Gli operatori delle pagine fan di Facebook sono corresponsabili del trattamento dei dati da parte di Facebook. Questo è stato stabilito dalla Corte di giustizia europea (CGCE) il 5 giugno 2018. Quali sono le conseguenze? Sono interessati anche altri siti web?
La sentenza (causa C-210/16) significa in concreto: chiunque gestisca una pagina fan di Facebook è corresponsabile del trattamento dei dati di Facebook - e può, per esempio, essere citato in giudizio per danni per violazioni della protezione dei dati.
"Se Facebook non cambia decisamente il modo in cui tratta i dati personali dei suoi utenti, si dovrebbe stare alla larga dalle pagine fan di Facebook", avverte l'avvocato Bergt. Inoltre, secondo il GDPR, Facebook e il gestore della pagina fan dovrebbero concludere un contratto su chi adempie a quali obblighi di protezione dei dati: "Chi non lo fa rischia una multa di dieci milioni di euro secondo il regolamento generale sulla protezione dei dati, o anche di più nel caso di grandi aziende."
Tuttavia, la sentenza della Corte di giustizia europea disegna cerchi ancora più ampi. "Il ragionamento della corte si adatta a quasi tutti gli altri contenuti di terze parti - dai video incorporati ai font web ai framework JavaScript", avverte l'avvocato Matthias Bergt, partner di Boetticher Rechtsanwälte. "Molti programmi di gestione di siti web come WordPress caricano font da Google Fonts, video da YouTube e script da altri server. Il gestore di quest'altro server riceve così i dati personali dei visitatori del sito web, può tracciarli e molto altro".
La soluzione?
"La CGCE ha sottolineato che la responsabilità del gestore del sito è ancora più alta se il semplice richiamo della pagina fan da parte dei visitatori fa scattare automaticamente il trattamento dei loro dati personali", dice Bergt. "Se sostituiamo la parola fanpage con sito web nella frase, abbiamo il caso standard nel World Wide Web di oggi, quando il gestore del sito web non ha pensato alla questione della protezione dei dati". Ma questo non deve essere il caso, dice, perché quasi tutti i font e gli script possono essere semplicemente memorizzati sul proprio server come software open-source. Per i video e altre cose, ci sono soluzioni a due clic in cui il trasferimento dei dati al fornitore terzo avviene solo con il consenso del visitatore.
Gli avvertimenti di massa stanno arrivando
"Chiunque abbia un sito web dovrebbe agire ora prima che gli avvertimenti di massa scoprano il problema", raccomanda l'avvocato di protezione dei dati Bergt in vista del Regolamento generale sulla protezione dei dati (GDPR), che prevede nuovi diritti di azione. "Il GDPR dà agli interessati molti più diritti rispetto alla legge precedente", spiega Bergt. "Per esempio, possono chiedere i danni per dolore e sofferenza per le violazioni della protezione dei dati - questo è molto più lucrativo di prima, dove si poteva solo fare causa per un provvedimento ingiuntivo".
Integrazione giuridicamente corretta di contenuti di terzi
Anche se i temuti avvertimenti di massa non si sono probabilmente concretizzati finora, nessuno dovrebbe sentirsi al sicuro: "Chiunque attualmente commetta violazioni della protezione dei dati può ancora dire che non era a conoscenza della legge, non sapeva del periodo di transizione di oltre due anni e non ha potuto reagire abbastanza rapidamente. Tra due mesi, tuttavia, sarà difficile trovare un giudice che sarà impressionato da questo", dice Bergt. "È quindi importante eliminare rapidamente almeno i problemi evidenti. Questi includono il contenuto di terzi sul sito web e la politica sulla privacy. Il risultato non deve essere sempre che il contenuto di terzi deve essere rimosso - ma l'integrazione deve essere legalmente corretta."