Corte di giustizia ue giugno 2018 vietato il webtracking dell'utente di una fanpage su facebook viol by Gli sfogliabili di LPD

Corte di Giustizia UE giugno 2018: Vietato il webtracking dell'utente di una fanpage su Facebook viola la sua privacy

Edizione provvisoria SENTENZA DELLA CORTE (Grande Sezione) 5 giugno 2018 (*)

«Rinvio pregiudiziale – Direttiva 95/46/CE – Dati personali – Tutela delle persone fisiche riguardo al trattamento di tali dati – Provvedimento diretto a disattivare una pagina Facebook (fanpage) che consente di raccogliere ed elaborare determinati dati collegati ai visitatori di tale pagina – Articolo 2, lettera d) – Responsabile del trattamento di dati personali – Articolo 4 – Diritto nazionale applicabile – Articolo 28 – Autorità nazionali di controllo – Poteri d’intervento di tali autorità» Nella causa C-210/16, avente ad oggetto la domanda di pronuncia pregiudiziale proposta alla Corte, ai sensi dell’articolo 267 TFUE, dal Bundesverwaltungsgericht (Corte amministrativa federale, Germania), con decisione del 25 febbraio 2016, pervenuta in cancelleria il 14 aprile 2016, nel procedimento Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein contro Wirtschaftsakademie Schleswig-Holstein GmbH, con l’intervento di: Facebook Ireland Ltd, Vertreter des Bundesinteresses beim Bundesverwaltungsgericht, LA CORTE (Grande Sezione),

composta da K. Lenaerts, presidente, A. Tizzano (relatore), vicepresidente, M. Ilešič, L. Bay Larsen, T. von Danwitz, A. Rosas, J. Malenovský ed E. Levits, presidenti di sezione, E. Juhász, A. Borg Barthet, F. Biltgen, K. Jürimäe, C. Lycourgos, M. Vilaras ed E. Regan, giudici, avvocato generale: Y. Bot cancelliere: C. Strömholm, amministratore vista la fase scritta del procedimento e in seguito all’udienza del 27 giugno 2017, considerate le osservazioni presentate: –

per l’Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein, da U. Karpenstein e M. Kottmann, Rechtsanwälte;

–

per la Wirtschaftsakademie Schleswig-Holstein GmbH, da C. Wolff, Rechtsanwalt;

–

per la Facebook Ireland Ltd, da C. Eggers, H.-G. Kamann, M. Braun, Rechtsanwälte, e da I. Perego, avvocato;

–

per il governo tedesco, da J. Möller, in qualità di agente;

–

per il governo belga, da L. Van den Broeck, C. Pochet, P. Cottin e J.-C. Halleux, in qualità di agenti;

–

per il governo ceco, da M. Smolek, J. Vláčil e L. Březinová, in qualità di agenti;

–

per l’Irlanda, da M. Browne, L. Williams, E. Creedon, G. Gilmore e A. Joyce, in qualità di agenti;

–

per il governo italiano, da G. Palmieri, in qualità di agente, assistita da P. Gentili, avvocato dello Stato;

–

per il governo dei Paesi Bassi, da C.S. Schillemans e M. K. Bulterman, in qualità di agenti;

– –

per il governo finlandese, da J. Heliskoski, in qualità di agente; per la Commissione europea, da H. Krämer e D. Nardi, in qualità di agenti,

sentite le conclusioni dell’avvocato generale, presentate all’udienza del 24 ottobre 2017, ha pronunciato la seguente

Sentenza 1

La domanda di pronuncia pregiudiziale verte sull’interpretazione della direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (GU 1995, L 281, pag. 31).

Tale domanda è stata presentata nell’ambito di una controversia tra, da un lato, l’Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein (autorità di vigilanza regionale indipendente per la protezione dei dati dello SchleswigHolstein) (in prosieguo: l’«ULD») e, dall’altro, la Wirtschaftsakademie Schleswig-Holstein GmbH, società di diritto privato specializzata nel settore della formazione (in prosieguo: la «Wirtschaftsakademie»), in merito alla legittimità di un provvedimento emesso dall’ULD con cui si intima alla Wirtschaftsakademie di disattivare una fanpage presente sul sito del social network Facebook (in prosieguo: «Facebook»).

Contesto normativo Diritto dell’Unione 3

I considerando 10, 18, 19 e 26 della direttiva 95/46 così dispongono: «(10) considerando che le legislazioni nazionali relative al trattamento dei dati personali hanno lo scopo di garantire il rispetto dei diritti e delle libertà fondamentali, in particolare del diritto alla vita privata, riconosciuto anche dall’articolo 8 della Convenzione europea per la salvaguardia dei diritti dell’uomo e delle libertà fondamentali e dai principi generali del diritto [dell’Unione]; che pertanto il ravvicinamento di dette legislazioni non deve avere per effetto un indebolimento della tutela da esse assicurata ma deve anzi mirare a garantire un elevato grado di tutela nel[l’Unione]; (...)

(18)

considerando che, onde evitare che una persona venga privata della tutela cui ha diritto in forza della presente direttiva, è necessario che qualsiasi trattamento di dati personali effettuato nel[l’Unione] rispetti la legislazione di uno degli Stati membri; che, a questo proposito, è opportuno assoggettare i trattamenti effettuati da una persona che opera sotto l’autorità del responsabile del trattamento stabilito in uno Stato membro alla legge di tale Stato;

(19)

considerando che lo stabilimento nel territorio di uno Stato membro implica l’esercizio effettivo e reale dell’attività mediante un’organizzazione stabile; che la forma giuridica di siffatto stabilimento, si tratti di una semplice succursale o di una filiale dotata di personalità giuridica, non è il fattore determinante a questo riguardo; che quando un unico responsabile del trattamento è stabilito nel territorio di diversi Stati membri, in particolare per mezzo di filiali, esso deve assicurare, segnatamente per evitare che le disposizioni vengano eluse, che ognuno degli stabilimenti adempia gli obblighi previsti dalla legge nazionale applicabile alle attività di ciascuno di essi;

(…) (26)

considerando che i principi della tutela si devono applicare ad ogni informazione concernente una persona identificata o identificabile; che, per determinare se una persona è identificabile, è opportuno prendere in considerazione l’insieme dei mezzi che possono essere ragionevolmente utilizzati dal responsabile del trattamento o da altri per identificare detta persona; che i principi della tutela non si applicano a dati resi anonimi in modo tale che la persona interessata non è più identificabile; (...)».

L’articolo 1 della direttiva 95/46, intitolato «Oggetto della direttiva», prevede quanto segue: «1. Gli Stati membri garantiscono, conformemente alle disposizioni della presente direttiva, la tutela dei diritti e delle libertà fondamentali delle persone fisiche e particolarmente del diritto alla vita privata, con riguardo al trattamento dei dati personali. 2. Gli Stati membri non possono restringere o vietare la libera circolazione dei dati personali tra Stati membri, per motivi connessi alla tutela garantita a norma del paragrafo 1».

L’articolo 2 di tale direttiva, intitolato «Definizioni», è così formulato: «Ai fini della presente direttiva si intende per: (…) b)

“trattamento di dati personali” (“trattamento”): qualsiasi operazione o insieme di operazioni compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali, come la raccolta, la registrazione, l’organizzazione, la conservazione, l’elaborazione o la modifica, l’estrazione, la consultazione, l’impiego, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, nonché il congelamento, la cancellazione o la distruzione;

(...) d)

“responsabile del trattamento”: la persona fisica o giuridica, l’autorità pubblica, il servizio o qualsiasi altro organismo che, da solo o insieme ad altri, determina le finalità e gli strumenti del trattamento di dati personali. Quando le finalità e i mezzi del trattamento sono determinati da disposizioni legislative o regolamentari nazionali o [dell’Unione], il responsabile del trattamento o i criteri specifici per [la] sua designazione possono essere fissati dal diritto nazionale o [dell’Unione];

“incaricato del trattamento”: la persona fisica o giuridica, l’autorità pubblica, il servizio o qualsiasi altro organismo che elabora dati personali per conto del responsabile del trattamento;

“terzi”: la persona fisica o giuridica, l’autorità pubblica, il servizio o qualsiasi altro organismo che non sia la persona interessata, il responsabile del trattamento, l’incaricato del trattamento e le persone autorizzate all’elaborazione dei dati sotto la loro autorità diretta;

(...)». 6

L’articolo 4 della direttiva in parola, intitolato «Diritto nazionale applicabile», al suo paragrafo 1, così recita: «Ciascuno Stato membro applica le disposizioni nazionali adottate per l’attuazione della presente direttiva al trattamento di dati personali:

effettuato nel contesto delle attività di uno stabilimento del responsabile del trattamento nel territorio dello Stato membro; qualora uno stesso responsabile del trattamento sia stabilito nel territorio di più Stati membri, esso deve adottare le misure necessarie per assicurare l’osservanza, da parte di ciascuno di detti stabilimenti, degli obblighi stabiliti dal diritto nazionale applicabile;

il cui responsabile non è stabilito nel territorio dello Stato membro, ma in un luogo in cui si applica la sua legislazione nazionale, a norma del diritto internazionale pubblico;

il cui responsabile, non stabilito nel territorio del[l’Unione], ricorre, ai fini del trattamento di dati personali, a strumenti, automatizzati o non automatizzati, situati nel territorio di detto Stato membro, a meno che questi non siano utilizzati ai soli fini di transito nel territorio del[l’Unione]».

L’articolo 17 della direttiva 95/46, intitolato «Sicurezza dei trattamenti», ai paragrafi 1 e 2, così dispone: «1. Gli Stati membri dispongono che il responsabile del trattamento deve attuare misure tecniche ed organizzative appropriate al fine di garantire la protezione dei dati personali dalla distruzione accidentale o illecita, dalla perdita accidentale o dall’alterazione, dalla diffusione o dall’accesso non autorizzati, segnatamente quando il trattamento comporta trasmissioni di dati all’interno di una rete, o da qualsiasi altra forma illecita di trattamento di dati personali. Tali misure devono garantire, tenuto conto delle attuali conoscenze in materia e dei costi dell’applicazione, un livello di sicurezza appropriato rispetto ai rischi presentati dal trattamento e alla natura dei dati da proteggere. 2. Gli Stati membri dispongono che il responsabile del trattamento, quando quest’ultimo sia eseguito per suo conto, deve scegliere un incaricato del trattamento che presenti garanzie sufficienti in merito alle misure di sicurezza tecnica e di organizzazione dei trattamenti da effettuare e deve assicurarsi del rispetto di tali misure».

L’articolo 24 di tale direttiva, intitolato «Sanzioni», prevede quanto segue: «Gli Stati membri adottano le misure appropriate per garantire la piena applicazione delle disposizioni della presente direttiva e in particolare

stabiliscono le sanzioni da applicare in caso di violazione delle disposizioni di attuazione della presente direttiva». 9

L’articolo 28 della direttiva di cui trattasi, intitolato «Autorità di controllo», è così formulato: «1. Ogni Stato membro dispone che una o più autorità pubbliche siano incaricate di sorvegliare, nel suo territorio, l’applicazione delle disposizioni di attuazione della presente direttiva, adottate dagli Stati membri. Tali autorità sono pienamente indipendenti nell’esercizio delle funzioni loro attribuite. 2. Ciascuno Stato membro dispone che le autorità di controllo siano consultate al momento dell’elaborazione delle misure regolamentari o amministrative relative alla tutela dei diritti e delle libertà della persona con riguardo al trattamento dei dati personali. 3.

Ogni autorità di controllo dispone in particolare:

–

di poteri investigativi, come il diritto di accesso ai dati oggetto di trattamento e di raccolta di qualsiasi informazione necessaria all’esercizio della sua funzione di controllo;

–

di poteri effettivi d’intervento, come quello di formulare pareri prima dell’avvio di trattamenti, conformemente all’articolo 20, e di dar loro adeguata pubblicità o quello di ordinare il congelamento, la cancellazione o la distruzione dei dati, oppure di vietare a titolo provvisorio o definitivo un trattamento, ovvero quello di rivolgere un avvertimento o un monito al responsabile del trattamento o quello di adire i Parlamenti o altre istituzioni politiche nazionali;

–

del potere di promuovere azioni giudiziarie in caso di violazione delle disposizioni nazionali di attuazione della presente direttiva ovvero di adire per dette violazioni le autorità giudiziarie.

È possibile un ricorso giurisdizionale avverso le decisioni dell’autorità di controllo recanti pregiudizio. (...) 6. Ciascuna autorità di controllo, indipendentemente dalla legge nazionale applicabile al trattamento in questione, è competente per esercitare, nel territorio

del suo Stato membro, i poteri attribuitile a norma del paragrafo 3. Ciascuna autorità può essere invitata ad esercitare i suoi poteri su domanda dell’autorità di un altro Stato membro. Le autorità di controllo collaborano tra loro nella misura necessaria allo svolgimento dei propri compiti, in particolare scambiandosi ogni informazione utile. (...)». Diritto tedesco 10

L’articolo 3, paragrafo 7, del Bundesdatenschutzgesetz (legge tedesca sulla protezione dei dati), nella versione applicabile ai fatti di cui al procedimento principale (in prosieguo: il «BDSG»), è così formulato: «Per organismo responsabile si intende qualsiasi persona o qualsiasi organismo che raccoglie, elabora o utilizza dati personali per suo conto o attraverso terzi su incarico».

L’articolo 11 del BDSG, intitolato «Raccolta, trattamento o utilizzo dei dati personali attraverso terzi su incarico», è redatto come segue: «(1) Se dati personali sono raccolti, elaborati o utilizzati attraverso organismi terzi su incarico, il responsabile del trattamento su incarico è responsabile del rispetto delle disposizioni della presente legge e di altre disposizioni relative alla tutela dei dati. (...) (2) L’incaricato del trattamento deve essere rigorosamente scelto tenendo conto in particolare dell’adeguatezza delle misure tecniche e organizzative da esso adottate. Il trattamento su incarico necessita della forma scritta, fermo restando che occorre in particolare determinare in dettaglio: (...) il responsabile del trattamento e del trattamento su incarico deve accertarsi del rispetto delle misure tecniche e organizzative adottate dall’incaricato del trattamento prima dell’inizio del trattamento dei dati e successivamente in maniera regolare. Il risultato deve essere registrato. (...)».

L’articolo 38, paragrafo 5, del BDSG, così dispone:

«Al fine di garantire il rispetto della presente legge e delle altre disposizioni in materia di protezione dei dati, l’autorità di vigilanza può ordinare misure dirette a porre rimedio alle violazioni accertate nella raccolta, nel trattamento o nell’impiego di dati personali o a inadempimenti tecnici o organizzativi. In caso di violazioni o inadempimenti gravi, segnatamente qualora questi ultimi costituiscano un rischio particolare di pregiudizio al diritto alla vita privata, essa può vietare la raccolta, il trattamento o l’impiego, addirittura il ricorso a determinate procedure, qualora non sia posto rimedio in tempo utile alle violazioni o agli inadempimenti, in violazione del provvedimento di cui al primo periodo e nonostante l’irrogazione di una penalità. Essa può chiedere la revoca del responsabile della protezione dei dati, ove questi non disponga delle competenze e dell’affidabilità necessarie per svolgere le sue mansioni». 13

L’articolo 12 del Telemediengesetz (legge tedesca sui servizi di telecomunicazione), del 26 febbraio 2007 (BGB1. 2007 I, pag. 179; in prosieguo: il «TMG»), è così formulato: «(1) Il fornitore di servizi può raccogliere e utilizzare dati personali ai fini della messa a disposizione di servizi di telecomunicazione solo nella misura in cui lo permetta la presente legge o un’altra norma, riguardante espressamente i servizi di telecomunicazione oppure se l’utente vi abbia prestato consenso. (...) (3) Ove non sia diversamente stabilito, le norme rispettivamente vigenti per la tutela dei dati personali trovano applicazione anche nel caso in cui i dati non costituiscano oggetto di trattamento automatizzato».

Procedimento principale e questioni pregiudiziali 14

La Wirtschaftsakademie offre servizi di formazione attraverso una fanpage presente su Facebook.

Le fanpage sono account utenti che possono essere attivate su Facebook da singole persone o imprese. Per farlo, l’autore della fanpage, dopo essersi registrato su Facebook, può utilizzare la piattaforma da quest’ultimo amministrata per presentarsi agli utenti di detto social network nonché alle persone che visitano la fanpage e diffondere comunicazioni di ogni tipo sul mercato dei media e del pubblico. Gli amministratori delle fanpage possono ottenere dati statistici anonimi riguardanti i visitatori di tali pagine servendosi di

una funzione denominata Facebook Insights, messa a loro disposizione gratuitamente da Facebook secondo condizioni d’uso non modificabili. Tali dati sono raccolti grazie a marcatori (in prosieguo: i «cookie») contenenti ciascuno un codice utente unico, attivi per due anni e salvati da Facebook sul disco fisso del computer o su qualsiasi altro supporto dei visitatori della fanpage. Il codice utente, che può essere associato ai dati di collegamento degli utenti registrati su Facebook, è raccolto ed elaborato al momento dell’accesso alle fanpage. A tal riguardo, dalla decisione di rinvio emerge che né la Wirtschaftsakademie né la Facebook Ireland Ltd hanno menzionato l’operazione di conservazione e il funzionamento di tale cookie o il trattamento successivo dei dati, quanto meno durante il periodo rilevante per il procedimento principale. 16

Con decisione del 3 novembre 2011 (in prosieguo: la «decisione impugnata») l’ULD, in qualità di autorità di controllo, ai sensi dell’articolo 28 della direttiva 95/46, incaricata di sorvegliare l’applicazione nel territorio del Land SchleswigHolstein (Germania) delle disposizioni adottate dalla Repubblica federale di Germania in attuazione di tale direttiva, ordinava alla Wirtschaftsakademie, conformemente all’articolo 38, paragrafo 5, primo periodo, del BDSG, la disattivazione della fanpage da essa creata su Facebook all’indirizzo www.facebook.com/wirtschaftsakademie, prevedendo una penalità in caso di mancato adempimento entro il termine prescritto, per il fatto che né la Wirtschaftsakademie né Facebook informavano i visitatori della fanpage del fatto che quest’ultimo raccoglieva, mediante cookie, informazioni personali che li riguardavano e che essi elaboravano successivamente tali informazioni. Avverso tale decisione, la Wirtschaftsakademie presentava reclamo negando, essenzialmente, di essere responsabile, alla luce della normativa applicabile in materia di protezione dei dati, del trattamento dei dati realizzato da Facebook e dei cookie da quest’ultimo installati.

Con decisione del 16 dicembre 2011 l’ULD respingeva tale reclamo, affermando che la responsabilità della Wirtschaftsakademie, quale fornitore di servizi, scaturiva dagli articoli 3, paragrafo 3, punto 4, e 12, paragrafo 1, del TMG, in combinato disposto con l’articolo 3, paragrafo 7, del BDSG. L’ULD precisava che, avendo creato la propria fanpage, la Wirtschaftsakademie forniva un contributo attivo e volontario alla raccolta, da parte di Facebook, di dati personali riguardanti i visitatori di tale fanpage, dati di cui essa beneficiava mediante statistiche messe a disposizione da quest’ultimo.

Avverso tale decisione, la Wirtschaftsakademie proponeva ricorso dinanzi al Verwaltungsgericht (Tribunale amministrativo, Germania), affermando che il

trattamento dei dati personali realizzato da Facebook non poteva esserle imputato e negando inoltre di aver incaricato Facebook di effettuare, ai sensi dell’articolo 11 del BDSG, un trattamento dei dati soggetto al suo controllo o rientrante nella sua sfera di influenza. La Wirtschaftsakademie ne deduceva che l’ULD avrebbe dovuto agire direttamente contro Facebook invece di adottare contro di essa la decisione impugnata. 19

Con sentenza del 9 ottobre 2013 il Verwaltungsgericht (Tribunale amministrativo) annullava la decisione impugnata sulla base del rilievo che, sostanzialmente, poiché l’amministratore di una fanpage su Facebook non costituisce un organismo responsabile ai sensi dell’articolo 3, paragrafo 7, del BDSG, la Wirtschaftsakademie non poteva essere destinataria di una misura adottata a norma dell’articolo 38, paragrafo 5, del BDSG.

