Il pulsante “Mi piace” di Facebook

L’operatore di un sito Web che incorpora su quel sito Web un plug-in sociale, come il pulsante “Mi piace” di Facebook che induce il browser di un visitatore di quel sito Web a richiedere contenuti dal fornitore di tale plugin e, a tal fine, trasmettere a tale fornitore i dati personali del visitatore possono essere considerati responsabili del trattamento ai sensi dell’articolo 2, lettera d), della direttiva 95/46. Tale responsabilità è tuttavia limitata al funzionamento o all’insieme delle operazioni che comportano il trattamento di dati personali per i quali determina effettivamente le finalità e i mezzi, vale a dire, la raccolta e la divulgazione mediante trasmissione dei dati in questione

Gli artt. 2, lett. H), e 7, lett. A), della direttiva 95/46 devono essere interpretati nel senso che, in una situazione come quella di cui al procedimento principale, in cui il gestore di un sito web inserisce in tale sito un plug-in che induce il browser di un visitatore di quel sito Web a richiedere contenuti dal fornitore di quel plug-in e, a tal fine, a trasmettere a tale fornitore i dati personali del visitatore, il consenso di cui a tali disposizioni deve essere ottenuto solo da tale operatore per quanto riguarda l’operazione o l’insieme delle operazioni che comportano il trattamento di dati personali per i quali tale operatore determina le finalità e i mezzi. Inoltre, l’articolo 10 di detta direttiva deve essere interpretato nel senso che, in tale situazione, l’obbligo di informazione previsto da tale disposizione incombe anche a tale operatore, ma è necessario che le informazioni che quest’ultima deve fornire all’interessato solo per l’operazione o l’insieme di operazioni che comportano il trattamento di dati personali per i quali tale operatore determina effettivamente le finalità e i mezzi.

Corte di Giustizia, Sezione Seconda, sentenza 29 luglio 2019, causa C-40/17

(Domanda di pronuncia pregiudiziale – Tutela delle persone fisiche con riguardo al trattamento dei dati personali – Direttiva 95/46 / CE – Articolo 2, lettera d) – Nozione di “responsabile del trattamento” – Gestore di un sito Web che ha incorporato in tale sito Web un social plugin che consente ai dati personali di un visitatore di quel sito Web di essere trasferiti al fornitore di tale plugin – Articolo 7 (f) – Liceità del trattamento dei dati – Tenendo conto dell’interesse dell’operatore del sito Web o di quello del fornitore del social plugin – Articoli 2 (h) e 7 (a) – Consenso dell’interessato – Articolo 10 – Informare l’interessato – Legislazione nazionale che consente alle associazioni di tutela dei consumatori di avviare o difendere procedimenti giudiziari)

Giudizio

1 La presente domanda di pronuncia pregiudiziale verte sull’interpretazione degli articoli 2, 7, 10 e da 22 a 24 della direttiva 95/46 / CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali e sulla libera circolazione di tali dati (GU L 281, pag. 31).

2 La richiesta è stata presentata nell’ambito di un procedimento tra Fashion ID GmbH & Co. KG e Verbraucherzentrale NRW eV in merito all’incorporazione di Fashion ID di un plug-in sociale fornito da Facebook Ireland Ltd sul sito Web di Fashion ID.

Contesto giuridico

Diritto dell’Unione Europea

3 Con effetto dal 25 maggio 2018, la direttiva 95/46 è stata abrogata e sostituita dal regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla tutela delle persone fisiche con riguardo al trattamento dei dati personali e sulla libera circolazione di tali dati e che abroga la direttiva 95/46 / CE (GU L 119, pag. 1). Tuttavia, alla luce della data dei fatti nella causa principale, è applicabile la direttiva 95/46 a tale controversia.

4 Il considerando 10 della direttiva 95/46 recita:

“Considerando che l’oggetto delle leggi nazionali sul trattamento dei dati personali è quello di proteggere i diritti e le libertà fondamentali, in particolare il diritto alla privacy, che è riconosciuto sia nell’articolo 8 della Convenzione europea per la salvaguardia dei diritti dell’uomo che delle libertà fondamentali [, firmato a Roma il 4 novembre 1950] e nei principi generali del diritto [UE]; che, per tale motivo, il ravvicinamento di tali leggi non deve comportare una riduzione della protezione che offrono, ma deve, al contrario, cercare di garantire un livello elevato di protezione nell ‘[Unione europea] “.

5 L’art. 1 della direttiva 95/46 prevede quanto segue:

‘1. Ai sensi della presente direttiva, gli Stati membri proteggono i diritti e le libertà fondamentali delle persone fisiche, in particolare il loro diritto alla privacy in relazione al trattamento dei dati personali.

