Diritto e Fisco | Articoli

Facebook: obblighi dell’amministratore di una pagina (fanpage)

6 giugno 2018


Facebook: obblighi dell’amministratore di una pagina (fanpage)

> Diritto e Fisco Pubblicato il 6 giugno 2018



Anche l’amministratore della fanpage di Facebook è responsabile per il trattamento dei dati degli utenti che hanno cliccato il like (mi piace) potendo monitorare i loro dati tramite i cookies.

Hai aperto una pagina Facebook (una cosiddetta fanpage) in cui promuovi le attività della tua associazione culturale. Sei animato da finalità sociali, di condivisione della cultura e dell’informazione, per creare una maggiore coscienza da parte della collettività nei confronti di temi che ritieni delicati e degni di protezione. Tuttavia, di tanto in tanto, controlli la funzione “Insights” che Facebook stesso ti offre per comprendere chi è il tuo pubblico, da dove proviene, quale età ha e a quale sesso maggiormente appartiene, le sue preferenze. Grazie a questi dati riesci a fare delle campagne pubblicitarie mirate. Di recente, soprattutto dopo l’introduzione del nuovo regolamento europeo sulla privacy (il cosiddetto GDPR), ti sei chiesto quali sono gli obblighi dell’amministratore di una pagina Facebook (fanpage) in tema di trattamento e conservazione dei dati dei propri utenti. La risposta te la offre una sentenza della Corte di Giustizia dell’Unione Europea pubblicata ieri [1].

Come Facebook è responsabile del trattamento dei dati degli utenti che hanno messo il like sulla fanpage, anche l’amministratore lo è: quest’ultimo infatti imposta i parametri del trattamento dei dati dei visitatori della stessa in base al suo bacino d’utenza, «agli obiettivi di gestione e di promozione aziendale», determinandone le finalità e le modalità. Inoltre l’amministratore della pagina può chiedere di ricevere in forma anonima i dati raccolti dai cookies di Facebook per dette finalità di webtracking e per creare promozioni su misura degli utenti.

Ma procediamo con ordine.

Cos’è una fanpage di Facebook?

Facebook consente ai propri utenti di attivare due servizi fondamentali: il profilo personale, collegato di solito a persone fisiche, e una pagina di tipo aziendale, di solito collegata ad attività aventi scopo di lucro e non, ma comunque riconducibili a particolari finalità (dal volontariato, all’informazione, alla promozione di finalità sociali, agli scopi commerciali). Quest’ultima viene definita fanpage. La visibilità della fanpage tra gli iscritti dipende dai like che gli utenti mettono alla pagina stessa: solo chi ha effettuato questa interazione può vedere i post pubblicati dagli amministratori i quali, peraltro, con una campagna sponsorizzata, possono anche ottenere una maggiore visibilità per inserzioni pubblicitarie ed eventi.

Cos’è il webtracking?

L’attività di webtracking consiste nell’uso di cookies per tracciare un profilo per fini di marketing dell’utente di un sito o di una certa pagina web e rivolgergli offerte mirate e su “misura” dei suoi gusti ed interessi. I dati raccolti tramite i cookies sono sia demografici che territoriali (sesso, età, stato sentimentale, professione, interessi, preferenze commerciali, area di residenza etc.) e sono volti a migliorare la struttura del sito o della fanpage ed a permettere «ai pubblicitari di rivolgersi in modo mirato alle diverse fasce di pubblico» che visitano il sito e/o la pagina web.

Proprio grazie ai cookie è possibile raccogliere le informazioni di tutti i visitatori della fanpage. Tanto Facebook quanto gli amministratori della fanpage «possono usare i cookie sui servizi di Facebook per fornire servizi direttamente sul social network e fare pubblicità. 

Chi è il responsabile per i dati trattati sulla fanpage?

Secondo i giudici di Lussemburgo, l’amministratore di una fanpage di Facebook è responsabile, insieme a Facebook stesso, del trattamento dei dati dei visitatori della sua pagina. Non importa che questi dati non siano da lui raccolti con propri strumenti informatici, ma gli siano consegnati su un piatto d’argento dallo stesso Facebook, che riesce a controllare i cookies degli utenti per ben due anni. Una volta che si hanno a disposizione le informazioni riservate del pubblico bisogna trattarle nei limiti ed entro i confini stabiliti dalle leggi europee e nazionali sulla privacy.

Con il risultato che, ad esempio, in caso di campagne pubblicitarie mirate, ci saranno due soggetti corresponsabili:

  • innanzitutto Facebook stesso o, per quanto riguarda l’Europa, la sua filiale Facebook Ireland: la società proprietaria del social network deve infatti ritenersi «responsabile del trattamento» dei dati personali degli utenti nonché delle persone che hanno visitato la fanpage;
  • in secondo luogo l’amministratore della fanpage il quale va considerato responsabile, assieme alla Facebook Ireland, del trattamento dei dati interessati. Il fatto che egli utilizzi gli strumenti messi a disposizione da Facebook in via automatica, e a chiunque gestisca una pagina, è del tutto irrilevante e non lo esonera dagli obblighi in materia di protezione dei dati personali. L’amministratore della fanpage Facebook infatti partecipa, attraverso la propria azione d’impostazione dei parametri (in funzione del suo pubblico destinatario nonché di obiettivi di gestione o promozione delle proprie attività), alla determinazione delle finalità e degli strumenti del trattamento dei dati personali dei visitatori della sua fanpage. Del resto è a tutti noto che l’amministratore della fanpage può chiedere di ricevere (in forma anonima) – e, quindi, di trattare – dati demografici concernenti il suo pubblico destinatario (in particolare tendenze in materia di età, sesso, situazione sentimentale e professionale), informazioni sullo stile di vita e sugli interessi di detto pubblico (incluse informazioni sugli acquisti e il comportamento di acquisto online dei visitatori della sua pagina, nonché le categorie di prodotti o di servizi di loro maggiore interesse) e dati territoriali che consentono all’amministratore della fanpage di stabilire dove avviare promozioni speciali o organizzare eventi e, in generale, di offrire informazioni maggiormente mirate.

 A chi rivolgersi in caso di violazione della privacy? 

La “vittima” dello spam derivante da una fanpage di Facebook e per le lesioni nel trattamento dei propri dati può rivolgersi all’Autorità Garante della Privacy dello Stato membro in cui risiede ed opera l’amministratore della fanpage. 

note

[1] Corte Giust. Ue sent. del 5.06.2018 causa C-210/16.

Corte di Giustizia UE, Grande Sezione, sentenza 5 giugno 2018, causa C-210/16 (*)

«Rinvio pregiudiziale – Direttiva 95/46/CE – Dati personali – Tutela delle persone fisiche riguardo al trattamento di tali dati – Provvedimento diretto a disattivare una pagina Facebook (fanpage) che consente di raccogliere ed elaborare determinati dati collegati ai visitatori di tale pagina – Articolo 2, lettera d) – Responsabile del trattamento di dati personali – Articolo 4 – Diritto nazionale applicabile – Articolo 28 – Autorità nazionali di controllo – Poteri d’intervento di tali autorità»

1 La domanda di pronuncia pregiudiziale verte sull’interpretazione della direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (GU 1995, L 281, pag. 31).

2 Tale domanda è stata presentata nell’ambito di una controversia tra, da un lato, l’Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein (autorità di vigilanza regionale indipendente per la protezione dei dati dello Schleswig-Holstein) (in prosieguo: l’«ULD») e, dall’altro, la (omissis) Schleswig-Holstein GmbH, società di diritto privato specializzata nel settore della formazione (in prosieguo: la « (omissis)»), in merito alla legittimità di un provvedimento emesso dall’ULD con cui si intima alla  (omissis) di disattivare una fanpage presente sul sito del social network Facebook (in prosieguo: «Facebook»).

