presente direttiva» di cui all’articolo 24 potrebbe essere certamente interpretata nel senso che include disposizioni nazionali come quelle di cui trattasi nella fattispecie.

36.      Ritengo che questa conclusione generale non sia in ogni caso pregiudicata dalle seguenti considerazioni, che sono state discusse nel corso del presente procedimento.

37.      In primo luogo, è vero che la direttiva 95/46 non compare nell’elenco previsto nell’allegato I della direttiva 2009/22. Quest’ultima stabilisce norme sulle azioni inibitorie che possono essere esperite dai cosiddetti «enti legittimati» per rafforzare la tutela degli interessi collettivi dei consumatori (13). Nell’elenco contenuto nell’allegato I sono indicate varie direttive e la direttiva 95/46 non è fra queste.

38.      Tuttavia, come affermato dal governo tedesco, l’elenco di cui all’allegato I della direttiva 2009/22 non può essere considerato tassativo nel senso che osterebbe a una normativa nazionale che preveda azioni inibitorie relative al rispetto delle norme contenute in direttive diverse da quelle elencate nell’allegato I della direttiva 2009/22. A fortiori, sarebbe alquanto sorprendente se siffatto elenco esemplificativo, contenuto in un atto di diritto derivato, dovesse essere improvvisamente interpretato nel senso di privare gli Stati membri della loro scelta sulle modalità di attuazione di una direttiva, come prevista dal Trattato.

39.      In secondo luogo, esamino l’argomento presentato dalla convenuta e dalla Facebook Ireland, relativo alla piena armonizzazione realizzata dalla direttiva 95/46, che, a loro avviso, escluderebbe un’azione non prevista espressamente.

40.      È vero che la Corte ha costantemente dichiarato che l’armonizzazione derivante dalla direttiva 95/46 non si limita ad un’armonizzazione minima, ma sfocia in un’armonizzazione che, «in linea di principio, è completa» (14). Al contempo, è stato altresì ammesso che la medesima direttiva «riconosce agli Stati membri un margine di manovra in taluni settori», purché la direttiva 95/46 sia rispettata (15).

41.      Come ho suggerito in altra sede (16), la questione dell’esistenza o meno di un’«armonizzazione completa» a livello di diritto dell’Unione (nel senso di una prelazione legislativa che osti a qualsiasi intervento legislativo da parte degli Stati membri) non può essere affrontata in generale, con riferimento all’intero settore del diritto o a una materia disciplinata da una direttiva. Al contrario, tale valutazione deve essere effettuata con riferimento a ogni specifica disposizione (una determinata norma o un particolare aspetto) della direttiva in questione.

42.      Osservando le specifiche disposizioni «procedurali» della direttiva 95/46 di cui trattasi nel caso di specie, ossia gli articoli da 22 a 24, queste ultime sono formulate in termini assai generici (17). Tenuto conto del livello di genericità e di astrazione di tali disposizioni, sarebbe in effetti alquanto sorprendente suggerire che tali disposizioni producono l’effetto di una prelazione legislativa, che esclude qualsiasi misura che possa essere adottata dagli Stati membri che non sia specificamente menzionata in tali articoli (18).

43.      In terzo luogo, un altro argomento dedotto dalla convenuta riguardava la minaccia all’indipendenza delle autorità di controllo (19). Essa suggeriva in sostanza che, se si riconoscesse la legittimazione ad agire delle associazioni di consumatori, tali associazioni promuoverebbero azioni contemporaneamente e/o in sostituzione dell’autorità di controllo, il che comporterebbe pressioni da parte dell’opinione pubblica e parzialità da parte dell’autorità di controllo, e violerebbe, in definitiva, il requisito della piena indipendenza delle autorità di controllo stabilito all’articolo 28, paragrafo 1, della direttiva.

44.      Tale argomento è privo di rilevanza. Purché tale autorità di controllo fosse, innanzitutto, realmente indipendente (20), non vedo, al pari del governo tedesco, come un’azione come quella esperita nel procedimento principale potesse minacciare la sua indipendenza. Un’associazione non può far rispettare la legge nel senso di rendere la sua opinione vincolante per le autorità di controllo. Ciò è di competenza esclusiva delle autorità giurisdizionali. Un’associazione di consumatori, al pari di un qualsiasi singolo consumatore, può solo intentare un’azione. Pertanto, dichiarare che ogni azione (privata) promossa dal singolo o da un’associazione di consumatori eserciterebbe pressioni sulle autorità preposte al controllo della corretta applicazione delle leggi (a livello pubblico) e che non sia ammissibile che un siffatto rimedio esista parallelamente al sistema di controllo pubblico della corretta applicazione delle leggi risulta così singolare da rendere scarsamente necessario l’ulteriore esame di tale argomento (21).

45.      In quarto e ultimo luogo, esamino l’argomento secondo il quale l’articolo 80, paragrafo 2, del RGPD deve essere inteso nel senso che modifica (e capovolge) la situazione precedente riconoscendo qualcosa (la legittimazione ad agire delle associazioni) che in precedenza non era consentito.

46.      Tale argomento non è convincente.

47.      È importante rammentare che, sostituendo la direttiva 95/46 con il RGPD, la natura dello strumento normativo in cui le norme sono rinvenibili è mutata, passando dalla natura di direttiva a quella di regolamento. Tale mutamento ha comportato altresì che, contrariamente a una direttiva, in cui gli Stati membri rimangono liberi di scegliere le modalità di attuazione del contenuto di tale strumento normativo, le norme nazionali di attuazione di un regolamento, in via di principio, possono essere adottate solo se espressamente autorizzate.

48.      Considerato in quest’ottica, è discutibile l’argomento secondo il quale la disposizione espressa sulla legittimazione ad agire delle associazioni, ora inclusa nel RGPD, sta ad indicare che tale legittimazione era esclusa in base alla direttiva 95/46. Se si potessero trarre argomenti da tale giustapposizione (22), ciò avverrebbe piuttosto in senso contrario: se prevedere norme per riconoscere tale legittimazione non era vietato da quest’ultima direttiva (in base agli argomenti da me presentati nei paragrafi precedenti), il mutamento della forma giuridica, dalla direttiva al regolamento, giustificherebbe l’inclusione di siffatta disposizione al fine di chiarire che tale possibilità, in effetti, rimane.

49.      Pertanto, alla luce delle suesposte considerazioni, la mia prima conclusione provvisoria è che la direttiva 95/46 non osta a una normativa nazionale che riconosce ad associazioni senza scopo di lucro la legittimazione ad avviare un procedimento giudiziario nei confronti del presunto autore di una violazione della normativa in materia di protezione dei dati, al fine di tutelare gli interessi dei consumatori.

B.      La Fashion ID è un responsabile del trattamento dei dati?

50.      Con la seconda questione, il giudice del rinvio chiede se la convenuta, poiché ha inserito un plugin nella propria pagina Internet, in forza del quale il browser dell’utente richiama contenuti di terzi trasferendo in tal modo dati personali a terzi, debba essere considerata «responsabile del trattamento» ai sensi dell’articolo 2, lettera d), della direttiva 95/46, sebbene la convenuta non sia in grado di incidere su detta operazione di trattamento dei dati.

51.      Intendo la mancanza di capacità di incidere sull’operazione di trattamento dei dati, affermata dal giudice del rinvio nella sua questione, nel senso che, nella fattispecie, ciò non si riferisce al fatto di causareil processo di trasmissione di tali dati (e a livello fattuale, il convenuto incide chiaramente in quanto ha inserito il plugin considerato). Essa sembra piuttosto riferita all’eventuale trattamento successivo dei dati da parte della Facebook Ireland.