  1. Gli Stati membri non limitano né vietano la libera circolazione dei dati personali tra gli Stati membri per motivi connessi alla protezione offerta ai sensi del paragrafo 1. “

6 L’articolo 2 di tale direttiva prevede quanto segue:

“Ai fini della presente direttiva:

“Ai fini della presente direttiva:

  1. a) “dati personali”: qualsiasi informazione relativa a una persona fisica identificata o identificabile (“persona interessata”); una persona identificabile è una persona che può essere identificata, direttamente o indirettamente, in particolare facendo riferimento a un numero di identificazione oa uno o più fattori specifici della sua identità fisica, fisiologica, mentale, economica, culturale o sociale;

(b) “trattamento di dati personali” (“trattamento”) indica qualsiasi operazione o insieme di operazioni eseguite su dati personali, anche con mezzi automatici, come raccolta, registrazione, organizzazione, conservazione, adattamento o alterazione, recupero, consultazione, uso, divulgazione mediante trasmissione, diffusione o messa a disposizione in altro modo, allineamento o combinazione, blocco, cancellazione o distruzione;

(d) “responsabile del trattamento”: la persona fisica o giuridica, l’autorità pubblica, l’agenzia o qualsiasi altro organismo che, da solo o congiuntamente con altri, determina le finalità e i mezzi del trattamento dei dati personali; se le finalità e i mezzi di trattamento sono determinati da leggi o regolamenti nazionali o [UE], il responsabile del trattamento o i criteri specifici per la sua nomina possono essere designati dalla legge nazionale o [UE];

  1. a) l’identità del responsabile del trattamento e del suo rappresentante, se del caso;

(b) le finalità del trattamento cui sono destinati i dati;

(c) qualsiasi ulteriore informazione come

– i destinatari o le categorie di destinatari dei dati,

– se le risposte alle domande sono obbligatorie o volontarie, nonché le possibili conseguenze della mancata risposta,

– l’esistenza del diritto di accesso e di rettifica dei dati che lo riguardano

nella misura in cui tali ulteriori informazioni sono necessarie, tenuto conto delle circostanze specifiche in cui i dati sono raccolti, per garantire un trattamento equo nei confronti dell’interessato. “

9 L’art. 22 della direttiva 95/46 è così formulato:

“Fatte salve le vie di ricorso amministrative per le quali è possibile prevedere, tra l’altro dinanzi all’autorità di controllo di cui all’articolo 28, prima del rinvio all’autorità giudiziaria, gli Stati membri prevedono il diritto di ogni persona a un ricorso giurisdizionale per qualsiasi violazione dei diritti garantiti dalla legge nazionale applicabile al trattamento in questione. “

10 L’articolo 23 di tale direttiva stabilisce quanto segue:

‘1. Gli Stati membri prevedono che chiunque abbia subito un danno a seguito di un’operazione di trattamento illecito o di un atto incompatibile con le disposizioni nazionali adottate ai sensi della presente direttiva ha diritto a ricevere un risarcimento dal responsabile del trattamento per il danno subito.

  1. Il responsabile del trattamento può essere esonerato da questa responsabilità, in tutto o in parte, se dimostra di non essere responsabile dell’evento che ha causato il danno. “

11 L’articolo 24 di tale direttiva prevede quanto segue:

“Gli Stati membri adottano misure idonee a garantire la piena attuazione delle disposizioni della presente direttiva e in particolare stabiliscono le sanzioni da imporre in caso di violazione delle disposizioni adottate ai sensi della presente direttiva.”

12 L’art. 28 della direttiva 95/46 stabilisce:

‘1. Ciascuno Stato membro prevede che una o più autorità pubbliche siano responsabili del controllo dell’applicazione nel proprio territorio delle disposizioni adottate dagli Stati membri ai sensi della presente direttiva.

Tali autorità agiscono in totale indipendenza nell’esercizio delle funzioni loro affidate.

  1. Ciascuna autorità è dotata in particolare di:

– il potere di avviare procedimenti giudiziari in cui le disposizioni nazionali adottate ai sensi della presente direttiva sono state violate o di portare tali violazioni all’attenzione delle autorità giudiziarie. … 4. Ciascuna autorità di controllo sente i reclami presentati da qualsiasi persona o da un’associazione che rappresenta tale persona in merito alla protezione dei suoi diritti e libertà in relazione al trattamento dei dati personali. L’interessato è informato dell’esito del reclamo. …’ 13 Articolo 5, paragrafo 3, della direttiva 2002/58 / CE del Parlamento europeo e del Consiglio, del 12 luglio 2002, relativa al trattamento dei dati personali e alla protezione della vita privata nel settore delle comunicazioni elettroniche (Direttiva sulla privacy e le comunicazioni elettroniche) ( GU 2002, L 201, pag. 37), modificata dalla direttiva 2009/136 / CE del Parlamento europeo e del Consiglio, del 25 novembre 2009 (GU L 337, pag. 11), (“Direttiva 2002/58”) fornisce: «Gli Stati membri assicurano che la memorizzazione di informazioni o l’accesso a informazioni già memorizzate nell’apparecchiatura terminale di un abbonato o utente sia consentita solo a condizione che l’abbonato o l’utente interessato abbia dato il proprio consenso, essendo stato fornite informazioni chiare e complete, conformemente alla direttiva [95/46], tra l’altro, sulle finalità del trattamento. Ciò non impedisce l’archiviazione o l’accesso tecnico al solo scopo di effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o quanto strettamente necessario per consentire al fornitore di un servizio della società dell’informazione esplicitamente richiesto dall’abbonato o dall’utente di fornire il servizio.’

