Causa C‑210/16
Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein
contro
Wirtschaftsakademie Schleswig-Holstein GmbH
(domanda di pronuncia pregiudiziale proposta dal Bundesverwaltungsgericht)
«Rinvio pregiudiziale – Direttiva 95/46/CE – Dati personali – Tutela delle persone fisiche riguardo al trattamento di tali dati – Provvedimento diretto a disattivare una pagina Facebook (fanpage) che consente di raccogliere ed elaborare determinati dati collegati ai visitatori di tale pagina – Articolo 2, lettera d) – Responsabile del trattamento di dati personali – Articolo 4 – Diritto nazionale applicabile – Articolo 28 – Autorità nazionali di controllo – Poteri d’intervento di tali autorità»
Massime – Sentenza della Corte (Grande Sezione) del 5 giugno 2018
Ravvicinamento delle legislazioni – Tutela delle persone fisiche con riguardo al trattamento dei dati personali – Direttiva 95/46 – Responsabile del trattamento – Nozione – Amministratore di una fanpage presente su un social network – Inclusione
[Direttiva del Parlamento europeo e del Consiglio 95/46, art. 2, d)]
Ravvicinamento delle legislazioni – Tutela delle persone fisiche con riguardo al trattamento dei dati personali – Direttiva 95/46 – Autorità nazionali di controllo – Poteri – Poteri investigativi, di intervento e di promuovere azioni giudiziarie – Abilitazione dell’autorità di controllo di uno Stato membro a esercitare tali poteri nei confronti di un’impresa situata nel territorio di tale Stato membro – Appartenenza dell’impresa a un gruppo che ha affidato la responsabilità della raccolta e del trattamento dei dati personali a un ente in un altro Stato membro – Irrilevanza
(Direttiva del Parlamento europeo e del Consiglio 95/46, artt. 4 e 28)
Ravvicinamento delle legislazioni – Tutela delle persone fisiche con riguardo al trattamento dei dati personali – Direttiva 95/46 – Autorità nazionali di controllo – Poteri – Poteri di intervento – Esercizio nei confronti di un terzo responsabile del trattamento dei dati personali situato in un altro Stato membro – Competenza a valutare la legittimità del trattamento e a intervenire senza avvalersi dell’assistenza dell’autorità di controllo dell’altro Stato membro
[Direttiva del Parlamento europeo e del Consiglio 95/46, artt. 4, § 1, a), e 28, §§ 3 e 6]
L’articolo 2, lettera d), della direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, deve essere interpretato nel senso che la nozione di «responsabile del trattamento», ai sensi di tale disposizione, include l’amministratore di una fanpage presente su un social network.
Orbene, se il mero fatto di utilizzare un social network quale Facebook non rende un utilizzatore di Facebook corresponsabile di un trattamento di dati personali effettuato da tale network, occorre, invece, rilevare che l’amministratore di una fanpage presente su Facebook, mediante la creazione di una siffatta pagina, offre a Facebook la possibilità di posizionare cookie sul computer o su qualsiasi altro dispositivo della persona che ha visitato la sua fanpage, indipendentemente dal fatto che tale persona possieda o meno un profilo Facebook. In tale contesto, si deve ritenere che l’amministratore di una fanpage presente su Facebook, quale la Wirtschaftsakademie, partecipa, attraverso la propria azione d’impostazione dei parametri, in funzione, segnatamente, del suo pubblico destinatario nonché di obiettivi di gestione o promozione delle sue attività, alla determinazione delle finalità e degli strumenti del trattamento dei dati personali dei visitatori della sua fanpage. Pertanto, tale amministratore deve essere, nella fattispecie, qualificato come responsabile di tale trattamento, all’interno dell’Unione, assieme alla Facebook Ireland, ai sensi dell’articolo 2, lettera d), della direttiva 95/46. Infatti, la circostanza che un amministratore di una fanpage utilizzi la piattaforma realizzata da Facebook per beneficiare dei servizi a essa collegati non può esonerarlo dal rispetto degli obblighi ad esso incombenti in materia di protezione dei dati personali. Ciò premesso, il riconoscimento di una responsabilità congiunta del gestore del social network e dell’amministratore di una fanpage presente su tale network in relazione al trattamento dei dati personali dei visitatori di tale fanpage contribuisce a garantire una più completa tutela dei diritti di cui godono le persone che visitano una fanpage, conformemente alle prescrizioni della direttiva 95/46.
(v. punti 35, 39, 40, 42, 44, dispositivo 1)
Gli articoli 4 e 28 della direttiva 95/46 devono essere interpretati nel senso che, qualora un’impresa stabilita al di fuori dell’Unione europea disponga di varie filiali in diversi Stati membri, l’autorità di controllo di uno Stato membro è autorizzata a esercitare i poteri che le conferisce l’articolo 28, paragrafo 3, di tale direttiva nei confronti di una filiale di detta impresa situata sul territorio di tale Stato membro anche se, in base alla ripartizione delle funzioni all’interno del gruppo, da un lato, tale filiale è competente solamente per la vendita di spazi pubblicitari e per altre attività di marketing sul territorio di detto Stato membro e, dall’altro, la responsabilità esclusiva per la raccolta e per il trattamento dei dati personali grava, per l’intero territorio dell’Unione europea, su una filiale situata in un altro Stato membro.
(v. punto 64, dispositivo 2)
L’articolo 4, paragrafo 1, lettera a), e l’articolo 28, paragrafi 3 e 6, della direttiva 95/46 devono essere interpretati nel senso che, qualora l’autorità di controllo di uno Stato membro intenda esercitare, nei confronti di un organismo stabilito sul territorio di tale Stato membro, i poteri d’intervento di cui all’articolo 28, paragrafo 3, di tale direttiva a motivo di violazioni delle disposizioni relative alla protezione dei dati personali, commesse da un terzo responsabile del trattamento di tali dati che ha la propria sede in un altro Stato membro, tale autorità di controllo è competente a valutare, in modo autonomo rispetto all’autorità di controllo di quest’ultimo Stato membro, la liceità di un siffatto trattamento di dati e può esercitare i suoi poteri d’intervento nei confronti dell’organismo stabilito sul proprio territorio senza previamente richiedere l’intervento dell’autorità di controllo dell’altro Stato membro.
(v. punto 74, dispositivo 3)