52.      Come osservato dal giudice del rinvio, la risposta alla seconda questione ha implicazioni che vanno ben oltre il caso di specie e il social network gestito dalla Facebook Ireland. Diversi siti Internet inseriscono contenuti di terzi di varia natura. Se un soggetto come la convenuta dovesse essere classificato come «responsabile del trattamento», (cor)responsabile per qualsiasi trattamento (successivo) che abbia luogo in relazione ai dati raccolti, in quanto il gestore del sito Internet ha inserito contenuti di terzi consentendo il trasferimento di tali dati, tale affermazione avrebbe in effetti implicazioni più ampie sul modo in cui i contenuti di terzi sono trattati.

53.      Nella struttura del caso di specie, la seconda questione rappresenta anche la questione fondamentale che coglie l’essenza del problema: in caso di contenuti di terzi inseriti in un sito Internet, chi è responsabile e di cosa esattamente? È altresì la precisione (mancanza di precisione) nel rispondere a tale questione ad incidere sulle risposte alle seguenti questioni sugli interessi legittimi, sul consenso e sul dovere di informazione.

54.      Nella presente sezione formulerò anzitutto alcune osservazioni introduttive sulla nozione di dati personali, pertinenti ai fini della causa in esame (1). Presenterò poi la recente giurisprudenza della Corte, suggerendo una possibile risposta alla seconda questione, qualora le precedenti decisioni della Corte debbano essere ammesse senza formulare ulteriori quesiti (2). Spiegherò successivamente il motivo per cui, forse, si dovrebbero formulare più quesiti e, nel contesto della causa in esame, l’analisi dovrebbe essere alquanto affinata (3). Concluderò sottolineando, ai fini della definizione della nozione responsabilità (congiunta), l’importanza dell’unità di «finalità e strumenti» che dovrebbe sussistere tra i (cor)responsabili del trattamento per quanto riguarda la rispettiva fase di trattamento dei dati personali (operazione di trattamento dei dati) in questione (4).

1.      I dati personali nel caso di specie

55.      Occorre ricordare che la nozione di «dati personali» viene definita all’articolo 2, lettera a), della direttiva 95/46 come «qualsiasi informazione concernente una persona fisica identificata o identificabile (“persona interessata”)». Il considerando 26 della medesima direttiva spiega, a tal riguardo, che «per determinare se una persona è identificabile, è opportuno prendere in considerazione l’insieme dei mezzi che possono essere ragionevolmente utilizzati dal responsabile del trattamento o da altri per identificare detta persona».

56.      La Corte ha già chiarito che l’indirizzo IP, in talune circostanze, può costituire un dato personale (23). La Corte ha inoltre dichiarato che, a tal fine, affinché vi sia una «persona identificabile» ai sensi dell’articolo 2, lettera a), della direttiva 95/46, «non è necessario che tale informazione consenta di per sé sola di identificare la persona interessata», e può essere quindi necessario il ricorso ad ulteriori dati. Essa ha altresì dichiarato che «non si richiede che tutte le informazioni che consentono di identificare la persona interessata debbano essere in possesso di una sola persona» purché la possibilità di combinare i rispettivi dati «costituisca un mezzo che può essere ragionevolmente utilizzato per identificare la persona interessata» (24).

57.      Il giudice del rinvio non discute se l’indirizzo IP, in quanto tale o combinato con la stringa del browser, anch’essa trasmessa, costituisca un dato personale nel senso indicato da tali criteri. La Facebook Ireland sembra contestare tale qualificazione (25).

58.      È evidente che spetta al giudice nazionale effettuare tale valutazione. In genere, per quanto riguarda qualsiasi plugin che possa essere inserito o altri contenuti di terzi, affinché un’informazione sia classificata come personale è indispensabile che tali dati consentano l’identificazione della persona interessata (direttamente o indirettamente). Ai fini della causa in esame, do per scontato che, come sembra risultare dalle questioni sollevate dal giudice del rinvio, nelle circostanze oggetto del procedimento principale, l’indirizzo IP e la stringa del browser costituiscano effettivamente dati personali e soddisfino i criteri di cui all’articolo 2, lettera a), della direttiva 95/46 come chiariti dalla Corte.

2.      Wirtschaftsakademie Schleswig‑Holstein locuta, causa finita?

59.      Per quanto riguarda la risposta alla seconda questione, la convenuta e la Facebook Ireland sostengono che la convenuta non può essere considerata responsabile del trattamento in quanto non incide in alcun modo sui dati personali che saranno trattati. Pertanto, solo la Facebook Ireland può essere classificata come tale. Come argomento secondario, la Facebook Ireland afferma che la convenuta agisce assieme ad essa, come corresponsabile del trattamento, anche se la responsabilità di un soggetto come la convenuta è comunque limitata alla sua area di influenza effettiva.

60.      La ricorrente, LDI NW, e tutti i governi intervenuti nella causa in esame nonché la Commissione condividono, in sostanza, la posizione secondo la quale la nozione di «responsabile del trattamento» ha un significato ampio e include la convenuta. Tuttavia, le loro opinioni riguardo all’esatta portata della responsabilità della convenuta variano notevolmente nell’ambito di tali osservazioni. Le differenze riguardano la questione se la convenuta e la Facebook Ireland debbano (o meno) essere ritenute congiuntamente responsabili, se la loro responsabilità congiunta debba essere o meno limitata alla fase del trattamento dei dati personali in cui la convenuta è effettivamente coinvolta, e se debba essere operata una distinzione, in tale contesto, tra i visitatori del sito Internet che hanno un account Facebook e quelli che non dispongono di tale account.

61.      Come punto di partenza, è evidente che ai sensi dell’articolo 2, lettera d), della direttiva 95/46, la nozione di «responsabile del trattamento» comprende una persona che «da sol[a] o insieme ad altri determina le finalità e gli strumenti del trattamento di dati personali» (26). La nozione di responsabile del trattamento può quindi riferirsi a più soggetti che partecipano al trattamento dei dati (27) e dovrebbe essere interpretata in senso ampio (28).

62.      La questione della responsabilità congiunta è stata esaminata di recente dalla Corte nella sentenza Wirtschaftsakademie Schleswig‑Holstein (29).Per quanto riguarda il ruolo dell’amministratore di una fanpage di Facebook, la Corte ha concluso che l’amministratore ha agito come responsabile del trattamento, assieme alla Facebook Ireland, ai sensi dell’articolo 2, lettera d), della direttiva 95/46. Ciò in quanto l’amministratore ha contribuito a determinare, assieme alla Facebook Ireland, le finalità e gli strumenti del trattamento dei dati personali dei visitatori della suddetta fanpage (30).

63.      Più in particolare, la Corte ha osservato che, creando la fanpage in questione, l’amministratore ha offerto alla Facebook Ireland «la possibilità di posizionare cookie sul computer o su qualsiasi altro dispositivo della persona che ha visitato la sua fanpage», e quindi di procedere al trattamento di dati personali (31). La Corte ha sottolineato che «la creazione di una fanpage su Facebook [Ireland] implica da parte del suo amministratore un’azione d’impostazione dei parametri in base, segnatamente, al suo pubblico destinatario nonché agli obiettivi di gestione o di promozione delle sue attività, che influisce sul trattamento di dati personali ai fini della creazione di statistiche stabilite a partire dalle visite della fanpage» (32). Il trattamento in questione ha consentito alla Facebook Ireland «di migliorare il proprio sistema di pubblicità», mentre ha fornito all’amministratore gli strumenti per gestire meglio, tramite statistiche in forma anonima, la promozione della propria attività (33).

