argomento: Giurisprudenza - Unione Europea

Articoli Correlati: vigilanza - facebook

In data 24 ottobre 2017, l’avv. generale Bot ha presentato le sue conclusioni sul rinvio pregiudiziale (C‑210/16) proposto dal Bundesverwaltungsgericht (Corte amministrativa federale, Germania), vertente sull’interpretazione della direttiva 95/46/CE relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (la “direttiva 95/46”). Tale domanda è stata sollevata nell’ambito di una controversia tra la Wirtschaftsakademie Schleswig‑Holstein GmbH (“Wirtschaftsakademie”) e l’autorità di vigilanza regionale per la protezione dei dati del Land Schleswig‑Holstein, riguardante la legittimità di un provvedimento di tale autorità che ha imposto alla Wirtschaftsakademie di disattivare una fanpage gestita sul sito di Facebook Ireland Ltd. Secondo l’autorità di vigilanza, tale fanpage avrebbe permesso di svolgere delle attività di webtracking, in particolare raccogliere dati personali sugli utenti di Facebook attraverso dei cookie – dei file di controllo attivati sul computer dell’utente all’apertura di un sito web –, senza il consenso degli interessati. Il giudice del rinvio si chiede se l’autorità di vigilanza regionale per la protezione dei dati del Land Schleswig‑Holstein sia autorizzata ad adottare un siffatto provvedimento.

L’avv. generale Bot ha in primo luogo affermato che la Wirtschaftsakademie deve essere considerata corresponsabile della raccolta dei dati personali da parte di Facebook. Il “responsabile del trattamento” di cui all’art. 2, lett. d), della direttiva 95/46, deve assicurare, nell’ambito delle sue responsabilità, delle sue competenze e delle sue possibilità, che il trattamento dei dati di cui si occupa soddisfi le prescrizioni di tale direttiva. Tale nozione, che deve essere interpretata estensivamente, ricomprende nella specie sia la Wirtschaftsakademie, il gestore della fan page, sia Facebook Inc. e Facebook Ireland, che si occupano di fornire il servizio omonimo.

In secondo luogo, l’avv. generale Bot ha osservato che nella misura in cui Facebook Inc. fornisce i suoi servizi nel territorio dell’Unione servendosi di vari stabilimenti, tra i quali Facebook Ireland, che si occupa del trattamento dei dati personali, e Facebook Germany, responsabile della promozione, del marketing e della vendita di spazi pubblicitari in Germania, l’autorità di vigilanza tedesca è competente ad applicare il suo diritto nazionale al trattamento dei dati personali interessati. Difatti, ai sensi dell’art. 4, par. 1, lett. a), della direttiva 95/46, il trattamento dati effettuato nel contesto delle attività di uno stabilimento è disciplinato dal diritto dello Stato membro sul cui territorio esso è stabilito. Ne consegue che, laddove il responsabile del trattamento disponga di più stabilimenti all’interno dell’Unione, né il luogo in cui è effettuato il trattamento né quello in cui detto responsabile ha fissato la sua sede, sono determinanti per stabilire il diritto applicabile a un trattamento dati e per stabilire la competenza di un’autorità di vigilanza.

Infine, secondo l’avv. generale Bot, l’art. 28, parr. 1, 3 e 6 della direttiva in parola autorizza l’autorità di vigilanza dello Stato membro in cui si trova uno degli stabilimenti del responsabile del trattamento a esercitare autonomamente i suoi poteri di intervento nei confronti del suddetto responsabile. In particolare, detta autorità non è tenuta a richiedere, in via preventiva, l’intervento dell’autorità di vigilanza dello Stato membro in cui il responsabile del trattamento è situato.