L’Oberverwaltungsgericht (Tribunale amministrativo superiore del Land, Germania) respingeva in quanto infondato l’appello presentato dall’ULD avverso tale sentenza. Tale giudice riteneva essenzialmente che il divieto di trattamento dei dati sancito nella decisione impugnata fosse illegittimo nella misura in cui l’articolo 38, paragrafo 5, secondo periodo, del BDSG prevede un processo graduale la cui prima fase permette unicamente di adottare misure volte a sanare violazioni accertate in sede di trattamento dei dati. Un divieto immediato di trattamento di dati sarebbe ipotizzabile solamente ove un processo di trattamento di dati sia illecito nella sua globalità e a condizione che solo la sospensione di detto processo permetta di porvi rimedio. Orbene, a giudizio dell’Oberverwaltungsgericht (Tribunale amministrativo superiore del Land), ciò non si sarebbe verificato nel caso di specie poiché Facebook avrebbe potuto far cessare le violazioni dedotte dall’ULD.

L’Oberverwaltungsgericht (Tribunale amministrativo superiore del Land) aggiungeva che la decisione impugnata era illegittima anche per il fatto che un provvedimento a norma dell’articolo 38, paragrafo 5, del BDSG può essere pronunciato solo nei confronti dell’organismo responsabile, ai sensi dell’articolo 3, paragrafo 7, del BDSG, e, per quanto riguarda i dati raccolti da Facebook, tale organismo non sarebbe la Wirtschaftsakademie. Infatti, solo Facebook deciderebbe della finalità e degli strumenti relativi alla raccolta e al trattamento dei dati personali utilizzati nell’ambito della funzione Facebook Insights, mentre la Wirtschaftsakademie, dal canto suo, riceverebbe solo informazioni statistiche rese anonime.

L’ULD proponeva ricorso per cassazione (Revision) dinanzi al Bundesverwaltungsgericht (Corte amministrativa federale, Germania), deducendo, fra i vari argomenti, la violazione dell’articolo 38, paragrafo 5, del BDSG nonché diversi errori procedurali inficianti la decisione del giudice d’appello. Essa ritiene che la violazione commessa dalla Wirtschaftsakademie consista nel fatto che quest’ultima ha affidato la realizzazione, l’hosting e la manutenzione di un sito Internet a un fornitore inadatto in quanto irrispettoso della normativa applicabile in materia di protezione dei dati, nello specifico la Facebook Ireland. Il provvedimento, che intima alla Wirtschaftsakademie, mediante la decisione impugnata, di effettuare la disattivazione della sua fanpage sarebbe diretto a porre rimedio a tale violazione, poiché gli vieterebbe di continuare a utilizzare l’infrastruttura di Facebook come base tecnica del suo sito Internet.

Analogamente all’Oberverwaltungsgericht (Tribunale amministrativo superiore del Land), il Bundesverwaltungsgericht (Corte amministrativa federale, Germania) è del parere che la Wirtschaftsakademie non possa essere considerata essa stessa responsabile del trattamento di dati, ai sensi dell’articolo 3, paragrafo 7, del BDSG o dell’articolo 2, lettera d), della direttiva 95/46. Tale ultimo giudice ritiene, tuttavia, che, in linea di principio, tale nozione debba essere interpretata in modo estensivo nell’interesse di una tutela efficace del diritto alla vita privata, come la Corte avrebbe dichiarato nella sua recente giurisprudenza in materia. Esso nutre, inoltre, dubbi in merito ai poteri di cui dispone nella fattispecie l’ULD nei confronti della Facebook Germany, tenuto conto del fatto che il responsabile della raccolta e del trattamento dei dati personali all’interno del gruppo Facebook è, a livello dell’Unione, la Facebook Ireland. Infine, esso si interroga sull’impatto, ai fini dell’esercizio dei poteri d’intervento dell’ULD, delle valutazioni effettuate dall’autorità di controllo in cui rientra la Facebook Ireland, in merito alla liceità del trattamento dei dati personali in oggetto.

In tale contesto, il Bundesverwaltungsgericht (Corte amministrativa federale) ha deciso di sospendere il procedimento e di sottoporre alla Corte le seguenti questioni pregiudiziali: «1)

Se l’articolo 2, lettera d), della direttiva [95/46] debba essere interpretato nel senso che esso disciplina la responsabilità per violazioni delle disposizioni sulla protezione dei dati personali in modo tassativo e completo o se, nell’ambito delle “misure appropriate” ai sensi dell’articolo 24 [di detta] direttiva (…) e dei “poteri effettivi di intervento” ai sensi dell’articolo 28, paragrafo 3, secondo trattino, della medesima (…),

rimanga spazio – nei rapporti tra fornitori di informazioni su più livelli – per una responsabilità in capo a un organismo che non è responsabile del trattamento dei dati ai sensi dell’articolo 2, lettera d), della [suddetta direttiva], rispetto alla scelta di un amministratore per la sua offerta informativa. 2)

Se dall’obbligo che incombe agli Stati membri, ai sensi dell’articolo 17, paragrafo 2, della direttiva [95/46] (…), di disporre, in sede di trattamento dei dati su incarico, che il responsabile del trattamento deve scegliere un “incaricato del trattamento che presenti garanzie sufficienti in merito alle misure di sicurezza tecnica e di organizzazione dei trattamenti da effettuare” si possa dedurre a contrario che, nel caso di rapporti di utilizzo di altra natura, non collegati a un trattamento dei dati su incarico ai sensi dell’articolo 2, lettera e), [di detta] direttiva (…), non sussiste alcun obbligo di scelta diligente e un tale obbligo non può essere fondato neppure sulla normativa nazionale.

Se, nel caso di una società controllante stabilita al di fuori dell’Unione europea e avente filiali giuridicamente indipendenti (controllate) in diversi Stati membri, l’autorità di vigilanza di uno Stato membro (nel caso di specie, la Germania) possa esercitare – ai sensi degli articoli 4 e 28, paragrafo 6, della direttiva [95/46] (…) – i poteri ad essa trasferiti a norma dell’articolo 28, paragrafo 3, della medesima (…) nei confronti di una filiale posta sul suo territorio, anche quando tale filiale è competente soltanto per la promozione e la vendita di pubblicità ed altre misure di marketing dirette agli abitanti di detto Stato membro, mentre la filiale (controllata) con sede in un diverso Stato membro (nella fattispecie, l’Irlanda) ha, in base alla ripartizione dei compiti interna al gruppo, competenza esclusiva quanto alla raccolta e al trattamento dei dati personali in tutto il territorio dell’Unione europea e quindi anche nell’altro Stato membro (nella fattispecie, la Germania), se – di fatto – la decisione in merito al trattamento dei dati è assunta dalla controllante.

Se gli articoli 4, paragrafo 1, e 28, paragrafo 3, della direttiva [95/46] debbano essere interpretati nel senso che quando il responsabile del trattamento ha una filiale nel territorio di uno Stato membro (nella fattispecie, l’Irlanda) ed esiste un’altra filiale giuridicamente autonoma nel territorio di un altro Stato membro (nella fattispecie, la Germania), competente segnatamente per la vendita di spazi pubblicitari e la cui attività si rivolge agli abitanti di detto Stato, l’autorità di controllo competente in

detto altro Stato membro (nella fattispecie, la Germania) può adottare misure o provvedimenti diretti all’attuazione della normativa sulla protezione dei dati personali anche nei confronti della filiale (nella fattispecie, in Germania) che, in base alla ripartizione dei compiti e delle responsabilità interna al gruppo, non è responsabile del trattamento, o se tali misure e provvedimenti possano essere adottati soltanto dall’autorità di controllo dello Stato membro (nella fattispecie, l’Irlanda) sul cui territorio ha la propria sede l’organismo responsabile a livello interno al gruppo. 5)

Se gli articoli 4, paragrafo 1, lettera a), e 28, paragrafi 3 e 6, della direttiva [95/46] debbano essere interpretati nel senso che quando le autorità di controllo di uno Stato membro (nella fattispecie, della Germania) agiscono nei confronti di un soggetto o di un organismo attivo sul loro territorio ai sensi dell’articolo 28, paragrafo 3, [di tale direttiva] in ragione della scelta non diligente di un terzo coinvolto nel processo di trattamento dei dati (nella fattispecie, Facebook), poiché detto terzo violerebbe la normativa sulla protezione dei dati, l’autorità di controllo che interviene (nella fattispecie, la Germania) è vincolata alla valutazione compiuta, sotto il profilo della normativa sulla protezione dei dati, dall’autorità di controllo dell’altro Stato membro in cui il terzo responsabile del trattamento dei dati ha la sua filiale (nella fattispecie, in Irlanda), nel senso che essa non può compiere alcuna valutazione giuridica discordante, o se l’autorità di controllo che interviene (nella fattispecie, la Germania) possa valutare in modo autonomo preliminarmente alla propria azione la legittimità del trattamento dei dati compiuto da un terzo stabilito in un altro Stato membro (nella fattispecie, l’Irlanda).

Nell’ipotesi in cui l’autorità di vigilanza che interviene (nella fattispecie, la Germania) possa procedere a un esame autonomo: se l’articolo 28, paragrafo 6, secondo periodo, della direttiva [95/46] debba essere interpretato nel senso che la suddetta autorità di vigilanza può esercitare i poteri effettivi di intervento ad essa trasferiti in base all’articolo 28, paragrafo 3, [di detta] direttiva (…) nei confronti di un soggetto o di un organismo stabilito sul suo territorio a titolo di corresponsabilità nelle violazioni della normativa sulla protezione dei dati personali commesse da un terzo stabilito in un altro Stato membro a condizione che abbia previamente richiesto all’autorità di vigilanza di detto altro Stato membro (nella fattispecie, l’Irlanda) di esercitare i suoi poteri».

Sulle questioni pregiudiziali Sulla prima e sulla seconda questione 25

Con la sua prima e seconda questione, che occorre esaminare congiuntamente, il giudice del rinvio mira, in sostanza, a chiarire se l’articolo 2, lettera d), l’articolo 17, paragrafo 2, l’articolo 24 e l’articolo 28, paragrafo 3, secondo trattino, della direttiva 95/46 debbano essere interpretati nel senso che essi consentono di dichiarare la responsabilità di un organismo, in qualità di amministratore di una fanpage presente su un social network, in caso di violazione delle norme relative alla tutela dei dati personali, a motivo della scelta di essersi avvalso di tale social network per diffondere la propria offerta d’informazioni.

Per rispondere a tali questioni, occorre ricordare che, come risulta dal suo articolo 1, paragrafo 1, e dal suo considerando 10, la direttiva 95/46 è volta a garantire un elevato grado di tutela delle libertà e dei diritti fondamentali delle persone fisiche, in particolare della loro vita privata, riguardo al trattamento dei dati personali (sentenza dell’11 dicembre 2014, Ryneš, C-212/13, EU:C:2014:2428, punto 27 e giurisprudenza ivi citata).

Conformemente a tale obiettivo, l’articolo 2, lettera d), di tale direttiva definisce in modo ampio la nozione di «responsabile del trattamento» inteso come la persona fisica o giuridica, l’autorità pubblica, il servizio o qualsiasi altro organismo che, da solo o insieme ad altri, determina le finalità e gli strumenti del trattamento di dati personali.

Infatti, come è già stato giudicato dalla Corte, la finalità di tale disposizione è di garantire, mediante un’ampia definizione della nozione di «responsabile», una tutela efficace e completa degli interessati (sentenza del 13 maggio 2014, Google Spain e Google, C-131/12, EU:C:2014:317, punto 34).

Inoltre, dal momento che, così come prevede espressamente l’articolo 2, lettera d), della direttiva 95/46, la nozione di «responsabile del trattamento» riguarda l’organismo che, «da solo o insieme ad altri», determina le finalità e gli strumenti del trattamento di dati personali, tale nozione non rinvia necessariamente a un unico organismo e può riguardare vari attori che partecipano a tale trattamento, ciascuno dei quali sarà quindi soggetto alle disposizioni applicabili in materia di protezione dei dati.

Nel caso di specie, la Facebook Inc. e, per quanto riguarda l’Unione, la Facebook Ireland devono essere considerate coloro che determinano, in via principale, le finalità e gli strumenti del trattamento dei dati personali degli utenti di Facebook nonché delle persone che hanno visitato la fanpage presente su Facebook e rientrano pertanto nella nozione di «responsabile del trattamento», ai sensi dell’articolo 2, lettera d), della direttiva 95/46, fatto di cui non si dubita nella presente causa.

Ciò premesso, e al fine di rispondere alle questioni sollevate, si deve esaminare se e in che misura l’amministratore di una fanpage presente su Facebook, come la Wirtschaftsakademie, contribuisca, nell’ambito di tale fanpage, a determinare, assieme con la Facebook Ireland e la Facebook Inc., le finalità e gli strumenti del trattamento dei dati personali dei visitatori della suddetta fanpage e possa, quindi, anch’essa essere considerata quale «responsabile del trattamento», ai sensi dell’articolo 2, lettera d), della direttiva 95/46.

A tal riguardo, risulta che qualsiasi persona che desideri creare una fanpage su Facebook stipula con la Facebook Ireland un contratto specifico relativo all’apertura di una siffatta pagina e aderisce, a tale titolo, alle condizioni di utilizzo di tale pagina, inclusa la politica ad essa relativa in materia di cookie, cosa che spetta al giudice nazionale verificare.

Come emerge dal fascicolo presentato alla Corte, i trattamenti di dati di cui al procedimento principale sono effettuati essenzialmente attraverso il posizionamento, da parte di Facebook, sul computer o su ogni altro dispositivo delle persone che hanno visitato la fanpage, di cookie usati per memorizzare informazioni nei browser web e che, se non eliminati, restano attivi per due anni. Da esso emerge altresì che, in pratica, Facebook riceve, registra ed elabora le informazioni memorizzate nei cookie in particolare quando una persona visita «servizi Facebook, servizi forniti da altri membri delle Aziende di Facebook e servizi forniti da altre aziende che usano i servizi Facebook». Inoltre, altri soggetti, quali i partner di Facebook o anche terzi «possono usare i cookie sui servizi di Facebook per [fornire servizi direttamente a tale social network] e alle aziende che fanno pubblicità su Facebook».

Tali trattamenti di dati personali mirano segnatamente, da un lato, a consentire a Facebook di migliorare il proprio sistema di pubblicità che esso diffonde attraverso il suo network e, dall’altro, a consentire all’amministratore della fanpage di ottenere statistiche stabilite da Facebook a partire dalle visite di tale pagina, a fini di gestione della promozione della propria attività, consentendogli

di conoscere, ad esempio, il profilo dei visitatori che apprezzano la sua fanpage o che utilizzano le sue applicazioni, affinché esso possa proporre loro un contenuto più pertinente e sviluppare funzionalità che possano interessarli in maggior misura. 35

Orbene, il mero fatto di utilizzare un social network quale Facebook non rende un utilizzatore di Facebook corresponsabile di un trattamento di dati personali effettuato da tale network; occorre, invece, rilevare che l’amministratore di una fanpage presente su Facebook, mediante la creazione di una siffatta pagina, offre a Facebook la possibilità di posizionare cookie sul computer o su qualsiasi altro dispositivo della persona che ha visitato la sua fanpage, indipendentemente dal fatto che tale persona possieda o meno un profilo Facebook.

In tale contesto, dalle indicazioni presentate alla Corte emerge che la creazione di una fanpage su Facebook implica da parte del suo amministratore un’azione d’impostazione dei parametri in base, segnatamente, al suo pubblico destinatario nonché agli obiettivi di gestione o di promozione delle sue attività, che influisce sul trattamento di dati personali ai fini della creazione di statistiche stabilite a partire dalle visite della fanpage. Tale amministratore può, tramite filtri messi a disposizione da Facebook, definire i criteri a partire dai quali si devono stabilire tali statistiche e designare perfino le categorie di persone i cui dati personali saranno oggetto di utilizzo da parte di Facebook. Di conseguenza, l’amministratore di una fanpage presente su Facebook contribuisce al trattamento dei dati personali dei visitatori della sua pagina.

In particolare, l’amministratore della fanpage può chiedere di ricevere – e, quindi, chiedere che siano trattati – dati demografici concernenti il suo pubblico destinatario, in particolare tendenze in materia di età, sesso, situazione sentimentale e professionale, informazioni sullo stile di vita e sugli interessi di detto pubblico, nonché informazioni sugli acquisti e il comportamento di acquisto online dei visitatori della sua pagina, le categorie di prodotti o di servizi di loro maggiore interesse, come pure dati territoriali che consentono all’amministratore della fanpage di stabilire dove avviare promozioni speciali o organizzare eventi e, in generale, di offrire informazioni maggiormente mirate.

Se è vero che le statistiche sull’utenza stabilite da Facebook sono unicamente trasmesse all’amministratore della fanpage in forma anonima, ciò non toglie che la realizzazione di tali statistiche si fonda sulla raccolta preliminare, mediante cookie installati da Facebook sul computer o su ogni altro dispositivo delle persone che hanno visitato tale pagina, e sul trattamento dei dati personali di tali

visitatori a siffatti fini statistici. In ogni caso, la direttiva 95/46 non impone che, qualora vi sia una responsabilità congiunta di più operatori per un medesimo trattamento, ciascuno abbia accesso ai dati personali interessati. 39

In tale contesto, si deve ritenere che l’amministratore di una fanpage presente su Facebook, quale la Wirtschaftsakademie, partecipa, attraverso la propria azione d’impostazione dei parametri, in funzione, segnatamente, del suo pubblico destinatario nonché di obiettivi di gestione o promozione delle sue attività, alla determinazione delle finalità e degli strumenti del trattamento dei dati personali dei visitatori della sua fanpage. Pertanto, tale amministratore deve essere, nella fattispecie, qualificato come responsabile di tale trattamento, all’interno dell’Unione, assieme alla Facebook Ireland, ai sensi dell’articolo 2, lettera d), della direttiva 95/46.

Infatti, la circostanza che un amministratore di una fanpage utilizzi la piattaforma realizzata da Facebook per beneficiare dei servizi a essa collegati non può esonerarlo dal rispetto degli obblighi ad esso incombenti in materia di protezione dei dati personali.

Inoltre, è importante sottolineare che le fanpage presenti su Facebook possono essere visitate anche da persone che non sono utilizzatori di Facebook e che quindi non dispongono di un account utente su tale social network. In tal caso, la responsabilità dell’amministratore della fanpage relativamente al trattamento dei dati personali di tali persone appare ancor più importante, poiché la mera consultazione della fanpage da parte di visitatori fa scattare automaticamente il trattamento dei loro dati personali.

Ciò premesso, il riconoscimento di una responsabilità congiunta del gestore del social network e dell’amministratore di una fanpage presente su tale network in relazione al trattamento dei dati personali dei visitatori di tale fanpage contribuisce a garantire una più completa tutela dei diritti di cui godono le persone che visitano una fanpage, conformemente alle prescrizioni della direttiva 95/46.

Tuttavia, si deve precisare, come rilevato dall’avvocato generale ai paragrafi 75 e 76 delle sue conclusioni, che l’esistenza di una corresponsabilità non si traduce necessariamente in una responsabilità equivalente dei diversi operatori nell’ambito di un trattamento di dati personali. Al contrario, tali operatori possono essere coinvolti in fasi diverse di tale trattamento e a diversi livelli, di modo che il grado di responsabilità di ciascuno di essi deve essere valutato tenendo conto di tutte le circostanze rilevanti del caso di specie.

Alla luce delle considerazioni che precedono, si deve rispondere alla prima e alla seconda questione dichiarando che l’articolo 2, lettera d), della direttiva 95/46 deve essere interpretato nel senso che la nozione di «responsabile del trattamento», ai sensi di tale disposizione, include l’amministratore di una fanpage presente su un social network. Sulla terza e quarta questione

Con la sua terza e quarta questione, che occorre esaminare congiuntamente, il giudice del rinvio si chiede, in sostanza, se gli articoli 4 e 28 della direttiva 95/46 debbano essere interpretati nel senso che, qualora un’impresa stabilita al di fuori dell’Unione disponga di varie filiali in diversi Stati membri, l’autorità di controllo di uno Stato membro è autorizzata a esercitare i poteri che le conferisce l’articolo 28, paragrafo 3, di tale direttiva, nei confronti di una filiale situata nel territorio di tale Stato membro anche se, in base alla ripartizione delle funzioni all’interno del gruppo, da un lato, tale filiale è competente solamente per la vendita di spazi pubblicitari e per altre attività di marketing nel territorio di detto Stato membro e, dall’altro, la responsabilità esclusiva per la raccolta e per il trattamento dei dati personali grava, per l’intero territorio dell’Unione, su una filiale situata in un altro Stato membro, o se spetti all’autorità di controllo di tale ultimo Stato membro esercitare detti poteri nei confronti della seconda filiale.

