Autore: wp_6910267

Negli ultimi giorni ha avuto una grande eco il deposito della sentenza n. 629/2019 della Corte di Giustizia dell’Unione Europea.

Il motivo? Il pulsante “Like” di Facebook inserito all’interno di un sito commerciale. Questo pulsante ha la caratteristica, quando è presente in una qualsiasi pagina web, di trasferire, anche se non utilizzato, i dati personali del navigatore (p.e. il suo indirizzo IP, il luogo di accesso alla rete, ecc.) verso Facebook.

La causa, quindi, ha visto fronteggiarsi la Verbraucherzentrale della Nord Renania-Vestfalia (una organizzazione per la tutela dei consumatori tedesca) e la Fashion ID (una società di abbigliamento) che aveva inserito il pulsante “Like” di Facebook all’interno del suo sito web senza avvisare i clienti del transito di dati verso verso i server irlandesi della società di Menlo Park.

La Verbraucherzentrale aveva portato davanti ai giudici tedeschi la Fashion ID sperando di poter riuscire ad ottenere il rispetto della direttiva europea 46/1995 (l’antenata del GDPR) costringendo Fashion ID a fornire l’informativa prevista e, quindi, a chiedere il relativo consenso.

Fashion ID si è difesa dicendo che, non essendo titolare del trattamento di quei dati personali, non aveva nessun obbligo di informativa. Infatti, il titolare è, per definizione (anche nella 46/1995), colui che definisce le finalità ed i mezzi del trattamento e, nel caso specifico, Fashion ID non poteva esercitare alcun controllo su come venivano acquisiti i dati e su come venivano, successivamente, trattati da Facebook.

La Corte di Giustizia Europea, invocata dai giudici tedeschi per fare luce sulla faccenda, ha vestito i panni di Salomone ed ha risolto la questione affermando che chiunque inserisca nel proprio sito web il bottone “Like” di Facebook (o di altri social network) assume la contitolarità del trattamento (insieme a Facebook) perché partecipa al trattamento stesso eseguendone almeno una operazione (la raccolta) e, con questo, mettendo a disposizione un mezzo di trattamento (il proprio sito). Peraltro, anche le finalità sono decise in comune con il social; infatti, la finalità è quella di amplificare la divulgazione dei rispettivi marchi a scopi pubblicitari (tanto per Facebook quanto per proprietario del sito, nel caso specifico Fashion ID).

Quindi, esiste l’obbligo di informativa e consenso per chiunque abbia l’idea di inserire il pulsante “Like” nelle proprie pagine web. Attenzione, l’informativa deve essere fornita in una pagina pulita ovvero senza pulsante “Like” e la stessa cosa deve avvenire per il consenso.

Insomma, Salomone non passa mai di moda, anche per un concetto così evoluto come la tutela dei dati personali.

Un’elegante signora diversamente giovane si presenta ad uno sportello delle Poste Italiane: ha bisogno di aprire un libretto postale per depositare, di tanto in tanto, qualche risparmio.

È un pomeriggio d’agosto, fa molto caldo ma lo sportello di Poste Italiane è un luogo dove è piacevole sostare, considerata la frescura artificiale generata dall’efficiente sistema di aria condizionata. Peraltro, cose rarissime, lo sportello è semideserto e l’operatrice è una ragazza giovane, sorridente ed efficiente.

L’operatrice chiede alla signora il documento di riconoscimento ed il codice fiscale: ne fa una copia che tiene agli atti. Poi, le chiede i dati di residenza ed il numero di telefono. La signora fornisce il suo indirizzo ed il numero del suo cellulare, senza avere alcuna informativa sul trattamento che ne verrà fatto (informazioni obbligatorie da fornire preventivamente, ai sensi dell’art. 13 del GDPR).

Il libretto postale viene emesso in un battibaleno e l’operatrice, con somma sorpresa della signora, le consegna anche una comoda carta plastificata che consentirà di effettuare prelievi dal libretto senza fare la fila ed utilizzando lo sportello automatico.

La mattina dopo la signora, che non aveva mai ricevuto sul suo cellulare alcun messaggio nenache da amici o parenti, riceve un messaggio dal seguente testo “Abbiamo bloccato il suo conto postale per motivi di sicurezza web. Per sbloccarlo potrà accedere al seguente link https://poste.ltd”.

Per fortuna la signora non cede alla tentazione di cliccare sul link proposto dal messaggio ma, presa dal panico, chiama suo genero che è un esperto di sistemi informativi. Il genero piomba a casa della signora (solo 200 metri) e si accorge del tentativo di phishing di cui è stata vittima: rimuove il messaggio e cerca di spiegare cosa è successo.

Il genero della signora, che è anche un esperto di protezione dei dati personali, tuttavia, si fa qualche domanda: è un caso che il messaggio sia arrivato simulando la provenienza da Poste Italiane? È un caso che sia arrivato appena dopo che la signora ha aperto un libretto postale? La catena dei processi di trattamento dei dati personali della signora (e di migliaia di altri clienti di Poste Italiane) presenta qualche buco?

Il genero della signora, quindi, sottopone, via email, le stesse domande al Computer Emergency Response Team (CERT) di Poste Italiane (a proposito, andando nella loro pagina della privacy potrete scoprire quanto, anche chi si dovrebbe occupare di sicurezza informatica, sia lontano dal GDPR e citi ancora normative oggi abrogate) che, tuttavia, non ha ancora fornito alcun riscontro.

Sarà tutta una questione legata al caso?