A volte siamo più responsabili di quanto pensiamo... o di quanto vorremmo essere.

Legal Watch – settembre 2019.

Questo è il caso quando installi un semplice plug-in sul tuo sito web, anche se non hai accesso ai dati raccolti tramite questo mezzo.

Una recente sentenza della Corte di giustizia dell'Unione Europea, nota come "Fashion ID", conferma questa osservazione chiarendo la responsabilità dei gestori di siti web che inseriscono l'icona "Mi piace" di Facebook sulla propria pagina.

L'inserimento di questo semplice plug-in può quindi avere la conseguenza di rendere il gestore del sito solidalmente responsabile del trattamento con il social network che raccoglie tali dati.

Da un punto di vista tecnico, il semplice inserimento di un plug-in in una pagina web consente la comunicazione automatica dei dati di connessione dei visitatori di tale pagina al social network in questione, indipendentemente dal fatto che i visitatori clicchino o meno sull'icona del plug-in. In questo caso, i dati dei visitatori del sito web di Fashion ID, un rivenditore tedesco di abbigliamento online, sono stati quindi trasmessi sistematicamente a Facebook. Questo è ciò che accade effettivamente per molti siti web oggi, che si tratti di vendite online, siti di notizie o blog. E il ragionamento rivolto a Facebook in questo caso può essere esteso a qualsiasi social network o altra entità che utilizzi la stessa tecnologia.

La Corte di Giustizia ha chiarito che il fatto che il gestore del sito non abbia accesso ai dati così trasmessi non ne riduce la responsabilità. Il fatto che egli determini, congiuntamente a Facebook, le finalità e i mezzi del trattamento resta il fattore decisivo. La Corte deduce l'eventuale responsabilità solidale del sito e di Facebook dai reciproci vantaggi economici che essi traggono da tale cooperazione: per Facebook, l'arricchimento del suo database, e per il gestore del sito, l'ottimizzazione della pubblicità dei suoi prodotti sul social network Facebook non appena un visitatore clicca sull'icona "Mi piace".

La Corte chiarisce che le responsabilità e gli obblighi giuridici variano a seconda dei diversi aspetti del trattamento: in questo caso, Fashion ID non può essere ritenuta responsabile delle modalità con cui Facebook tratta successivamente i dati. Facebook deve inoltre fornire una base giuridica specifica per tale trattamento. Tuttavia, il gestore del sito web è tenuto a informare e ottenere il consenso dei propri visitatori separatamente in merito alla raccolta e alla trasmissione di tali dati al social network.

Da questa importante sentenza si possono trarre diversi insegnamenti. È pertanto consigliabile:

• Verificare sistematicamente le condizioni di utilizzo dei plug-in sul tuo sito web e le possibili condizioni di trasmissione dei dati a terzi,
• Verificare le clausole di responsabilità nei contratti con queste terze parti;
• Informare specificamente i visitatori su questa raccolta e ottenere il loro consenso separato.

Tali precauzioni sono tanto più pertinenti in quanto la CNIL ha recentemente chiarito le rigorose condizioni per ottenere il consenso in materia di targeting della pubblicità online e ha annunciato che nel 2019 concentrerà le sue attività di monitoraggio sulle questioni relative alla ripartizione delle responsabilità tra i diversi soggetti che trattano i dati personali. 

Tali questioni vengono affrontate anche a livello europeo. L'EDPB, che riunisce le autorità garanti della protezione dei dati dell'Unione europea (CNIL), ha avviato discussioni con diverse organizzazioni settoriali per aggiornare il parere di riferimento delle autorità di controllo sull'identificazione e il ruolo dei titolari del trattamento, dei contitolari del trattamento e dei responsabili del trattamento.

E inoltre:

• in Europa:

Brexit:

Quali sarebbero le condizioni per il trasferimento di dati verso il Regno Unito qualora il Paese dovesse lasciare l'Unione Europea senza un accordo? Il Comitato europeo per la protezione dei dati (EDPB) ha pubblicato una nota all'inizio del 2019 che descrive in dettaglio le condizioni e le diverse basi giuridiche applicabili. L'autorità britannica per la protezione dei dati risponde anche a numerose domande sul suo sito web ufficiale.

Biometria:

L'autorità svedese per la protezione dei dati ha emesso la sua prima sanzione ai sensi del GDPR il 21 agosto. Una multa di 20.000 euro è stata imposta a una scuola per aver implementato un sistema di riconoscimento facciale per gli studenti in violazione di diversi principi del GDPR: consenso non valido, dati biometrici sensibili, mancanza di una valutazione d'impatto preventiva e mancata consultazione dell'autorità per la protezione dei dati.

Cloud e protezione dei dati:

La prospettiva di un cloud europeo con regole armonizzate si avvicina sempre di più. Il 29 agosto si è tenuto all'Aia il primo incontro tra stakeholder del settore pubblico e privato, a livello europeo e internazionale.

• nel mondo:

Prova elettronica:

Le condizioni alle quali le autorità giudiziarie possono accedere alle prove elettroniche ("e-evidence") detenute dalle aziende sono oggetto di sviluppi in Europa e a livello internazionale. L'obiettivo è armonizzare queste norme in Europa, ma anche raggiungere un accordo con gli Stati Uniti sulle condizioni di accesso a questi dati, nell'ambito della lotta alla criminalità. In base al "Cloud Act" americano, gli Stati Uniti hanno accesso ai dati delle aziende americane con sede in Europa da marzo 2018. L'obiettivo è raggiungere un accordo su queste condizioni di accesso su entrambe le sponde dell'Atlantico, nel rispetto delle norme sulla protezione dei dati.

Norma ISO:

Il nuovo standard ISO/IEC/27701 è stato pubblicato all'inizio di agosto. Si tratta di un'estensione degli standard ISO/IEC 27001 e ISO/IEC 27002 per coprire la gestione della privacy e tiene conto anche dei requisiti del GDPR.

1 La sentenza applica la Direttiva 95/46/CE, abrogata dal Regolamento (UE) 2016/679 o GDPR. Le disposizioni in materia di (corresponsabilità) sono tuttavia rimaste identiche nel nuovo Regolamento.