L’ULD e il governo italiano esprimono dubbi in merito alla ricevibilità di tali questioni in quanto esse sarebbero irrilevanti per la soluzione della controversia di cui al procedimento principale. Infatti, la decisione impugnata avrebbe come destinataria la Wirtschaftsakademie e non riguarderebbe quindi né la Facebook Inc. né nessun’altra filiale stabilita nel territorio dell’Unione.

A questo proposito, occorre rammentare che, nell’ambito della cooperazione tra la Corte e i giudici nazionali istituita dall’articolo 267 TFUE, spetta esclusivamente al giudice nazionale, cui è stata sottoposta la controversia e che deve assumersi la responsabilità dell’emananda decisione giurisdizionale, valutare, alla luce delle particolari circostanze di ciascuna causa, sia la necessità di una pronuncia pregiudiziale per essere in grado di emettere la propria sentenza, sia la rilevanza delle questioni che esso sottopone alla Corte. Di conseguenza, se le questioni sollevate dal giudice nazionale riguardano l’interpretazione del diritto dell’Unione, la Corte, in via di principio, è tenuta a statuire (sentenza del 6 settembre 2016, Petruhhin, C-182/15, EU:C:2016:630, punto 19 e giurisprudenza ivi citata).

Nel caso di specie, occorre evidenziare che il giudice del rinvio afferma che una risposta della Corte alla terza e alla quarta questione pregiudiziale è necessaria perché lo stesso possa pronunciarsi sulla controversia di cui al procedimento principale. Esso spiega infatti che, nel caso in cui si constatasse, alla luce di tale risposta, che l’ULD avrebbe potuto porre rimedio alle asserite violazioni del diritto alla protezione dei dati personali agendo nei confronti della Facebook Germany, una siffatta circostanza potrebbe dimostrare l’esistenza di un errore di valutazione che inficia la decisione impugnata, nella parte in cui essa sarebbe stata adottata erroneamente nei confronti della Wirtschaftsakademie. Alla luce di ciò, la terza e la quarta questione sono ricevibili.

Per rispondere a tali questioni, occorre rammentare in via preliminare che, ai sensi dell’articolo 28, paragrafi 1 e 3, della direttiva 95/46, ciascuna autorità di controllo esercita tutti i poteri che le sono stati conferiti dal diritto nazionale nel territorio dello Stato membro cui appartiene, per assicurare in tale territorio il rispetto delle norme in materia di protezione dei dati (v., in tal senso, sentenza del 1° ottobre 2015, Weltimmo, C-230/14, EU:C:2015:639, punto 51).

La questione relativa a quale diritto nazionale si applichi ai trattamenti dei dati personali è disciplinata dall’articolo 4 della direttiva 95/46. Ai sensi del paragrafo 1, lettera a), di tale articolo ciascuno Stato membro applica le disposizioni nazionali che esso adotta per l’attuazione della presente direttiva al trattamento di dati personali effettuato nel contesto delle attività di uno stabilimento del responsabile del trattamento nel territorio di tale Stato membro. Detta disposizione precisa che, qualora uno stesso responsabile del trattamento sia stabilito nel territorio di più Stati membri, esso deve adottare le misure necessarie per assicurare l’osservanza, da parte di ciascuno di detti stabilimenti, degli obblighi stabiliti dal diritto nazionale applicabile.

Discende così dal combinato disposto di tale norma e dell’articolo 28, paragrafi 1 e 3, della direttiva 95/46 che, quando il diritto nazionale dello Stato membro dell’autorità di controllo è applicabile ai sensi dell’articolo 4, paragrafo 1, lettera a), di quest’ultima, per il fatto che il trattamento in oggetto è effettuato nell’ambito delle attività di uno stabilimento del responsabile del trattamento nel territorio di detto Stato membro, tale autorità di controllo può esercitare tutti i poteri che tale diritto le conferisce nei confronti di detto stabilimento, e ciò indipendentemente dal fatto che il responsabile del trattamento disponga di stabilimenti anche in altri Stati membri.

Così, per determinare se un’autorità di controllo sia autorizzata, in circostanze come quelle di cui al procedimento principale, a esercitare, nei confronti di uno stabilimento ubicato sul territorio dello Stato membro cui essa appartiene, i poteri che le sono conferiti dal diritto nazionale, si deve verificare se le due condizioni previste dall’articolo 4, paragrafo 1, lettera a), della direttiva 95/46 siano soddisfatte, ossia, da un lato, se si tratti di uno «stabilimento del responsabile del trattamento», ai sensi di tale disposizione, e, dall’altro, se il trattamento in parola sia effettuato «nel contesto delle attività» di tale stabilimento, ai sensi della medesima disposizione.

Per quanto attiene, in primo luogo, alla condizione secondo cui il responsabile del trattamento di dati personali deve disporre di uno stabilimento nel territorio dello Stato membro dell’autorità di controllo interessata, occorre rammentare che, secondo il considerando 19 della direttiva 95/46, lo stabilimento nel territorio di uno Stato membro implica l’esercizio effettivo e reale di un’attività mediante un’organizzazione stabile e che la forma giuridica di siffatto stabilimento, si tratti di una semplice succursale o di una filiale dotata di personalità giuridica, non è il fattore determinante (sentenza del 1° ottobre 2015, Weltimmo, C-230/14, EU:C:2015:639, punto 28 e giurisprudenza ivi citata).

Nel caso di specie, è pacifico che la Facebook Inc., in quanto responsabile del trattamento di dati personali, assieme alla Facebook Ireland, dispone di una filiale stabile in Germania, ossia la Facebook Germany, situata ad Amburgo, e che quest’ultima società esercita realmente ed effettivamente alcune attività in detto Stato membro. Di conseguenza, essa costituisce uno stabilimento, ai sensi dell’articolo 4, paragrafo 1, lettera a), della direttiva 95/46.

Per quanto riguarda, in secondo luogo, la condizione in base alla quale il trattamento di dati personali deve essere effettuato «nel contesto delle attività» dello stabilimento interessato, si deve rammentare, innanzitutto, che, tenuto conto dell’obiettivo perseguito dalla direttiva 95/46, consistente nel garantire una tutela efficace e completa delle libertà e dei diritti fondamentali delle persone fisiche, segnatamente del diritto alla vita privata, riguardo al trattamento dei dati personali, l’espressione «nel contesto delle attività di uno stabilimento» non può essere interpretata restrittivamente (sentenza del 1° ottobre 2015, Weltimmo, C-230/14, EU:C:2015:639, punto 25 e giurisprudenza ivi citata).

Occorre poi sottolineare che l’articolo 4, paragrafo 1, lettera a), della direttiva 95/46 non esige che un siffatto trattamento sia effettuato «dallo» stesso stabilimento interessato, bensì soltanto che venga effettuato «nel contesto delle

attività» di quest’ultimo (sentenza del 13 maggio 2014, Google Spain e Google, C-131/12, EU:C:2014:317, punto 52). 58

Nel caso di specie, dalla decisione di rinvio e dalle osservazioni scritte depositate dalla Facebook Ireland emerge che la Facebook Germany è incaricata della promozione e della vendita di spazi pubblicitari e svolge attività destinate ai residenti in Germania.

Come è stato rammentato ai punti 33 e 34 della presente sentenza, il trattamento di dati personali di cui al procedimento principale, effettuato dalla Facebook Inc. congiuntamente alla Facebook Ireland e consistente nella raccolta di siffatti dati mediante cookie installati sui computer o su ogni altro dispositivo dei visitatori delle fanpage presenti su Facebook, ha come obiettivo segnatamente di consentire a tale social network di migliorare il proprio sistema pubblicitario al fine di individuare meglio le comunicazioni che esso diffonde.

Orbene, come rilevato dall’avvocato generale al paragrafo 94 delle sue conclusioni, dato che, da un lato, un social network, come Facebook, trae una parte considerevole delle sue entrate segnatamente dalla pubblicità diffusa sulle pagine web che gli utenti creano e a cui essi accedono e, dall’altro, che la filiale di Facebook ubicata in Germania è destinata a garantire, in tale Stato membro, la promozione e la vendita di spazi pubblicitari che servono a rendere redditizi i servizi offerti da Facebook, le attività di tale filiale devono essere ritenute inscindibilmente connesse al trattamento di dati personali del procedimento principale, di cui la Facebook Inc. è il responsabile assieme alla Facebook Ireland. Di conseguenza, un siffatto trattamento deve essere considerato come effettuato nel contesto delle attività di uno stabilimento del responsabile del trattamento, ai sensi dell’articolo 4, paragrafo 1, lettera a), della direttiva 95/46 (v., in tal senso, sentenza del 13 maggio 2014, Google Spain e Google, C-131/12, EU:C:2014:317, punti 55 e 56).

Ne consegue che, poiché, ai sensi dell’articolo 4, paragrafo 1, lettera a), della direttiva 95/46, il diritto tedesco era applicabile al trattamento dei dati personali di cui al procedimento principale, l’autorità di controllo tedesca era competente, conformemente all’articolo 28, paragrafo 1, di tale direttiva, ad applicare a detto trattamento la normativa tedesca.

Di conseguenza, tale autorità di controllo era competente a garantire, nel territorio tedesco, il rispetto delle disposizioni in materia di protezione dei dati personali per esercitare, nei confronti della Facebook Germany, tutti i poteri di

cui essa dispone in forza delle disposizioni nazionali di attuazione dell’articolo 28, paragrafo 3, della direttiva 95/46. 63

Occorre precisare altresì che la circostanza, evidenziata dal giudice del rinvio nella sua terza questione, secondo cui le strategie decisionali in merito alla raccolta e al trattamento di dati personali relativi a persone residenti nel territorio dell’Unione sono adottate da una società controllante stabilita in uno Stato terzo, come, nella fattispecie, la Facebook Inc., non è tale da mettere in discussione la competenza dell’autorità di controllo sottoposta al diritto di uno Stato membro con riferimento a uno stabilimento, ubicato nel territorio di tale medesimo Stato, del responsabile del trattamento dei suddetti dati.

Tenuto conto di quanto precede, si deve rispondere alla terza e alla quarta questione dichiarando che gli articoli 4 e 28 della direttiva 95/46 devono essere interpretati nel senso che, qualora un’impresa stabilita al di fuori dell’Unione disponga di varie filiali in diversi Stati membri, l’autorità di controllo di uno Stato membro è autorizzata a esercitare i poteri che le conferisce l’articolo 28, paragrafo 3, di tale direttiva nei confronti di una filiale di detta impresa situata nel territorio di tale Stato membro anche se, in base alla ripartizione delle funzioni all’interno del gruppo, da un lato, tale filiale è competente solamente per la vendita di spazi pubblicitari e per altre attività di marketing sul territorio di detto Stato membro e, dall’altro, la responsabilità esclusiva per la raccolta e per il trattamento dei dati personali grava, per l’intero territorio dell’Unione, su una filiale situata in un altro Stato membro. Sulla quinta e sesta questione

Con la sua quinta e sesta questione, che occorre esaminare congiuntamente, il giudice del rinvio chiede, in sostanza, se l’articolo 4, paragrafo 1, lettera a), e l’articolo 28, paragrafi 3 e 6, della direttiva 95/46 debbano essere interpretati nel senso che, qualora l’autorità di controllo di uno Stato membro intenda esercitare, nei confronti di un organismo stabilito nel territorio di tale Stato membro, i poteri d’intervento di cui all’articolo 28, paragrafo 3, di tale direttiva a motivo di violazioni delle disposizioni relative alla protezione dei dati personali, commesse da un terzo responsabile del trattamento di tali dati che ha la propria sede in un altro Stato membro, tale autorità di controllo è competente a valutare, in modo autonomo rispetto all’autorità di controllo di quest’ultimo Stato membro, la liceità di un siffatto trattamento di dati e può esercitare i suoi poteri d’intervento nei confronti dell’organismo stabilito sul proprio territorio senza

previamente richiedere l’intervento dell’autorità di controllo dell’altro Stato membro. 66

Al fine di rispondere a tali questioni, si deve rammentare, come emerge dalla risposta fornita alla prima e alla seconda questione pregiudiziale, che l’articolo 2, lettera d), della direttiva 95/46 deve essere interpretato nel senso che esso consente, in circostanze come quelle di cui al procedimento principale, di riconoscere la responsabilità di un organismo, quale la Wirtschaftsakademie, in qualità di amministratore di una fanpage presente su Facebook, in caso di violazione delle disposizioni relative alla tutela dei dati personali.

Ne consegue che, ai sensi dell’articolo 4, paragrafo 1, lettera a), nonché dell’articolo 28, paragrafi 1 e 3, della direttiva 95/46, l’autorità di controllo dello Stato membro sul cui territorio è stabilito tale organismo è competente ad applicare il suo diritto nazionale e, pertanto, a esercitare, nei confronti di detto organismo, tutti i poteri che le sono conferiti da tale diritto nazionale, conformemente all’articolo 28, paragrafo 3, della direttiva in parola.

Come previsto dall’articolo 28, paragrafo 1, secondo comma, di tale direttiva, le autorità di controllo incaricate di sorvegliare l’applicazione, nel territorio degli Stati membri cui appartengono, delle disposizioni adottate da questi ultimi in attuazione della medesima direttiva, sono pienamente indipendenti nell’esercizio delle funzioni loro attribuite. Tale prescrizione risulta altresì dal diritto primario dell’Unione, segnatamente dall’articolo 8, paragrafo 3, della Carta dei diritti fondamentali dell’Unione europea e dall’articolo 16, paragrafo 2, TFUE (v., in tal senso, sentenza del 6 ottobre 2015, Schrems, C-362/14, EU:C:2015:650, punto 40).

Inoltre, benché, ai sensi dell’articolo 28, paragrafo 6, secondo comma, della direttiva 95/46, le autorità di controllo collaborino tra loro nella misura necessaria allo svolgimento dei propri compiti, in particolare scambiandosi ogni informazione utile, tale medesima direttiva non prevede nessun criterio di priorità che disciplini l’intervento delle autorità di controllo le une rispetto alle altre né prevede l’obbligo per l’autorità di controllo di uno Stato membro di conformarsi alla posizione espressa, eventualmente, dall’autorità di controllo di un altro Stato membro.

Pertanto, nulla impone a un’autorità di controllo la cui competenza è riconosciuta dal suo diritto nazionale di far propria la soluzione adottata da un’altra autorità di controllo in una situazione analoga.

A tal riguardo, va ricordato che, poiché le autorità nazionali di controllo sono incaricate, ai sensi dell’articolo 8, paragrafo 3, della Carta dei diritti fondamentali e dell’articolo 28 della direttiva 95/46, di sorvegliare il rispetto delle norme dell’Unione relative alla tutela delle persone fisiche riguardo al trattamento dei dati personali, a ognuna di esse è quindi attribuita la competenza a verificare se un trattamento di dati personali nel territorio dello Stato membro cui appartiene rispetti gli obblighi fissati dalla direttiva 95/46 (v., in tal senso, sentenza del 6 ottobre 2015, Schrems, C-362/14, EU:C:2015:650, punto 47).

Poiché l’articolo 28 della direttiva 95/46 si applica, per sua stessa natura, a ogni trattamento di dati personali, anche in presenza di una decisione di un’autorità di controllo di un altro Stato membro, un’autorità di controllo, investita da parte di un soggetto di una domanda relativa alla tutela dei propri diritti e libertà relativamente al trattamento di dati personali che la riguardano, deve valutare in piena indipendenza se il trattamento di tali dati rispetti gli obblighi stabiliti dalla presente direttiva (v., in tal senso, sentenza del 6 ottobre 2015, Schrems, C-362/14, EU:C:2015:650, punto 57).

Ne consegue che, nel caso di specie, in base al sistema stabilito dalla direttiva 95/46, l’ULD era autorizzata a valutare, in maniera autonoma rispetto alle valutazioni effettuate dall’autorità di vigilanza irlandese, la liceità del trattamento di dati di cui al procedimento principale.

Di conseguenza, occorre rispondere alla quinta e alla sesta questione dichiarando che l’articolo 4, paragrafo 1, lettera a), e l’articolo 28, paragrafi 3 e 6, della direttiva 95/46 devono essere interpretati nel senso che, qualora l’autorità di controllo di uno Stato membro intenda esercitare, nei confronti di un organismo stabilito sul territorio di tale Stato membro, i poteri d’intervento di cui all’articolo 28, paragrafo 3, di tale direttiva a motivo di violazioni delle disposizioni relative alla protezione dei dati personali, commesse da un terzo responsabile del trattamento di tali dati che ha la propria sede in un altro Stato membro, tale autorità di controllo è competente a valutare, in modo autonomo rispetto all’autorità di controllo di quest’ultimo Stato membro, la liceità di un siffatto trattamento di dati e può esercitare i suoi poteri d’intervento nei confronti dell’organismo stabilito sul proprio territorio senza previamente richiedere l’intervento dell’autorità di controllo dell’altro Stato membro.

Sulle spese

Nei confronti delle parti nel procedimento principale la presente causa costituisce un incidente sollevato dinanzi al giudice nazionale, cui spetta quindi statuire sulle spese. Le spese sostenute da altri soggetti per presentare osservazioni alla Corte non possono dar luogo a rifusione.

Per questi motivi, la Corte (Grande Sezione) dichiara: 1)

L’articolo 2, lettera d), della direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, deve essere interpretato nel senso che la nozione di «responsabile del trattamento», ai sensi di tale disposizione, include l’amministratore di una fanpage presente su un social network.

Gli articoli 4 e 28 della direttiva 95/46 devono essere interpretati nel senso che, qualora un’impresa stabilita al di fuori dell’Unione europea disponga di varie filiali in diversi Stati membri, l’autorità di controllo di uno Stato membro è autorizzata a esercitare i poteri che le conferisce l’articolo 28, paragrafo 3, di tale direttiva nei confronti di una filiale di detta impresa situata sul territorio di tale Stato membro anche se, in base alla ripartizione delle funzioni all’interno del gruppo, da un lato, tale filiale è competente solamente per la vendita di spazi pubblicitari e per altre attività di marketing sul territorio di detto Stato membro e, dall’altro, la responsabilità esclusiva per la raccolta e per il trattamento dei dati personali grava, per l’intero territorio dell’Unione europea, su una filiale situata in un altro Stato membro.

L’articolo 4, paragrafo 1, lettera a), e l’articolo 28, paragrafi 3 e 6, della direttiva 95/46 devono essere interpretati nel senso che, qualora l’autorità di controllo di uno Stato membro intenda esercitare, nei confronti di un organismo stabilito sul territorio di tale Stato membro, i poteri d’intervento di cui all’articolo 28, paragrafo 3, di tale direttiva a motivo di violazioni delle disposizioni relative alla protezione dei dati personali, commesse da un terzo responsabile del trattamento di tali dati che ha la propria sede in un altro Stato membro, tale autorità di controllo è competente a valutare, in modo autonomo rispetto all’autorità di controllo di quest’ultimo Stato membro, la liceità di un siffatto trattamento di dati e può esercitare i suoi poteri d’intervento

nei confronti dell’organismo stabilito sul proprio territorio senza previamente richiedere l’intervento dell’autorità di controllo dell’altro Stato membro. Firme

Lingua processuale: il tedesco.