64.      La Corte ha concluso che, attraverso la sua «azione d’impostazione dei parametri», l’amministratore in questione ha partecipato alla determinazione delle finalità e degli strumenti del trattamento dei dati personali dei visitatori della sua fanpage. Pertanto, esso doveva essere considerato responsabile di quel trattamento assieme alla Facebook Ireland (con una responsabilità «ancor più importante» per quanto riguarda i dati personali di coloro che non erano utenti della Facebook Ireland) (34).

65.      Nella sentenza Jehovan todistajat la Corte ha evidenziato un altro importante chiarimento riguardo alla nozione di corresponsabile del trattamento: affinché vi sia una responsabilità congiunta non è necessario che ciascun responsabile del trattamento debba avere accesso a (tutti) i dati personali in questione. Pertanto, una comunità religiosa poteva anche essere corresponsabile del trattamento in casi in cui la comunità stessa non aveva apparentemente accesso ai dati raccolti in questione. In tale causa erano i singoli membri della comunità dei Testimoni di Geova ad essere fisicamente in possesso dei dati personali. Era sufficiente che l’attività di predicazione, nel corso della quale i dati personali venivano apparentemente raccolti, fosse organizzata, coordinata e incoraggiata da tale comunità (35).

66.      A un livello più elevato di astrazione e focalizzando l’attenzione soltanto sulla nozione di responsabilità congiunta, sono costretto ad ammettere che, alla luce di tale recente giurisprudenza, si deve concludere che la convenuta agisce come responsabile del trattamento ed è corresponsabile, assieme alla Facebook Ireland, del trattamento dei dati (36).

67.       In primo luogo, risulta che la convenuta, utilizzando il plugin in questione, ha consentito alla Facebook Ireland di ottenere i dati personali degli utenti del sito Internet della convenuta.

68.      In secondo luogo, è vero che, contrariamente all’amministratore considerato nella causa Wirtschaftsakademie Schleswig‑Holstein, non risulta che la convenuta determini i parametri di informazioni relative agli utenti del suo sito Internet che le verrebbero ritrasmesse in forma anonima o in altra forma. Il «beneficio» ambito sembra essere la pubblicità gratuita dei suoi prodotti che ha luogo presumibilmente quando l’utente del suo sito Internet decide di cliccare il pulsante «Like» di Facebook per condividere, attraverso il suo account Facebook, le sue impressioni riguardo, supponiamo, a un abito da cocktail nero. Pertanto, e salva una verifica fattuale da parte del giudice del rinvio, l’uso del plugin consente alla convenuta di ottimizzare la pubblicità dei suoi prodotti potendo renderli visibili su Facebook.

69.      In alternativa, considerando la situazione da un’altra prospettiva, si potrebbe affermare che la convenuta (co)determini i parametri dei dati raccolti per il semplice fatto che inserisce il plugin in questione nel suo sito Internet. È il plugin in quanto tale a fornire i parametri dei dati personali da raccogliere. Pertanto, inserendo volontariamente tale strumento nel suo sito Internet, la convenuta ha fissato tali parametri per qualsiasi visitatore del suo sito Internet.

70.      In terzo luogo e in ogni caso, alla luce della sentenza Jehovan todistajat, un corresponsabile del trattamento può essere sempre classificato come tale senza neppure aver accesso ai «frutti del lavoro congiunto». Pertanto, il fatto che la convenuta non abbia accesso ai dati trasmessi a Facebook o che, apparentemente, non riceva in cambio statistiche personalizzate o aggregate, non sembra decisivo.

3.      I problemi: Chi non è quindi corresponsabile del trattamento?

71.      La protezione effettiva sarà rafforzata se viene attribuita a tutti la responsabilità di garantirla?

72.      Ciò costituisce, in sintesi, il dilemma morale e pratico più profondo emerso dalla causa in esame ed espresso in termini giuridici dalla portata della definizione di (cor)responsabile del trattamento. Nel comprensibile intento di garantire la protezione effettiva dei dati personali, la recente giurisprudenza della Corte è stata onnicomprensiva quando le è stato chiesto di definire, in un modo o nell’altro, la nozione di (cor)responsabile del trattamento. Finora, tuttavia, la Corte non ha affrontato le implicazioni pratiche di tale ampio approccio definitorio per quanto riguarda le fasi successive dei precisi doveri e della specifica responsabilità delle parti classificate come corresponsabili. Poiché la presente causa offre appunto tale opportunità, proporrei di coglierla per una maggiore precisione definitoria quale dovrebbe sussistere riguardo alla nozione di (cor)responsabile.

a)      Sull’obbligo e sulla responsabilità

73.      Nel considerare, con spirito critico, il criterio applicabile per identificare un «corresponsabile», sembra che l’elemento fondamentale secondo le sentenze Wirtschaftsakademie Schleswig‑Holsteine Jehovan todistajat consista nel fatto che la persona in questione «ha reso possibile» la raccolta e il trasferimento dei dati personali, combinati eventualmente con l’influenza di tale corresponsabile riguardo ai parametri (o quantomeno quando sussista una loro approvazione tacita) (37). Se ciò è quanto avviene realmente, in tal caso, nonostante l’intento espressamente dichiarato a tal fine di escludere tale criterio nella sentenza Wirtschaftsakademie Schleswig‑Holstein (38), è difficile comprendere in qual modo, esattamente, i normali utenti di un’applicazione (operante) online, sia essa un social network o qualsiasi altra piattaforma collaborativa, ma anche altri programmi (39), non diventino anch’essi corresponsabili. Un utente creerà normalmente il proprio account, fornendo parametri all’amministratore riguardo al modo in cui il suo account deve essere strutturato, indicando quali informazioni intende ricevere, su quali temi e da chi. Inviterà anche i propri amici, colleghi e altri a condividere le informazioni sotto forma di dati personali (spesso piuttosto sensibili), attraverso l’applicazione, quindi non solo fornendo dati relativi a tali persone, ma anche invitando le stesse a partecipare a loro volta, contribuendo così, chiaramente, a ottenere e a trattare dati personali di tali soggetti.

74.      Inoltre, che dire delle altre parti nella «catena dei dati personali»? Spingendo la tesi fino all’estremo, se l’unico criterio pertinente per la responsabilità congiunta è quello di aver reso possibile il trattamento dei dati, contribuendo quindi, in concreto, allo svolgimento di tale trattamento in qualsiasi fase, il fornitore del servizio Internet, che rende possibile il trattamento dei dati in quanto consente l’accesso a Internet, o addirittura il fornitore dell’energia elettrica, non avrebbero anche la responsabilità congiunta e sarebbero potenzialmente corresponsabili del trattamento dei dati personali?

75.      La risposta intuitiva è certamente negativa. Il problema è che la definizione della responsabilità non deriva finora dall’ampia nozione di responsabile del trattamento. Il pericolo di tale definizione, in quanto troppo ampia, è che essa si traduca nel ritenere una serie di persone corresponsabili del trattamento dei dati personali.

76.      Tuttavia, contrariamente alle cause cui si è fatto riferimento precedentemente, le questioni sollevate dal giudice del rinvio nella causa in esame non si fermano alla definizione di «responsabile del trattamento». Esse riprendono e continuano l’analisi delle questioni correlate in termini di attribuzione degli obblighi effettivi imposti dalla direttiva 95/46. Tali questioni dimostrano, di per sé, i problemi derivanti da una definizione troppo ampia della nozione di responsabile del trattamento, specialmente se associata alla mancanza di una norma precisa riguardo all’esatta individuazione degli specifici obblighi e responsabilità dei responsabili del trattamento ai sensi della direttiva 95/46. Ciò è chiaramente illustrato dalle osservazioni delle parti interessate fornite in risposta alle questioni quinta e sesta, che riguardano l’esatta attribuzione delle responsabilità ai sensi della direttiva.

