Nonostante Facebook abbia aggiornato le policy adeguandole al GDPR, sono ancora numerose le situazioni “borderline”.
Nel caso della vendita o della prenotazione di prodotti/servizi direttamente dalla pagina social è infatti necessaria un’informativa ad hoc per non rischiare di incorrere in sanzioni. E la regola vale per tutti gli altri social network.
12.063 : a tanto ammontano le irregolarità-violazioni della normativa Privacy al 29 ottobre 2019(1), ultima data di pubblicazione del relativo bilancio da parte del Garante Privacy. A distanza, dunque, di quasi un anno e mezzo dall’entrata in vigore del Reg. UE 679/2016(2) – era il 28 maggio 2018 – la conformazione alla norma non è ancora stata pienamente eseguita dai soggetti interessati.
Ancora numerosi i titolari dei siti internet che non rendono l’informativa al trattamento dei dati personali e che non si sono adeguati nemmeno all’informativa relativa ai cookies. Spesso, infatti, all’utente non viene data la possibilità di selezione delle tipologie di cookies da accettare o rifiutare, rendendolo di fatto inconsapevolmente “profilato”, anche tramite cookies di terze parti di frequente installati in maniera automatica con il semplice approdo sulla home page.
Dubbi di conformità emergono anche relativamente alle”fanpage” sui social networks, in particolare quelle di promozione di prodotti e/o servizi commerciali: è sufficiente una ricognizione “a campione” per rendersi conto che spesso e volentieri non vengono rese le adeguate informative sul trattamento dati.
Gli amministratori delle “fanpage” sono tenuti a rendere l’informativa Privacy e/o sui cookies?
Questo uno degli interrogativi sorto immediatamente a seguito dell’entrata in vigore del Gdpr. Una prima risposta è arrivata dalla Corte di Giustizia Europea con la sentenza C-210/16 del 5 giugno 2018(3). Va puntualizzato però che la citata decisione si riferisce all’interpretazione della direttiva 95/46/CE, superata dalla piena esecutività del Reg UE 679/2016.
Tuttavia offre spunti sulla tematica. Secondo i giudici del Lussemburgo, l’amministratore di una “fanpage” sul social network Facebook – nel caso specifico – è responsabile unitamente al proprietario della piattaforma (alias della stessa Facebook) del trattamento dei dati personali degli utenti.
Il ragionamento che ha portato la Corte a tale decisione promana dall’osservazione del sistema che la piattaforma offre ai gestori delle “fanpage“. Sebbene lo “spazio” offerto all’amministratore della “fanpage” sia di proprietà della piattaforma, quest’ultima mette a disposizione dell’amministratore taluni strumenti (i cosiddetti Insights) che consentono di monitorare l’accesso dei visitatori sulla “fanpage” al fine di verificare l’andamento quantitativo di visite e prestazioni. L’amministratore può, tramite tali strumenti, impostare criteri personalizzati per realizzare indagini statistiche di mercato ad esempio con l’obiettivo di stabilire a quali categorie di persone indirizzare specifiche campagne promozionali (pagine sponsorizzate) distinguendo in base a parametri quali età o localizzazione geografica. Ecco, dunque, perché l’amministratore della “fanpage” contribuisce, unitamente alla piattaforma che mette a disposizione tali strumenti, alla possibile “profilazione” del tipo di utente cui indirizzare i propri messaggi siano essi pubblicitari o di altro tipo.
A seguito della decisione della Corte e anche in conseguenza della entrata in vigore del Reg UE 679/2016, Facebook ha deciso di modificare la propria Privacy policy: l’amministratore di una “fanpage” Facebook è contitolare del trattamento dei dati personali ai sensi dell’articolo 26 de Reg UE 679/2016 e ciò per espresso accordo di contitolarità tra le parti. Pertanto chiunque oggi decida di creare una “fanpage” è tenuto ad accettare l’accordo (unilateralmente predisposto) dal proprietario della piattaforma. Non accettare l’accordo di contitolarità unilateralmente predisposto implica l’impossibilità di creare la “fanpage“. Dubbi emergono comunque sulla qualifica di contitolare del trattamento dell’amministratore della “fanpage“:
- lo stesso, di fatto, non è né in grado di incidere sulla scelta degli strumenti messi a disposizione e adoperati per il trattamento, essendo predeterminati dalla piattaforma, né è in grado di identificare i soggetti interessati al trattamento medesimo, considerato che il dato che viene “consegnato” dalla piattaforma all’amministratore, a fini della indagine di mercato, è un dato anonimo.
Seppur con le perplessità esposte, il proprietario della piattaforma (Facebook) ha comunque risolto la problematica relativa alla informativa da rendere ai visitatori delle “fanpage” ai sensi dell’articolo 13 del Reg. Ue 679/2016. Nell’accordo di contitiolarità il proprietario della piattaforma è tenuto a rendere l’informativa così come è suo onere consentire ai visitatori della “fanpage” l’esercizio dei loro diritti in qualità di interessati al trattamento e dunque all’accesso, rettifica, opposizione, cancellazione dei dati.
Recandosi sulle “fanpage” è, oggi, agevole trovare un link alle informative sia sui cookies sia sulla Privacy, in quanto il proprietario della piattaforma le ha oramai automaticamente inserite per tutti.
È doveroso però precisare che l’accordo di contitolarità è relativo esclusivamente ai dati gestiti ed acquisiti tramite lo strumento Facebook Insights. Ciò vuol dire che l’amministratore della “fanpage” potrebbe comunque non essere conforme al reg UE 679/2016 relativamente a eventuali ulteriori trattamenti dei dati che promanassero dall’utilizzo della “fanpage” medesima. A tal riguardo l’amministratore ha l’obbligo di rendere la relativa informativa individuando le specifiche basi giuridiche a seconda del tipo di operazioni svolte sulla sua “fanpage“.
È il caso, ad esempio, di talune attività di ristorazione e alberghiere che permettono la prenotazione direttamente sulla “fanpage” da loro gestita, ovvero “fanpage” di vendita di prodotti ove la “vetrina” sia visibile direttamente sulla pagina e l’accettazione dell’offerta può dunque avvenire tramite la stessa. In tutti i casi ove tali operazioni non rimandano a pagine esterne è, in conclusione, necessario che l’amministratore renda un’ulteriore informativa (oltre a quella resa da Facebook per gli Insights) agli utenti-visitatori con i quali si viene in contatto. Per “sanare” situazioni dubbie o palesemente non a norma è opportuno indicare l’informativa magari o attraverso con un link di rinvio ad una specifica pagina oppure con un post visibile, auspicabilmente“fissato” nella parte alta della pagina, ossia non appena si approdi sulla fanpage.
Va da sé che ogni situazione, come di consueto, debba essere analizzata caso per caso al fine di attuare la piena compliance alla normativa. Ma è bene non sottovalutare le possibili implicazioni nel caso di fanpage “commerciali” o che possano sortire dubbi in merito al rispetto della tutela della Privacy. E ciò vale non solo per Facebook ma per tutte le piattaforma social.
Per approfondimenti, consultare i seguenti link e/o riferimenti:
(1) Bilancio sull’applicazione del GDPR – Garante per la Protezione dei Dati Personali
(2) Regolamento UE 2016/679 – Parlamento Europeo e Consiglio
(3) Sentenza C-210/16 del 5 giugno 2018 – Corte di Giustizia Europea