CONCLUSIONI DELL’AVVOCATO GENERALE YVES BOT presentate il 24 ottobre 2017 (1)

Causa C-210/16

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein contro Wirtschaftsakademie Schleswig-Holstein GmbH, con l’intervento di Facebook Ireland Ltd, Vertreter des Bundesinteresses beim Bundesverwaltungsgericht [domanda di pronuncia pregiudiziale proposta dal Bundesverwaltungsgericht (Corte amministrativa federale, Germania)] «Rinvio pregiudiziale – Direttiva 95/46/CE – Articoli 2, 4 e 28 – Tutela delle persone fisiche riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati – Provvedimento diretto a disattivare una fanpage sul social network Facebook – Nozione di “responsabile del trattamento” – Responsabilità del gestore di una fanpage – Responsabilità congiunta – Diritto nazionale applicabile – Portata dei poteri delle autorità di vigilanza»

1. La presente domanda di pronuncia pregiudiziale verte sull’interpretazione degli articoli 2, lettera d), 4, paragrafo 1, 17, paragrafo 2, e 28, paragrafi 3 e 6, della direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (2), come modificata dal regolamento (CE) n. 1882/2003 del Parlamento europeo e del Consiglio, del 29 settembre 2003 (3). 2. La suddetta domanda è stata sollevata nell’ambito di una controversia che contrappone la Wirtschaftsakademie Schleswig-Holstein GmbH, società di diritto privato specializzata nel settore della formazione (in prosieguo: la «Wirtschaftsakademie»), all’Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein, l’autorità di vigilanza regionale per la protezione dei dati del Land Schleswig-Holstein (in prosieguo: l’«ULD»), avente ad oggetto la legittimità di un provvedimento da quest’ultima emesso nei confronti della Wirtschaftsakademie con cui le viene richiesto di disattivare una fanpage gestita sul sito di Facebook Ireland Ltd. 3. Il suddetto provvedimento è motivato sulla base dell’asserita violazione delle disposizioni tedesche di recepimento della direttiva 95/46, in particolare alla luce del fatto che gli utenti di una fanpage non sono informati della raccolta dei loro dati personali compiuta dal social network Facebook (in prosieguo: «Facebook») attraverso cookie attivati sul loro disco rigido, al fine di realizzare statistiche sugli utenti destinate al gestore di detta pagina e permettere a Facebook di diffondere pubblicità mirate. 4. La presente controversia si colloca nel contesto del fenomeno del «webtracking», consistente nell’osservare e analizzare il comportamento degli utenti Internet a fini commerciali e di marketing. Detto webtracking permette, in particolare, di identificare gli interessi degli utenti Internet osservando le loro abitudini di navigazione. Si parla, in tal caso, di «webtracking comportamentale» effettuato di norma mediante l’impiego di cookie.

5. I suddetti cookie sono dei file di controllo attivati sul computer dell’utente Internet all’apertura di un sito web. 6. Il webtracking è impiegato, in particolare, al fine di ottimizzare e di strutturare in maniera più efficace un sito web. Inoltre, esso permette ai pubblicitari di rivolgersi in modo mirato alle diverse fasce di pubblico. 7. In base alla definizione che ne ha dato il gruppo di lavoro «Articolo 29» per la protezione dei dati (4) nel suo parere 2/2010, del 22 giugno 2010, sulla pubblicità comportamentale online (5), «[l]a pubblicità comportamentale si basa sull’osservazione del comportamento delle persone nel tempo. Questo tipo di pubblicità cerca di studiare le caratteristiche del comportamento delle persone attraverso le loro azioni (frequentazione ripetuta di certi siti, interazioni, parole chiave, produzione di contenuti online ecc.) al fine di elaborare un profilo specifico e quindi inviare messaggi pubblicitari che corrispondano perfettamente agli interessi dedotti» (6). A tal fine, devono essere raccolte e utilizzate informazioni provenienti dagli utenti e dalle loro apparecchiature terminali. La principale tecnologia di tracciamento utilizzata per monitorare gli utenti in rete si fonda sui tracking cookie (7). Così, «[la pubblicità comportamentale] utilizza le informazioni raccolte sul comportamento di navigazione degli internauti, ad esempio le pagine visitate o le ricerche effettuate, per selezionare le pubblicità da offrire» (8). 8. Il tracciamento dei comportamenti di navigazione permette anche di fornire ai gestori di siti web statistiche sugli utenti concernenti le persone che accedono a detti siti. 9. Per rispondere alle disposizioni in materia di protezione dei dati personali introdotte dalla direttiva 95/46, la raccolta e l’utilizzo di dati personali finalizzati all’elaborazione di statistiche sugli utenti e alla diffusione di pubblicità mirate devono soddisfare determinati presupposti. In particolare, i suddetti trattamenti non possono essere compiuti senza l’informazione e il consenso preventivi degli interessati. 10. Tuttavia, l’esame della suddetta conformità presuppone che siano preliminarmente risolte varie questioni concernenti la definizione di responsabile del trattamento e l’individuazione del diritto nazionale applicabile, nonché dell’autorità competente per esercitare i poteri di intervento. 11. La questione concernente l’identificazione del responsabile del trattamento risulta particolarmente spinosa ove, invece di installare sul suo sito

web gli strumenti necessari all’elaborazione di statistiche sugli utenti e alla diffusione di pubblicità mirate, un operatore economico decida di servirsi di un social network, come Facebook, aprendo una fanpage al fine di beneficiare di strumenti analoghi. 12. Anche le questioni attinenti all’individuazione del diritto nazionale applicabile e dell’autorità competente a esercitare poteri d’intervento appaiono complesse, quando il trattamento dei dati personali di cui trattasi implica l’intervento di più soggetti posti sia al di fuori che all’interno dell’Unione europea. 13. In una fase in cui le autorità di vigilanza di vari Stati membri hanno deciso, negli ultimi mesi, di infliggere a Facebook alcune ammende in ragione della violazione delle norme relative alla protezione dei dati dei suoi utenti (9), la causa in esame permetterà alla Corte di precisare la portata dei poteri di intervento riconosciuti a un’autorità di vigilanza quale l’ULD con riferimento a un trattamento di dati personali implicante l’intervento di più soggetti. 14. Al fine di comprendere pienamente gli aspetti giuridici della presente causa, occorre anzitutto descrivere il contesto di fatto in cui si colloca la controversia principale.

Fatti e questioni pregiudiziali

15. La Wirtschaftsakademie offre servizi di formazione attraverso una fanpage gestita sul social network Facebook. 16. Le fanpage sono account utenti che possono essere attivate su Facebook, in particolare, da singole persone o imprese. Per farlo, il gestore della fanpage deve registrarsi presso Facebook e può così utilizzare la piattaforma da quest’ultima amministrata per presentarsi agli utenti di detto social network e per diffondere comunicazioni di ogni tipo al fine, segnatamente, di sviluppare un’attività commerciale. 17. I gestori delle fanpage possono ottenere statistiche sugli utenti servendosi dello strumento «Facebook Insights», messo a loro disposizione gratuitamente da Facebook nel quadro di condizioni d’uso non modificabili. Le suddette statistiche sono elaborate da Facebook e personalizzate dal gestore di una fanpage in funzione di diversi criteri da esso selezionabili, quali l’età o il sesso. Dette statistiche forniscono così informazioni anonime sulle caratteristiche e

sulle abitudini delle persone che hanno avuto accesso alla fanpage, permettendo ai relativi gestori di inviare comunicazioni più mirate. 18. Al fine di elaborare le suddette statistiche sugli utenti, Facebook attiva sul disco rigido della persona che ha avuto accesso alla fanpage quantomeno un cookie contenente un codice identificativo unico, che resta attivo due anni. Il codice identificativo, che può essere collegato ai dati di collegamento dell’utente registrato su Facebook, è raccolto ed elaborato al momento dell’accesso alle pagine Facebook. 19. Con decisione del 3 novembre 2011, in conformità all’articolo 38, paragrafo 5, primo periodo, del Bundesdatenschutzgesetz (legge tedesca sulla protezione dei dati, in prosieguo: il «BDSG») (10), l’ULD ordinava alla Wirtschaftsakademie, a pena di ammenda in caso di mancato adempimento nel termine prescritto, di disattivare la fanpage che essa aveva creato su Facebook all’indirizzo Internet «https://www.facebook.com/wirtschaftsakademie», poiché né la Wirtschaftsakademie, né Facebook informavano gli utenti della fanpage del fatto che quest’ultima raccoglieva i loro dati personali servendosi di cookie e che sottoponeva tali dati a un successivo trattamento. Avverso la suddetta decisione, la Wirtschaftsakademie presentava reclamo negando, essenzialmente, alla luce della normativa applicabile in materia di protezione dei dati, di essere responsabile del trattamento dei dati compiuto da Facebook e dei cookie da quest’ultimo installati. 20. Con decisione del 16 dicembre 2011, l’ULD respingeva il suddetto reclamo, affermando che la responsabilità della Wirtschaftsakademie, quale fornitore di servizi, scaturiva dagli articoli 3, paragrafo 3, punto 4, e 12, paragrafo 1, del Telemediengesetz (legge sui media online) (11). Inoltre, creando la fanpage, la Wirtschaftsakademie contribuirebbe in maniera attiva e volontaria alla raccolta di dati personali da parte di Facebook, di cui essa beneficerebbe grazie alle statistiche sugli utenti messe a disposizione da detto social network. 21. Avverso la suddetta decisione, la Wirtschaftsakademie ha quindi proposto ricorso dinanzi al Verwaltungsgericht (Tribunale amministrativo, Germania), affermando che le attività di trattamento dati da parte di Facebook non potrebbero esserle imputate e negando inoltre di aver incaricato Facebook, ai sensi dell’articolo 11 del BDSG (12), di effettuare un trattamento dati soggetto al suo controllo o rientrante nella sua sfera di influenza. A giudizio della Wirtschaftsakademie, l’ULD avrebbe erroneamente promosso un’azione nei suoi confronti invece che direttamente a carico di Facebook.

22. Con sentenza del 9 ottobre 2013, il Verwaltungsgericht (Tribunale amministrativo) annullava la decisione impugnata dichiarando, sostanzialmente, che il gestore di una fanpage su Facebook non rappresenta un «organismo responsabile» ai sensi dell’articolo 3, paragrafo 7, del BDSG (13) e che la Wirtschaftsakademie non poteva essere destinataria di una misura adottata a norma dell’articolo 38, paragrafo 5, del BDSG. 23. In seguito, l’Oberverwaltungsgericht (Tribunale amministrativo superiore del Land, Germania) respingeva l’appello proposto dall’ULD avverso la sentenza succitata in quanto infondato ritenendo, essenzialmente, che il divieto di trattamento dei dati sancito nella decisione impugnata fosse illegittimo nella misura in cui l’articolo 38, paragrafo 5, secondo periodo, del BDSG prevede un processo graduale la cui prima fase permette unicamente di adottare misure volte a sanare violazioni accertate in sede di trattamento dei dati. Un divieto immediato di trattamento dei dati sarebbe ipotizzabile unicamente ove un processo di trattamento dei dati fosse illegittimo nella sua globalità e a condizione che solo la sospensione di detto processo permetta di porvi rimedio. Ora, a giudizio dell’Oberverwaltungsgericht (Tribunale amministrativo superiore del Land), tale situazione non sussisterebbe nella fattispecie poiché Facebook potrebbe senz’altro far cessare le violazioni dedotte dall’ULD. 24. Inoltre, il provvedimento sarebbe illegittimo in quanto, con riferimento ai dati raccolti da Facebook in sede di gestione della fanpage, la ricorrente non sarebbe un organismo responsabile ai sensi dell’articolo 3, paragrafo 7, del BDSG e, a norma del successivo articolo 38, paragrafo 5, di detta legge, un provvedimento potrebbe essere emesso soltanto nei confronti di un organismo siffatto. Nella fattispecie, solo Facebook deciderebbe della finalità e degli strumenti concernenti la raccolta e il trattamento dei dati personali utilizzati per la funzione «Facebook Insights». La ricorrente, dal canto suo, riceverebbe soltanto informazioni statistiche rese anonime. 25. L’articolo 38, paragrafo 5, del BDSG non autorizzerebbe l’emissione di provvedimenti nei confronti di terzi. La cosiddetta responsabilità «indiretta» («Störerhaftung») su Internet, teorizzata dalla giurisprudenza dei giudici civili, non potrebbe essere applicata alle prerogative dei poteri pubblici. Benché l’articolo 38, paragrafo 5, del BDSG non indichi espressamente il destinatario del provvedimento di divieto, dall’economia, dall’oggetto e dallo spirito della disposizione succitata, nonché dalla sua genesi, si evincerebbe che il destinatario può essere unicamente l’organismo responsabile.

26. Con il suo ricorso per cassazione (Revision), proposto dinanzi al Bundesverwaltungsgericht (Corte amministrativa federale, Germania), l’ULD fa valere, in particolare, una violazione dell’articolo 38, paragrafo 5, del BDSG e deduce vari errori procedurali commessi dal giudice di appello. Essa ritiene che la violazione commessa dalla Wirtschaftsakademie consista nell’aver affidato la realizzazione, l’hosting e la manutenzione di un sito Internet a un fornitore inadatto in quanto irrispettoso della normativa applicabile in materia di protezione dei dati, nella fattispecie Facebook Ireland. Il provvedimento con cui è intimata la disattivazione sarebbe così diretto a porre rimedio alla suddetta violazione commessa dalla Wirtschaftsakademie, vietandole di continuare a utilizzare l’infrastruttura di Facebook come base tecnica del suo sito Internet. 27. Per quanto attiene alla raccolta e al trattamento dei dati delle persone che accedono alla fanpage da parte dell’interveniente nel procedimento principale, vale a dire Facebook Ireland, il giudice del rinvio ritiene che la Wirtschaftsakademie non sia «l’organismo che raccoglie, elabora o utilizza dati personali in proprio o attraverso terzi su commissione», ai sensi dell’articolo 3, paragrafo 7, del BDSG, o l’«organismo che, da solo o insieme ad altri, determina le finalità e gli strumenti del trattamento di dati personali», ai sensi dell’articolo 2, lettera d), della direttiva 95/46. Certamente, decidendo di creare una fanpage sulla piattaforma gestita dall’interveniente nel procedimento principale o dalla sua società controllante (nella fattispecie Facebook Inc., Stati Uniti), la Wirtschaftsakademie offrirebbe – di fatto – a detta interveniente la possibilità di procedere all’attivazione di cookie al momento dell’accesso alla fanpage in questione e di raccogliere, così facendo, dei dati. Tuttavia, tale decisione non permetterebbe alla Wirtschaftsakademie di influenzare, guidare, configurare o, ancora, controllare la natura e la portata del trattamento dei dati degli utenti della sua fanpage da parte dell’interveniente nel procedimento principale. Nemmeno le condizioni di utilizzo della fanpage riconoscerebbero alla Wirtschaftsakademie diritti di intervento o di controllo. Tali condizioni, fissate unilateralmente dall’interveniente nel procedimento principale, non sarebbero frutto di una trattativa negoziale e non attribuirebbero neppure alla Wirtschaftsakademie il diritto di vietare all’interveniente nel procedimento principale la raccolta e il trattamento dei dati degli utenti della fanpage. 28. In linea di principio, il giudice del rinvio riconosce che la definizione giuridica di «responsabile del trattamento», formulata nell’articolo 2, lettera d), della direttiva 95/46, deve essere interpretata in maniera estensiva, nell’interesse di una tutela efficace del diritto alla vita privata. Tuttavia, la Wirtschaftsakademie non rientrerebbe in tale definizione poiché essa non

esercita alcuna influenza, in fatto o in diritto, sulle modalità con cui l’interveniente nel procedimento principale elabora i dati personali sotto la propria responsabilità e in piena indipendenza. A tale proposito, non sarebbe sufficiente che la Wirtschaftsakademie possa oggettivamente trarre vantaggio dalla funzione «Facebook Insights» gestita dall’interveniente nel procedimento principale grazie ai dati, resi anonimi, che le sono trasmessi nell’ottica dell’utilizzo della sua fanpage. 29. A giudizio del giudice del rinvio, la Wirtschaftsakademie non potrebbe neppure essere considerata come responsabile di un trattamento dei dati su commissione ai sensi dell’articolo 11 del BDSG e degli articoli 2, lettera e), e 17, paragrafi 2 e 3, della direttiva 95/46. 30. Tale giudice ritiene necessario chiarire se e a quali condizioni i poteri di controllo e di intervento delle autorità di vigilanza in materia di protezione dei dati possano essere esercitati soltanto nei confronti del «responsabile del trattamento», ai sensi dell’articolo 2, lettera d), della direttiva 95/46, o se un organismo diverso dal responsabile del trattamento dei dati in base alla definizione risultante dalla suddetta disposizione possa essere ritenuto responsabile, per il fatto di aver scelto di ricorrere a Facebook per offrire informazioni. 31. In quest’ultima ipotesi, il giudice del rinvio chiede se una responsabilità siffatta possa essere fondata su un’applicazione analogica degli obblighi di scelta e di controllo derivanti dall’articolo 17, paragrafo 2, della direttiva 95/46 nel quadro di un trattamento dei dati su commissione. 32. Per potersi pronunciare sulla legittimità del provvedimento emanato nella fattispecie, il giudice del rinvio ritiene che sia parimenti necessario chiarire determinati aspetti concernenti la competenza delle autorità di vigilanza e la portata dei loro poteri di intervento. 33. In particolare, il giudice del rinvio s’interroga sulla ripartizione delle competenze tra le autorità di vigilanza in un caso in cui una società controllante, come la Facebook Inc., disponga di diverse filiali nel territorio dell’Unione cui sono affidati compiti diversi in seno al gruppo. 34. A tale proposito, il giudice del rinvio ricorda che, nella sentenza del 13 maggio 2014, Google Spain e Google (14), la Corte ha stabilito che «l’articolo 4, paragrafo 1, lettera a), della direttiva 95/46 deve essere interpretato nel senso che un trattamento di dati personali viene effettuato nel contesto delle attività di

uno stabilimento del responsabile di tale trattamento nel territorio di uno Stato membro, ai sensi della disposizione suddetta, qualora il gestore di un motore di ricerca apra in uno Stato membro una succursale o una filiale destinata alla promozione e alla vendita degli spazi pubblicitari proposti da tale motore di ricerca e l’attività della quale si dirige agli abitanti di detto Stato membro» (15). Il giudice del rinvio si chiede se, ai fini dell’applicabilità della direttiva 95/46 e dell’individuazione dell’autorità di vigilanza competente, tale collegamento a uno stabilimento come quello di Facebook Germany GmbH, che – stando alle informazioni contenute nell’ordinanza di rinvio – si occupa della promozione e della vendita di spazi pubblicitari e di altre misure di marketing rivolte agli abitanti della Germania, sia rilevante in una situazione in cui una filiale stabilita in un altro Stato membro (nella fattispecie, l’Irlanda) interviene quale «responsabile del trattamento» per tutto il territorio dell’Unione. 35. Per quanto attiene ai destinatari di una misura adottata in applicazione dell’articolo 28, paragrafo 3, della direttiva 95/46, il giudice del rinvio osserva che il provvedimento adottato nei confronti della Wirtschaftsakademie potrebbe derivare da un errore di valutazione, e risultare quindi illegittimo, se le violazioni ravvisate dall’ULD contro la normativa sulla protezione dei dati potevano essere eliminate agendo direttamente contro la filiale Facebook Germany stabilita in Germania. 36. Il giudice del rinvio osserva altresì che l’ULD ritiene di non essere vincolata agli accertamenti e alle valutazioni compiuti dal Data Protection Commissioner (autorità di vigilanza in materia di protezione dei dati, Irlanda), il quale, in base alle indicazioni fornite dalla Wirtschaftsakademie e dall’interveniente nel procedimento principale, non avrebbe contestato il trattamento di dati personali oggetto del procedimento principale. Il giudice a quo vuole pertanto sapere, da una parte, se sia ammessa una siffatta valutazione autonoma da parte dell’ULD e, dall’altra, se l’articolo 28, paragrafo 6, secondo periodo, della direttiva 95/46 imponga a quest’ultima – tenuto conto delle divergenti valutazioni compiute dalle due autorità di vigilanza interessate in merito alla conformità del trattamento dei dati oggetto del procedimento principale con le norme fissate dalla direttiva 95/46 – di chiedere all’autorità di vigilanza in materia di protezione dei dati di esercitare i suoi poteri nei confronti di Facebook Ireland. 37. In tale contesto, il Bundesverwaltungsgericht (Corte amministrativa federale) ha deciso di sospendere il procedimento e di sottoporre alla Corte le seguenti questioni pregiudiziali:

«1)

Se l’articolo 2, lettera d), della direttiva 95/46 debba essere interpretato nel senso che esso disciplina la responsabilità per violazioni delle disposizioni sulla protezione dei dati personali in modo tassativo e completo o se, nell’ambito delle “misure appropriate” ai sensi dell’articolo 24 [di detta] direttiva (…) e dei “poteri effettivi di intervento” ai sensi dell’articolo 28, paragrafo 3, secondo trattino, della medesima (…), rimanga spazio – nei rapporti tra fornitori di informazioni su più livelli – per una responsabilità in capo a un organismo che non è responsabile del trattamento dei dati ai sensi dell’articolo 2, lettera d), della [suddetta direttiva], rispetto alla scelta di un amministratore per la sua offerta informativa.