14 Articolo 1, paragrafo 1, della direttiva 2009/22 / CE del Parlamento europeo e del Consiglio, del 23 aprile 2009, relativa a provvedimenti inibitori a tutela degli interessi dei consumatori (GU L 110, pag. 30), modificato dal regolamento ( UE) n. 524/2013 del Parlamento europeo e del Consiglio, del 21 maggio 2013 (GU L 165, pag. 1), (“Direttiva 2009/22”) prevede:

“Scopo della presente direttiva è ravvicinare le disposizioni legislative, regolamentari e amministrative degli Stati membri relative alle azioni per un’ingiunzione di cui all’articolo 2 finalizzate alla protezione degli interessi collettivi dei consumatori inclusi negli atti dell’Unione elencati nell’allegato I , al fine di garantire il regolare funzionamento del mercato interno. ”

15 L’articolo 2 di tale direttiva prevede quanto segue:

‘1. Gli Stati membri designano i tribunali o le autorità amministrative competenti a statuire sui procedimenti avviati da entità qualificate ai sensi dell’articolo 3 che cercano:

  1. a) un ordine con tutte le dovute opportunità, se del caso mediante una procedura sommaria, che richieda la cessazione o il divieto di qualsiasi violazione;

…’

16 L’articolo 7 di tale direttiva prevede quanto segue:

“La presente direttiva non impedisce agli Stati membri di adottare o mantenere in vigore disposizioni volte a concedere a soggetti qualificati e a qualsiasi altra persona interessata diritti più ampi di intentare un’azione a livello nazionale.”

17 L’articolo 80 del regolamento 2016/679 recita come segue:

  1. L’interessato ha il diritto di incaricare un ente, un’organizzazione o un’associazione senza fini di lucro che è stata correttamente costituita conformemente alla legge di uno Stato membro, ha obiettivi statutari nell’interesse pubblico ed è attiva nel campo di protezione dei diritti e delle libertà degli interessati in relazione alla protezione dei loro dati personali per presentare il reclamo a loro nome, per esercitare i diritti di cui agli articoli 77, 78 e 79 a suo nome, e esercitare il diritto a ricevere un risarcimento di cui all’articolo 82 per suo conto ove previsto dalla legislazione degli Stati membri.
  2. Gli Stati membri possono prevedere che qualsiasi organismo, organizzazione o associazione di cui al paragrafo 1 del presente articolo, indipendentemente dal mandato di una persona interessata, abbia il diritto di presentare un reclamo in tale Stato membro all’autorità di controllo competente ai sensi dell’articolo 77 e di esercitare i diritti di cui agli articoli 78 e 79 se ritiene che i diritti di una persona interessata ai sensi del presente regolamento siano stati violati a seguito del trattamento. “

Legge tedesca

18 L’art. 3, n. 1, della versione del Gesetz gegen den unlauteren Wettbewerb (legge contro la concorrenza sleale) applicabile alla controversia nella causa principale (“l’UWG”) prevede quanto segue: “Le pratiche commerciali sleali sono vietate.” 19 L’articolo 3a dell’UWG è così formulato: “Si ritiene che una persona agisca ingiustamente qualora violi una disposizione statutaria intesa anche a regolare il comportamento del mercato nell’interesse dei partecipanti al mercato e l’infrazione rischia di avere un effetto significativamente negativo sugli interessi dei consumatori, di altri partecipanti al mercato o concorrenti. 20 L’articolo 8 dell’UWG prevede quanto segue: “(1) Qualsiasi pratica commerciale illegale ai sensi del paragrafo 3 o del paragrafo 7 può dar luogo a un ordine di cessazione e di annullamento e, in caso di rischio di ricorrenza, a un ordine di divieto. Una richiesta di un ordine di divieto può essere presentata dal momento in cui esiste il rischio di tale pratica illecita ai sensi del paragrafo 3 o del paragrafo 7. … (3) Le domande per gli ordini di cui al paragrafo 1 possono essere presentate da: … 3. entità qualificate che dimostrano di essere iscritte nell’elenco delle entità qualificate ai sensi dell’articolo 4 del Unterlassungsklagegesetz [(Legge sulle ingiunzioni)] o nell’elenco della Commissione europea ai sensi dell’articolo 4, paragrafo 3, della direttiva [2009 / 22];