Contesto normativo

Diritto dell’Unione

3 I considerando 10, 18, 19 e 26 della direttiva 95/46 così dispongono:

«(10) considerando che le legislazioni nazionali relative al trattamento dei dati personali hanno lo scopo di garantire il rispetto dei diritti e delle libertà fondamentali, in particolare del diritto alla vita privata, riconosciuto anche dall’articolo 8 della Convenzione europea per la salvaguardia dei diritti dell’uomo e delle libertà fondamentali e dai principi generali del diritto [dell’Unione]; che pertanto il ravvicinamento di dette legislazioni non deve avere per effetto un indebolimento della tutela da esse assicurata ma deve anzi mirare a garantire un elevato grado di tutela nel[l’Unione];

(…)

(18) considerando che, onde evitare che una persona venga privata della tutela cui ha diritto in forza della presente direttiva, è necessario che qualsiasi trattamento di dati personali effettuato nel[l’Unione] rispetti la legislazione di uno degli Stati membri; che, a questo proposito, è opportuno assoggettare i trattamenti effettuati da una persona che opera sotto l’autorità del responsabile del trattamento stabilito in uno Stato membro alla legge di tale Stato;

(19) considerando che lo stabilimento nel territorio di uno Stato membro implica l’esercizio effettivo e reale dell’attività mediante un’organizzazione stabile; che la forma giuridica di siffatto stabilimento, si tratti di una semplice succursale o di una filiale dotata di personalità giuridica, non è il fattore determinante a questo riguardo; che quando un unico responsabile del trattamento è stabilito nel territorio di diversi Stati membri, in particolare per mezzo di filiali, esso deve assicurare, segnatamente per evitare che le disposizioni vengano eluse, che ognuno degli stabilimenti adempia gli obblighi previsti dalla legge nazionale applicabile alle attività di ciascuno di essi;

(…)

(26) considerando che i principi della tutela si devono applicare ad ogni informazione concernente una persona identificata o identificabile; che, per determinare se una persona è identificabile, è opportuno prendere in considerazione l’insieme dei mezzi che possono essere ragionevolmente utilizzati dal responsabile del trattamento o da altri per identificare detta persona; che i principi della tutela non si applicano a dati resi anonimi in modo tale che la persona interessata non è più identificabile; (…)».

4 L’articolo 1 della direttiva 95/46, intitolato «Oggetto della direttiva», prevede quanto segue:

«1. Gli Stati membri garantiscono, conformemente alle disposizioni della presente direttiva, la tutela dei diritti e delle libertà fondamentali delle persone fisiche e particolarmente del diritto alla vita privata, con riguardo al trattamento dei dati personali.

2. Gli Stati membri non possono restringere o vietare la libera circolazione dei dati personali tra Stati membri, per motivi connessi alla tutela garantita a norma del paragrafo 1».

5 L’articolo 2 di tale direttiva, intitolato «Definizioni», è così formulato:

«Ai fini della presente direttiva si intende per:

(…)

b) “trattamento di dati personali” (“trattamento”): qualsiasi operazione o insieme di operazioni compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali, come la raccolta, la registrazione, l’organizzazione, la conservazione, l’elaborazione o la modifica, l’estrazione, la consultazione, l’impiego, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, nonché il congelamento, la cancellazione o la distruzione;

(…)

d) “responsabile del trattamento”: la persona fisica o giuridica, l’autorità pubblica, il servizio o qualsiasi altro organismo che, da solo o insieme ad altri, determina le finalità e gli strumenti del trattamento di dati personali. Quando le finalità e i mezzi del trattamento sono determinati da disposizioni legislative o regolamentari nazionali o [dell’Unione], il responsabile del trattamento o i criteri specifici per [la] sua designazione possono essere fissati dal diritto nazionale o [dell’Unione];

e) “incaricato del trattamento”: la persona fisica o giuridica, l’autorità pubblica, il servizio o qualsiasi altro organismo che elabora dati personali per conto del responsabile del trattamento;

f) “terzi”: la persona fisica o giuridica, l’autorità pubblica, il servizio o qualsiasi altro organismo che non sia la persona interessata, il responsabile del trattamento, l’incaricato del trattamento e le persone autorizzate all’elaborazione dei dati sotto la loro autorità diretta;

(…)».

6 L’articolo 4 della direttiva in parola, intitolato «Diritto nazionale applicabile», al suo paragrafo 1, così recita:

«Ciascuno Stato membro applica le disposizioni nazionali adottate per l’attuazione della presente direttiva al trattamento di dati personali:

a) effettuato nel contesto delle attività di uno stabilimento del responsabile del trattamento nel territorio dello Stato membro; qualora uno stesso responsabile del trattamento sia stabilito nel territorio di più Stati membri, esso deve adottare le misure necessarie per assicurare l’osservanza, da parte di ciascuno di detti stabilimenti, degli obblighi stabiliti dal diritto nazionale applicabile;

b) il cui responsabile non è stabilito nel territorio dello Stato membro, ma in un luogo in cui si applica la sua legislazione nazionale, a norma del diritto internazionale pubblico;

c) il cui responsabile, non stabilito nel territorio del[l’Unione], ricorre, ai fini del trattamento di dati personali, a strumenti, automatizzati o non automatizzati, situati nel territorio di detto Stato membro, a meno che questi non siano utilizzati ai soli fini di transito nel territorio del[l’Unione]».

7 L’articolo 17 della direttiva 95/46, intitolato «Sicurezza dei trattamenti», ai paragrafi 1 e 2, così dispone:

«1. Gli Stati membri dispongono che il responsabile del trattamento deve attuare misure tecniche ed organizzative appropriate al fine di garantire la protezione dei dati personali dalla distruzione accidentale o illecita, dalla perdita accidentale o dall’alterazione, dalla diffusione o dall’accesso non autorizzati, segnatamente quando il trattamento comporta trasmissioni di dati all’interno di una rete, o da qualsiasi altra forma illecita di trattamento di dati personali.

Tali misure devono garantire, tenuto conto delle attuali conoscenze in materia e dei costi dell’applicazione, un livello di sicurezza appropriato rispetto ai rischi presentati dal trattamento e alla natura dei dati da proteggere.

2. Gli Stati membri dispongono che il responsabile del trattamento, quando quest’ultimo sia eseguito per suo conto, deve scegliere un incaricato del trattamento che presenti garanzie sufficienti in merito alle misure di sicurezza tecnica e di organizzazione dei trattamenti da effettuare e deve assicurarsi del rispetto di tali misure».

8 L’articolo 24 di tale direttiva, intitolato «Sanzioni», prevede quanto segue:

«Gli Stati membri adottano le misure appropriate per garantire la piena applicazione delle disposizioni della presente direttiva e in particolare stabiliscono le sanzioni da applicare in caso di violazione delle disposizioni di attuazione della presente direttiva».

9 L’articolo 28 della direttiva di cui trattasi, intitolato «Autorità di controllo», è così formulato:

«1. Ogni Stato membro dispone che una o più autorità pubbliche siano incaricate di sorvegliare, nel suo territorio, l’applicazione delle disposizioni di attuazione della presente direttiva, adottate dagli Stati membri.

Tali autorità sono pienamente indipendenti nell’esercizio delle funzioni loro attribuite.

2. Ciascuno Stato membro dispone che le autorità di controllo siano consultate al momento dell’elaborazione delle misure regolamentari o amministrative relative alla tutela dei diritti e delle libertà della persona con riguardo al trattamento dei dati personali.

3. Ogni autorità di controllo dispone in particolare:

– di poteri investigativi, come il diritto di accesso ai dati oggetto di trattamento e di raccolta di qualsiasi informazione necessaria all’esercizio della sua funzione di controllo;

– di poteri effettivi d’intervento, come quello di formulare pareri prima dell’avvio di trattamenti, conformemente all’articolo 20, e di dar loro adeguata pubblicità o quello di ordinare il congelamento, la cancellazione o la distruzione dei dati, oppure di vietare a titolo provvisorio o definitivo un trattamento, ovvero quello di rivolgere un avvertimento o un monito al responsabile del trattamento o quello di adire i Parlamenti o altre istituzioni politiche nazionali;

– del potere di promuovere azioni giudiziarie in caso di violazione delle disposizioni nazionali di attuazione della presente direttiva ovvero di adire per dette violazioni le autorità giudiziarie.

È possibile un ricorso giurisdizionale avverso le decisioni dell’autorità di controllo recanti pregiudizio.