77.      La quinta questione tenta di accertare chi si suppone debba ottenere il consenso della persona interessata e per quale finalità. Le risposte suggerite per tale questione variano notevolmente.

78.      La ricorrente e la LDI NW ritengono che l’obbligo di ottenere il consenso informato della persona interessata gravi sulla convenuta, che ha deciso di inserire il plugin di cui trattasi. Ciò è, secondo la ricorrente, tanto più importante per gli utenti non iscritti su Facebook, che non ne hanno accettato le condizioni generali. Secondo la posizione della convenuta, il consenso deve essere prestato ai terzi che forniscono i contenuti inseriti, ossia la Facebook Ireland. Quest’ultima ritiene che il consenso non debba essere prestato a un particolare destinatario, in quanto la direttiva 95/46 precisa soltanto che il consenso deve essere libero, specifico e informato.

79.      L’Austria, la Germania e la Polonia affermano che il consenso deve essere prestato prima che avvenga il trattamento dei dati e, secondo l’Austria, esso deve riferirsi sia alla raccolta che all’eventuale trasmissione dei dati. La Polonia sottolinea che il consenso deve essere prestato alla convenuta. La Germania ritiene che esso debba essere prestato alla convenuta o al terzo che fornisce il contenuto inserito (la Facebook Ireland) in quanto entrambe sono corresponsabili del trattamento. La convenuta deve solo ricevere il consenso per la trasmissione dei dati a terzi in quanto per tutti gli altri tipi di trattamento e di utilizzo dei dati raccolti, essa non agisce più quale responsabile del trattamento. Ciò non esclude, tuttavia, la possibilità per il gestore del sito Internet di ricevere il consenso relativo al trattamento da parte di terzi, che può essere disciplinato da un accordo fra queste due parti. L’Italia sostiene che il consenso deve essere prestato a tutti coloro che partecipano al trattamento dei dati personali, ossia la convenuta e la Facebook Ireland. Il Belgio e la Commissione sottolineano che la direttiva 95/46 non specifica a chi debba essere prestato il consenso.

80.      Una siffatta diversità di opinioni sussiste anche per quanto riguarda chi abbia l’obbligo di informare ai sensi dell’articolo 10 della direttiva 95/46 e su che cosa esattamente, aspetti questi oggetto della sesta questione sollevata dal giudice del rinvio.

81.      Secondo la ricorrente, è il gestore del sito Internet ad avere l’obbligo di comunicare le informazioni necessarie alla persona interessata. La convenuta ha addotto l’argomento contrario, sottolineando che spetta alla Facebook Ireland fornire informazioni in quanto la convenuta non dispone di una conoscenza approfondita. Analogamente, la Facebook Ireland sottolinea di avere l’obbligo di informare, in quanto tale obbligo è rivolto soltanto al responsabile del trattamento (o al suo rappresentante). Essa osserva che la risposta alla sesta questione è strettamente collegata alla questione se il gestore del sito Internet sia un responsabile del trattamento. Dall’articolo 10 risulta che non è opportuno classificare il gestore del sito Internet come responsabile del trattamento, in quanto quest’ultimo non è in grado di fornire le informazioni in parola. La LDI NW ritiene che le informazioni debbano essere fornite dal gestore del sito Internet, ma riconosce la difficoltà di stabilire quali informazioni debbano essere fornite, in quanto la convenuta non influisce sul trattamento dei dati da parte della Facebook Ireland. L’interconnessione fra gli obiettivi del trattamento dei dati indica che il gestore del sito Internet deve essere corresponsabile del trattamento che esso ha reso possibile.

82.      Il Belgio, l’Italia e la Polonia dichiarano che l’obbligo di informare si applica anche al gestore del sito Internet come quello di cui trattasi, dato che esso si qualifica come responsabile del trattamento. Il Belgio aggiunge che il gestore del sito Internet può anche avere l’obbligo di verificare lo scopo del successivo trattamento dei dati e di adottare le misure adeguate per garantire la tutela delle persone fisiche. Il governo tedesco sostiene che l’obbligo di informazione si applica al gestore del sito Internet nei limiti in cui esso è responsabile del trattamento, ossia della trasmissione di dati al fornitore esterno del contenuto inserito, ma non per tutti i successivi processi di trattamento dei dati, di cui è responsabile il fornitore esterno. Secondo l’Austria e la Commissione sia il gestore del sito Internet che il fornitore esterno sono soggetti all’obbligo di fornire informazioni ai sensi dell’articolo 10 della direttiva 95/46.

83.      Al di là dei problemi posti dalle questioni quinta e sesta, si potrebbe aggiungere che difficoltà concettuali analoghe sorgono probabilmente anche quando si considerano altri obblighi definiti dalla direttiva 95/46 come il diritto di accesso ai sensi dell’articolo 12 della medesima direttiva. È vero che la Corte, nella sentenza Wirtschaftsakademie Schleswig‑Holstein, ha dichiarato che: «la direttiva 95/46 non impone che, qualora vi sia una responsabilità congiunta di più operatori per un medesimo trattamento, ciascuno abbia accesso ai dati personali interessati» (40). Tuttavia, il responsabile del trattamento che non abbia a sua volta accesso ai dati in riferimento ai quali è comunque classificato come (cor)responsabile del trattamento non può, logicamente, consentire tale accesso a qualsiasi persona interessata (né tanto meno svolgere qualsiasi altra operazione, come la rettifica o la cancellazione).

84.      Pertanto, a questo punto, la mancanza di chiarezza concettuale a monte (chi è il responsabile del trattamento e riguardo a cosa esattamente) che può portare, in taluni casi, alla mancanza di chiarezza a valle (quale obbligo incombe a chi) rende realmente impossibile il rispetto della normativa vigente da parte di un potenziale corresponsabile del trattamento.

85.      Si potrebbe certamente suggerire che, per l’esatta attribuzione della responsabilità fra i (cor)responsabili (potenzialmente alquanto numerosi), si dovrebbero stipulare contratti. Questi ultimi non solo stabilirebbero l’attribuzione della responsabilità, ma identificherebbero altresì la parte che dovrebbe adempiere ciascun obbligo previsto dalla direttiva, compresi gli obblighi che possono essere fisicamente assunti da un’unica parte.

86.      Ritengo tale proposta estremamente problematica. In primo luogo, essa è completamente irrealistica, tenuto conto della fitta rete di contratti formali e standard che dovrebbero essere sottoscritti da ogni genere di parte, compresi, molto probabilmente, vari comuni utenti (41). In secondo luogo, l’applicazione di una valida normativa, e l’attribuzione della responsabilità che essa prevede sarebbero subordinati ad accordi privati, ai quali i terzi che intendano far rispettare i propri diritti non potrebbero avere accesso.

87.      In terzo luogo, forse anticipando in parte alcune di tali questioni, il RGPD sembra istituire un nuovo regime di responsabilità congiunta all’articolo 26. È certamente vero che il RGPD non era applicabile ratione temporis alle cause discusse nella presente sezione o alla causa in esame. Tuttavia, fatta salva l’esistenza di una deroga specifica o sistematica nella nuova normativa riguardo alle definizioni pertinenti, ipotesi che non sembra ricorrere nel caso di specie, in quanto l’articolo 4 del RGPD mantiene in generale gli stessi termini chiave dell’articolo 2 della direttiva 95/46 (pur aggiungendo numerosi altri termini), sarebbe alquanto sorprendente se l’interpretazione di tali nozioni fondamentali, compresa la nozione di responsabile del trattamento, di trattamento, o di dati personali, dovesse discostarsi in modo significativo (senza una giustificazione particolarmente valida) dalla giurisprudenza esistente.