21 L’art. 2 della legge sulle ingiunzioni prevede quanto segue:

“(1) Chiunque violi le disposizioni in vigore per proteggere i consumatori (leggi a tutela dei consumatori), oltre che nell’applicazione o nella raccomandazione di condizioni generali di vendita, può avere un ordine di cessazione e desistere e un ordine di divieto che gli viene imposto nell’interesse della protezione dei consumatori. …

(2) Ai fini della presente disposizione, per “leggi a tutela del consumatore” si intendono, in particolare:

  1. le disposizioni che regolano la liceità
  2. a) della raccolta di dati personali di un consumatore da parte di un professionista, oppure

(b) del trattamento o dell’uso dei dati personali raccolti su un consumatore da un professionista

se i dati sono raccolti, elaborati o utilizzati a fini di pubblicità, ricerche di mercato e di opinione, operazioni di un’agenzia di credito, preparazione di profili di personalità e utilizzo, negoziazione di indirizzi, altri scambi di dati o scopi commerciali comparabili. ”

22 L’articolo 12, paragrafo 1, del Telemediengesetz (legge sulla telemedia) (“il TMG”) è così formulato:

“Un fornitore di servizi può raccogliere e utilizzare i dati personali per rendere la telemedia disponibile solo nella misura in cui questa Legge o un’altra disposizione legislativa espressamente relativa alla telemedia lo consente o l’utente ha acconsentito.”

23 L’articolo 13, paragrafo 1, del TMG recita:

“All’inizio dell’operazione di utilizzo il fornitore di servizi informa l’utente, in modo generalmente comprensibile, in merito alla natura, alla portata e allo scopo della raccolta e dell’uso dei dati personali e al trattamento dei suoi dati in Stati al di fuori del campo di applicazione della direttiva [95/46] a meno che l’utente non sia già stato informato della stessa. Nel caso di un processo automatizzato che consenta la successiva identificazione dell’utente e che prepari la raccolta o l’uso dei dati personali, l’utente deve essere informato all’inizio di tale processo. Il contenuto delle informazioni trasmesse all’utente deve essere recuperabile per l’utente in qualsiasi momento. ”

24 L’articolo 15, paragrafo 1, del TMG prevede quanto segue:

‘Un fornitore di servizi può raccogliere e utilizzare i dati personali di un utente solo nella misura necessaria per facilitare e addebitare l’uso della telemedia (dati relativi all’uso). I dati relativi all’uso includono, in particolare:

  1. caratteristiche che consentono l’identificazione dell’utente,
  2. informazioni sull’inizio, la fine e l’estensione dell’uso particolare, e
  3. informazioni sulla telemedia utilizzata dall’utente. “

La controversia nella causa principale e le questioni pregiudiziali

25 Fashion ID, un rivenditore di abbigliamento online, ha incorporato nel suo sito web il plug-in “Mi piace” del social network Facebook (“pulsante” Mi piace “di Facebook).

26 Dall’ordinanza di rinvio emerge che una delle caratteristiche di Internet è che, quando si visita un sito Web, il browser consente la visualizzazione di contenuti provenienti da fonti diverse. Pertanto, ad esempio, foto, video, notizie e il pulsante “Mi piace” di Facebook in questione nella presente causa possono essere collegati a un sito Web e apparire lì. Se un operatore di siti Web intende incorporare tali contenuti di terze parti, inserisce un collegamento ai contenuti esterni su quel sito Web. Quando il browser di un visitatore di quel sito Web incontra un tale collegamento, richiede il contenuto al fornitore terzo e lo aggiunge all’aspetto del sito Web nel luogo desiderato. A tal fine, il browser trasmette al server del fornitore terzo l’indirizzo IP del computer del visitatore, nonché i dati tecnici del browser, in modo che il server possa stabilire il formato in cui deve essere consegnato il contenuto quell’indirizzo. Inoltre, il browser trasmette informazioni relative al contenuto desiderato. L’operatore di un sito Web che incorpora contenuti di terze parti in quel sito Web non può controllare quali dati trasmette il browser o cosa fa il fornitore terzo con tali dati, in particolare se decide di salvarli e utilizzarli.

27 Per quanto riguarda, in particolare, il pulsante “Mi piace” di Facebook, dall’ordinanza di riferimento sembra emergere che, quando un visitatore consulta il sito Web di Fashion ID, i dati personali del visitatore vengono trasmessi a Facebook Irlanda a seguito di quel sito web incluso quel pulsante. Sembra che la trasmissione avvenga senza che quel visitatore ne sia consapevole, indipendentemente dal fatto che sia o meno un membro del social network Facebook o abbia fatto clic sul pulsante “Mi piace” di Facebook.