(…)6. Ciascuna autorità di controllo, indipendentemente dalla legge nazionale applicabile al trattamento in questione, è competente per esercitare, nel territorio del suo Stato membro, i poteri attribuitile a norma del paragrafo 3. Ciascuna autorità può essere invitata ad esercitare i suoi poteri su domanda dell’autorità di un altro Stato membro.

Le autorità di controllo collaborano tra loro nella misura necessaria allo svolgimento dei propri compiti, in particolare scambiandosi ogni informazione utile.

(…)».

Diritto tedesco

10 L’articolo 3, paragrafo 7, del Bundesdatenschutzgesetz (legge tedesca sulla protezione dei dati), nella versione applicabile ai fatti di cui al procedimento principale (in prosieguo: il «BDSG»), è così formulato:

«Per organismo responsabile si intende qualsiasi persona o qualsiasi organismo che raccoglie, elabora o utilizza dati personali per suo conto o attraverso terzi su incarico».

11 L’articolo 11 del BDSG, intitolato «Raccolta, trattamento o utilizzo dei dati personali attraverso terzi su incarico», è redatto come segue:

«(1) Se dati personali sono raccolti, elaborati o utilizzati attraverso organismi terzi su incarico, il responsabile del trattamento su incarico è responsabile del rispetto delle disposizioni della presente legge e di altre disposizioni relative alla tutela dei dati. (…)

(2) L’incaricato del trattamento deve essere rigorosamente scelto tenendo conto in particolare dell’adeguatezza delle misure tecniche e organizzative da esso adottate. Il trattamento su incarico necessita della forma scritta, fermo restando che occorre in particolare determinare in dettaglio: (…)

il responsabile del trattamento e del trattamento su incarico deve accertarsi del rispetto delle misure tecniche e organizzative adottate dall’incaricato del trattamento prima dell’inizio del trattamento dei dati e successivamente in maniera regolare. Il risultato deve essere registrato.

(…)».

12 L’articolo 38, paragrafo 5, del BDSG, così dispone:

«Al fine di garantire il rispetto della presente legge e delle altre disposizioni in materia di protezione dei dati, l’autorità di vigilanza può ordinare misure dirette a porre rimedio alle violazioni accertate nella raccolta, nel trattamento o nell’impiego di dati personali o a inadempimenti tecnici o organizzativi. In caso di violazioni o inadempimenti gravi, segnatamente qualora questi ultimi costituiscano un rischio particolare di pregiudizio al diritto alla vita privata, essa può vietare la raccolta, il trattamento o l’impiego, addirittura il ricorso a determinate procedure, qualora non sia posto rimedio in tempo utile alle violazioni o agli inadempimenti, in violazione del provvedimento di cui al primo periodo e nonostante l’irrogazione di una penalità. Essa può chiedere la revoca del responsabile della protezione dei dati, ove questi non disponga delle competenze e dell’affidabilità necessarie per svolgere le sue mansioni».

13 L’articolo 12 del Telemediengesetz (legge tedesca sui servizi di telecomunicazione), del 26 febbraio 2007 (BGB1. 2007 I, pag. 179; in prosieguo: il «TMG»), è così formulato:

«(1) Il fornitore di servizi può raccogliere e utilizzare dati personali ai fini della messa a disposizione di servizi di telecomunicazione solo nella misura in cui lo permetta la presente legge o un’altra norma, riguardante espressamente i servizi di telecomunicazione oppure se l’utente vi abbia prestato consenso.

(…)

(3) Ove non sia diversamente stabilito, le norme rispettivamente vigenti per la tutela dei dati personali trovano applicazione anche nel caso in cui i dati non costituiscano oggetto di trattamento automatizzato».

Procedimento principale e questioni pregiudiziali

14 La  (omissis) offre servizi di formazione attraverso una fanpage presente su Facebook.

15 Le fanpage sono account utenti che possono essere attivate su Facebook da singole persone o imprese. Per farlo, l’autore della fanpage, dopo essersi registrato su Facebook, può utilizzare la piattaforma da quest’ultimo amministrata per presentarsi agli utenti di detto social network nonché alle persone che visitano la fanpage e diffondere comunicazioni di ogni tipo sul mercato dei media e del pubblico. Gli amministratori delle fanpage possono ottenere dati statistici anonimi riguardanti i visitatori di tali pagine servendosi di una funzione denominata Facebook Insights, messa a loro disposizione gratuitamente da Facebook secondo condizioni d’uso non modificabili. Tali dati sono raccolti grazie a marcatori (in prosieguo: i «cookie») contenenti ciascuno un codice utente unico, attivi per due anni e salvati da Facebook sul disco fisso del computer o su qualsiasi altro supporto dei visitatori della fanpage. Il codice utente, che può essere associato ai dati di collegamento degli utenti registrati su Facebook, è raccolto ed elaborato al momento dell’accesso alle fanpage. A tal riguardo, dalla decisione di rinvio emerge che né la  (omissis) né la Facebook Ireland Ltd hanno menzionato l’operazione di conservazione e il funzionamento di tale cookie o il trattamento successivo dei dati, quanto meno durante il periodo rilevante per il procedimento principale.

16 Con decisione del 3 novembre 2011 (in prosieguo: la «decisione impugnata») l’ULD, in qualità di autorità di controllo, ai sensi dell’articolo 28 della direttiva 95/46, incaricata di sorvegliare l’applicazione nel territorio del Land Schleswig-Holstein (Germania) delle disposizioni adottate dalla Repubblica federale di Germania in attuazione di tale direttiva, ordinava alla  (omissis), conformemente all’articolo 38, paragrafo 5, primo periodo, del BDSG, la disattivazione della fanpage da essa creata su Facebook all’indirizzo www.facebook.com/ (omissis), prevedendo una penalità in caso di mancato adempimento entro il termine prescritto, per il fatto che né la  (omissis) né Facebook informavano i visitatori della fanpage del fatto che quest’ultimo raccoglieva, mediante cookie, informazioni personali che li riguardavano e che essi elaboravano successivamente tali informazioni. Avverso tale decisione, la  (omissis) presentava reclamo negando, essenzialmente, di essere responsabile, alla luce della normativa applicabile in materia di protezione dei dati, del trattamento dei dati realizzato da Facebook e dei cookie da quest’ultimo installati.

17 Con decisione del 16 dicembre 2011 l’ULD respingeva tale reclamo, affermando che la responsabilità della  (omissis), quale fornitore di servizi, scaturiva dagli articoli 3, paragrafo 3, punto 4, e 12, paragrafo 1, del TMG, in combinato disposto con l’articolo 3, paragrafo 7, del BDSG. L’ULD precisava che, avendo creato la propria fanpage, la  (omissis) forniva un contributo attivo e volontario alla raccolta, da parte di Facebook, di dati personali riguardanti i visitatori di tale fanpage, dati di cui essa beneficiava mediante statistiche messe a disposizione da quest’ultimo.

18 Avverso tale decisione, la  (omissis) proponeva ricorso dinanzi al Verwaltungsgericht (Tribunale amministrativo, Germania), affermando che il trattamento dei dati personali realizzato da Facebook non poteva esserle imputato e negando inoltre di aver incaricato Facebook di effettuare, ai sensi dell’articolo 11 del BDSG, un trattamento dei dati soggetto al suo controllo o rientrante nella sua sfera di influenza. La  (omissis) ne deduceva che l’ULD avrebbe dovuto agire direttamente contro Facebook invece di adottare contro di essa la decisione impugnata.

19 Con sentenza del 9 ottobre 2013 il Verwaltungsgericht (Tribunale amministrativo) annullava la decisione impugnata sulla base del rilievo che, sostanzialmente, poiché l’amministratore di una fanpage su Facebook non costituisce un organismo responsabile ai sensi dell’articolo 3, paragrafo 7, del BDSG, la  (omissis) non poteva essere destinataria di una misura adottata a norma dell’articolo 38, paragrafo 5, del BDSG.