88.      Infatti, se così fosse, ciò che sembra essere un regime di responsabilità congiunta per contitolari del trattamento, introdotto nell’articolo 26, paragrafo 3, del RGPD potrebbe trasformarsi in una bella sfida. Da un lato, l’articolo 26, paragrafo 1, del RGPD consente ai contitolari del trattamento di «determina[re] (...) le rispettive responsabilità in merito all’osservanza degli obblighi». D’altro lato, tuttavia, l’articolo 26, paragrafo 3, del RGPD chiarisce che l’«interessato può esercitare i propri diritti» «nei confronti di e contro ciascun titolare del trattamento», indipendentemente da un siffatto accordo. Qualsiasi contitolare può essere quindi ritenuto responsabile del trattamento dei dati in questione.

b)      Il quadro generale

89.      Tanto tempo fa (i fan di un certo franchise di fantascienza potrebbero voler aggiungere «in una galassia lontana lontana»), era di moda far parte di un social network. Poi, gradualmente, è diventato di moda non farne parte. Oggi, sembra un reato fare parte di un social network (per il quale devono essere istituite nuove forme di responsabilità indiretta).

90.      Non si può negare che il processo decisionale dei giudici si svolge in un contesto sociale in evoluzione. Si dovrebbe certamente reagire a tale contesto, ma non esserne controllati. Un social network, come qualsiasi altra applicazione o programma, è uno strumento. Analogamente a un coltello o a un’automobile, esso può essere utilizzato in vari modi. Non vi è dubbio neppure che, se utilizzato per fini sbagliati, tale uso debba essere perseguito. Tuttavia, potrebbe non essere forse la soluzione migliore punire chiunque abbia usato un coltello. Si persegue di regola la persona o le persone che controllano il coltello quando questo ha causato danni.

91.      Dovrebbe quindi sussistere, forse non sempre una perfetta corrispondenza, ma almeno una ragionevole correlazione fra potere, controllo e responsabilità. Il diritto moderno comprende naturalmente varie forme di responsabilità oggettiva, che sono attivate semplicemente dal verificarsi di determinati risultati. Tuttavia, tali forme tendono ad essere eccezioni giustificate. Se, senza spiegazioni motivate, la responsabilità viene attribuita a qualcuno che non aveva alcun controllo sul risultato, tale attribuzione di responsabilità sarà generalmente considerata irragionevole o ingiusta (42).

92.      Inoltre, rispondendo al quesito formulato in apertura della presente sezione (paragrafo 71) uno scettico proveniente dalle regioni più orientali dell’Unione europea potrebbe forse suggerire, considerata la sua esperienza storica, che la protezione effettiva di qualcosa tende a ridursi drasticamente se tutti ne sono resi responsabili. Rendere tutti responsabili significa che nessuno sarà in realtà responsabile. O piuttosto, la parte che dovrebbe essere stata ritenuta responsabile di una determinata linea di condotta, quella che esercita effettivamente il controllo, si cela probabilmente dietro tutti gli altri nominalmente «corresponsabili», mentre la protezione effettiva viene probabilmente attenuata in modo significativo.

93.      Infine, nessuna buona (interpretazione della) legge dovrebbe conseguire un risultato in cui gli obblighi ivi previsti non possano essere effettivamente adempiuti dai suoi destinatari. Pertanto, salvo che non si supponga che la solida definizione di responsabilità (congiunta) si trasformi in un ordine garantito giudizialmente di disconnettersi, applicabile a tutti gli operatori, e di astenersi dall’utilizzare qualsiasi social network, plugin, e, per questo motivo, potenzialmente, contenuti di terzi, nel definire gli obblighi e le responsabilità, la realtà deve allora svolgere un ruolo, includendo, ancora una volta, aspetti legati alla conoscenza e all’effettivo potere contrattuale nonché alla capacità di influire su qualsiasi attività di cui trattasi (43).

4.      Ritorno alle origini (legislative): unità di finalità e strumenti per quanto riguarda una determinata operazione di trattamento

94.      Sebbene alquanto determinata nel definire la responsabilità congiunto nella sentenza Wirtschaftsakademie Schleswig‑Holstein, la Corte ha altresì accennato alla necessità di limitare la responsabilità del (cor)responsabile. Più in particolare, la Corte ha osservato «che l’esistenza di una corresponsabilità non si traduce necessariamente in una responsabilità equivalente dei diversi operatori nell’ambito di un trattamento di dati personali. (...) tali operatori possono essere coinvolti in fasi diverse di tale trattamento e a diversi livelli, di modo che il grado di responsabilità di ciascuno di essi deve essere valutato tenendo conto di tutte le circostanze rilevanti del caso di specie» (44).

95.      Mentre non era necessario esaminare tale specifica questione nella causa Wirtschaftsakademie Schleswig‑Holstein,ciò è necessario nella causa in esame, in cui il giudice del rinvio invita direttamente la Corte ad accertare gli eventuali obblighi della convenuta derivanti dalla sua qualità di responsabile del trattamento.

96.      In considerazione del sistema di responsabilità congiunta recentemente introdotto nell’articolo 26 del RGPD, potrebbe essere difficile prevedere come la corresponsabilità possa comportare, per quanto riguarda lo stesso risultato in termini di trattamento di dati personali potenzialmente (il)lecito, una responsabilità non equivalente. Ciò, in particolare, alla luce dell’articolo 26, paragrafo 3, del RGPD, che sembra orientarsi verso la responsabilità in solido (45).

97.      Ritengo, tuttavia, che l’affermazione fondamentale della Corte sia la seconda, cioè che gli «operatori possono essere coinvolti in fasi diverse di tale trattamento e a diversi livelli». Siffatta indicazione trova conferma nelle definizioni contenute nella direttiva 95/46, in particolare per quanto riguarda la definizione (i) della nozione di trattamento contenuta nell’articolo 2, lettera b), e (ii) della nozione di responsabile del trattamento contenuta nell’articolo 2, lettera d).

98.      In primo luogo, la nozione di trattamento di dati personali comprende «qualsiasi operazione o insieme di operazioni compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali, come la raccolta, la registrazione, l’organizzazione, la conservazione, l’elaborazione o la modifica, l’estrazione, la consultazione, l’impiego, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, nonché il congelamento, la cancellazione o la distruzione».

99.      Anche se la nozione di trattamento, analogamente alla nozione di responsabile del trattamento, è piuttosto ampia (46), essa evidenzia chiaramente e mira a una fase del trattamento: essa fa riferimento a un’operazione o a un insieme di operazioni, con un elenco esemplificativo di ciò che potrebbero rappresentare tali singole operazioni. Ma poi logicamente, la questione della responsabilità dovrebbe essere piuttosto valutata con riferimento alla singola operazione in questione, e non già con riferimento a un insieme indeterminato, comprendente qualsiasi cosa denominata trattamento (47).

100. In secondo luogo, la nozione di responsabilità congiunta non viene specificamente definita dalla direttiva 95/46. Ma, logicamente, tale nozione si basa sulla nozione di responsabile del trattamento di cui all’articolo 2, lettera d): la situazione della responsabilità congiunta si delinea quando due o più persone determinano insieme le finalità e gli strumenti del trattamento di dati personali (48). In altri termini, affinché due (o più) persone siano qualificate come corresponsabili, deve sussistere tra gli stessi identità di finalità e di strumenti del trattamento dei dati personali.

101. È la combinazione di queste due definizioni che dovrebbe determinare, a mio avviso, gli obblighi e la potenziale responsabilità dei corresponsabili. Un (cor)responsabile ha la responsabilità dell’operazione o della serie di operazioni per le quali condivide o codetermina lefinalità e gli strumenti per quanto riguarda una determinata operazione di trattamento. Per contro, tale persona non può essere ritenuta responsabile per le fasi precedenti o per le fasi successive dell’intera catena di trattamento, per le quali non era in grado di determinare le finalità o gli strumenti rispettivi.