28 Verbraucherzentrale NRW, un’associazione di servizio pubblico incaricata di salvaguardare gli interessi dei consumatori, critica Fashion ID per la trasmissione a Facebook Irlanda di dati personali appartenenti ai visitatori del proprio sito Web, in primo luogo, senza il loro consenso e, in secondo luogo, in violazione degli obblighi di informazione stabilito nelle disposizioni relative alla protezione dei dati personali.

29 La Verbraucherzentrale NRW ha intentato un’azione legale per un’ingiunzione dinanzi al Landgericht Düsseldorf (tribunale regionale di Düsseldorf, Germania) contro la Fashion ID per costringerla a porre fine a tale pratica.

30 Con decisione del 9 marzo 2016, il Landgericht Düsseldorf (tribunale regionale di Düsseldorf) ha accolto in parte le richieste formulate dalla Verbraucherzentrale NRW, dopo aver constatato la propria legittimità a presentare ricorso ai sensi dell’art. 8, n. 3, n. 3, dell’UWG.

31 La Fashion ID ha proposto un ricorso avverso tale decisione dinanzi al giudice del rinvio, l’Oberlandesgericht Düsseldorf (tribunale regionale superiore, Düsseldorf, Germania). Facebook Irlanda è intervenuta in tale appello a sostegno di Fashion ID. La Verbraucherzentrale NRW ha proposto un ricorso incidentale inteso a prorogare la sentenza pronunciata in primo grado contro Fashion ID.

32 La Fashion ID sostiene dinanzi al giudice del rinvio che la decisione del Landgericht Düsseldorf (tribunale regionale di Düsseldorf) è incompatibile con la direttiva 95/46.

33 In primo luogo, la Fashion ID sostiene che gli artt. 22-24 di tale direttiva prevedono la concessione di rimedi giuridici solo agli interessati i cui dati personali sono trattati e alle autorità di controllo competenti. Di conseguenza, il ricorso proposto dalla Verbraucherzentrale NRW è irricevibile a causa del fatto che tale associazione non è legittimata a intentare o difendere un procedimento ai sensi della direttiva 95/46.

34 In secondo luogo, Fashion ID afferma che il Landgericht Düsseldorf (tribunale regionale di Düsseldorf) ha commesso un errore nel constatare che si trattava di un responsabile del trattamento ai sensi dell’articolo 2, lettera d), della direttiva 95/46, poiché non ha alcuna influenza sui dati trasmessi dal browser del visitatore dal suo sito Web o tramite e, se del caso, in che modo Facebook Irlanda utilizza tali dati.

35 In primo luogo, il giudice del rinvio dubita che la direttiva 95/46 conferisca alle associazioni di servizio pubblico il diritto di intentare o difendere un procedimento giudiziario al fine di difendere gli interessi delle persone che hanno subito un danno. A suo avviso, l’articolo 24 di tale direttiva non osta a che le associazioni partecipino a procedimenti giudiziari, poiché, a norma di tale articolo, gli Stati membri sono tenuti ad adottare “misure adeguate” per garantire la piena attuazione di tale direttiva. Pertanto, il giudice del rinvio conclude che la normativa nazionale che consente alle associazioni di avviare azioni legali nell’interesse dei consumatori può costituire una tale “misura adeguata”.

36 Tale giudice rileva, a tale proposito, che l’articolo 80, paragrafo 2, del regolamento 2016/679, che ha abrogato e sostituito la direttiva 95/46, autorizza espressamente l’avvio di un procedimento giudiziario da parte di tale associazione, che tenderebbe a confermare che quest’ultima direttiva non osta a tale azione.

37 Inoltre, tale giudice non è sicuro se l’operatore di un sito Web, come Fashion ID, che incorpora in tale sito Web un plug-in sociale che consenta di raccogliere dati personali possa essere considerato un responsabile del trattamento ai sensi dell’articolo 2, lettera d) Direttiva 95/46, nonostante quest’ultima non abbia alcun controllo sul trattamento dei dati trasmessi al fornitore di tale plugin. In tale contesto, il giudice del rinvio fa riferimento al caso che ha dato luogo alla sentenza del 5 giugno 2018, Wirtschaftsakademie Schleswig-Holstein (C 210/16, EU: C: 2018: 388), che ha trattato una questione analoga.