Se dall’obbligo che incombe agli Stati membri, ai sensi dell’articolo 17, paragrafo 2, della direttiva 95/46(…), di disporre, in sede di trattamento dei dati su incarico, che il responsabile del trattamento deve scegliere un “incaricato del trattamento che presenti garanzie sufficienti in merito alle misure di sicurezza tecnica e di organizzazione dei trattamenti da effettuare” si possa dedurre a contrario che, nel caso di rapporti di utilizzo di altra natura, non collegati a un trattamento dei dati su incarico ai sensi dell’articolo 2, lettera e), [di detta] direttiva (…), non sussiste alcun obbligo di scelta diligente e un tale obbligo non può essere fondato neppure sulla normativa nazionale.

Se, nel caso di una società controllante stabilita al di fuori dell’Unione e avente filiali giuridicamente indipendenti (controllate) in diversi Stati membri, l’autorità di vigilanza di uno Stato membro (nel caso di specie, la Germania) possa esercitare – ai sensi degli articoli 4 e 28, paragrafo 6, della direttiva 95/46(…) – i poteri ad essa trasferiti a norma dell’articolo 28, paragrafo 3, della medesima (…) nei confronti di una filiale posta sul suo territorio, anche quando tale filiale è competente soltanto per la promozione e la vendita di pubblicità ed altre misure di marketing dirette agli abitanti di detto Stato membro, mentre la filiale (controllata) con sede in un diverso Stato membro (nella fattispecie, l’Irlanda) ha, in base alla ripartizione dei compiti interna al gruppo, competenza esclusiva quanto alla raccolta e al trattamento dei dati personali in tutto il territorio dell’Unione europea e quindi anche nell’altro Stato membro (nella fattispecie, la Germania), se – di fatto – la decisione in merito al trattamento dei dati è assunta dalla controllante.

Se gli articoli 4, paragrafo 1, lettera a), e 28, paragrafo 3, della direttiva 95/46(…) debbano essere interpretati nel senso che quando il responsabile del trattamento ha una filiale nel territorio di uno Stato membro (nella fattispecie, l’Irlanda) ed esiste un’altra filiale giuridicamente autonoma nel territorio di un altro Stato membro (nella fattispecie, la Germania), competente segnatamente per la vendita di spazi pubblicitari e la cui attività si rivolge agli abitanti di detto Stato, l’autorità di vigilanza competente in detto altro Stato membro (nella fattispecie, la Germania) può adottare misure o provvedimenti diretti all’attuazione della normativa sulla protezione dei dati personali anche nei confronti della filiale (nella fattispecie, in Germania) che, in base alla ripartizione dei compiti e delle responsabilità interna al gruppo, non è responsabile del trattamento, o se tali misure e provvedimenti possano essere adottati soltanto dall’autorità di vigilanza dello Stato membro (nella fattispecie, l’Irlanda) sul cui territorio ha la propria sede l’organismo responsabile a livello interno al gruppo.

Se gli articoli 4, paragrafo 1, lettera a), e 28, paragrafi 3 e 6, della direttiva 95/46(…) debbano essere interpretati nel senso che quando le autorità di vigilanza di uno Stato membro (nella fattispecie, della Germania) agiscono nei confronti di un soggetto o di un organismo attivo sul loro territorio ai sensi dell’articolo 28, paragrafo 3, [di detta] direttiva (…) in ragione della scelta non diligente di un terzo coinvolto nel processo di trattamento dei dati (nella fattispecie, Facebook), poiché detto terzo violerebbe la normativa sulla protezione dei dati, l’autorità di vigilanza che interviene (nella fattispecie, la Germania) è vincolata alla valutazione compiuta, sotto il profilo della normativa sulla protezione dei dati, dall’autorità di vigilanza dell’altro Stato membro in cui il terzo responsabile del trattamento dei dati ha la sua filiale (nella fattispecie, in Irlanda), nel senso che essa non può compiere alcuna valutazione giuridica discordante, o se l’autorità di vigilanza che interviene (nella fattispecie, la Germania) possa valutare in modo autonomo preliminarmente alla propria azione la legittimità del trattamento dei dati compiuto da un terzo stabilito in un altro Stato membro (nella fattispecie, l’Irlanda).

organismo stabilito sul suo territorio a titolo di corresponsabilità nelle violazioni della normativa sulla protezione dei dati personali commesse da un terzo stabilito in un altro Stato membro a condizione che abbia previamente richiesto all’autorità di vigilanza di detto altro Stato membro (nella fattispecie, l’Irlanda) di esercitare i suoi poteri».

II.

Analisi

38. Occorre precisare che le questioni pregiudiziali sollevate dal giudice del rinvio non vertono sul fatto se il trattamento di dati personali alla base delle censure formulate dall’ULD – vale a dire la raccolta e l’utilizzo di dati degli utenti di fanpage senza che essi ne siano preventivamente informati – violi o meno le norme fissate dalla direttiva 95/46. 39. In base alle spiegazioni fornite dal giudice del rinvio, la legittimità del provvedimento sottoposto alla sua valutazione dipende dagli elementi di seguito indicati. A suo giudizio, occorre anzitutto stabilire se l’ULD fosse autorizzata a esercitare i suoi poteri di intervento nei confronti di un soggetto privo della qualità di responsabile del trattamento ai sensi dell’articolo 2, lettera d), della direttiva 95/46. Inoltre, il giudice del rinvio ritiene che, al fine della valutazione della legittimità del provvedimento in questione, occorra anche accertare se l’ULD fosse competente ad agire con riferimento al trattamento di dati personali oggetto del procedimento principale, se il fatto di aver emanato il suo provvedimento nei confronti della Wirtschaftsakademie invece che di Facebook Germany integri un errore di valutazione e, infine, se l’ULD abbia commesso un ulteriore errore di valutazione intimando alla Wirtschaftsakademie di disattivare la sua fanpage invece di chiedere previamente all’autorità di vigilanza in materia di protezione dei dati di esercitare i suoi poteri nei confronti di Facebook Ireland. A.

Sulla prima e sulla seconda questione pregiudiziale

40. Con le prime due questioni pregiudiziali, che a mio giudizio è opportuno esaminare congiuntamente, il giudice del rinvio chiede sostanzialmente alla Corte di stabilire se gli articoli 17, paragrafo 2, 24 e 28, paragrafo 3, secondo trattino, della direttiva 95/46 debbano essere interpretati nel senso che essi autorizzano le autorità di vigilanza a esercitare i loro poteri di intervento nei confronti di un organismo che, pur non potendo essere considerato come «responsabile del trattamento», ai sensi dell’articolo 2, lettera d), della

medesima direttiva, potrebbe, nonostante tutto, essere ritenuto responsabile, in caso di violazione delle disposizioni in materia di protezione dei dati personali, per aver scelto di servirsi di un social network come Facebook per diffondere informazioni. 41. Le suddette questioni muovono dall’assunto che la Wirtschaftsakademie non costituisca un «responsabile del trattamento» ai sensi dell’articolo 2, lettera d), della direttiva 95/46. Per tale motivo, il giudice del rinvio chiede se sia possibile adottare un provvedimento come quello oggetto del procedimento principale nei confronti di un soggetto che non risponde ai criteri fissati dalla suddetta disposizione. 42. Tuttavia, ritengo si tratti di una premessa errata. Infatti, a mio giudizio, la Wirtschaftsakademie deve essere considerata come corresponsabile della fase del trattamento consistente nella raccolta dei dati personali da parte di Facebook. 43. In conformità all’articolo 2, lettera d), della direttiva 95/46, per «responsabile del trattamento» si intende «la persona fisica o giuridica, l’autorità pubblica, il servizio o qualsiasi altro organismo che, da solo o insieme ad altri, determina le finalità e gli strumenti del trattamento di dati personali» (16). 44. Il responsabile del trattamento svolge un ruolo fondamentale nell’ambito del sistema introdotto dalla direttiva 95/46 e la sua identificazione è pertanto essenziale. Infatti, la direttiva in parola prevede a carico del responsabile del trattamento una serie di obblighi diretti a garantire la protezione dei dati personali (17). Tale ruolo fondamentale è stato evidenziato dalla Corte nella sentenza del 13 maggio 2014, Google Spain e Google (18). Essa ha infatti dichiarato che il responsabile del trattamento deve assicurare, nell’ambito delle sue responsabilità, delle sue competenze e delle sue possibilità, che il trattamento dei dati in esame soddisfi le prescrizioni della direttiva 95/46, affinché le garanzie previste da quest’ultima possano sviluppare pienamente i loro effetti e possa essere effettivamente realizzata una tutela efficace e completa degli interessati, in particolare del loro diritto al rispetto della vita privata (19). 45. Inoltre, dalla giurisprudenza della Corte emerge che la suddetta nozione deve essere definita in maniera ampia così da garantire una tutela efficace e completa degli interessati (20). 46. Il responsabile del trattamento dei dati personali è il soggetto che decide perché e come saranno trattati i dati interessati. Come ha rilevato il gruppo di lavoro «Articolo 29», «[i]l concetto di responsabile del trattamento è funzionale,

finalizzato cioè all’attribuzione di responsabilità laddove intervenga un’influenza effettiva: si basa quindi su un’analisi fattuale piuttosto che formale» (21). 47. A mio giudizio, sono state di certo principalmente Facebook Inc. e, per quanto attiene all’Unione, Facebook Ireland a stabilire gli obiettivi e le modalità del suddetto trattamento posto che esse ne sono le ideatrici. 48. Più precisamente, Facebook Inc. ha ideato il modello economico generale grazie al quale la raccolta dei dati personali all’atto dell’accesso alla fanpage, unitamente al loro utilizzo, permette, da una parte, la diffusione di pubblicità personalizzate e, dall’altra, l’elaborazione di statistiche sugli utenti destinate agli amministratori delle pagine di cui trattasi. 49. Inoltre, dagli atti di causa emerge che Facebook Ireland è indicata da Facebook Inc. come incaricata del trattamento dei dati personali all’interno dell’Unione. In base alle spiegazioni fornite da Facebook Ireland, le modalità di funzionamento del social network possono subire taluni adattamenti all’interno dell’Unione (22). 50. Peraltro, benché sia pacifico che chiunque risieda nel territorio dell’Unione e che desideri utilizzare Facebook è tenuto, al momento della sua iscrizione, a sottoscrivere un contratto con Facebook Ireland, occorre nel contempo osservare che i dati personali degli utenti di Facebook residenti nel territorio dell’Unione sono, in tutto o in parte, trasferiti verso server di proprietà di Facebook Inc. ubicati nel territorio degli Stati Uniti, ove essi sono oggetto di trattamento (23). 51. Tenuto conto del coinvolgimento di Facebook Inc. e, per quanto attiene più nello specifico all’Unione, di Facebook Ireland nella determinazione delle finalità e degli strumenti del trattamento di dati personali oggetto del procedimento principale, tali due soggetti devono essere considerati, alla luce degli elementi a disposizione, come corresponsabili del trattamento di cui trattasi. A questo proposito, occorre osservare che l’articolo 2, lettera d), della direttiva 95/46 ipotizza espressamente una siffatta responsabilità congiunta. Come rilevato dallo stesso giudice del rinvio, spetterà a lui in definitiva chiarire le strutture decisionali e di trattamento dei dati interne al gruppo Facebook al fine di stabilire lo stabilimento o gli stabilimenti responsabili del trattamento ai sensi dell’articolo 2, lettera d), della direttiva 95/46 (24).

52. A mio giudizio, alla responsabilità congiunta di Facebook Inc. e di Facebook Ireland deve aggiungersi, per quanto attiene alla fase del trattamento consistente nella raccolta dei dati personali da parte di Facebook (25), quella del gestore di una fanpage, come la Wirtschaftsakademie. 53. Di certo, il gestore di una fanpage è anzitutto un utente di Facebook, di cui esso si serve per beneficiare degli strumenti messi a disposizione e godere di una maggiore visibilità. Tuttavia, tale constatazione non permette di escludere che esso possa anche essere considerato come responsabile della fase del trattamento di dati personali oggetto del procedimento principale, vale a dire quella della raccolta dei dati in questione da parte di Facebook. 54. Al fine di stabilire se il gestore di una fanpage «determini» le finalità e gli strumenti del trattamento, occorre verificare se esso eserciti su di essi una qualche influenza, in fatto o in diritto. In ragione di tale elemento della definizione è possibile ritenere che il responsabile del trattamento non sia chi effettua il trattamento dei dati personali ma chi ne determina strumenti e finalità. 55. Ricorrendo a Facebook per diffondere informazioni, il gestore della fanpage accetta in linea di principio che si proceda al trattamento dei dati personali degli utenti della sua pagina al fine di elaborare statistiche sugli utenti (26). Pur non essendo ovviamente l’ideatore dello strumento «Facebook Insights», detto gestore, facendovi ricorso, partecipa alla determinazione delle finalità e degli strumenti del trattamento dei dati personali cui sono sottoposti gli utenti della sua pagina. 56. Infatti, da una parte, tale trattamento non potrebbe aver luogo senza la previa decisione del gestore di una fanpage di creare e gestire detta pagina sul social network Facebook. Permettendo il trattamento dei dati personali degli utenti della fanpage, il gestore di detta pagina aderisce al sistema introdotto da Facebook. Esso acquisisce in tal modo maggiore visibilità sul profilo degli utenti della sua fanpage, permettendo nel contempo a Facebook di meglio indirizzare la pubblicità diffusa nell’ambito di detto social network. Dal momento che accetta gli strumenti e le finalità del trattamento dei dati personali, come predefiniti da Facebook, il gestore della fanpage deve essere considerato coinvolto nella loro determinazione. Inoltre, così come esercita un’influenza determinante riguardo all’avvio del trattamento dei dati personali degli utenti della suddetta pagina, egli dispone parimenti del potere di farlo cessare, disattivando la fanpage.

57. Dall’altra parte, benché le finalità e gli strumenti del dispositivo «Facebook Insights», in quanto tale, siano definiti in termini generali da Facebook Inc. congiuntamente a Facebook Ireland, il gestore di una fanpage ha la possibilità di influire sul suo concreto impiego definendo i criteri di elaborazione delle statistiche relative al pubblico. Nell’invitare il gestore di una fanpage a creare o modificare il pubblico della sua pagina, Facebook gli comunica che farà del suo meglio per mostrare tale pagina alle persone che per lui più contano. Con l’ausilio di filtri, il gestore di una fanpage può definire un pubblico personalizzato, il che gli permette non soltanto di meglio definire il gruppo di destinatari cui indirizzare le informazioni sulla sua offerta commerciale, ma soprattutto di individuare le categorie di soggetti i cui dati personali saranno raccolti da Facebook. Stabilendo il pubblico che intende raggiungere, il gestore di una fanpage determina nel contempo il pubblico destinatario i cui dati personali potranno essere oggetto di raccolta e di utilizzo da parte di Facebook. Oltre ad essere, con la creazione di una fanpage, l’elemento che dà origine al trattamento dei suddetti dati, il gestore di detta pagina svolge un ruolo di primo piano nella sua attuazione da parte di Facebook. Esso partecipa, in tal modo, alla determinazione degli strumenti e delle finalità del trattamento di cui trattasi, esercitando su di esso un’influenza di fatto. 58. Dalle considerazioni che precedono deduco che, in circostanze come quelle del procedimento principale, il gestore di una fanpage su un social network come Facebook deve essere considerato responsabile della fase del trattamento di dati personali consistente nella raccolta, da parte di detto social network, dei dati relativi alle persone che accedono alla suddetta pagina. 59. Tale conclusione è avvalorata dalla constatazione che il gestore di una fanpage, come la Wirtschaftsakademie, da una parte, e i fornitori di servizi, quali Facebook Inc. e Facebook Ireland, dall’altra, perseguono, rispettivamente, finalità strettamente collegate. La Wirtschaftsakademie vuole ottenere statistiche sugli utenti utili alla gestione della promozione della propria attività e tali statistiche presuppongono un trattamento di dati personali. Questo stesso trattamento permetterà inoltre a Facebook di meglio indirizzare la pubblicità che essa diffonde attraverso la propria rete. 60. Pertanto, occorre respingere un’interpretazione fondata unicamente sulle clausole e sulle condizioni del contratto stipulato tra la Wirtschaftsakademie e Facebook Ireland. Infatti, la ripartizione dei compiti indicata in contratto può costituire soltanto un indizio del reale ruolo svolto dalle parti contraenti nell’ambito della realizzazione di un trattamento di dati personali.

Diversamente, le suddette parti potrebbero attribuire artificiosamente la responsabilità del trattamento a una di esse. Ciò vale, a maggior ragione, quando le condizioni generali sono preventivamente predisposte dal social network e non sono oggetto di trattative. Pertanto, non si può escludere che responsabile del trattamento possa essere un soggetto che può soltanto aderire a un contratto o rifiutarlo. Detto contraente, avendo liberamente concluso il contratto, può sempre essere considerato responsabile del trattamento tenuto conto della concreta influenza esercitata sugli strumenti e sulle finalità del trattamento. 61. Così, il fatto che il contratto e le sue condizioni generali siano predisposte da un prestatore di servizi, e che l’operatore che si serve delle prestazioni da esso offerte non abbia accesso ai dati, non esclude che l’operatore possa essere considerato come un responsabile del trattamento, una volta che esso ha liberamente accettato le clausole contrattuali assumendosene in tal modo la piena responsabilità (27). In linea con il gruppo di lavoro «Articolo 29», occorre anche riconoscere che un eventuale squilibrio nei rapporti di forza tra fornitore e destinatario del servizio non osta alla qualificazione di quest’ultimo come «responsabile del trattamento» (28). 62. D’altra parte, affinché una persona possa essere considerata responsabile del trattamento ai sensi dell’articolo 2, lettera d), della direttiva 95/46, non è necessario che essa disponga di un potere di controllo completo su tutti gli aspetti di un trattamento. Come osservato giustamente dal governo belga in udienza, nella prassi un siffatto controllo è sempre più raro. Sempre più di frequente, i trattamenti hanno natura complessa, nel senso che si compongono di diversi trattamenti distinti che coinvolgono molteplici soggetti i quali esercitano, a loro volta, gradi diversi di controllo. Di conseguenza, l’interpretazione che privilegia l’esistenza di un potere di controllo completo su tutti gli aspetti del trattamento può implicare gravi lacune in materia di tutela dei dati personali. 63. Le vicende alla base della sentenza del 13 maggio 2014, Google Spain e Google (29), ne costituiscono un esempio. Infatti, la suddetta controversia verteva su un caso di fornitori di informazioni a cascata in cui parti diverse esercitavano ciascuna un’influenza distinta sul trattamento. Nell’ambito di detta causa, la Corte si è rifiutata di interpretare in maniera restrittiva la nozione di «responsabile del trattamento». Essa ha ritenuto che il gestore del motore di ricerca, «quale soggetto che determina le finalità e gli strumenti [della sua] attività [doveva] assicurare, nell’ambito delle sue responsabilità, delle sue competenze e delle sue possibilità, che detta attività [soddisfacesse] le prescrizioni della direttiva 95/46» (30). Inoltre, la Corte ha menzionato la

possibilità di una responsabilità congiunta del gestore del motore di ricerca e degli editori di siti web (31). 64. In linea con il governo belga, ritengo che l’interpretazione estensiva della nozione di «responsabile del trattamento» ai sensi dell’articolo 2, lettera d), della direttiva 95/46, che – a mio giudizio – deve prevalere nell’ambito della presente controversia, permetta di evitare abusi. Infatti, in caso contrario, un’impresa potrebbe sottrarsi ai propri obblighi in materia di protezione dei dati personali semplicemente ricorrendo ai servizi di un terzo. In altre parole, a mio avviso, non è possibile distinguere tra l’impresa che dota il proprio sito Internet di strumenti analoghi a quelli proposti da Facebook e quella che aderisce al social network Facebook per beneficiare degli strumenti da esso offerti. Pertanto, è opportuno garantire che gli operatori economici che si servono di un servizio di hosting per la loro pagina Internet non possano sottrarsi alla loro responsabilità aderendo alle condizioni generali di un prestatore di servizi. Inoltre, come osservato da detto stesso governo in udienza, non è irragionevole attendersi dalle imprese che scelgano con diligenza i fornitori di servizi. 65. Ritengo pertanto che il fatto che un gestore di una fanpage utilizzi la piattaforma offerta da Facebook e si serva dei servizi ad essa collegati non lo liberi dagli obblighi su di esso gravanti in materia di protezione dei dati personali. A questo proposito, osservo che se avesse aperto una pagina Internet al di fuori di Facebook applicando uno strumento analogo a «Facebook Insights» per elaborare statistiche sugli utenti, la Wirtschaftsakademie sarebbe considerata responsabile del trattamento necessario ai fini di detta elaborazione. A mio giudizio, un siffatto operatore economico non dovrebbe essere esonerato dal rispetto delle norme in materia di protezione dei dati personali introdotte dalla direttiva 95/46 per il solo fatto che si serve della piattaforma del social network Facebook per promuovere le sue attività. Come osserva correttamente lo stesso giudice del rinvio, occorre impedire che un fornitore di informazioni possa, scegliendo un dato fornitore di servizi, sottrarsi agli obblighi che la normativa applicabile alla protezione dei dati gli impone nei confronti dei destinatari della sua offerta informativa, e che esso sarebbe tenuto ad adempiere se si trattasse di un semplice fornitore di contenuti (32). Un’interpretazione contraria implicherebbe un rischio di elusione delle norme sulla protezione dei dati personali. 66. Inoltre, ritengo si debba evitare una distinzione artificiosa tra la situazione controversa nella fattispecie e quella oggetto della causa C-40/17, Fashion ID (33).