102. Nella fattispecie, la fase pertinente (le operazioni) del trattamento corrisponde alla raccolta e alla trasmissione dei dati personali che avviene attraverso il pulsante «Like» di Facebook.

103. In primo luogo, per quanto attiene agli strumenti di tali operazioni di trattamento dei dati, come suggerito dalla ricorrente, dalla LDI NW e dal governo tedesco, sembra assodato che la convenuta decide sull’uso del plugin in questione, che funge da veicolo di raccolta e di trasmissione dei dati personali. Tale raccolta e trasmissione è attivata nel momento in cui il sito Internet della convenuta viene visitato. Detto plugin è stato fornito alla convenuta dalla Facebook Ireland. Sembra quindi che sia la Facebook Ireland che la convenuta abbiano volontariamente determinato la fase della raccolta e della trasmissione del trattamento dei dati. Circostanza che, a livello fattuale, spetta naturalmente al giudice nazionale verificare.

104. In secondo luogo, considerando la finalità del trattamento dei dati, nella decisione di rinvio non sono indicate le ragioni per cui la convenuta ha deciso di inserire il pulsante «Like» di Facebook nel proprio sito Internet. Tuttavia, e salvo verifica da parte del giudice del rinvio, tale decisione sembra ispirata dall’intento di aumentare la visibilità dei prodotti della convenuta attraverso il social network. Al contempo, sembrerebbe altresì che i dati trasferiti alla Facebook Ireland siano utilizzati per gli scopi commerciali di quest’ultima.

105. Nonostante il fatto che l’uso commerciale specifico dei dati può non essere lo stesso, in generale, sia la convenuta che la Facebook Ireland sembrano perseguire complessivamente scopi commerciali secondo modalità tali da risultare reciprocamente complementari. In tal modo, sebbene non vi sia identità, sussiste unità di intenti: esiste uno scopo commerciale e pubblicitario.

106. Per quanto riguarda i fatti oggetto della causa in esame, sembra quindi che la convenuta e la Facebook Ireland decidano congiuntamente gli strumenti e le finalità del trattamento dei dati nella fase di raccolta e di trasmissione dei dati personali di cui trattasi. In tal senso, la convenuta agisce come responsabile del trattamento e la sua responsabilità, sempre in tal senso, è congiunta con quella della Facebook Ireland.

107. Al contempo, ritengo che la responsabilità della convenuta debba essere limitata alla fase del trattamento dei dati a cui partecipa e che essa non possa ripercuotersi su eventuali fasi successive del trattamento dei dati, qualora siffatto trattamento abbia luogo al di fuori del controllo, e sembrerebbe, anche all’insaputa della convenuta.

108. Alla luce delle suesposte considerazioni, la mia seconda conclusione provvisoria è quindi che una persona, come la convenuta, che abbia inserito un plugin di terzi (terzi che hanno fornito il plugin) nel proprio sito Internet, inserimento che determina la raccolta e la trasmissione di dati personali dell’utente, è considerata responsabile del trattamento ai sensi dell’articolo 2, lettera d), della direttiva 95/46. Tuttavia, tale responsabilità (congiunta) del responsabile del trattamento è limitata alle operazioni per le quali esso codecide effettivamente sugli strumenti e sulle finalità del trattamento dei dati personali.

109. Si dovrebbe aggiungere che tale conclusione risponde anche alla terza questione sollevata. Con tale questione il giudice del rinvio intende accertare, in sostanza, se la direttiva 95/46 osti all’applicazione alla convenuta della nozione, propria del diritto nazionale, di Störer (autore di elemento di disturbo) qualora fosse dimostrato che la convenuta non può essere considerata responsabile del trattamento. Secondo l’ordinanza di rinvio, il concetto di Störer richiede che la persona che, pur non essendo l’autore della violazione, abbia fatto insorgere o incrementato il rischio di una violazione da parte di un terzo sia tenuto a compiere quanto possibile e ragionevole per evitarla. Qualora la convenuta non possa essere considerata responsabile del trattamento, il giudice del rinvio suggerisce che sussistono comunque le condizioni per l’applicazione del concetto di Störer, posto che la convenuta, inserendo il plugin per il pulsante «Like» di Facebook, ha ingenerato, quantomeno, il rischio di una violazione da parte di Facebook.

110. Tenuto conto della risposta data alla seconda questione posta dal giudice del rinvio, non occorre esaminare la terza questione. Una volta dimostrato che una determinata persona deve essere qualificata come responsabile del trattamento ai sensi della direttiva 95/46, i suoi obblighi quale responsabile del trattamento devono essere valutati alla luce degli obblighi definiti da tale direttiva. La conclusione opposta porterebbe a una responsabilità differenziata dei responsabili del trattamento, per una determinata violazione, tra i vari Stati membri. In tal senso, e riguardo alla definizione di responsabile del trattamento, la direttiva 95/46 realizza, infatti, la piena armonizzazione per quanto concerne i destinatari degli obblighi definiti (49).

C.      Interessi legittimi di cui tenere conto ai sensi dell’articolo 7, lettera f), della direttiva 95/46

111. La quarta questione sollevata nella causa in esame riguarda la legittimità del trattamento di dati personali in mancanza del consenso della persona interessata, ai sensi dell’articolo 7, lettera a), della direttiva 95/46.

112. A tal riguardo, il giudice del rinvio indica l’articolo 7, lettera f), di detta direttiva in base al quale i dati personali possono essere trattati se ciò sia «necessario per il perseguimento dell’interesse legittimo del responsabile del trattamento oppure del o dei terzi cui vengono comunicati i dati, a condizione che non prevalgano l’interesse o i diritti e le libertà fondamentali della persona interessata (...)». Più in particolare, il giudice del rinvio intende accertare quali siano i soggetti cui si riferiscono i legittimi interessi che devono essere tenuti in considerazione nella causa in esame: vanno considerati gli interessi della convenuta che ha inserito i contenuti di un terzo, oppure quelli del terzo di cui trattasi(vale a dire la Facebook Ireland) (50)?

113. In via preliminare, va osservato che la Commissione ritiene che la quarta questione sia irrilevante poiché, nel caso di specie, il consenso dell’utente deve essere prestato in ogni caso, in applicazione della normativa di attuazione della direttiva 2002/58/CE, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (in prosieguo: la «direttiva e‑privacy)» (51).

114. Concordo con la Commissione sul fatto che la direttiva e‑privacy (che ai sensi del suo articolo 1, paragrafo 2, specifica e completa la direttiva 95/46 nel settore delle comunicazioni elettroniche) (52) sembra applicabile alla situazione in esame, nei limiti in cui si verifichi un posizionamento di cookies (53). Inoltre l’articolo 2, lettera f), e il considerando 17 della direttiva e‑privacy definiscono il consenso mediante rinvio alla nozione di consenso di cui alla direttiva 95/46.

115. La questione se il posizionamento di cookies si sia verificato o meno nella fattispecie di cui al procedimento principale è stato oggetto di un ampio dibattito in udienza. Tale verifica fattuale è di competenza del giudice nazionale. Tuttavia, e in ogni caso, come esposto nella decisione di rinvio, il giudice del rinvio dichiara che i dati trasmessi costituiscono dati personali (54). La questione dei cookies non sembra pertanto fornire una risposta a tutte le questioni che sembrano sorgere nella causa in esame in relazione al trattamento dei dati (55).

116. Ritengo quindi che la quarta questione necessiti di un esame più approfondito.

117. La ricorrente afferma che l’interesse legittimo da tenere in considerazione è quello della convenuta. Essa aggiunge che né quest'ultima né la Facebook Ireland possono rivendicare un interesse legittimo nella fattispecie.

