I giudici della Corte di Giustizia dell’Unione Europea hanno stabilito che gli amministratori delle fanpage su Facebook sono responsabili del trattamento dei dati sulla pagina stessa, alla pari del social network di Mark Zuckerberg.
La decisione è stata messa nero su bianco nella sentenza C-210/16 che ha visto coinvolta la società di formazione tedesca Wirtschaftsakademie Schleswig-Holstein.
Quest’ultima si era infatti opposta al provvedimento dell’autorità di vigilanza regionale indipendente per la protezione dei dati presentando ricorso presso i tribunali amministrativi tedeschi.
L’autorità di controllo aveva infatti contestato alla Wirtschaftsakademie che né tale azienda né Facebook avevano informato i visitatori della fanpage del fatto che Facebook raccoglieva, mediante cookie, informazioni personali che li riguardavano e che essi elaboravano successivamente tali informazioni.
I giudici UE hanno confermato la presa di posizione dell’autorità di controllo concludendo che un amministratore di una fanpage deve essere considerato responsabile, all’interno dell’Unione, assieme alla Facebook, del trattamento dei dati interessati.
Non importa se i dati visibili all’amministratore della pagina Facebook sono anonimi: essi sono dati demografici che riguardano il pubblico che visita la fanpage (in particolare tendenze in materia di età, sesso, situazione sentimentale e professionale), informazioni sullo stile di vita e sugli interessi di detto pubblico (incluse informazioni sugli acquisti e il comportamento di acquisto online dei visitatori della sua pagina, nonché le categorie di prodotti o di servizi di loro maggiore interesse) e dati territoriali che consentono all’amministratore della fanpage di stabilire dove avviare promozioni speciali o organizzare eventi e, in generale, di offrire informazioni maggiormente mirate.
Non è possibile non registrare, comunque, una tendenza sempre più diffusa che consiste nel concentrare troppo spesso l’attenzione (e i procedimenti sanzionatori) sull’ultimo anello della catena ossia chi fornisce contenuti piuttosto che sul gestore della piattaforma (che di fatto ha una visibilità sui dati enormemente più ampia).
Il primo provvedimento a carico della Wirtschaftsakademie è del novembre 2011, ben prima dell’entrata in vigore del GDPR e della cookie law. L’azienda tedesca può essere considerata come una sorta di “vittima sacrificale” dal momento che ai tempi di disclaimer sulla gestione dei cookie non se ne vedevano in giro.
I giudici della Corte europea hanno anche stabilito che le autorità di controllo dei singoli stati membri (uffici del Garante Privacy) possono esercitare i loro poteri d’intervento nei confronti di un soggetto che opera sul territorio nazionale ma che ha sede all’estero senza previamente richiedere l’intervento dell’autorità di controllo dell’altro stato membro.