20 L’Oberverwaltungsgericht (Tribunale amministrativo superiore del Land, Germania) respingeva in quanto infondato l’appello presentato dall’ULD avverso tale sentenza. Tale giudice riteneva essenzialmente che il divieto di trattamento dei dati sancito nella decisione impugnata fosse illegittimo nella misura in cui l’articolo 38, paragrafo 5, secondo periodo, del BDSG prevede un processo graduale la cui prima fase permette unicamente di adottare misure volte a sanare violazioni accertate in sede di trattamento dei dati. Un divieto immediato di trattamento di dati sarebbe ipotizzabile solamente ove un processo di trattamento di dati sia illecito nella sua globalità e a condizione che solo la sospensione di detto processo permetta di porvi rimedio. Orbene, a giudizio dell’Oberverwaltungsgericht (Tribunale amministrativo superiore del Land), ciò non si sarebbe verificato nel caso di specie poiché Facebook avrebbe potuto far cessare le violazioni dedotte dall’ULD.

21 L’Oberverwaltungsgericht (Tribunale amministrativo superiore del Land) aggiungeva che la decisione impugnata era illegittima anche per il fatto che un provvedimento a norma dell’articolo 38, paragrafo 5, del BDSG può essere pronunciato solo nei confronti dell’organismo responsabile, ai sensi dell’articolo 3, paragrafo 7, del BDSG, e, per quanto riguarda i dati raccolti da Facebook, tale organismo non sarebbe la  (omissis). Infatti, solo Facebook deciderebbe della finalità e degli strumenti relativi alla raccolta e al trattamento dei dati personali utilizzati nell’ambito della funzione Facebook Insights, mentre la  (omissis), dal canto suo, riceverebbe solo informazioni statistiche rese anonime.

22 L’ULD proponeva ricorso per cassazione (Revision) dinanzi al Bundesverwaltungsgericht (Corte amministrativa federale, Germania), deducendo, fra i vari argomenti, la violazione dell’articolo 38, paragrafo 5, del BDSG nonché diversi errori procedurali inficianti la decisione del giudice d’appello. Essa ritiene che la violazione commessa dalla  (omissis) consista nel fatto che quest’ultima ha affidato la realizzazione, l’hosting e la manutenzione di un sito Internet a un fornitore inadatto in quanto irrispettoso della normativa applicabile in materia di protezione dei dati, nello specifico la Facebook Ireland. Il provvedimento, che intima alla  (omissis), mediante la decisione impugnata, di effettuare la disattivazione della sua fanpage sarebbe diretto a porre rimedio a tale violazione, poiché gli vieterebbe di continuare a utilizzare l’infrastruttura di Facebook come base tecnica del suo sito Internet.

23 Analogamente all’Oberverwaltungsgericht (Tribunale amministrativo superiore del Land), il Bundesverwaltungsgericht (Corte amministrativa federale, Germania) è del parere che la  (omissis) non possa essere considerata essa stessa responsabile del trattamento di dati, ai sensi dell’articolo 3, paragrafo 7, del BDSG o dell’articolo 2, lettera d), della direttiva 95/46. Tale ultimo giudice ritiene, tuttavia, che, in linea di principio, tale nozione debba essere interpretata in modo estensivo nell’interesse di una tutela efficace del diritto alla vita privata, come la Corte avrebbe dichiarato nella sua recente giurisprudenza in materia. Esso nutre, inoltre, dubbi in merito ai poteri di cui dispone nella fattispecie l’ULD nei confronti della Facebook Germany, tenuto conto del fatto che il responsabile della raccolta e del trattamento dei dati personali all’interno del gruppo Facebook è, a livello dell’Unione, la Facebook Ireland. Infine, esso si interroga sull’impatto, ai fini dell’esercizio dei poteri d’intervento dell’ULD, delle valutazioni effettuate dall’autorità di controllo in cui rientra la Facebook Ireland, in merito alla liceità del trattamento dei dati personali in oggetto.

24 In tale contesto, il Bundesverwaltungsgericht (Corte amministrativa federale) ha deciso di sospendere il procedimento e di sottoporre alla Corte le seguenti questioni pregiudiziali:

«1) Se l’articolo 2, lettera d), della direttiva [95/46] debba essere interpretato nel senso che esso disciplina la responsabilità per violazioni delle disposizioni sulla protezione dei dati personali in modo tassativo e completo o se, nell’ambito delle “misure appropriate” ai sensi dell’articolo 24 [di detta] direttiva (…) e dei “poteri effettivi di intervento” ai sensi dell’articolo 28, paragrafo 3, secondo trattino, della medesima (…), rimanga spazio – nei rapporti tra fornitori di informazioni su più livelli – per una responsabilità in capo a un organismo che non è responsabile del trattamento dei dati ai sensi dell’articolo 2, lettera d), della [suddetta direttiva], rispetto alla scelta di un amministratore per la sua offerta informativa.

2) Se dall’obbligo che incombe agli Stati membri, ai sensi dell’articolo 17, paragrafo 2, della direttiva [95/46] (…), di disporre, in sede di trattamento dei dati su incarico, che il responsabile del trattamento deve scegliere un “incaricato del trattamento che presenti garanzie sufficienti in merito alle misure di sicurezza tecnica e di organizzazione dei trattamenti da effettuare” si possa dedurre a contrario che, nel caso di rapporti di utilizzo di altra natura, non collegati a un trattamento dei dati su incarico ai sensi dell’articolo 2, lettera e), [di detta] direttiva (…), non sussiste alcun obbligo di scelta diligente e un tale obbligo non può essere fondato neppure sulla normativa nazionale.

3) Se, nel caso di una società controllante stabilita al di fuori dell’Unione europea e avente filiali giuridicamente indipendenti (controllate) in diversi Stati membri, l’autorità di vigilanza di uno Stato membro (nel caso di specie, la Germania) possa esercitare – ai sensi degli articoli 4 e 28, paragrafo 6, della direttiva [95/46] (…) – i poteri ad essa trasferiti a norma dell’articolo 28, paragrafo 3, della medesima (…) nei confronti di una filiale posta sul suo territorio, anche quando tale filiale è competente soltanto per la promozione e la vendita di pubblicità ed altre misure di marketing dirette agli abitanti di detto Stato membro, mentre la filiale (controllata) con sede in un diverso Stato membro (nella fattispecie, l’Irlanda) ha, in base alla ripartizione dei compiti interna al gruppo, competenza esclusiva quanto alla raccolta e al trattamento dei dati personali in tutto il territorio dell’Unione europea e quindi anche nell’altro Stato membro (nella fattispecie, la Germania), se – di fatto – la decisione in merito al trattamento dei dati è assunta dalla controllante.

4) Se gli articoli 4, paragrafo 1, e 28, paragrafo 3, della direttiva [95/46] debbano essere interpretati nel senso che quando il responsabile del trattamento ha una filiale nel territorio di uno Stato membro (nella fattispecie, l’Irlanda) ed esiste un’altra filiale giuridicamente autonoma nel territorio di un altro Stato membro (nella fattispecie, la Germania), competente segnatamente per la vendita di spazi pubblicitari e la cui attività si rivolge agli abitanti di detto Stato, l’autorità di controllo competente in detto altro Stato membro (nella fattispecie, la Germania) può adottare misure o provvedimenti diretti all’attuazione della normativa sulla protezione dei dati personali anche nei confronti della filiale (nella fattispecie, in Germania) che, in base alla ripartizione dei compiti e delle responsabilità interna al gruppo, non è responsabile del trattamento, o se tali misure e provvedimenti possano essere adottati soltanto dall’autorità di controllo dello Stato membro (nella fattispecie, l’Irlanda) sul cui territorio ha la propria sede l’organismo responsabile a livello interno al gruppo.

5) Se gli articoli 4, paragrafo 1, lettera a), e 28, paragrafi 3 e 6, della direttiva [95/46] debbano essere interpretati nel senso che quando le autorità di controllo di uno Stato membro (nella fattispecie, della Germania) agiscono nei confronti di un soggetto o di un organismo attivo sul loro territorio ai sensi dell’articolo 28, paragrafo 3, [di tale direttiva] in ragione della scelta non diligente di un terzo coinvolto nel processo di trattamento dei dati (nella fattispecie, Facebook), poiché detto terzo violerebbe la normativa sulla protezione dei dati, l’autorità di controllo che interviene (nella fattispecie, la Germania) è vincolata alla valutazione compiuta, sotto il profilo della normativa sulla protezione dei dati, dall’autorità di controllo dell’altro Stato membro in cui il terzo responsabile del trattamento dei dati ha la sua filiale (nella fattispecie, in Irlanda), nel senso che essa non può compiere alcuna valutazione giuridica discordante, o se l’autorità di controllo che interviene (nella fattispecie, la Germania) possa valutare in modo autonomo preliminarmente alla propria azione la legittimità del trattamento dei dati compiuto da un terzo stabilito in un altro Stato membro (nella fattispecie, l’Irlanda).

