#GDPR stimolanti domande sulle novità per gli amministratori di #fanpageFB aziendali: gli inevitabili effetti di una pronuncia della #CGE
Co-titolarità trattamento dati con Facebook:
Intervista con l’avv. Claudia Ogriseg
Sei l’amministratore di una pagina Facebook?
Allora leggi bene il contratto, da domani, venerdì 28 settembre, ti sarà chiesto di sottoscrivere un accordo di co-titolarità con il colosso Facebook.
Continuiamo ad approfondire la vicenda Facebook aspettandoci che venga emulata anche dagli altri social network come LinkedIn e Twitter.
Facebook ha cambiato il contratto per la privacy per i gestori di Pagine
Facebook ha cambiato il proprio contratto riguardante la Privacy per chi gestisce una Pagina Facebook per la propria azienda o per i clienti.
Da venerdì prossimo 28 settembre per il GDPR saremo tutti co-titolari del trattamento dei dati insieme a Facebook.
Cosa significa? Cosa sta succedendo?
Giuseppe Ricci, Presidente di Active121, l’ha chiesto alla nostra esperta, l’avvocatessa giuslavorista Claudia Ogriseg.
G. Perché si è arrivati a questo punto, in cui un colosso come Facebook ci impone un accordo di co-titolarità pena la chiusura della pagina Facebook aziendale?
C. Questa novità è una conseguenza dei ragionamenti dei Giudici della Corte di Giustizia Europea (CGE causa C-210/16 – sentenza del 5 giugno 2018 Wirtschaftsakademie Schleswig-Holstein). Interrogati dalla Corte Amministrativa federale tedesca, i Giudici hanno precisato i profili di responsabilità dell’intestatario di una fan page di Facebook. Nel dettaglio hanno osservato come “l’amministratore della fanpage (possa) chiedere di ricevere – e, quindi, chiedere che siano trattati – dati demografici concernenti il suo pubblico destinatario, in particolare tendenze in materia di età, sesso, situazione sentimentale e professionale, informazioni sullo stile di vita e sugli interessi di detto pubblico, nonché informazioni sugli acquisti e il comportamento di acquisto online dei visitatori della sua pagina, le categorie di prodotti o di servizi di loro maggiore interesse, come pure dati territoriali che consentono all’amministratore della fanpage di stabilire dove avviare promozioni speciali o organizzare eventi e, in generale, di offrire informazioni maggiormente mirate”. E per questo i Giudici hanno ritenuto che ci fossero responsabilità nel trattamento dei dati poiché “da solo o insieme ad altri (l’amministratore della Pagina) determina le finalità e gli strumenti del trattamento di dati personali”.
G. Qual è il problema di fondo?
C. Molti amministratori di pagine su Facebook non hanno adottato le cautele previste dalla normativa privacy. Sinora confidavano di non doversene preoccupare, imputando a Facebook la Titolarità esclusiva del trattamento dei dati. In realtà, di fatto tramite la pagina Facebook, venivano installati cookie sui dispositivi degli utenti di cui si raccoglievano dati personali che venivano utilizzati successivamente anche dagli amministratori. Richiamandoci al caso analizzato dalla Corte di Giustizia Europea nel giugno scorso, la società tedesca Wirtschaftsakademie, creata la propria fanpage su Facebook, pur fornendo un contributo attivo e volontario alla raccolta di dati personali dei visitatori su Facebook, e pur beneficiando dei dati delle statistiche (Facebook Insights), non si era preoccupata di informare di tutto ciò i propri visitatori e per questo è stata sanzionata.
L’amministratore della fan page, nella ricostruzione della Corte, finisce quindi per essere co-Titolare insieme a Facebook del trattamento del dato.
G. Insomma due Titolari?
C. Esattamente. La co-Titolarità descrive proprio l’esistenza di due Titolari del trattamento che condividono finalità e strumenti di utilizzo dei dati personali così come definitivamente codificato solo di recente nell’art.26 del Regolamento EU n.2016/679 (GDPR), ma già da anni elaborato in numerosi documenti dei rappresentanti delle Autorità Garanti della Privacy a livello europeo.
G. Quindi la questione della co-Titolarità è una novità legata a una nuova formulazione del GDPR? Secondo Lei potrebbe riguardare anche piattaforme come Office 365, Hubspot, o Salesforce in cui si gestiscono dati da noi raccolti?
C. Direi di no. Nel Regolamento UE n.2016/679 la presenza di due Titolari che condividono il trattamento dei dati è stata finalmente codificata accendendo di fatto un riflettore su tutte le situazioni in cui i dati vengono trattati da due o più soggetti con modalità condivise. Quanto alle altre piattaforme, nella misura in cui Microsoft Inc., Hubspot Inc. o Salesforce Inc. si limitano a mettere a disposizione la loro piattaforma in “forma passiva” sulla base di precise istruzioni, i Titolari del trattamento restiamo essenzialmente noi, loro potrebbero essere considerati meri Responsabili del trattamento (art.28 GDPR).
G. Nell’accordo di co-Titolarità che Facebook ci fa accettare (o rifiutare completamente, senza vie di mezzo) c’è scritto che qualora fossimo contattati dagli utenti o dall’Autorità Garante, dovremmo comunicarlo tempestivamente entro 7 giorni di calendario a Facebook.
C. Sì, questa potrebbe essere una delle responsabilità che potremmo avere da co-Titolari e se non lo facciamo Facebook potrebbe denunciarci per mancata comunicazione. L’accordo di co-Titolarità dovrebbe determinare in modo trasparente le responsabilità dei co-Titolari in merito all’osservanza degli obblighi derivanti dal Regolamento UE n.2016/679. Ma è importante osservare come da co-Titolari potremmo avere numerosi obblighi e responsabilità.
G. Nell’accordo di co-Titolarità che Facebook ci “imporrà” non si descrivono le responsabilità degli amministratori di fanpage, dobbiamo preoccuparci?
C. Ogni co-Titolare dovrebbe avere un’area di responsabilità ben definita. Sarebbe opportuno descrivere nel dettaglio le responsabilità di ciascun co-Titolare nell’accordo di co-Titolarità. Quando i patti tra co-Titolari non sono chiari le responsabilità possono aumentare. In ogni caso ciascun co-Titolare mantiene una responsabilità totale solidale verso l’interessato, ossia potrebbe essere chiamato a risarcirlo interamente dei danni, salvo rivalersi sull’altro co-Titolare se dimostri una sua specifica responsabilità. L’argomento, come evidente, è complesso e impone un’analisi approfondita.
Che rischi effettivi ci sono a gestire pagine di social network e come possiamo tutelarci?
Quali sono in concreto gli obblighi e le responsabilità?
Le agenzie che gestiscono le pagine Facebook dei loro clienti, come possono tutelarsi?
Nei prossimi giorni approfondiremo con l’avv. Claudia Ogriseg, giuslavorista esperta di privacy, DPO di enti pubblici, strutture sanitarie e società di servizi, come stia cambiando il modo di fare Digital Marketing e come adeguarci (o correre ai ripari). Sia che lo facciamo per la nostra azienda che per i nostri clienti.
Hai una richiesta o una domanda particolare da porre a noi o alla nostra esperta?
Inviacela!
Cercheremo di rispondere