38 In subordine, nel caso in cui Fashion ID non debba essere considerato un responsabile del trattamento, il giudice del rinvio è incerto se tale direttiva regolasse in modo esaustivo tale nozione, in modo tale da escludere la normativa nazionale che stabilisce la responsabilità civile per un terzo che violi diritti di protezione dei dati. Il giudice del rinvio afferma che sarebbe possibile prevedere che Fashion ID fosse responsabile su questa base ai sensi del diritto nazionale come un “disgregatore” (“Störer”).

39 Se la Fashion ID dovesse essere considerata un responsabile del trattamento o fosse almeno responsabile in quanto “perturbatore” di eventuali violazioni della protezione dei dati da parte di Facebook Irlanda, il giudice del rinvio non è sicuro che il trattamento dei dati personali in questione nel procedimento principale sia lecito e se l’obbligo di informare l’interessato ai sensi dell’articolo 10 della direttiva 95/46 spetta con Fashion ID o con Facebook Irlanda.

40 Pertanto, in primo luogo, per quanto riguarda le condizioni di liceità del trattamento dei dati previste dall’art. 7, lett. F), della direttiva 95/46, il giudice del rinvio esprime incertezza circa il fatto che, in una situazione come quella controversa nella causa principale, è opportuno tener conto dell’interesse legittimo dell’operatore del sito Web o di quello del fornitore del social plugin.

41 In secondo luogo, tale giudice non è sicuro di chi è tenuto a ottenere il consenso e a informare gli interessati i cui dati personali sono trattati in una situazione come quella di cui trattasi nella causa principale. Il giudice del rinvio ritiene che la questione di chi è tenuto a informare le persone interessate, come previsto dall’articolo 10 della direttiva 95/46, è particolarmente importante dato che l’eventuale incorporazione di contenuti di terzi su un sito web dà origine, in principio, al trattamento dei dati personali, la cui portata e finalità sono, tuttavia, sconosciuti alla persona che incorpora tale contenuto, vale a dire il gestore del sito Web in questione. Pertanto, tale operatore non poteva fornire le informazioni richieste nella misura in cui è necessario, il che significa che l’imposizione di un obbligo per l’operatore di informare gli interessati costituirebbe, in pratica, un divieto di incorporazione di terzi contenuti di terze parti.

42 In tali circostanze, l’Oberlandesgericht Düsseldorf (tribunale regionale superiore di Düsseldorf) ha deciso di sospendere il procedimento e di sottoporre alla Corte le seguenti questioni pregiudiziali:

“(1) Le norme di cui agli articoli 22, 23 e 24 della direttiva [95/46] vietano la legislazione nazionale che, oltre ai poteri di intervento conferiti alle autorità di protezione dei dati e ai rimedi a disposizione dell’interessato, concede associazioni di servizio pubblico il potere di agire contro il trasgressore in caso di violazione al fine di salvaguardare gli interessi dei consumatori?

Se alla domanda 1 viene data una risposta negativa:

(2) In un caso come quello attuale, in cui qualcuno ha incorporato un codice di programmazione nel suo sito Web che induce il browser dell’utente a richiedere contenuti da una terza parte e, a tal fine, trasmette dati personali a terze parti, è la persona che incorpora il contenuto del “responsabile del trattamento” ai sensi dell’articolo 2, lettera d), della direttiva [95/46] se tale persona non è in grado di influenzare questa operazione di trattamento dei dati? (3) In caso di risposta negativa alla domanda 2: l’articolo 2, lettera d), della direttiva [95/46] deve essere interpretato nel senso che regola definitivamente la responsabilità in modo tale da escludere azioni civili nei confronti di terzi chi, sebbene non sia un “controllore”, crea comunque la causa dell’operazione di elaborazione, senza influenzarla? (4) Di chi “interessi legittimi”, in una situazione come quella attuale, sono quelli decisivi nel bilanciamento degli interessi da intraprendere ai sensi dell’articolo 7, lettera f), della direttiva [95/46]? Sono gli interessi a incorporare contenuti di terze parti o gli interessi di terze parti? (5) A chi deve essere concesso il consenso per essere dichiarato ai sensi dell’articolo 7, lettere a) e 2, lettera h), della direttiva [95/46] in una situazione come quella nel caso di specie? (6) Il dovere di informare ai sensi dell’articolo 10 della direttiva [95/46] si applica anche in una situazione come quella nella fattispecie al gestore del sito Web che ha incorporato il contenuto di una terza parte e crea così la causa per il trattamento di dati personali da parte di terzi? “

Esame delle questioni pregiudiziali

La prima domanda

43 Con la sua prima questione, il giudice del rinvio chiede, in sostanza, se gli artt. 22-24 della direttiva 95/46 debbano essere interpretati nel senso che osta alla normativa nazionale che consente alle associazioni per la tutela dei consumatori di avviare o difendere procedimenti giudiziari nei confronti di una persona asseritamente responsabile di un’infrazione delle leggi a tutela dei dati personali.