6) Nell’ipotesi in cui l’autorità di vigilanza che interviene (nella fattispecie, la Germania) possa procedere a un esame autonomo: se l’articolo 28, paragrafo 6, secondo periodo, della direttiva [95/46] debba essere interpretato nel senso che la suddetta autorità di vigilanza può esercitare i poteri effettivi di intervento ad essa trasferiti in base all’articolo 28, paragrafo 3, [di detta] direttiva (…) nei confronti di un soggetto o di un organismo stabilito sul suo territorio a titolo di corresponsabilità nelle violazioni della normativa sulla protezione dei dati personali commesse da un terzo stabilito in un altro Stato membro a condizione che abbia previamente richiesto all’autorità di vigilanza di detto altro Stato membro (nella fattispecie, l’Irlanda) di esercitare i suoi poteri».

Sulle questioni pregiudiziali

Sulla prima e sulla seconda questione

25 Con la sua prima e seconda questione, che occorre esaminare congiuntamente, il giudice del rinvio mira, in sostanza, a chiarire se l’articolo 2, lettera d), l’articolo 17, paragrafo 2, l’articolo 24 e l’articolo 28, paragrafo 3, secondo trattino, della direttiva 95/46 debbano essere interpretati nel senso che essi consentono di dichiarare la responsabilità di un organismo, in qualità di amministratore di una fanpage presente su un social network, in caso di violazione delle norme relative alla tutela dei dati personali, a motivo della scelta di essersi avvalso di tale social network per diffondere la propria offerta d’informazioni.

26 Per rispondere a tali questioni, occorre ricordare che, come risulta dal suo articolo 1, paragrafo 1, e dal suo considerando 10, la direttiva 95/46 è volta a garantire un elevato grado di tutela delle libertà e dei diritti fondamentali delle persone fisiche, in particolare della loro vita privata, riguardo al trattamento dei dati personali (sentenza dell’11 dicembre 2014, Ryneš, C‑212/13, EU:C:2014:2428, punto 27 e giurisprudenza ivi citata).

27 Conformemente a tale obiettivo, l’articolo 2, lettera d), di tale direttiva definisce in modo ampio la nozione di «responsabile del trattamento» inteso come la persona fisica o giuridica, l’autorità pubblica, il servizio o qualsiasi altro organismo che, da solo o insieme ad altri, determina le finalità e gli strumenti del trattamento di dati personali.

28 Infatti, come è già stato giudicato dalla Corte, la finalità di tale disposizione è di garantire, mediante un’ampia definizione della nozione di «responsabile», una tutela efficace e completa degli interessati (sentenza del 13 maggio 2014, Google Spain e Google, C‑131/12, EU:C:2014:317, punto 34).

29 Inoltre, dal momento che, così come prevede espressamente l’articolo 2, lettera d), della direttiva 95/46, la nozione di «responsabile del trattamento» riguarda l’organismo che, «da solo o insieme ad altri», determina le finalità e gli strumenti del trattamento di dati personali, tale nozione non rinvia necessariamente a un unico organismo e può riguardare vari attori che partecipano a tale trattamento, ciascuno dei quali sarà quindi soggetto alle disposizioni applicabili in materia di protezione dei dati.

30 Nel caso di specie, la Facebook Inc. e, per quanto riguarda l’Unione, la Facebook Ireland devono essere considerate coloro che determinano, in via principale, le finalità e gli strumenti del trattamento dei dati personali degli utenti di Facebook nonché delle persone che hanno visitato la fanpage presente su Facebook e rientrano pertanto nella nozione di «responsabile del trattamento», ai sensi dell’articolo 2, lettera d), della direttiva 95/46, fatto di cui non si dubita nella presente causa.

31 Ciò premesso, e al fine di rispondere alle questioni sollevate, si deve esaminare se e in che misura l’amministratore di una fanpage presente su Facebook, come la  (omissis), contribuisca, nell’ambito di tale fanpage, a determinare, assieme con la Facebook Ireland e la Facebook Inc., le finalità e gli strumenti del trattamento dei dati personali dei visitatori della suddetta fanpage e possa, quindi, anch’essa essere considerata quale «responsabile del trattamento», ai sensi dell’articolo 2, lettera d), della direttiva 95/46.

32 A tal riguardo, risulta che qualsiasi persona che desideri creare una fanpage su Facebook stipula con la Facebook Ireland un contratto specifico relativo all’apertura di una siffatta pagina e aderisce, a tale titolo, alle condizioni di utilizzo di tale pagina, inclusa la politica ad essa relativa in materia di cookie, cosa che spetta al giudice nazionale verificare.

33 Come emerge dal fascicolo presentato alla Corte, i trattamenti di dati di cui al procedimento principale sono effettuati essenzialmente attraverso il posizionamento, da parte di Facebook, sul computer o su ogni altro dispositivo delle persone che hanno visitato la fanpage, di cookie usati per memorizzare informazioni nei browser web e che, se non eliminati, restano attivi per due anni. Da esso emerge altresì che, in pratica, Facebook riceve, registra ed elabora le informazioni memorizzate nei cookie in particolare quando una persona visita «servizi Facebook, servizi forniti da altri membri delle Aziende di Facebook e servizi forniti da altre aziende che usano i servizi Facebook». Inoltre, altri soggetti, quali i partner di Facebook o anche terzi «possono usare i cookie sui servizi di Facebook per [fornire servizi direttamente a tale social network] e alle aziende che fanno pubblicità su Facebook».

34 Tali trattamenti di dati personali mirano segnatamente, da un lato, a consentire a Facebook di migliorare il proprio sistema di pubblicità che esso diffonde attraverso il suo network e, dall’altro, a consentire all’amministratore della fanpage di ottenere statistiche stabilite da Facebook a partire dalle visite di tale pagina, a fini di gestione della promozione della propria attività, consentendogli di conoscere, ad esempio, il profilo dei visitatori che apprezzano la sua fanpage o che utilizzano le sue applicazioni, affinché esso possa proporre loro un contenuto più pertinente e sviluppare funzionalità che possano interessarli in maggior misura.

35 Orbene, il mero fatto di utilizzare un social network quale Facebook non rende un utilizzatore di Facebook corresponsabile di un trattamento di dati personali effettuato da tale network; occorre, invece, rilevare che l’amministratore di una fanpage presente su Facebook, mediante la creazione di una siffatta pagina, offre a Facebook la possibilità di posizionare cookie sul computer o su qualsiasi altro dispositivo della persona che ha visitato la sua fanpage, indipendentemente dal fatto che tale persona possieda o meno un profilo Facebook.

36 In tale contesto, dalle indicazioni presentate alla Corte emerge che la creazione di una fanpage su Facebook implica da parte del suo amministratore un’azione d’impostazione dei parametri in base, segnatamente, al suo pubblico destinatario nonché agli obiettivi di gestione o di promozione delle sue attività, che influisce sul trattamento di dati personali ai fini della creazione di statistiche stabilite a partire dalle visite della fanpage. Tale amministratore può, tramite filtri messi a disposizione da Facebook, definire i criteri a partire dai quali si devono stabilire tali statistiche e designare perfino le categorie di persone i cui dati personali saranno oggetto di utilizzo da parte di Facebook. Di conseguenza, l’amministratore di una fanpage presente su Facebook contribuisce al trattamento dei dati personali dei visitatori della sua pagina.

37 In particolare, l’amministratore della fanpage può chiedere di ricevere – e, quindi, chiedere che siano trattati – dati demografici concernenti il suo pubblico destinatario, in particolare tendenze in materia di età, sesso, situazione sentimentale e professionale, informazioni sullo stile di vita e sugli interessi di detto pubblico, nonché informazioni sugli acquisti e il comportamento di acquisto online dei visitatori della sua pagina, le categorie di prodotti o di servizi di loro maggiore interesse, come pure dati territoriali che consentono all’amministratore della fanpage di stabilire dove avviare promozioni speciali o organizzare eventi e, in generale, di offrire informazioni maggiormente mirate.