67. Nella suddetta causa si discute del caso in cui il gestore di un sito web inserisca nel suo sito una cosiddetta «icona di social media» (nella fattispecie, il pulsante «Mi piace» di Facebook) predisposta da un fornitore esterno (vale a dire Facebook) che trasmette i dati personali del computer dell’utente del sito web a un fornitore esterno. 68. Nell’ambito della controversia all’origine della suddetta causa, un’associazione di tutela dei consumatori contesta alla società Fashion ID di aver permesso al social network Facebook di accedere ai dati personali degli utenti del suo sito, senza il loro consenso e in violazione degli obblighi di informazione previsti dalle norme in materia di protezione dei dati personali, inserendo all’interno di detto sito l’icona «Mi piace» fornita dal social network in questione. Posto che la Fashion ID autorizza Facebook ad accedere ai dati personali degli utenti del suo sito Internet, si rende pertanto necessario stabilire se essa possa o meno essere qualificata come «responsabile del trattamento» ai sensi dell’articolo 2, lettera d), della direttiva 95/46. 69. Non ravviso in proposito alcuna differenza essenziale tra la situazione di un gestore di fanpage e quella del gestore di un sito web che inserisce, all’interno dello stesso, il codice di un fornitore di servizi di webtracking e favorisce così, all’insaputa dell’utente, la trasmissione di dati, l’installazione di cookie e la raccolta di dati a beneficio del fornitore dei suddetti servizi. 70. I social plugin permettono ai gestori di siti web di utilizzare determinati servizi di social network sui propri siti al fine di incrementarne la visibilità, ad esempio, inserendo nel proprio sito il pulsante «Mi piace» di Facebook. Al pari dei gestori di fanpage, i gestori dei siti web che contengono social plugin possono servirsi del servizio «Facebook Insights» per ottenere informazioni statistiche precise sugli utenti del loro sito. 71. Analogamente a quanto accade con l’accesso a una fanpage, la consultazione di un sito web contenente un social plugin attiva una trasmissione di dati personali verso il fornitore interessato. 72. A mio giudizio, in un simile contesto e alla pari del gestore di una fanpage, il gestore di un sito web contenente un social plugin dovrebbe essere qualificato «responsabile del trattamento» ai sensi dell’articolo 2, lettera d), della direttiva 95/46, nella misura in cui influenza di fatto la fase del trattamento consistente nella trasmissione dei dati personali a Facebook (34).

73. Aggiungo che, come osserva correttamente il governo belga, la constatazione secondo cui la Wirtschaftsakademie opera come corresponsabile del trattamento quando sceglie di avvalersi dei servizi di Facebook per la comunicazione di informazioni nulla toglie agli obblighi gravanti su Facebook Inc. e su Facebook Ireland, quali responsabili del trattamento. Infatti, è chiaro che i due soggetti succitati esercitano un’influenza determinante sulle finalità e sugli strumenti del trattamento di dati personali compiuto in sede di accesso a una fanpage e che essi utilizzano anche per finalità e interessi propri. 74. Tuttavia, il riconoscimento di una corresponsabilità dei gestori delle fanpage per la fase del trattamento, consistente nella raccolta dei dati personali da parte di Facebook, contribuisce a garantire una protezione più completa dei diritti riconosciuti agli utenti di dette tipologie di pagine. Inoltre, il fatto di vincolare attivamente i gestori delle fanpage al rispetto delle norme in materia di protezione dei dati personali indicandoli come responsabili del trattamento può, indirettamente, sollecitare la piattaforma di social network stessa a conformarsi a tali norme. 75. Occorre altresì precisare che l’esistenza di una corresponsabilità non implica affatto una responsabilità a parità di condizioni. Al contrario, i vari responsabili possono essere coinvolti in un trattamento di dati personali in fasi diverse e a diversi livelli (35). 76. Secondo il gruppo di lavoro «Articolo 29», «[l]a possibilità di una responsabilità plurima tiene conto del numero crescente di situazioni in cui varie parti agiscono come responsabili del trattamento. La valutazione di questa corresponsabilità deve essere analoga alla valutazione della responsabilità “singola”: occorre adottare un approccio sostanziale e funzionale, che analizzi se le finalità e gli aspetti fondamentali degli strumenti [siano] determinati da più di una parte. La partecipazione delle parti alla determinazione delle finalità e degli strumenti del trattamento nel quadro di una corresponsabilità può assumere varie forme e non deve essere necessariamente ripartita in modo uguale» (36). In effetti, «quando vi è una pluralità di attori, questi possono avere una relazione molto stretta (condividendo, ad esempio, tutte le finalità e tutti gli strumenti di un trattamento) o più distante (condividendo ad esempio solo le finalità o gli strumenti, o una parte di essi). Va quindi esaminata un’ampia varietà di tipologie di corresponsabilità e ne vanno analizzate le rispettive conseguenze giuridiche, lasciando una certa flessibilità per tenere conto della crescente complessità della realtà attuale del trattamento dei dati» (37).

77. A mio giudizio, dalla considerazioni che precedono deriva che il gestore di una fanpage sul social network Facebook deve essere considerato responsabile del trattamento dei dati personali compiuto nell’ottica dell’elaborazione di statistiche sugli utenti di detta pagina, a fianco di Facebook Inc. e di Facebook Ireland. B.

Sulla terza e sulla quarta questione pregiudiziale

78. Con la terza e quarta questione pregiudiziale, che a mio parere è opportuno esaminare congiuntamente, il giudice del rinvio chiede alla Corte di precisare l’interpretazione degli articoli 4, paragrafo 1, lettera a), e 28, paragrafi 1, 3 e 6, della direttiva 95/46 quando una società controllante stabilita al di fuori dell’Unione europea, come Facebook Inc., fornisce servizi di social network nel territorio dell’Unione servendosi di vari stabilimenti. Tra di essi, uno è designato dalla società controllante come responsabile del trattamento dei dati personali nel territorio dell’Unione (Facebook Ireland) e l’altro garantisce la promozione e la vendita di spazi pubblicitari e l’adozione di misure di marketing dirette agli abitanti della Germania (Facebook Germany). In tale contesto, il giudice del rinvio desidera sapere, da una parte, se l’autorità tedesca di vigilanza possa esercitare i suoi poteri di intervento al fine di ottenere la cessazione del controverso trattamento dei dati personali e, dall’altra, nei confronti di quale stabilimento possano essere esercitati tali poteri. 79. In risposta ai dubbi sollevati dall’ULD e dal governo italiano in merito alla ricevibilità della terza e della quarta questione pregiudiziale, osservo che, nella sua decisione di rinvio, il Bundesverwaltungsgericht (Corte amministrativa federale) precisa che i chiarimenti richiesti su tali aspetti gli sono necessari al fine di potersi pronunciare sulla legittimità del provvedimento oggetto del procedimento principale. In particolare, tale giudice afferma che il provvedimento adottato nei confronti della Wirtschaftsakademie potrebbe derivare da un errore di valutazione ed essere, quindi, illegittimo ove le violazioni ravvisate dall’ULD contro la vigente normativa sulla protezione dei dati potessero essere eliminate agendo direttamente nei confronti della filiale Facebook Germany stabilita in Germania (38). A mio giudizio, la suddetta riflessione del giudice del rinvio permette di comprendere pienamente le ragioni che lo hanno indotto a sollevare dinanzi alla Corte la terza e la quarta questione pregiudiziale. Pertanto, tenuto conto della presunzione di rilevanza riconosciuta alle domande di pronuncia pregiudiziale (39), propongo alla Corte di rispondere alle suddette questioni.

80. L’articolo 4 della direttiva 95/46, intitolato «Diritto nazionale applicabile», dispone quanto segue: «1. Ciascuno Stato membro applica le disposizioni nazionali adottate per l’attuazione della presente direttiva al trattamento di dati personali: a)

(…)». 81. Nel suo parere 8/2010, del 16 dicembre 2010, sul diritto applicabile(40), il gruppo di lavoro «Articolo 29» fa riferimento all’applicazione dell’articolo 4, paragrafo 1, lettera a), della direttiva 95/46 nell’ambito della situazione di seguito descritta: «Una piattaforma di social network ha la sede centrale in un paese terzo e uno stabilimento in uno Stato membro. Lo stabilimento definisce e attua le politiche relative al trattamento dei dati personali delle persone residenti dell’[Unione]. La rete di social network si rivolge attivamente ai residenti di tutti gli Stati membri dell’[Unione] che costituiscono un’importante quota di clienti e introiti. Installa anche cookie sui computer degli utenti dell’[Unione]. In questo caso, la legge applicabile sarà, a norma dell’articolo 4, paragrafo 1, lettera a), [della direttiva 95/46,] la legge sulla protezione dei dati dello Stato membro dell’[Unione] in cui è stabilita l’azienda. La questione se la rete di social network ricorr[a] a strumenti situati nel territorio di altri Stati membri è irrilevante, dato che l’intero trattamento è effettuato nel contesto delle attività dell’unico stabilimento e la direttiva esclude l’applicazione cumulativa della lettera a) e della lettera c) dell’articolo 4, paragrafo 1 [di detta direttiva]» (41). Inoltre, il gruppo di lavoro «Articolo 29» precisa che «l’autorità di controllo dello Stato membro in cui è stabilita la rete di social network nell’[Unione] – a norma dell’articolo 28, paragrafo 6, [di detta direttiva] – avrà l’obbligo di collaborare con altre autorità di controllo per trattare, ad esempio, richieste o denunce provenienti dai residenti di altri paesi dell’[Unione]» (42). 82. La fattispecie illustrata nel precedente paragrafo pone pochi problemi dal punto di vista della determinazione del diritto nazionale applicabile. Infatti, in quest’ipotesi, posto che la società madre dispone di un solo stabilimento

all’interno dell’Unione, il trattamento dei dati personali controverso è disciplinato dal diritto dello Stato membro in cui esso ha sede. 83. La situazione diviene più complessa quando, come nella fattispecie, una società stabilita in uno Stato terzo, quale Facebook Inc., svolge le sue attività nell’Unione, da una parte, servendosi di uno stabilimento da essa designato come responsabile esclusivo, all’interno del gruppo Facebook, della raccolta e del trattamento dei dati personali per tutto il territorio dell’Unione (Facebook Ireland) e, dall’altra, attraverso altri stabilimenti, tra cui uno situato in Germania (Facebook Germany) e preposto, stando alle indicazioni contenute nell’ordinanza di rinvio, alla promozione e alla vendita di spazi pubblicitari e all’attuazione di altre misure di marketing dirette agli abitanti del suddetto Stato membro (43). 84. In una situazione del genere, l’autorità tedesca di vigilanza è competente ad esercitare poteri di intervento diretti a far cessare il trattamento di dati personali di cui Facebook Inc. e Facebook Ireland sono corresponsabili? 85. Al fine di rispondere alla suddetta questione, occorre stabilire se l’autorità tedesca di vigilanza sia legittimata ad applicare il suo diritto nazionale a un siffatto trattamento. 86. A tale proposito, dall’articolo 4, paragrafo 1, lettera a), della direttiva 95/46 si evince che un trattamento dati effettuato nel contesto delle attività di uno stabilimento è disciplinato dal diritto dello Stato membro sul cui territorio esso è stabilito. 87. La Corte ha già statuito che, alla luce dell’obiettivo perseguito dalla direttiva in oggetto, consistente nel garantire una tutela efficace e completa delle libertà e dei diritti fondamentali delle persone fisiche e, segnatamente, del diritto alla vita privata, riguardo al trattamento dei dati personali, l’espressione «nel contesto delle attività di uno stabilimento», contenuta nell’articolo 4, paragrafo 1, lettera a), di detta direttiva, non può ricevere un’interpretazione restrittiva (44). 88. L’applicabilità di una legge di attuazione di uno Stato membro a un trattamento di dati personali presuppone la sussistenza di due requisiti. In primo luogo, il responsabile di tale trattamento deve disporre di uno «stabilimento» in detto Stato membro. In secondo luogo, il trattamento deve aver luogo «nel contesto delle attività» di detto stabilimento.

89. Per quanto attiene in primis alla nozione di «stabilimento» ai sensi dell’articolo 4, paragrafo 1, lettera a), della direttiva 95/46, la Corte, interpretando la suddetta nozione in maniera estensiva e flessibile, ha già precisato che essa si estende a qualsiasi attività reale ed effettiva, anche minima, esercitata tramite un’organizzazione stabile (45), escludendo così qualsiasi impostazione formalistica (46). 90. In tale ottica, occorre valutare sia il grado di stabilità dell’organizzazione, sia l’esercizio effettivo delle attività nello Stato membro interessato (47), prendendo in considerazione la natura specifica delle attività economiche e delle prestazioni di servizi in questione (48). A tale proposito, è pacifico che Facebook Germany, la cui sede si trova ad Amburgo (Germania), si dedica all’esercizio effettivo e reale di un’attività attraverso un’organizzazione stabile in Germania. Essa rappresenta pertanto uno «stabilimento» ai sensi dell’articolo 4, paragrafo 1, lettera a), della direttiva 95/46. 91. In secondo luogo, per quanto attiene alla questione se il trattamento di dati personali di cui trattasi sia compiuto «nel contesto delle attività» di detto stabilimento, ai sensi dell’articolo 4, paragrafo 1, lettera a), della direttiva 95/46, la Corte ha già ricordato che tale disposizione esige che il trattamento venga effettuato non «dallo» stesso stabilimento interessato, bensì soltanto «nel contesto delle attività» di quest’ultimo (49). 92. Come emerge dal parere 8/2010, «la nozione di “contesto delle attività” – e non di ubicazione dei dati – è un fattore decisivo per determinare il campo di applicazione della legge applicabile. La nozione di “contesto delle attività” implica che la legge applicabile non è quella dello Stato membro in cui è stabilito il responsabile del trattamento, ma quella dello Stato membro in cui uno stabilimento del responsabile del trattamento svolge attività [correlate al trattamento di dati personali o implicanti tale trattamento]. In questo contesto, è cruciale il livello di partecipazione di ciascuno stabilimento alle attività nel cui contesto sono trattati i dati personali. Si dovrebbe tenere conto, inoltre, della natura delle attività degli stabilimenti e della necessità di garantire un’effettiva protezione dei diritti delle persone. Nell’analisi di questi criteri dovrebbe essere seguito un approccio funzionale: più che l’indicazione teorica della legge applicabile effettuata dalle parti, dovrebbero essere decisivi il loro comportamento pratico e la loro interazione» (50). 93. La Corte è stata chiamata a verificare il rispetto di tale condizione nella sentenza del 13 maggio 2014, Google Spain e Google (51). Essa ne ha fornito

un’interpretazione estensiva, affermando che il trattamento di dati personali realizzato per le esigenze di servizio da un motore di ricerca come Google Search, il quale è gestito da un’impresa con sede in uno Stato terzo ma avente uno stabilimento in uno Stato membro, viene effettuato «nel contesto delle attività» di tale stabilimento qualora quest’ultimo sia destinato a garantire, in tale Stato membro, la promozione e la vendita degli spazi pubblicitari proposti dal suddetto motore di ricerca, che servono a rendere redditizio il servizio offerto da quest’ultimo (52). Infatti, la Corte ha osservato che «in circostanze del genere, le attività del gestore del motore di ricerca e quelle del suo stabilimento situato nello Stato membro interessato sono inscindibilmente connesse, dal momento che le attività relative agli spazi pubblicitari costituiscono il mezzo per rendere il motore di ricerca in questione economicamente redditizio e che tale motore è, al tempo stesso, lo strumento che consente lo svolgimento di dette attività» (53). A supporto della sua conclusione, la Corte ha aggiunto che quando la visualizzazione di dati personali su una pagina di risultati di una ricerca è «accompagnata, sulla stessa pagina, da quella di pubblicità correlate ai termini di ricerca, è giocoforza constatare che il trattamento di dati personali in questione viene effettuato nel contesto dell’attività pubblicitaria e commerciale dello stabilimento del responsabile del trattamento nel territorio di uno Stato membro, nella fattispecie il territorio spagnolo» (54). 94. Ora, in base alle informazioni contenute nell’ordinanza di rinvio, Facebook Germany è preposta alla promozione e alla vendita di spazi pubblicitari, nonché all’attuazione di altre misure di marketing rivolte agli abitanti della Germania. Nella misura in cui mira, in particolare, a permettere a Facebook di meglio indirizzare le pubblicità da esso diffuse, il trattamento di dati personali controverso nel procedimento principale, consistente nella raccolta di tali dati mediante cookie installati sui computer degli utenti della fanpage, deve essere considerato come attuato nel contesto delle attività svolte da Facebook Germany in Germania. A tale proposito, tenuto conto del fatto che un social network come Facebook trae le proprie entrate principalmente dalla pubblicità diffusa sulle pagine web che gli utenti creano e cui essi accedono (55), le attività dei corresponsabili del trattamento, vale a dire Facebook Inc. e Facebook Ireland, devono essere considerate come inscindibilmente collegate a quelle di uno stabilimento come Facebook Germany. Inoltre, a seguito del trattamento dei dati personali reso possibile dall’installazione di un cookie sul computer dell’utente di una pagina rientrante nel nome di dominio Facebook.com, l’accesso a una pagina Facebook si accompagna alla visualizzazione, sulla stessa pagina web, di pubblicità

concernenti gli interessi del suddetto utente. Se ne deve dedurre che il trattamento di dati personali di cui trattasi è compiuto nell’ambito dell’attività pubblicitaria e commerciale svolta dallo stabilimento del responsabile del trattamento nel territorio di uno Stato membro, nella fattispecie, nel territorio tedesco. 95. Il fatto che, a differenza di quanto avvenuto nel caso alla base della sentenza del 13 maggio 2014, Google Spain e Google (56), il gruppo Facebook disponga di una sede europea, nella fattispecie in Irlanda, non impedisce di applicare al caso di specie l’interpretazione dell’articolo 4, paragrafo 1, lettera a), della direttiva 95/46, fornita dalla Corte nell’ambito della succitata sentenza. Essa ha ivi manifestato la volontà di evitare che un trattamento di dati personali venga sottratto agli obblighi e alle garanzie previsti dalla direttiva in parola. Nell’ambito del presente procedimento, si è sostenuto che, nel presente contesto, il problema connesso a una siffatta elusione non si porrebbe poiché il responsabile del trattamento è stabilito in uno Stato membro, nella fattispecie in Irlanda. Seguendo tale logica, occorrerebbe pertanto interpretare l’articolo 4, paragrafo 1, lettera a), della direttiva nel senso che esso impone al suddetto responsabile del trattamento di tener conto unicamente di una normativa nazionale e di far capo a una sola autorità di vigilanza, vale a dire – rispettivamente – la normativa e l’autorità irlandesi. 96. Tuttavia, una siffatta interpretazione è contraria alla formulazione dell’articolo 4, paragrafo 1, lettera a), della direttiva 95/46 e alla genesi di detta disposizione. Infatti, come osservato correttamente in udienza dal governo belga, la direttiva in esame non introduce un meccanismo di «sportello unico», né sancisce il principio del paese d’origine (57). A questo proposito, non si deve confondere quello che era l’obiettivo politico perseguito dalla Commissione europea nella sua proposta di direttiva e la soluzione che è stata infine approvata dal Consiglio dell’Unione europea. Nella direttiva in parola, il legislatore ha scelto di non considerare come prioritaria l’applicazione del diritto nazionale dello Stato membro in cui si trova lo stabilimento principale del responsabile del trattamento. Il risultato, codificato nella direttiva 95/46, rispecchia la volontà degli Stati membri di mantenere la propria competenza esecutiva nazionale. Disapplicando il principio del paese di origine, il legislatore dell’Unione ha permesso a ciascuno Stato membro di applicare la propria normativa nazionale, consentendo così il cumulo di legislazioni nazionali applicabili (58). 97. Con l’articolo 4, paragrafo 1, lettera a), di tale direttiva, in presenza all’interno dell’Unione europea di più stabilimenti di un responsabile del

trattamento, il legislatore dell’Unione ha volutamente scelto di permettere che più normative nazionali in materia di protezione dei dati personali possano trovare applicazione al trattamento dei dati personali dei residenti degli Stati membri interessati, al fine di garantire una protezione efficace dei loro diritti in tali Stati. 98. Ciò trova conferma nel considerando 19 della direttiva 95/46, il quale precisa che «quando un unico responsabile del trattamento è stabilito nel territorio di diversi Stati membri, in particolare per mezzo di filiali, esso deve assicurare, segnatamente per evitare che le disposizioni vengano eluse, che ognuno degli stabilimenti adempia gli obblighi previsti dalla legge nazionale applicabile alle attività di ciascuno di essi». 99. Pertanto, dall’articolo 4, paragrafo 1, lettera a), della direttiva 95/46 – il cui secondo periodo, in linea con le indicazioni del considerando 19 di detta direttiva, precisa che, qualora uno stesso responsabile del trattamento sia stabilito nel territorio di più Stati membri, esso deve adottare le misure necessarie per assicurare l’osservanza, da parte di ciascuno di detti stabilimenti, degli obblighi stabiliti dal diritto nazionale applicabile – deduco che la struttura di un gruppo caratterizzata dalla presenza di stabilimenti del responsabile del trattamento in più Stati membri non deve far sì che a quest’ultimo sia consentito eludere il diritto dello Stato membro in cui ciascuno di detti stabilimenti ha la propria sede. 100. Aggiungo che, a mio giudizio, a seguito della sentenza del 28 luglio 2016, Verein für Konsumenteninformation (59), l’interpretazione nel senso di un’applicazione esclusiva del diritto dello Stato membro in cui si trova la sede europea di un gruppo internazionale non è più sostenibile. In tale sentenza, la Corte ha stabilito che il trattamento di dati personali effettuato da un’impresa di commercio elettronico è disciplinato dal diritto dello Stato membro verso il quale detta impresa dirige le proprie attività, qualora sia accertato che essa procede al trattamento dei dati in esame nel contesto delle attività di uno stabilimento situato in detto Stato membro. La Corte si è pronunciata in tal senso benché Amazon, alla pari di Facebook, sia un’impresa che dispone non soltanto di una sede europea all’interno di uno Stato membro, ma anche di una presenza fisica in più Stati membri. Anche in un caso siffatto, occorre esaminare se il trattamento dei dati s’inserisca nel contesto delle attività di uno stabilimento in uno Stato membro diverso da quello in cui si trova la sede europea del responsabile del trattamento.