44 In via preliminare, si deve rilevare che, ai sensi dell’articolo 22 della direttiva 95/46, gli Stati membri sono tenuti a prevedere il diritto di ogni persona a un ricorso giurisdizionale per qualsiasi violazione dei diritti garantiti dalla legge nazionale applicabile al trattamento in questione.

45 L’art. 28, n. 3, terzo trattino, della direttiva 95/46 stabilisce che un’autorità di controllo competente ai sensi dell’articolo 28, paragrafo 1, di detta direttiva per il controllo dell’applicazione nel territorio di uno Stato membro delle disposizioni adottate da tale membro Lo Stato ai sensi di tale direttiva è dotato, tra l’altro, del potere di avviare procedimenti giudiziari in cui le disposizioni nazionali adottate ai sensi di tale direttiva sono state violate o di portare tali violazioni all’attenzione delle autorità giudiziarie.

46 L’art. 28, n. 4, della direttiva 95/46 prevede che l’autorità di controllo sia tenuta a conoscere le domande presentate da un’associazione che rappresenta una persona interessata, ai sensi dell’articolo 2, lettera a), di detta direttiva, relative alla tutela dei suoi diritti e delle sue libertà in relazione al trattamento dei dati personali.

47 Tuttavia, nessuna disposizione di tale direttiva obbliga gli Stati membri a prevedere, o li autorizza espressamente a prevedere, nel loro diritto nazionale che un’associazione possa rappresentare una persona interessata in procedimenti giudiziari o avviare procedimenti giudiziari di propria iniziativa contro la persona presunta responsabile una violazione delle leggi sulla protezione dei dati personali.

48 Tuttavia, da quanto precede non risulta che la direttiva 95/46 osti alla normativa nazionale che consente alle associazioni di tutela dei consumatori di avviare o difendere procedimenti giudiziari nei confronti della persona asseritamente responsabile di tale violazione.

49 Ai sensi dell’articolo 288, terzo comma, TFUE, gli Stati membri sono tenuti, al momento di recepire una direttiva, a garantirne la piena efficacia, ma mantengono un ampio potere discrezionale in merito alla scelta delle modalità e dei mezzi per garantirne l’attuazione. Tale libertà di scelta non pregiudica l’obbligo imposto a tutti gli Stati membri ai quali la direttiva è destinataria di adottare tutte le misure necessarie per garantire che la direttiva in questione sia pienamente efficace in conformità con l’obiettivo che si prefigge di raggiungere (sentenze del 6 ottobre 2010, Base e a., C 389/08, EU: C: 2010: 584, punti 24 e 25, e del 22 febbraio 2018, Porras Guisado, C 103/16, EU: C: 2018: 99, punto 57).

50 A tale proposito, si deve rilevare che uno degli obiettivi di base della direttiva 95/46 è garantire una protezione effettiva e completa dei diritti e delle libertà fondamentali delle persone fisiche, in particolare il loro diritto alla privacy, in relazione al trattamento di dati personali (v., in tal senso, sentenze del 13 maggio 2014, Google Spagna e Google, C 131/12, EU: C: 2014: 317, punto 53 e del 27 settembre 2017, Puškár, C 73/16, EU: C: 2017: 725, punto 38). Il considerando 10 della direttiva 95/46 aggiunge che il ravvicinamento delle legislazioni nazionali applicabili in questo settore non deve comportare una riduzione della protezione che offrono, ma deve al contrario cercare di garantire un livello elevato di protezione nell’Unione europea (sentenze del 6 novembre 2003, Lindqvist, C 101/01, EU: C: 2003: 596, punto 95, del 16 dicembre 2008, Huber, C 524/06, EU: C: 2008: 724, punto 50 e 24 novembre 2011, Asociación Nacional de Establecimientos Financieros de Crédito, C 468/10 e C 469/10, EU: C: 2011: 777, punto 28).

51 Il fatto che uno Stato membro preveda nella sua legislazione nazionale che un’associazione per la tutela dei consumatori possa avviare un procedimento giudiziario nei confronti di una persona che è presumibilmente responsabile di una violazione delle leggi che proteggono i dati personali in nessun modo mina gli obiettivi di tale protezione e, di fatto, contribuisce alla realizzazione di tali obiettivi.

52 Tuttavia, la Fashion ID e la Facebook Ireland sostengono che, poiché le disposizioni nazionali sulla protezione dei dati completamente armonizzate in materia di protezione dei dati personali, sono esclusi tutti i procedimenti giudiziari non espressamente previsti da tale direttiva. Sostengono che gli articoli 22, 23 e 28 della direttiva 95/46 prevedono procedimenti giudiziari avviati solo dagli interessati e dalle autorità di controllo della protezione dei dati.