38 Se è vero che le statistiche sull’utenza stabilite da Facebook sono unicamente trasmesse all’amministratore della fanpage in forma anonima, ciò non toglie che la realizzazione di tali statistiche si fonda sulla raccolta preliminare, mediante cookie installati da Facebook sul computer o su ogni altro dispositivo delle persone che hanno visitato tale pagina, e sul trattamento dei dati personali di tali visitatori a siffatti fini statistici. In ogni caso, la direttiva 95/46 non impone che, qualora vi sia una responsabilità congiunta di più operatori per un medesimo trattamento, ciascuno abbia accesso ai dati personali interessati.

39 In tale contesto, si deve ritenere che l’amministratore di una fanpage presente su Facebook, quale la  (omissis), partecipa, attraverso la propria azione d’impostazione dei parametri, in funzione, segnatamente, del suo pubblico destinatario nonché di obiettivi di gestione o promozione delle sue attività, alla determinazione delle finalità e degli strumenti del trattamento dei dati personali dei visitatori della sua fanpage. Pertanto, tale amministratore deve essere, nella fattispecie, qualificato come responsabile di tale trattamento, all’interno dell’Unione, assieme alla Facebook Ireland, ai sensi dell’articolo 2, lettera d), della direttiva 95/46.

40 Infatti, la circostanza che un amministratore di una fanpage utilizzi la piattaforma realizzata da Facebook per beneficiare dei servizi a essa collegati non può esonerarlo dal rispetto degli obblighi ad esso incombenti in materia di protezione dei dati personali.

41 Inoltre, è importante sottolineare che le fanpage presenti su Facebook possono essere visitate anche da persone che non sono utilizzatori di Facebook e che quindi non dispongono di un account utente su tale social network. In tal caso, la responsabilità dell’amministratore della fanpage relativamente al trattamento dei dati personali di tali persone appare ancor più importante, poiché la mera consultazione della fanpage da parte di visitatori fa scattare automaticamente il trattamento dei loro dati personali.

42 Ciò premesso, il riconoscimento di una responsabilità congiunta del gestore del social network e dell’amministratore di una fanpage presente su tale network in relazione al trattamento dei dati personali dei visitatori di tale fanpage contribuisce a garantire una più completa tutela dei diritti di cui godono le persone che visitano una fanpage, conformemente alle prescrizioni della direttiva 95/46.

43 Tuttavia, si deve precisare, come rilevato dall’avvocato generale ai paragrafi 75 e 76 delle sue conclusioni, che l’esistenza di una corresponsabilità non si traduce necessariamente in una responsabilità equivalente dei diversi operatori nell’ambito di un trattamento di dati personali. Al contrario, tali operatori possono essere coinvolti in fasi diverse di tale trattamento e a diversi livelli, di modo che il grado di responsabilità di ciascuno di essi deve essere valutato tenendo conto di tutte le circostanze rilevanti del caso di specie.

44 Alla luce delle considerazioni che precedono, si deve rispondere alla prima e alla seconda questione dichiarando che l’articolo 2, lettera d), della direttiva 95/46 deve essere interpretato nel senso che la nozione di «responsabile del trattamento», ai sensi di tale disposizione, include l’amministratore di una fanpage presente su un social network.

Sulla terza e quarta questione

45 Con la sua terza e quarta questione, che occorre esaminare congiuntamente, il giudice del rinvio si chiede, in sostanza, se gli articoli 4 e 28 della direttiva 95/46 debbano essere interpretati nel senso che, qualora un’impresa stabilita al di fuori dell’Unione disponga di varie filiali in diversi Stati membri, l’autorità di controllo di uno Stato membro è autorizzata a esercitare i poteri che le conferisce l’articolo 28, paragrafo 3, di tale direttiva, nei confronti di una filiale situata nel territorio di tale Stato membro anche se, in base alla ripartizione delle funzioni all’interno del gruppo, da un lato, tale filiale è competente solamente per la vendita di spazi pubblicitari e per altre attività di marketing nel territorio di detto Stato membro e, dall’altro, la responsabilità esclusiva per la raccolta e per il trattamento dei dati personali grava, per l’intero territorio dell’Unione, su una filiale situata in un altro Stato membro, o se spetti all’autorità di controllo di tale ultimo Stato membro esercitare detti poteri nei confronti della seconda filiale.

46 L’ULD e il governo italiano esprimono dubbi in merito alla ricevibilità di tali questioni in quanto esse sarebbero irrilevanti per la soluzione della controversia di cui al procedimento principale. Infatti, la decisione impugnata avrebbe come destinataria la  (omissis) e non riguarderebbe quindi né la Facebook Inc. né nessun’altra filiale stabilita nel territorio dell’Unione.

47 A questo proposito, occorre rammentare che, nell’ambito della cooperazione tra la Corte e i giudici nazionali istituita dall’articolo 267 TFUE, spetta esclusivamente al giudice nazionale, cui è stata sottoposta la controversia e che deve assumersi la responsabilità dell’emananda decisione giurisdizionale, valutare, alla luce delle particolari circostanze di ciascuna causa, sia la necessità di una pronuncia pregiudiziale per essere in grado di emettere la propria sentenza, sia la rilevanza delle questioni che esso sottopone alla Corte. Di conseguenza, se le questioni sollevate dal giudice nazionale riguardano l’interpretazione del diritto dell’Unione, la Corte, in via di principio, è tenuta a statuire (sentenza del 6 settembre 2016, Petruhhin, C‑182/15, EU:C:2016:630, punto 19 e giurisprudenza ivi citata).

48 Nel caso di specie, occorre evidenziare che il giudice del rinvio afferma che una risposta della Corte alla terza e alla quarta questione pregiudiziale è necessaria perché lo stesso possa pronunciarsi sulla controversia di cui al procedimento principale. Esso spiega infatti che, nel caso in cui si constatasse, alla luce di tale risposta, che l’ULD avrebbe potuto porre rimedio alle asserite violazioni del diritto alla protezione dei dati personali agendo nei confronti della Facebook Germany, una siffatta circostanza potrebbe dimostrare l’esistenza di un errore di valutazione che inficia la decisione impugnata, nella parte in cui essa sarebbe stata adottata erroneamente nei confronti della  (omissis).

49 Alla luce di ciò, la terza e la quarta questione sono ricevibili.

50 Per rispondere a tali questioni, occorre rammentare in via preliminare che, ai sensi dell’articolo 28, paragrafi 1 e 3, della direttiva 95/46, ciascuna autorità di controllo esercita tutti i poteri che le sono stati conferiti dal diritto nazionale nel territorio dello Stato membro cui appartiene, per assicurare in tale territorio il rispetto delle norme in materia di protezione dei dati (v., in tal senso, sentenza del 1° ottobre 2015, Weltimmo, C‑230/14, EU:C:2015:639, punto 51).

51 La questione relativa a quale diritto nazionale si applichi ai trattamenti dei dati personali è disciplinata dall’articolo 4 della direttiva 95/46. Ai sensi del paragrafo 1, lettera a), di tale articolo ciascuno Stato membro applica le disposizioni nazionali che esso adotta per l’attuazione della presente direttiva al trattamento di dati personali effettuato nel contesto delle attività di uno stabilimento del responsabile del trattamento nel territorio di tale Stato membro. Detta disposizione precisa che, qualora uno stesso responsabile del trattamento sia stabilito nel territorio di più Stati membri, esso deve adottare le misure necessarie per assicurare l’osservanza, da parte di ciascuno di detti stabilimenti, degli obblighi stabiliti dal diritto nazionale applicabile.

52 Discende così dal combinato disposto di tale norma e dell’articolo 28, paragrafi 1 e 3, della direttiva 95/46 che, quando il diritto nazionale dello Stato membro dell’autorità di controllo è applicabile ai sensi dell’articolo 4, paragrafo 1, lettera a), di quest’ultima, per il fatto che il trattamento in oggetto è effettuato nell’ambito delle attività di uno stabilimento del responsabile del trattamento nel territorio di detto Stato membro, tale autorità di controllo può esercitare tutti i poteri che tale diritto le conferisce nei confronti di detto stabilimento, e ciò indipendentemente dal fatto che il responsabile del trattamento disponga di stabilimenti anche in altri Stati membri.