118. La convenuta e la Facebook Ireland affermano, in sostanza, che gli interessi legittimi da considerare sono quelli della persona che inserisce i contenuti di terzi nonché quelli di detti terzi, considerando al contempo gli interessi dei visitatori del sito Internet i cui diritti fondamentali possono essere pregiudicati.

119. LA LDI NW, la Polonia, la Germania e l’Italia ritengono che si debba tener conto degli interessi legittimi sia della convenuta che della Facebook Ireland in quanto entrambe hanno reso possibile il trattamento in questione. L’Austria è di parere analogo. Del pari, e facendo riferimento alla sentenza della Corte nella causa Google Spain, il Belgio sottolinea che gli interessi legittimi da tenere in considerazione sono quelli del responsabile del trattamento nonché dei terzi ai quali i dati personali considerati sono stati comunicati.

120. Occorre ricordare anzitutto che qualsiasi trattamento di dati personali deve, in linea di principio, rispondere, tra le altre condizioni, a uno dei principi relativi alla legittimazione del trattamento di dati, elencati all’articolo 7 della direttiva 95/46 (56).

121. In particolare, per quanto riguarda l’articolo 7, lettera f), la Corte ha ricordato che tale disposizione «prevede tre condizioni cumulative affinché un trattamento di dati personali sia lecito, vale a dire, in primo luogo, il perseguimento dell’interesse legittimo del responsabile del trattamento oppure del [terzo] o dei terzi cui vengono comunicati i dati; in secondo luogo, la necessità del trattamento dei dati personali per il perseguimento dell’interesse legittimo e, in terzo luogo, la condizione che non prevalgano l’interesse o i diritti e le libertà fondamentali della persona interessata dalla tutela dei dati» (57).

122. La direttiva 95/46 non definisce né enumera gli «interessi legittimi». Tale nozione sembra essere alquanto elastica e di portata illimitata. (58) Non esiste alcun tipo di interesse che sia di per sé escluso, purché, naturalmente sia esso stesso legittimo. Come è stato discusso, in sostanza, in udienza e come è stato dichiarato nei paragrafi precedenti (59), ciò che sembra essere in discussione nella causa in esame è la raccolta e la trasmissione di dati personali a fini di ottimizzazione pubblicitaria, sebbene gli obiettivi commerciali finali specifici della convenuta e della Facebook Ireland possano non essere esattamente gli stessi.

123. Tenendo presenti queste considerazioni, occorre concordare sul fatto che la commercializzazione e la pubblicità possono costituire, di per sé, un siffatto interesse legittimo (60). È alquanto difficile andare oltre tale affermazione nell’ambito della causa in esame, in quanto non si sa niente in concreto riguardo alle esatte modalità di utilizzo dei dati trasmessi e ottenuti, oltre tali affermazioni generiche.

124. Ciò detto, il giudice del rinvio non discute né chiede indicazioni riguardo alla valutazione da effettuare degli interessi legittimi specifici fatti valere nel procedimento principale. Nella quarta questione il giudice del rinvio intende semplicemente accertare quali siano i soggetti cui si riferiscono i legittimi interessi che dovrebbero essere tenuti in considerazione in modo da poter procedere alla ponderazione di cui all’articolo 7, lettera f), della direttiva.

125. Alla luce della risposta alla seconda questione, da me proposta, ritengo che debbano essere tenuti in considerazione i legittimi interessi sia della convenuta che della Facebook Ireland, in quanto entrambe agiscono quali corresponsabili per la rispettiva operazione di trattamento dei dati personali.

126. Poiché il loro status di corresponsabili implica che essi condividono anche gli scopi del trattamento di dati personali, l’esistenza di un interesse legittimo deve essere dimostrata riguardo a entrambi, almeno a livello generale come spiegato in precedenza. Tale interesse deve essere poi controbilanciato dai diritti delle persone interessate come previsto nell’ultima parte dell’articolo 7, lettera f), della direttiva 95/46 (61), bilanciamento che dipende, «in linea di principio, dalle circostanze specifiche del caso concreto» (62). Ricordo che il trattamento dei dati in tali circostanze deve essere anche subordinato alla condizione relativa alla necessità (63).

127. Alla luce delle suesposte considerazioni, la mia terza conclusione provvisoria è che, ai fini della valutazione della possibilità di trattare dati personali alle condizioni stabilite all’articolo 7, lettera f), della direttiva 95/46, devono essere tenuti in considerazione gli interessi legittimi di entrambi i corresponsabili di cui trattasi e detti interessi devono essere controbilanciati dai diritti delle persone interessate.

D.      Gli obblighi della convenuta riguardanti il consenso che deve essere ricevuto dalla persona interessata e le informazioni che devono essere fornite alla persona interessata

128. Con la quinta questione, il giudice del rinvio chiede quale sia il soggetto cui debba essere espresso, nelle circostanze del caso di specie, il consenso richiesto agli articoli 7, lettera a), e 2, lettera h), della direttiva 95/46.

129. Con la sesta questione il giudice del rinvio chiede se l’obbligo di informazione di cui all’articolo 10 della direttiva 95/46 riguardi, nella situazione in esame, il gestore di una pagina Internet (come la convenuta) che abbia inserito il contenuto di un terzo dando così luogo al trattamento di dati personali da parte dei terzi.

130. Come osservato in precedenza (64), sono state proposte molteplici risposte a tali questioni. Tuttavia, una volta che l’esatta natura dell’obbligo di cui alla seconda questione sia stata determinata, sia relativamente al soggetto su cui grava (chi) sia relativamente alla natura dell’obbligo (per che cosa), e tale aspetto sia quindi chiarito a monte, le risposte alle questioni quinta e sesta, che riguardano determinati obblighi a valle, risultano più chiare.

131. Innanzitutto, ritengo che sia il consenso prestato che le informazioni fornite debbano riguardare tutti gli aspetti dell’operazione (o delle operazioni) del trattamento di dati per cui i corresponsabili hanno una responsabilità congiunta, ossia la raccolta e la trasmissione. Per contro, tale consenso e tali obblighi di informazione non si estendono alle fasi successive del trattamento di dati in cui la convenuta non è coinvolta e per le quali essa non determina, logicamente, strumenti o finalità.

132. In secondo luogo, in tali circostanze, si potrebbe suggerire che il consenso può essere prestato all’uno o all’altro dei due corresponsabili. Tuttavia, considerata la particolare situazione in esame, tale consenso deve essere prestato alla convenuta, in quanto è proprio quando la sua pagina Internet viene effettivamente visitata che si attiva l’operazione di trattamento. Non sarebbe ovviamente conforme a una tutela efficace e tempestiva dei diritti delle persone interessate se il consenso dovesse essere prestato solo al corresponsabile che sia coinvolto successivamente (ammesso che lo sia), dopo che la raccolta e la trasmissione abbiano avuto luogo.

133. Occorre rispondere in modo analogo riguardo all’obbligo di informazione che grava sulla convenuta ai sensi dell’articolo 10 della direttiva 95/46. Tale disposizione definisce un elenco minimo di informazioni che devono essere comunicate alla persona interessata dal responsabile del trattamento (o dal suo rappresentante). Esso contiene i seguenti elementi: l’identità del responsabile del trattamento (o del suo rappresentante), le finalità del trattamento cui sono destinati i dati e ulteriori informazioni quando, «in considerazione delle specifiche circostanze in cui i dati vengono raccolti, siano necessarie per effettuare un trattamento leale nei confronti della persona interessata». L’articolo 10 fornisce esempi di tali ulteriori informazioni che includono, per quanto possa essere rilevante nel caso di specie, informazioni sul destinatario dei dati o sull’esistenza del diritto di accesso e sul diritto di rettifica dei dati che riguardano la persona interessata.