101. Pertanto, come osserva il governo belga, è del tutto possibile che uno stabilimento diverso da quello della sede europea di un’impresa sia rilevante ai fini dell’applicazione dell’articolo 4, paragrafo 1, lettera a), della direttiva 95/46. 102. Nell’ambito del sistema introdotto dalla direttiva, ove il responsabile del trattamento disponga di più stabilimenti all’interno dell’Unione, il luogo in cui è effettuato il trattamento, al pari di quello in cui detto responsabile ha fissato la sua sede all’interno dell’Unione, non è determinante per stabilire il diritto nazionale applicabile a un trattamento dei dati e per riconoscere a un’autorità di vigilanza la competenza ad esercitare i suoi poteri di intervento. 103. A tale proposito, la Corte non dovrebbe a mio giudizio anticipare il regime istituito dal regolamento generale sulla protezione dei dati (60), che troverà applicazione dal 25 maggio 2018. Nel quadro di detto regime è stato creato un meccanismo di sportello unico. Ciò significa che un responsabile del trattamento che compie trattamenti transfrontalieri, come Facebook, avrà quale interlocutore una sola autorità di vigilanza, vale a dire l’autorità di vigilanza capofila che sarà quella del luogo in cui si trova lo stabilimento principale del responsabile del trattamento. Tuttavia, detto regime e il sofisticato meccanismo di cooperazione da esso introdotto non sono ancora applicabili. 104. Certamente, dal momento in cui Facebook ha scelto di stabilire in Irlanda la sua sede principale all’interno dell’Unione, l’autorità di vigilanza di detto Stato membro è chiamata a svolgere un ruolo importante per verificare se esso rispetti le norme introdotte dalla direttiva 95/46. Tuttavia, come riconosciuto da detta stessa autorità, ciò non significa che essa disponga – nel quadro del sistema attuale fondato sulla direttiva in parola – di una competenza esclusiva per le attività di Facebook all’interno dell’Unione (61). 105. L’insieme degli elementi che precedono mi portano a ritenere, in linea con il governo belga, con il governo dei Paesi Bassi e con l’ULD, che l’interpretazione data dalla Corte dell’articolo 4, paragrafo 1, lettera a), della direttiva 95/46 nella sentenza del 13 maggio 2014, Google Spain e Google (62), trovi applicazione anche in una situazione come quella oggetto del procedimento principale, in cui un responsabile del trattamento è stabilito in uno Stato membro dell’Unione e dispone di più stabilimenti sul suo territorio. 106. Pertanto, alla luce delle indicazioni fornite dal giudice del rinvio in merito alla natura delle attività svolte da Facebook Germany, si deve ritenere che il trattamento di dati personali controverso sia compiuto nel contesto delle attività di detto stabilimento e che, in una situazione come quella oggetto del

procedimento principale, l’articolo 4, paragrafo 1, lettera a), della direttiva 95/46 ammetta l’applicazione del diritto tedesco in materia di protezione dei dati personali (63). 107. L’autorità di vigilanza tedesca è quindi competente ad applicare il suo diritto nazionale al trattamento di dati personali oggetto del procedimento principale. 108. Dall’articolo 28, paragrafo 1, della direttiva in esame si evince che ciascuna autorità di vigilanza creata da uno Stato membro sorveglia, nel territorio di tale Stato, l’osservanza delle disposizioni di attuazione della direttiva stessa adottate dagli Stati membri. 109. A norma dell’articolo 28, paragrafo 3, della direttiva 95/46, le suddette autorità di vigilanza dispongono, in particolare, di poteri investigativi, come il diritto di raccolta di qualsiasi informazione necessaria all’esercizio della loro funzione di controllo, e di poteri effettivi d’intervento, come quello di ordinare il congelamento, la cancellazione o la distruzione dei dati, oppure di vietare a titolo provvisorio o definitivo un trattamento, ovvero quello di rivolgere un avvertimento o un monito al responsabile del trattamento. Tali poteri di intervento possono comprendere quello di sanzionare il responsabile del trattamento dei dati, eventualmente imponendogli un’ammenda (64). 110. Dal canto suo, l’articolo 28, paragrafo 6, della direttiva 95/46 così recita: «Ciascuna autorità di controllo, indipendentemente dalla legge nazionale applicabile al trattamento in questione, è competente per esercitare, nel territorio del suo Stato membro, i poteri attribuitile a norma del paragrafo 3. Ciascuna autorità può essere invitata ad esercitare i suoi poteri su domanda dell’autorità di un altro Stato membro. Le autorità di controllo collaborano tra loro nella misura necessaria allo svolgimento dei propri compiti, in particolare scambiandosi ogni informazione utile». 111. Considerato che il trattamento di dati personali controverso nel procedimento principale è soggetto al diritto dello Stato membro cui essa appartiene, l’autorità tedesca di vigilanza può esercitare tutti i suoi poteri di intervento al fine di garantire l’applicazione del diritto tedesco e il rispetto di tale diritto da parte di Facebook nel territorio tedesco. Tale conclusione si evince

dalla sentenza del 1o ottobre 2015, Weltimmo (65), che ha permesso di precisare la portata dell’articolo 28, paragrafi 1, 3 e 6, della direttiva 95/46. 112. L’obiettivo principale di detta causa era stabilire se l’autorità ungherese di controllo fosse competente a imporre un’ammenda a un prestatore di servizi stabilito in un altro Stato membro, vale a dire in Slovacchia. La determinazione di tale competenza imponeva di esaminare preliminarmente la questione se, in applicazione del criterio fissato dall’articolo 4, paragrafo 1, lettera a), della direttiva 95/46, il diritto ungherese trovasse o meno applicazione. 113. Nella prima parte della sua risposta, la Corte ha fornito al giudice del rinvio una serie di indicazioni idonee a consentirgli di accertare l’esistenza, in Ungheria, di uno stabilimento del responsabile del trattamento. Peraltro, essa ha giudicato che il trattamento era stato realizzato nel contesto delle attività di detto stabilimento e che l’articolo 4, paragrafo 1, lettera a), della direttiva 95/46 consentiva, in un caso come quello ivi in esame, l’applicazione del diritto ungherese in materia di tutela dei dati personali. 114. Pertanto, sulla base della succitata prima parte della risposta fornita dalla Corte, era possibile confermare la competenza dell’autorità ungherese a infliggere, in applicazione del diritto ungherese, un’ammenda a un prestatore di servizi stabilito in un altro Stato membro, nella fattispecie la Weltimmo. 115. In altre parole, dal momento che il diritto ungherese poteva ritenersi il diritto applicabile in virtù del criterio di cui all’articolo 4, paragrafo 1, lettera a), della direttiva 95/46, l’autorità ungherese di vigilanza era competente ad assicurarne il rispetto in caso di violazione da parte di un responsabile del trattamento, benché quest’ultimo avesse sede in Slovacchia. Grazie alla suddetta disposizione della direttiva 95/46, era possibile ritenere che la Weltimmo, benché avesse sede in Slovacchia, fosse stabilita anche in Ungheria. La presenza in quest’ultimo paese di uno stabilimento del responsabile del trattamento, che svolgeva attività nell’ambito delle quali era effettuato il trattamento di cui trattasi, costituiva così il punto di collegamento necessario per riconoscere l’applicabilità del diritto ungherese e, come corollario, la competenza dell’autorità ungherese di vigilanza a garantirne il rispetto nel territorio di detto paese. 116. La seconda parte della risposta dalla Corte – che ha indotto quest’ultima a illustrare il principio dell’applicazione territoriale dei poteri di ciascuna autorità di vigilanza – è stata fornita unicamente in via subordinata, vale a dire «nell’ipotesi in cui l’autorità ungherese di controllo consideri che la Weltimmo

abbia, non in Ungheria, ma in un altro Stato membro, uno stabilimento, ai sensi dell’articolo 4, paragrafo 1, lettera a), della direttiva 95/46, che svolge attività nel contesto delle quali è effettuato il trattamento dei dati personali (…)» (66). Si trattava pertanto della risposta alla questione se, «nel caso in cui l’autorità ungherese di controllo giungesse alla conclusione che il diritto applicabile al trattamento dei dati personali non è il diritto ungherese, ma il diritto di un altro Stato membro, l’articolo 28, paragrafi 1, 3 e 6, della direttiva 95/46 debba essere interpretato nel senso che detta autorità può esercitare soltanto i poteri previsti all’articolo 28, paragrafo 3, di tale direttiva, conformemente al diritto di tale altro Stato membro, e non può imporre sanzioni» (67). 117. Nella citata seconda parte della sua risposta, la Corte ha pertanto precisato la portata sia materiale, sia territoriale dei poteri che un’autorità di vigilanza può esercitare in una determinata situazione, vale a dire quando non trova applicazione il diritto del suo Stato membro. 118. In tale ipotesi, la Corte ha stabilito che «i poteri di tale autorità non comprendono necessariamente tutti quelli di cui è investita secondo il diritto del suo Stato membro» (68). Così, «essa può esercitare i suoi poteri investigativi indipendentemente dal diritto applicabile e ancor prima di sapere quale sia il diritto nazionale che si applica al trattamento controverso. Tuttavia, essa, qualora giunga alla conclusione che si applica il diritto di un altro Stato membro, non può imporre sanzioni al di fuori del territorio del suo Stato membro. In una situazione del genere, essa è tenuta, in virtù dell’obbligo di collaborazione di cui all’articolo 28, paragrafo 6, [della direttiva 95/46], a chiedere all’autorità di controllo di tale altro Stato membro di accertare un’eventuale violazione di tale diritto e di imporre sanzioni se questo lo consente, appoggiandosi, se del caso, sulle informazioni che essa le avrà comunicato» (69). 119. Traggo dalla sentenza del 1o ottobre 2015, Weltimmo (70), i seguenti insegnamenti ai fini della presente controversia. 120. A differenza dell’ipotesi su cui la Corte, nell’ambito della succitata seconda parte della sentenza del 1o ottobre 2015, Weltimmo (71), ha fondato il suo ragionamento in merito ai poteri dell’autorità di vigilanza, la controversia nella presente fattispecie è riconducibile a una situazione, analoga a quella corrispondente alla prima parte di detta sentenza, in cui, come precedentemente rilevato, il diritto nazionale applicabile è in effetti quello dello Stato membro dell’autorità di vigilanza che esercita i suoi poteri di intervento, in ragione della presenza, nel territorio di detto Stato, di uno stabilimento del responsabile del

trattamento la cui attività è inscindibilmente connessa a tale trattamento. La presenza di detto stabilimento in Germania costituisce il punto di collegamento necessario ai fini dell’applicazione del diritto tedesco al trattamento dei dati personali controverso. 121. Una volta che è soddisfatta la suddetta condizione preliminare, l’autorità tedesca di vigilanza deve essere riconosciuta competente a garantire, nel territorio tedesco, il rispetto delle disposizioni in materia di protezione dei dati personali esercitando tutti i poteri di cui essa dispone in forza delle disposizioni tedesche di attuazione dell’articolo 28, paragrafo 3, della direttiva 95/46. Tali poteri possono comprendere un provvedimento di divieto, temporaneo o definitivo, di trattamento. 122. Quanto alla questione del destinatario di una siffatta misura, le soluzioni ipotizzabili risultano due. 123. La prima soluzione consiste nel ritenere, sulla scorta di una lettura restrittiva del campo di applicazione ratione loci dei poteri di intervento riconosciuti alle autorità di vigilanza, che queste ultime possano esercitare detti poteri soltanto nei confronti dello stabilimento del responsabile del trattamento situato nel territorio del loro Stato membro. Se, come nella presente causa, tale stabilimento, nella fattispecie Facebook Germany, non è il responsabile del trattamento e non può pertanto soddisfare direttamente la richiesta dell’autorità di vigilanza diretta a ottenere la cessazione del trattamento dei dati, esso dovrà trasmettere tale domanda al responsabile del trattamento affinché questi possa darvi seguito. 124. Per contro, la seconda soluzione consiste nel ritenere che il responsabile del trattamento, essendo l’unico a esercitare un’influenza determinante sul trattamento dei dati di cui trattasi, debba essere il destinatario diretto di una misura con cui è ingiunta la cessazione di un siffatto trattamento. 125. A mio giudizio, occorre privilegiare questa seconda soluzione, in quanto è coerente con il ruolo fondamentale che il responsabile del trattamento ricopre nel sistema introdotto dalla direttiva 95/46 (72). Permettendo di non passare necessariamente, come intermediario, per lo stabilimento che svolge le attività nell’ambito delle quali è compiuto un trattamento, una siffatta soluzione può garantire un’applicazione immediata ed efficace delle disposizioni nazionali in materia di protezione dei dati personali. D’altra parte, l’autorità di vigilanza che emette direttamente nei confronti di un responsabile del trattamento non stabilito nel territorio del suo Stato membro, quali Facebook Inc. o Facebook Ireland, un

provvedimento con cui intima la cessazione di un trattamento di dati, resta nei limiti della sua competenza, che consiste nel garantire che nel territorio del suddetto Stato il trattamento sia conforme al diritto dello stesso. A tale riguardo, poco importa che il responsabile o i responsabili del trattamento siano stabiliti in un altro Stato membro o in uno Stato terzo. 126. Preciso, inoltre, collegandomi alla risposta che ho proposto di dare alla prima e alla seconda questione pregiudiziale, che – tenuto conto dell’obiettivo di garantire la protezione più completa possibile dei diritti riconosciuti agli utenti delle fanpage – la possibilità per l’ULD di esercitare i suoi poteri d’intervento nei confronti di Facebook Inc. e di Facebook Ireland non esclude affatto, a mio giudizio, l’adozione di misure nei confronti della Wirtschaftsakademie e non può, di per sé, pregiudicare la legittimità di queste ultime (73). 127. Dalle considerazioni che precedono si evince che l’articolo 4, paragrafo 1, lettera a), della direttiva 95/46 deve essere interpretato nel senso che un trattamento di dati personali, come quello controverso nel procedimento principale, viene effettuato nel contesto delle attività di uno stabilimento del responsabile di tale trattamento nel territorio di uno Stato membro, ai sensi della suddetta disposizione, quando un’impresa che gestisce un social network apre in detto Stato membro una filiale incaricata della promozione e della vendita degli spazi pubblicitari da essa proposti e la cui attività è rivolta agli abitanti del suddetto Stato membro. 128. Inoltre, in un caso come quello oggetto del procedimento principale, in cui il diritto nazionale applicabile al trattamento dei dati personali interessato è quello dello Stato membro cui appartiene un’autorità di vigilanza, l’articolo 28, paragrafi 1, 3 e 6, della direttiva 95/46 deve essere interpretato nel senso che la suddetta autorità di vigilanza può esercitare tutti i poteri effettivi di intervento che le sono riconosciuti dall’articolo 28, paragrafo 3, della direttiva di cui trattasi nei confronti del responsabile del trattamento, anche quando detto responsabile è situato in un altro Stato membro o in uno Stato terzo. C.

Sulla quinta e sulla sesta questione pregiudiziale

129. Con la quinta e sesta questione pregiudiziale, che a mio giudizio è opportuno esaminare congiuntamente, il giudice del rinvio chiede in sostanza alla Corte di stabilire se l’articolo 28, paragrafi 1, 3 e 6, della direttiva 95/46, debba essere interpretato nel senso che, in circostanze quali quelle controverse nel procedimento principale, l’autorità di vigilanza dello Stato membro in cui si trova lo stabilimento del responsabile del trattamento (Facebook Germany) è

autorizzata a esercitare i suoi poteri di intervento in maniera autonoma e senza essere previamente tenuta a richiedere all’autorità di vigilanza dello Stato membro in cui è situato il responsabile del trattamento (Facebook Ireland) di esercitare i suoi poteri. 130. Nella sua ordinanza di rinvio, il Bundesverwaltungsgericht (Corte amministrativa federale tedesca) illustra il collegamento tra le suddette due questioni pregiudiziali e il controllo della legittimità del provvedimento che esso è chiamato a effettuare nel quadro della controversia principale. Il suddetto giudice afferma così, essenzialmente, che l’adozione di un provvedimento nei confronti della Wirtschaftsakademie potrebbe essere considerata come derivante da un errore di valutazione da parte dell’ULD se l’articolo 28, paragrafo 6, della direttiva 95/46 dovesse essere interpretato nel senso che, in circostanze come quelle oggetto del procedimento principale, esso impone a un’autorità di vigilanza – quale l’ULD – di chiedere all’autorità di vigilanza di un altro Stato membro – nella fattispecie, all’autorità di vigilanza in materia di protezione dei dati – di esercitare i suoi poteri qualora le due autorità interessate giungano a conclusioni diverse quanto alla conformità del trattamento dei dati compiuto da Facebook Ireland con le norme sancite dalla direttiva 95/46. 131. Come stabilito dalla Corte nella sentenza del 1 o ottobre 2015, Weltimmo (74), nell’ipotesi in cui il diritto applicabile al trattamento dei dati personali interessati non sia quello dello Stato membro dell’autorità di vigilanza che intende esercitare i suoi poteri di intervento, ma quello di un altro Stato membro, l’articolo 28, paragrafi 1, 3 e 6, della direttiva 95/46 deve essere interpretato nel senso che la suddetta autorità non può imporre, sulla base del diritto del suo Stato membro, sanzioni nei confronti del responsabile del trattamento dei dati che non è stabilito nel territorio di detto Stato, ma, secondo l’articolo 28, paragrafo 6, della medesima direttiva, dovrebbe chiedere l’intervento dell’autorità di vigilanza dello Stato membro del quale si applica la legge (75). 132. In una situazione del genere, l’autorità di vigilanza del primo Stato membro perde la sua competenza a esercitare il suo potere sanzionatorio nei confronti di un responsabile del trattamento stabilito in un altro Stato membro. Essa è quindi tenuta, in virtù dell’obbligo di collaborazione di cui all’articolo 28, paragrafo 6, della direttiva 95/46, a chiedere all’autorità di vigilanza di tale altro Stato membro di accertare un’eventuale violazione del diritto di detto Stato e di imporre sanzioni se questo lo consente, appoggiandosi, se del caso, sulle informazioni che essa le avrà comunicato (76).