53 Così, per determinare se un’autorità di controllo sia autorizzata, in circostanze come quelle di cui al procedimento principale, a esercitare, nei confronti di uno stabilimento ubicato sul territorio dello Stato membro cui essa appartiene, i poteri che le sono conferiti dal diritto nazionale, si deve verificare se le due condizioni previste dall’articolo 4, paragrafo 1, lettera a), della direttiva 95/46 siano soddisfatte, ossia, da un lato, se si tratti di uno «stabilimento del responsabile del trattamento», ai sensi di tale disposizione, e, dall’altro, se il trattamento in parola sia effettuato «nel contesto delle attività» di tale stabilimento, ai sensi della medesima disposizione.

54 Per quanto attiene, in primo luogo, alla condizione secondo cui il responsabile del trattamento di dati personali deve disporre di uno stabilimento nel territorio dello Stato membro dell’autorità di controllo interessata, occorre rammentare che, secondo il considerando 19 della direttiva 95/46, lo stabilimento nel territorio di uno Stato membro implica l’esercizio effettivo e reale di un’attività mediante un’organizzazione stabile e che la forma giuridica di siffatto stabilimento, si tratti di una semplice succursale o di una filiale dotata di personalità giuridica, non è il fattore determinante (sentenza del 1° ottobre 2015, Weltimmo, C‑230/14, EU:C:2015:639, punto 28 e giurisprudenza ivi citata).

55 Nel caso di specie, è pacifico che la Facebook Inc., in quanto responsabile del trattamento di dati personali, assieme alla Facebook Ireland, dispone di una filiale stabile in Germania, ossia la Facebook Germany, situata ad Amburgo, e che quest’ultima società esercita realmente ed effettivamente alcune attività in detto Stato membro. Di conseguenza, essa costituisce uno stabilimento, ai sensi dell’articolo 4, paragrafo 1, lettera a), della direttiva 95/46.

56 Per quanto riguarda, in secondo luogo, la condizione in base alla quale il trattamento di dati personali deve essere effettuato «nel contesto delle attività» dello stabilimento interessato, si deve rammentare, innanzitutto, che, tenuto conto dell’obiettivo perseguito dalla direttiva 95/46, consistente nel garantire una tutela efficace e completa delle libertà e dei diritti fondamentali delle persone fisiche, segnatamente del diritto alla vita privata, riguardo al trattamento dei dati personali, l’espressione «nel contesto delle attività di uno stabilimento» non può essere interpretata restrittivamente (sentenza del 1° ottobre 2015, Weltimmo, C‑230/14, EU:C:2015:639, punto 25 e giurisprudenza ivi citata).

57 Occorre poi sottolineare che l’articolo 4, paragrafo 1, lettera a), della direttiva 95/46 non esige che un siffatto trattamento sia effettuato «dallo» stesso stabilimento interessato, bensì soltanto che venga effettuato «nel contesto delle attività» di quest’ultimo (sentenza del 13 maggio 2014, Google Spain e Google, C‑131/12, EU:C:2014:317, punto 52).

58 Nel caso di specie, dalla decisione di rinvio e dalle osservazioni scritte depositate dalla Facebook Ireland emerge che la Facebook Germany è incaricata della promozione e della vendita di spazi pubblicitari e svolge attività destinate ai residenti in Germania.

59 Come è stato rammentato ai punti 33 e 34 della presente sentenza, il trattamento di dati personali di cui al procedimento principale, effettuato dalla Facebook Inc. congiuntamente alla Facebook Ireland e consistente nella raccolta di siffatti dati mediante cookie installati sui computer o su ogni altro dispositivo dei visitatori delle fanpage presenti su Facebook, ha come obiettivo segnatamente di consentire a tale social network di migliorare il proprio sistema pubblicitario al fine di individuare meglio le comunicazioni che esso diffonde.

60 Orbene, come rilevato dall’avvocato generale al paragrafo 94 delle sue conclusioni, dato che, da un lato, un social network, come Facebook, trae una parte considerevole delle sue entrate segnatamente dalla pubblicità diffusa sulle pagine web che gli utenti creano e a cui essi accedono e, dall’altro, che la filiale di Facebook ubicata in Germania è destinata a garantire, in tale Stato membro, la promozione e la vendita di spazi pubblicitari che servono a rendere redditizi i servizi offerti da Facebook, le attività di tale filiale devono essere ritenute inscindibilmente connesse al trattamento di dati personali del procedimento principale, di cui la Facebook Inc. è il responsabile assieme alla Facebook Ireland. Di conseguenza, un siffatto trattamento deve essere considerato come effettuato nel contesto delle attività di uno stabilimento del responsabile del trattamento, ai sensi dell’articolo 4, paragrafo 1, lettera a), della direttiva 95/46 (v., in tal senso, sentenza del 13 maggio 2014, Google Spain e Google, C‑131/12, EU:C:2014:317, punti 55 e 56).

61 Ne consegue che, poiché, ai sensi dell’articolo 4, paragrafo 1, lettera a), della direttiva 95/46, il diritto tedesco era applicabile al trattamento dei dati personali di cui al procedimento principale, l’autorità di controllo tedesca era competente, conformemente all’articolo 28, paragrafo 1, di tale direttiva, ad applicare a detto trattamento la normativa tedesca.

62 Di conseguenza, tale autorità di controllo era competente a garantire, nel territorio tedesco, il rispetto delle disposizioni in materia di protezione dei dati personali per esercitare, nei confronti della Facebook Germany, tutti i poteri di cui essa dispone in forza delle disposizioni nazionali di attuazione dell’articolo 28, paragrafo 3, della direttiva 95/46.

63 Occorre precisare altresì che la circostanza, evidenziata dal giudice del rinvio nella sua terza questione, secondo cui le strategie decisionali in merito alla raccolta e al trattamento di dati personali relativi a persone residenti nel territorio dell’Unione sono adottate da una società controllante stabilita in uno Stato terzo, come, nella fattispecie, la Facebook Inc., non è tale da mettere in discussione la competenza dell’autorità di controllo sottoposta al diritto di uno Stato membro con riferimento a uno stabilimento, ubicato nel territorio di tale medesimo Stato, del responsabile del trattamento dei suddetti dati.

64 Tenuto conto di quanto precede, si deve rispondere alla terza e alla quarta questione dichiarando che gli articoli 4 e 28 della direttiva 95/46 devono essere interpretati nel senso che, qualora un’impresa stabilita al di fuori dell’Unione disponga di varie filiali in diversi Stati membri, l’autorità di controllo di uno Stato membro è autorizzata a esercitare i poteri che le conferisce l’articolo 28, paragrafo 3, di tale direttiva nei confronti di una filiale di detta impresa situata nel territorio di tale Stato membro anche se, in base alla ripartizione delle funzioni all’interno del gruppo, da un lato, tale filiale è competente solamente per la vendita di spazi pubblicitari e per altre attività di marketing sul territorio di detto Stato membro e, dall’altro, la responsabilità esclusiva per la raccolta e per il trattamento dei dati personali grava, per l’intero territorio dell’Unione, su una filiale situata in un altro Stato membro.

Sulla quinta e sesta questione

65 Con la sua quinta e sesta questione, che occorre esaminare congiuntamente, il giudice del rinvio chiede, in sostanza, se l’articolo 4, paragrafo 1, lettera a), e l’articolo 28, paragrafi 3 e 6, della direttiva 95/46 debbano essere interpretati nel senso che, qualora l’autorità di controllo di uno Stato membro intenda esercitare, nei confronti di un organismo stabilito nel territorio di tale Stato membro, i poteri d’intervento di cui all’articolo 28, paragrafo 3, di tale direttiva a motivo di violazioni delle disposizioni relative alla protezione dei dati personali, commesse da un terzo responsabile del trattamento di tali dati che ha la propria sede in un altro Stato membro, tale autorità di controllo è competente a valutare, in modo autonomo rispetto all’autorità di controllo di quest’ultimo Stato membro, la liceità di un siffatto trattamento di dati e può esercitare i suoi poteri d’intervento nei confronti dell’organismo stabilito sul proprio territorio senza previamente richiedere l’intervento dell’autorità di controllo dell’altro Stato membro.