134. Tenuto conto di tale elenco, la convenuta sembra essere chiaramente in grado di fornire informazioni sull’identità dei corresponsabili, sulla finalità della rispettiva fase del trattamento (l’operazione/le operazioni per cui ha la responsabiltà congiunta), ed anche sul fatto che tali dati saranno trasferiti.

135. Per contro, per quanto riguarda il diritto di accesso e il diritto di rettifica, mi pare di comprendere che la convenuta non dispone essa stessa di tale accesso ai dati che vengono trasferiti alla Facebook Ireland, in quanto non è in alcun modo coinvolta nell’archiviazione dei dati. Pertanto, si potrebbe proporre, ad esempio, che tale questione debba essere oggetto di un accordo con la Facebook Ireland.

136. Tuttavia, tali proposte, al di là degli argomenti formulati in precedenza (65), tenterebbero nuovamente di estendere gli obblighi e la responsabilità del corresponsabile (o dei corresponsabili) a operazioni per le quali essi non sono responsabili. Se responsabilità congiunta significa responsabilità per l’operazione (o le operazioni) per cui sussiste l’unità di finalità e di strumenti tra i responsabili del trattamento, logicamente gli altri obblighi conseguenti previsti dalla direttiva, come quelli riguardanti il consenso, l’informazione, l’accesso o la rettifica dovrebbero corrispondere alla portata di tale obbligo originario (66).

137. È stato altresì osservato dalla Commissione, nel corso dell’udienza, che i visitatori dotati di un account Facebook possono aver previamente acconsentito al verificarsi di tale trasferimento. Ciò potrebbe condurre a una responsabilità differenziata della convenuta, e la Commissione sembra suggerire che l’obbligo della convenuta di informare e di chiedere il consenso si applichi quindi soltanto a coloro che non sono utenti di Facebook, che accedono al sito Internet della convenuta.

138. Non condivido questa tesi. Trovo difficile accettare l’idea che debba esservi un trattamento differenziato (meno protettivo) riguardo agli «utenti di Facebook» nelle circostanze del caso di specie, in quanto essi avrebbero già accettato la possibilità di (qualsiasi tipo di) trattamento dei loro dati personali da parte di Facebook. Infatti, tale argomento implica che, nel momento in cui viene aperto un account Facebook, si accetta anticipatamente qualsiasi trattamento di dati, riguardo a qualsiasi attività online di tali «utenti di Facebook», da parte di qualsiasi terzo che disponga di un qualsivoglia collegamento con Facebook. Ciò anche in situazioni in cui non vi sono segni visibili del verificarsi di un trattamento di dati (come sembra avvenire quando si visita semplicemente il sito Internet della convenuta). In altri termini, accettare il suggerimento della Commissione significherebbe in concreto che, aprendo un account di Facebook, l’utente rinuncia effettivamente a qualsiasi protezione dei dati personali online nei confronti di Facebook.

139. Ritengo pertanto che la responsabilità e i conseguenti obblighi in materia di consenso e di informazione della convenuta debbano essere gli stessi nei confronti delle persone interessate, indipendentemente dal fatto che abbiano o meno un account Facebook.

140. Inoltre, è sempre evidente che il consenso deve essere prestato e le informazioni devono essere fornite prima che i dati siano raccolti e trasferiti (67).

141. Pertanto, alla luce delle suesposte considerazioni, la mia ultima conclusione provvisoria in risposta alle questioni quinta e sesta è che, in una situazione come quella del caso di specie, il consenso della persona interessata, ottenuto ai sensi dell’articolo 7, lettera a), della direttiva 95/46, deve essere prestato al gestore di un sito Internet, come la convenuta, che abbia inserito contenuti di terzi. L’articolo 10 della direttiva 95/46 viene interpretato nel senso che l’obbligo di informazione ai sensi di tale disposizione si applica anche a tale gestore del sito Internet. Il consenso della persona interessata di cui all’articolo 7, lettera a), della direttiva 95/46 deve essere prestato, e le informazioni ai sensi dell’articolo 10 della medesima direttiva devono essere fornite, prima che i dati siano raccolti e trasferiti. Tuttavia, la portata di tali obblighi deve corrispondere alla responsabilità congiunta di detto gestore per la raccolta e la trasmissione dei dati personali.

V.      Conclusione

142. Alla luce delle suesposte considerazioni, propongo che la Corte risponda alle questioni sollevate dall’Oberlandesgericht Düsseldorf (Tribunale superiore del Land, Düsseldorf, Germania) come segue:

La direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati non osta a una normativa nazionale che riconosce ad associazioni senza scopo di lucro la legittimazione ad avviare un procedimento giudiziario nei confronti del presunto autore di una violazione della normativa in materia di protezione dei dati, al fine di tutelare gli interessi dei consumatori.

Una persona che abbia inserito un plugin di terzi (terzi che hanno fornito il plugin) nel proprio sito Internet, inserimento che determina la raccolta e la trasmissione di dati personali dell’utente, è considerata responsabile del trattamento ai sensi dell’articolo 2, lettera d), della direttiva 95/46. Tuttavia, tale responsabilità (congiunta) del responsabile del trattamento è limitata alle operazioni per le quali esso codecide effettivamente sugli strumenti e sulle finalità del trattamento dei dati personali.

Ai fini della valutazione della possibilità di trattare dati personali alle condizioni stabilite all’articolo 7, lettera f), della direttiva 95/46, devono essere tenuti in considerazione gli interessi legittimi di entrambi i corresponsabili di cui trattasi e detti interessi devono essere controbilanciati dai diritti delle persone interessate.

Il consenso della persona interessata, ottenuto ai sensi dell’articolo 7, lettera a), della direttiva 95/46, deve essere prestato al gestore di un sito Internet che abbia inserito contenuti di terzi. L’articolo 10 della direttiva 95/46 viene interpretato nel senso che l’obbligo di informazione ai sensi di tale disposizione si applica anche a tale gestore del sito Internet. Il consenso della persona interessata di cui all’articolo 7, lettera a), della direttiva 95/46 deve essere prestato, e le informazioni ai sensi dell’articolo 10 della medesima direttiva devono essere fornite, prima che i dati siano raccolti e trasferiti. Tuttavia, la portata di tali obblighi deve corrispondere alla responsabilità congiunta di detto gestore per la raccolta e la trasmissione dei dati personali.

19.12.2018 Spataro
curia.europa.eu


Osservatorio privacy - come trattare i dati di un dipendente infedele…
Caso Unicredit - alcune riflessioni
Banche - sanzione per misure organizzative e tecniche per accesso a dati comuni non finanziari - doc 9991020
Battesimo e privacy
Privacy in Svizzera: prevale il segreto bancario sull'interesse a conoscere
Garante provvedimento per cartelle inviate a pazienti sbagliati e integrazione software - n. 9988652
Come funziona la Privacy, l'intelligenza artificiale e il riconoscimento della posizione tramite fotografia.
FCC (USA): Robocall con voci generate dalla AI e' illegale. Elezioni e Marketing avvertiti.
Provvedimento del 7 dicembre 2023 [9978568] dating online, password e durata
Company offering electronic communication services – no complete information of the data subjects & no sufficient technical and organisational measures | European Data Protection Board



Segui le novità in materia di Privacy su Civile.it via Telegram
oppure via email: (gratis Info privacy)





dallo store:
visita lo store








Dal 1999 il diritto di internet. I testi sono degli autori e di IusOnDemand srl p.iva 04446030969 - diritti riservati - Privacy - Cookie - Condizioni d'uso - in 0.068