133. Come rilevato in precedenza, la situazione oggetto della presente controversia è ben diversa in quanto il diritto applicabile è proprio quello dello Stato membro dell’autorità di vigilanza che intende esercitare i suoi poteri di intervento. In un tal caso, l’articolo 28, paragrafo 6, della direttiva 95/46 deve essere interpretato nel senso che non impone alla suddetta autorità di vigilanza di chiedere all’autorità di vigilanza dello Stato membro, in cui è stabilito il responsabile del trattamento, di esercitare i suoi poteri di intervento nei confronti di quest’ultimo. 134. Aggiungo che, conformemente a quanto prevede l’articolo 28, paragrafo 1, secondo periodo, della direttiva 95/46, l’autorità di vigilanza competente a esercitare i suoi poteri di intervento nei confronti di un responsabile del trattamento, stabilito in uno Stato membro diverso da quello di detta autorità, esercita in piena indipendenza le funzioni attribuitele. 135. Come emerge dalle considerazioni che precedono, la direttiva 95/46 non sancisce il principio del paese d’origine, né introduce un meccanismo di sportello unico quale quello previsto nel regolamento 2016/679. Pertanto, un responsabile del trattamento che dispone di stabilimenti in più Stati membri è pienamente soggetto al controllo di più autorità di vigilanza ogniqualvolta trovino applicazione le normative degli Stati membri di dette autorità. Benché sia auspicabile che le suddette autorità di vigilanza si accordino e cooperino tra loro, nulla obbliga però un’autorità di vigilanza di riconosciuta competenza ad allineare la sua posizione a quella assunta da un’altra autorità di vigilanza. 136. Alla luce di quanto precede, ritengo che l’articolo 28, paragrafi 1, 3 e 6, della direttiva 95/46 debba essere interpretato nel senso che, in circostanze quali quelle controverse nel procedimento principale, l’autorità di vigilanza dello Stato membro in cui si trova lo stabilimento del responsabile del trattamento è autorizzata a esercitare i suoi poteri di intervento nei confronti del suddetto responsabile in maniera autonoma, e senza essere tenuta a richiedere previamente all’autorità di vigilanza dello Stato membro in cui quest’ultimo è situato di esercitare i suoi poteri.

III. Conclusione 137. Alla luce delle considerazioni che precedono, propongo di rispondere come segue alle questioni pregiudiziali sollevate dal Bundesverwaltungsgericht (Corte amministrativa federale, Germania):

L’articolo 2, lettera d), della direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, come modificata dal regolamento (CE) n. 1882/2003 del Parlamento europeo e del Consiglio, del 29 settembre 2003, deve essere interpretato nel senso che il gestore di una fanpage su un social network, quale Facebook, costituisce un responsabile del trattamento ai sensi della disposizione di cui trattasi con riferimento al trattamento dei dati personali, consistente nella raccolta da parte di detto social network dei dati personali di chi accede alla suddetta pagina, al fine di elaborare statistiche sugli utenti della stessa.

L’articolo 4, paragrafo 1, lettera a), della direttiva 95/46, come modificata dal regolamento n. 1882/2003, deve essere interpretato nel senso che un trattamento di dati personali come quello controverso nel procedimento principale è effettuato nel territorio di uno Stato membro nel contesto delle attività di uno stabilimento del responsabile di tale trattamento, ai sensi della disposizione suddetta, quando un’impresa che gestisce un social network apre in detto Stato membro una filiale destinata alla promozione e alla vendita degli spazi pubblicitari proposti da tale impresa e la cui attività è diretta agli abitanti di detto Stato membro.

In un caso come quello oggetto del procedimento principale, in cui il diritto nazionale applicabile al trattamento dei dati personali interessato è quello dello Stato membro cui appartiene un’autorità di vigilanza, l’articolo 28, paragrafi 1, 3 e 6, della direttiva 95/46, come modificata dal regolamento n. 1882/2003, deve essere interpretato nel senso che la suddetta autorità di vigilanza può esercitare tutti i poteri effettivi di intervento che le sono riconosciuti dall’articolo 28, paragrafo 3, della direttiva di cui trattasi nei confronti del responsabile del trattamento, anche quando detto responsabile è situato in un altro Stato membro o in uno Stato terzo.

L’articolo 28, paragrafi 1, 3 e 6, della direttiva 95/46, come modificata dal regolamento n. 1882/2003, deve essere interpretato nel senso che, in circostanze quali quelle controverse nel procedimento principale, l’autorità di vigilanza dello Stato membro in cui si trova lo stabilimento del responsabile del trattamento è autorizzata a esercitare i suoi poteri di intervento nei confronti del suddetto responsabile in maniera autonoma, e

senza essere tenuta a richiedere previamente all’autorità di vigilanza dello Stato membro in cui quest’ultimo è situato di esercitare i suoi poteri.

Lingua originale: il francese.

GU 1995, L 281, pag. 31.

GU 2003, L 284, pag. 1; in prosieguo la «direttiva 95/46».

In prosieguo: il «gruppo di lavoro “Articolo 29”».

In prosieguo: il «parere 2/2010».

Parere 2/2010, pag. 5.

7 Parere 2/2010, pag. 6. In base alle spiegazioni fornite dal gruppo di lavoro «Articolo 29» nel parere di cui trattasi, «[i]n genere, il sistema funziona nel modo seguente: di norma, il fornitore di rete pubblicitaria colloca un tracking cookie nell’apparecchiatura terminale dell’interessato la prima volta che questo accede a un sito web che trasmette un messaggio pubblicitario della sua rete. Il cookie consiste in un breve testo alfanumerico che viene archiviato (e successivamente recuperato) da un fornitore di rete nell’apparecchiatura terminale dell’interessato. Nell’ambito della pubblicità comportamentale, il cookie consentirà al fornitore di rete pubblicitaria di riconoscere un visitatore che ritorna su quel sito web o visita un qualsiasi altro sito web partner di quella rete pubblicitaria. Le visite ripetute consentiranno al fornitore di rete pubblicitaria di creare un profilo del visitatore, che sarà usato per la trasmissione di messaggi pubblicitari personalizzati». 8 Parere 1/2010 del gruppo di lavoro «Articolo 29», del 16 febbraio 2010, sui concetti di «responsabile del trattamento» e «incaricato del trattamento»; in prosieguo: il «parere 1/2010», pag. 24.

9 In tal senso, in data 11 settembre 2017, l’Agencia española de protección de datos (Agenzia spagnola per la protezione dei dati) ha annunciato di aver inflitto un’ammenda di EUR 1,2 milioni a Facebook Inc. In precedenza, e con delibera del 27 aprile 2017, la Commission nationale de l’informatique et des libertés (Commissione nazionale per l’informatica e le libertà – CNIL, Francia) ha deciso di infliggere alle società Facebook Inc. e Facebook Ireland, solidalmente responsabili, una sanzione pecuniaria pari a EUR 150 000. 10

L’articolo 38, paragrafo 5, del BDSG, così dispone:

«Al fine di garantire il rispetto della presente legge e delle altre disposizioni in materia di protezione dei dati, l’autorità di vigilanza può ordinare misure dirette a eliminare le infrazioni accertate nella raccolta, nel trattamento o nell’utilizzo dei dati personali nonché i problemi tecnici o organizzativi rilevati. In caso di violazioni o inadempimenti gravi, in particolare se implicanti notevoli rischi per il diritto alla vita privata, l’autorità preposta può vietare la raccolta, il trattamento o l’utilizzo [dei dati] oppure il ricorso a determinate procedure qualora le infrazioni o gli inadempimenti non siano sanati in tempo utile in violazione del provvedimento di cui al primo periodo e nonostante l’irrogazione di un’ammenda. Essa può chiedere la revoca del garante della protezione dei dati ove questi non disponga delle competenze e dell’affidabilità necessarie per svolgere le sue mansioni». 11

L’articolo 12 della legge sui media online è del seguente tenore:

«(1) Il fornitore di servizi può raccogliere e impiegare dati personali ai fini della messa a disposizione di media online solo se consentito dalla presente legge o da un’altra normativa riguardante espressamente i media online, oppure se l’utente vi abbia prestato consenso. (…) (3) Ove non sia diversamente stabilito, le norme vigenti per la tutela dei dati personali trovano applicazione anche nel caso in cui i dati non costituiscano oggetto di trattamento automatizzato».

12 La disposizione di cui trattasi riguarda il trattamento di dati personali su commissione. 13 In forza della suddetta disposizione, «per organismo responsabile si intende qualsiasi persona oppure organismo che raccoglie, elabora o utilizza dati personali in proprio o attraverso terzi su commissione». 14

C-131/12, EU:C:2014:317.

Punto 60 della citata sentenza.

16 In base alle definizioni contenute nel parere 1/2010, il termine «finalità» indica «un risultato sperato, che si persegue o che guida le azioni previste» e per «strumento» si intende «il modo di ottenere un risultato o di raggiungere un fine» (pag. 13). 17 Così, ad esempio, in conformità all’articolo 6, paragrafo 2, di tale direttiva, il responsabile del trattamento è tenuto a garantire il rispetto dei principi relativi alla qualità dei dati elencati nell’articolo 6, paragrafo 1, della stessa direttiva. In forza degli articoli 10 e 11 della direttiva 95/46, sul responsabile del trattamento grava un obbligo di informazione nei confronti degli interessati da un trattamento di dati personali. In applicazione dell’articolo 12 di tale direttiva, il diritto di accesso ai dati riconosciuto agli interessati viene esercitato nei confronti del responsabile del trattamento. Lo stesso vale per il diritto di opposizione previsto dall’articolo 14 della direttiva in questione. In forza dell’articolo 23, paragrafo 1, della direttiva 95/46, gli Stati membri dispongono che «chiunque subisca un danno cagionato da un trattamento illecito o da qualsiasi altro atto incompatibile con le disposizioni nazionali di attuazione [di detta] direttiva abbia il diritto di ottenere il risarcimento del pregiudizio subito dal responsabile del trattamento». Infine, i poteri effettivi di intervento delle autorità di vigilanza, come previsti nell’articolo 28, paragrafo 3, della direttiva in questione, vengono esercitati nei confronti dei responsabili del trattamento. 18

C-131/12, EU:C:2014:317.

19 V., in questo senso, sentenza del 13 maggio 2014, Google Spain e Google (C-131/12, EU:C:2014:317, punti 38 e 83). 20 V., in particolare, sentenza del 13 maggio 2014, Google Spain e Google (C-131/12, EU:C:2014:317, punto 34). 21

Parere 1/2010, pag. 10.

22 Così, in base alle spiegazioni fornite da Facebook Ireland, quest’ultima introduce con regolarità funzioni messe a disposizione esclusivamente degli interessati all’interno dell’Unione e adattate a tali persone. In altri casi, Facebook Ireland sceglie di non offrire nell’Unione prodotti messi a disposizione negli Stati Uniti da Facebook Inc. 23

V. sentenza del 6 ottobre 2015, Schrems (C-362/14, EU:C:2015:650, punto 27).

V. ordinanza di rinvio, punto 39.

25 Nell’ambito della presente fattispecie non rileva la determinazione della finalità e degli strumenti del trattamento successivo alla trasmissione a Facebook dei dati degli utenti di una fanpage. Occorre concentrarsi sulla fase del trattamento qui controversa, vale a dire quella della raccolta dei dati degli utenti di una fanpage senza che essi ne siano stati informati e senza che sia stato debitamente ottenuto il loro consenso. 26 Dalle condizioni di utilizzo di Facebook emerge che le statistiche sugli utenti permettono al gestore di una fanpage di accedere a informazioni sul suo pubblico destinatario al fine di poter creare contenuti più adatti ad esso. Le statistiche sugli utenti forniscono al gestore di una fanpage dati demografici concernenti il suo pubblico destinatario, in particolare in materia di età, sesso, situazione sentimentale e professionale, informazioni sullo stile di vita e sugli interessi di detto pubblico, nonché informazioni sugli acquisti da esso compiuti, segnatamente, il suo comportamento di acquisto online, le categorie di prodotti o di servizi di suo maggiore interesse e dati territoriali che permettono al gestore della fanpage di stabilire dove avviare promozioni speciali e organizzare eventi.

V., in questo senso, parere 1/2010, pag. 27.

28 Ibidem, pag. 27: «Lo squilibrio fra il potere contrattuale di un piccolo responsabile del trattamento rispetto a un grosso fornitore di servizi non può giustificare il fatto che il primo accetti clausole e condizioni non conformi alla normativa sulla protezione dei dati». 29

C-131/12, EU:C:2014:317.

30 Sentenza del 13 maggio 2014, Google Spain e Google (C-131/12, EU:C:2014:317, punto 38 e, in questo senso, punto 83). 31 Sentenza del 13 maggio 2014, Google Spain e Google (C-131/12, EU:C:2014:317, punto 40). 32

V. ordinanza di rinvio, punto 35.

Causa ancora pendente dinanzi alla Corte.

34 Come osserva l’autorità svizzera per la protezione dei dati, «[b]enché, nella maggior parte dei casi, la registrazione e l’analisi dei dati siano compiuti, in senso stretto, dal fornitore di servizi di webtracking, è responsabile anche il gestore del sito web. Infatti, esso inserisce nel proprio sito il codice del fornitore di servizi di webtracking e favorisce così, all’insaputa dell’utente, la trasmissione di dati, l’installazione di cookie e la raccolta di dati a beneficio del fornitore dei suddetti servizi». V. Explications concernant le webtracking, del Préposé fédéral à la protection des données et à la transparence (Autorità federale svizzera per la tutela dei dati e per la trasparenza – PFPDT), reperibile all’indirizzo Internet: https://www.edoeb.admin.ch/datenschutz/00683/01103/01104/index.html?lang=fr. 35

V., in questo senso, parere 1/2010, pag. 23.

Parere 1/2010, pagg. 33 e 34.

Parere 1/2010, pag. 20.

V. ordinanza di rinvio, punto 40.

39 V., in particolare, sentenza del 31 gennaio 2017, Lounani (C-573/14, EU:C:2017:71, punto 56 e giurisprudenza ivi citata). 40

In prosieguo: il «parere 8/2010».

Pagg. 31 e 32 del suddetto parere.

Pag. 32 del parere citato.

43 La determinazione del diritto nazionale applicabile e l’individuazione dello stabilimento che può essere destinatario delle azioni dei soggetti danneggiati e delle autorità di vigilanza risulta complessa in ragione della struttura adottata da gruppi come Google e Facebook per sviluppare le loro attività a livello mondiale. V., su tali questioni, Svantesson, D., «Enforcing Privacy Across Different Jurisdiction», Enforcing Privacy: Regulatory, Legal and Technological Approaches, Springer, Berlino, 2016, pagg. da 195 a 222, in particolare pagg. da 216 a 218. 44 V., in particolare, sentenza del 1o ottobre 2015, Weltimmo (C-230/14, EU:C:2015:639, punto 25 e giurisprudenza ivi citata). 45 V., in particolare, sentenza del 28 luglio 2016, Verein für Konsumenteninformation (C-191/15, EU:C:2016:612, punto 75 e giurisprudenza ivi citata). 46 V. sentenza del 1o ottobre 2015, Weltimmo (C-230/14, EU:C:2015:639, punto 29).

47 V., segnatamente, sentenza del 28 luglio 2016, Verein für Konsumenteninformation (C-191/15, EU:C:2016:612, punto 77 e giurisprudenza ivi citata). 48 V. sentenza del 1o ottobre 2015, Weltimmo (C-230/14, EU:C:2015:639, punto 29). 49 V., in particolare, sentenza del 28 luglio 2016, Verein für Konsumenteninformation (C-191/15, EU:C:2016:612, punto 78 e giurisprudenza ivi citata). 50 Pag. 33 del parere 8/2010. V., inoltre, in questo senso, pagg.15 e 16 di detto parere. 51

C-131/12, EU:C:2014:317.

Punto 55 della citata sentenza.

Punto 56 della citata sentenza.

Punto 57 della citata sentenza.

55 V., in questo senso, parere 5/2009 del gruppo di lavoro «Articolo 29», del 12 giugno 2009. sui social network online, pag. 5. 56

C-131/12, EU:C:2014:317.

57 V., in particolare, «Update of Opinion 8/2010 on applicable law in light of the CJEU judgment in Google Spain», del gruppo di lavoro «Articolo 29», del 16 dicembre 2015, pagg. 6 e 7.

58 V., nel senso della possibile applicazione di più normative nazionali, il parere 8/2010: «Il riferimento a “uno” stabilimento significa che la presenza di uno stabilimento del responsabile del trattamento nel territorio di uno Stato membro determina l’applicabilità della legge di quello Stato membro, e che la presenza di altri stabilimenti di quel responsabile del trattamento nel territorio di altri Stati membri determina l’applicabilità delle leggi di tali Stati membri» (pag. 33). 59

C-191/15, EU:C:2016:612.

60 Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46 (GU 2016, L 119, pag. 1). 61 V., a tale proposito, Hawkes, B., «The Irish DPA and its Approach to Data Protection», Enforcing Privacy: Regulatory, Legal and Technological Approaches, Springer, Berlin, 2016, pagg. da 441 a 454, in particolare pag. 450, nota a piè di pagina 11. L’autore osserva che «[t]he degree to which, under existing EU law, other European DPAs can assert jurisdiction over entities such as Facebook-Ireland is not entirely clear, linked as it is to interpretations of Article 4 of Directive 95/46/EC, notably the phrase “the processing is carried out in the context of the activities of an establishment of the controller on the territory of the Member State”. The DPC, in its audit report, stated that: “[I]t ha(d) jurisdiction over the personal data processing activities of [Facebook-Ireland] based on it being established in Ireland” but that this “should not however be interpreted as asserted sole jurisdiction over the activities of Facebook in the EU”. 62

C-131/12, EU:C:2014:317.

63 V., secondo una logica comparabile, Common Statement by the Contact Group of the Data Protection Authorities of The Netherlands, France, Spain, Hamburg and Belgium, 16 May 2017, nel quale le suddette autorità dichiarano che: «(…) The DPAs united in the Contact Group conclude that their respective national data protection law applies to the processing of personal data of users and non-users by the Facebook Group in their respective countries and that each DPA has competence. Following case law from the European Court of Justice (…), the DPAs note that the Facebook

Group has offices in multiple countries in the EU. These offices aim to promote and increase the sales of targeted advertising aimed at national users and non-users of the service. For its revenues, the Facebook Group almost completely depends on the sale of advertising space, and personal data must necessarily be processed for the type of targeted advertising services offered by the Facebook Group. Therefore, the activities of these offices are â&#x20AC;&#x153;inextricably linkedâ&#x20AC;? to the data processing by the Facebook Group, and all the investigated national offices are relevant establishments under Article 4(1)a of the European Data Protection Directive 95/46/ECÂť. 64 V. sentenza del 1o ottobre 2015, Weltimmo (C-230/14, EU:C:2015:639, punto 49). 65

C-230/14, EU:C:2015:639.

66 V. sentenza del 1o ottobre 2015, Weltimmo (C-230/14, EU:C:2015:639, punto 42). 67 V. sentenza del 1o ottobre 2015, Weltimmo (C-230/14, EU:C:2015:639, punto 43). 68 V. sentenza del 1o ottobre 2015, Weltimmo (C-230/14, EU:C:2015:639, punto 55). 69 V. sentenza del 1o ottobre 2015, Weltimmo (C-230/14, EU:C:2015:639, punto 57). 70

C-230/14, EU:C:2015:639.

V., a questo proposito, paragrafo 44 delle presenti conclusioni.

V. anche paragrafi da 73 a 77 delle presenti conclusioni.

C-230/14, EU:C:2015:639.

75 Sentenza del 1o ottobre 2015, Weltimmo (C-230/14, EU:C:2015:639, punto 60).

Sentenza del 1o ottobre 2015, Weltimmo (C-230/14, EU:C:2015:639, punto 57)