66 Al fine di rispondere a tali questioni, si deve rammentare, come emerge dalla risposta fornita alla prima e alla seconda questione pregiudiziale, che l’articolo 2, lettera d), della direttiva 95/46 deve essere interpretato nel senso che esso consente, in circostanze come quelle di cui al procedimento principale, di riconoscere la responsabilità di un organismo, quale la  (omissis), in qualità di amministratore di una fanpage presente su Facebook, in caso di violazione delle disposizioni relative alla tutela dei dati personali.

67 Ne consegue che, ai sensi dell’articolo 4, paragrafo 1, lettera a), nonché dell’articolo 28, paragrafi 1 e 3, della direttiva 95/46, l’autorità di controllo dello Stato membro sul cui territorio è stabilito tale organismo è competente ad applicare il suo diritto nazionale e, pertanto, a esercitare, nei confronti di detto organismo, tutti i poteri che le sono conferiti da tale diritto nazionale, conformemente all’articolo 28, paragrafo 3, della direttiva in parola.

68 Come previsto dall’articolo 28, paragrafo 1, secondo comma, di tale direttiva, le autorità di controllo incaricate di sorvegliare l’applicazione, nel territorio degli Stati membri cui appartengono, delle disposizioni adottate da questi ultimi in attuazione della medesima direttiva, sono pienamente indipendenti nell’esercizio delle funzioni loro attribuite. Tale prescrizione risulta altresì dal diritto primario dell’Unione, segnatamente dall’articolo 8, paragrafo 3, della Carta dei diritti fondamentali dell’Unione europea e dall’articolo 16, paragrafo 2, TFUE (v., in tal senso, sentenza del 6 ottobre 2015, Schrems, C‑362/14, EU:C:2015:650, punto 40).

69 Inoltre, benché, ai sensi dell’articolo 28, paragrafo 6, secondo comma, della direttiva 95/46, le autorità di controllo collaborino tra loro nella misura necessaria allo svolgimento dei propri compiti, in particolare scambiandosi ogni informazione utile, tale medesima direttiva non prevede nessun criterio di priorità che disciplini l’intervento delle autorità di controllo le une rispetto alle altre né prevede l’obbligo per l’autorità di controllo di uno Stato membro di conformarsi alla posizione espressa, eventualmente, dall’autorità di controllo di un altro Stato membro.

70 Pertanto, nulla impone a un’autorità di controllo la cui competenza è riconosciuta dal suo diritto nazionale di far propria la soluzione adottata da un’altra autorità di controllo in una situazione analoga.

71 A tal riguardo, va ricordato che, poiché le autorità nazionali di controllo sono incaricate, ai sensi dell’articolo 8, paragrafo 3, della Carta dei diritti fondamentali e dell’articolo 28 della direttiva 95/46, di sorvegliare il rispetto delle norme dell’Unione relative alla tutela delle persone fisiche riguardo al trattamento dei dati personali, a ognuna di esse è quindi attribuita la competenza a verificare se un trattamento di dati personali nel territorio dello Stato membro cui appartiene rispetti gli obblighi fissati dalla direttiva 95/46 (v., in tal senso, sentenza del 6 ottobre 2015, Schrems, C‑362/14, EU:C:2015:650, punto 47).

72 Poiché l’articolo 28 della direttiva 95/46 si applica, per sua stessa natura, a ogni trattamento di dati personali, anche in presenza di una decisione di un’autorità di controllo di un altro Stato membro, un’autorità di controllo, investita da parte di un soggetto di una domanda relativa alla tutela dei propri diritti e libertà relativamente al trattamento di dati personali che la riguardano, deve valutare in piena indipendenza se il trattamento di tali dati rispetti gli obblighi stabiliti dalla presente direttiva (v., in tal senso, sentenza del 6 ottobre 2015, Schrems, C‑362/14, EU:C:2015:650, punto 57).

73 Ne consegue che, nel caso di specie, in base al sistema stabilito dalla direttiva 95/46, l’ULD era autorizzata a valutare, in maniera autonoma rispetto alle valutazioni effettuate dall’autorità di vigilanza irlandese, la liceità del trattamento di dati di cui al procedimento principale.

74 Di conseguenza, occorre rispondere alla quinta e alla sesta questione dichiarando che l’articolo 4, paragrafo 1, lettera a), e l’articolo 28, paragrafi 3 e 6, della direttiva 95/46 devono essere interpretati nel senso che, qualora l’autorità di controllo di uno Stato membro intenda esercitare, nei confronti di un organismo stabilito sul territorio di tale Stato membro, i poteri d’intervento di cui all’articolo 28, paragrafo 3, di tale direttiva a motivo di violazioni delle disposizioni relative alla protezione dei dati personali, commesse da un terzo responsabile del trattamento di tali dati che ha la propria sede in un altro Stato membro, tale autorità di controllo è competente a valutare, in modo autonomo rispetto all’autorità di controllo di quest’ultimo Stato membro, la liceità di un siffatto trattamento di dati e può esercitare i suoi poteri d’intervento nei confronti dell’organismo stabilito sul proprio territorio senza previamente richiedere l’intervento dell’autorità di controllo dell’altro Stato membro.

Sulle spese

75 Nei confronti delle parti nel procedimento principale la presente causa costituisce un incidente sollevato dinanzi al giudice nazionale, cui spetta quindi statuire sulle spese. Le spese sostenute da altri soggetti per presentare osservazioni alla Corte non possono dar luogo a rifusione.

Per questi motivi

 la Corte (Grande Sezione) dichiara:

1) L’articolo 2, lettera d), della direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, deve essere interpretato nel senso che la nozione di «responsabile del trattamento», ai sensi di tale disposizione, include l’amministratore di una fanpage presente su un social network.

2) Gli articoli 4 e 28 della direttiva 95/46 devono essere interpretati nel senso che, qualora un’impresa stabilita al di fuori dell’Unione europea disponga di varie filiali in diversi Stati membri, l’autorità di controllo di uno Stato membro è autorizzata a esercitare i poteri che le conferisce l’articolo 28, paragrafo 3, di tale direttiva nei confronti di una filiale di detta impresa situata sul territorio di tale Stato membro anche se, in base alla ripartizione delle funzioni all’interno del gruppo, da un lato, tale filiale è competente solamente per la vendita di spazi pubblicitari e per altre attività di marketing sul territorio di detto Stato membro e, dall’altro, la responsabilità esclusiva per la raccolta e per il trattamento dei dati personali grava, per l’intero territorio dell’Unione europea, su una filiale situata in un altro Stato membro.

3) L’articolo 4, paragrafo 1, lettera a), e l’articolo 28, paragrafi 3 e 6, della direttiva 95/46 devono essere interpretati nel senso che, qualora l’autorità di controllo di uno Stato membro intenda esercitare, nei confronti di un organismo stabilito sul territorio di tale Stato membro, i poteri d’intervento di cui all’articolo 28, paragrafo 3, di tale direttiva a motivo di violazioni delle disposizioni relative alla protezione dei dati personali, commesse da un terzo responsabile del trattamento di tali dati che ha la propria sede in un altro Stato membro, tale autorità di controllo è competente a valutare, in modo autonomo rispetto all’autorità di controllo di quest’ultimo Stato membro, la liceità di un siffatto trattamento di dati e può esercitare i suoi poteri d’intervento nei confronti dell’organismo stabilito sul proprio territorio senza previamente richiedere l’intervento dell’autorità di controllo dell’altro Stato membro.

Per avere il pdf inserisci qui la tua email. Se non sei già iscritto, riceverai la nostra newsletter:

Informativa sulla privacy
DOWNLOAD

ARTICOLI CORRELATI

Lascia un commento

Usa il form per discutere sul tema. Per richiedere una consulenza vai all’apposito modulo.

 



NEWSLETTER

Iscriviti per rimanere sempre informato e aggiornato.

CERCA CODICI ANNOTATI