53 Tale argomento, tuttavia, non può essere accolto.

54 La direttiva 95/46 equivale in effetti a un’armonizzazione della normativa nazionale sulla protezione dei dati personali generalmente completa (v., In tal senso, sentenze del 24 novembre 2011, Asociación Nacional de Establecimientos Financieros de Crédito, C 468/10 e C 469/10, EU: C: 2011: 777, paragrafo 29, e del 7 novembre 2013, IPI, C 473/12, EU: C: 2013: 715, punto 31).

55 La Corte ha quindi dichiarato che l’articolo 7 di tale direttiva stabilisce un elenco esauriente e restrittivo dei casi in cui il trattamento di dati personali può essere considerato lecito e che gli Stati membri non possono aggiungere nuovi principi relativi alla liceità del trattamento di i dati personali a tale articolo o impongono requisiti aggiuntivi che hanno l’effetto di modificare la portata di uno dei sei principi previsti in tale articolo (sentenze del 24 novembre 2011, Asociación Nacional de Establecimientos Financieros de Crédito, C 468/10 e C 469 / 10, EU: C: 2011: 777, punti 30 e 32, e del 19 ottobre 2016, Breyer, C 582/14, EU: C: 2016: 779, punto 57).

56 Tuttavia, la Corte ha anche dichiarato che la direttiva 95/46 stabilisce norme relativamente generali in quanto deve essere applicato a un gran numero di situazioni molto diverse. Tali norme hanno un certo grado di flessibilità e, in molti casi, lasciano agli Stati membri il compito di decidere i dettagli o scegliere tra le opzioni, il che significa che, per molti aspetti, gli Stati membri hanno un margine di discrezionalità nell’attuazione di tale direttiva (cfr. a tal fine, sentenze del 6 novembre 2003, Lindqvist, C 101/01, EU: C: 2003: 596, punti 83, 84 e 97, e del 24 novembre 2011, Asociación Nacional de Establecimientos Financieros de Crédito, C 468/10 e C 469/10, EU: C: 2011: 777, punto 35).

57 Ciò vale anche per gli articoli da 22 a 24 della direttiva 95/46 che, come rilevato dall’avvocato generale al paragrafo 42 delle sue conclusioni, sono formulati in termini generali e non equivalgono a un’armonizzazione esaustiva delle disposizioni nazionali che prevedono ricorsi giudiziari che possono essere intentati contro una persona presumibilmente responsabile di una violazione delle leggi a tutela dei dati personali (v., per analogia, sentenza del 26 ottobre 2017, I, C 195/16, EU: C: 2017: 815, punti 57 e 58).

58 In particolare, sebbene l’articolo 22 di detta direttiva imponga agli Stati membri di prevedere il diritto di ogni persona a un ricorso giurisdizionale per qualsiasi violazione dei diritti garantiti dalla legge nazionale applicabile al trattamento dei dati personali in questione, tale direttiva non , tuttavia, contengono disposizioni che disciplinano specificamente le condizioni alle quali tale ricorso può essere esercitato (v., in tal senso, sentenza del 27 settembre 2017, Puškár, C 73/16, EU: C: 2017: 725, punti 54 e 55) .

59 Inoltre, l’articolo 24 della direttiva 95/46 prevede che gli Stati membri debbano adottare “misure adeguate” per garantire la piena attuazione delle disposizioni di detta direttiva, senza definire tali misure. Sembra che una disposizione che consenta a un’associazione per la tutela dei consumatori di avviare un’azione legale contro una persona che è presumibilmente responsabile di una violazione delle leggi a tutela dei dati personali può costituire una misura adeguata, ai sensi di tale disposizione, che contribuisce, come osservato al punto 51 supra, alla realizzazione degli obiettivi di tale direttiva, conformemente alla giurisprudenza della Corte (v., in tal senso, sentenza del 6 novembre 2003, Lindqvist, C 101/01, EU: C: 2003 : 596, paragrafo 97).

60 Inoltre, contrariamente a quanto asserito dalla Fashion ID, il fatto che uno Stato membro possa prevedere tale possibilità nella sua normativa nazionale non sembra tale da compromettere l’indipendenza con cui le autorità di controllo devono svolgere le funzioni affidate loro ai sensi dell’articolo 28 della direttiva 95/46, poiché tale possibilità non pregiudica né la libertà di tali autorità di prendere decisioni né la loro libertà di agire.

61 Inoltre, sebbene sia vero che la direttiva 95/46 non figura tra le misure elencate nell’allegato I della direttiva 2009/22, resta tuttavia il fatto che, ai sensi dell’articolo 7 di quest’ultima direttiva, tale direttiva non prevedeva un esaustiva armonizzazione al riguardo.

62 Infine, il fatto che il regolamento 2016/679, che ha abrogato e sostituito la direttiva 95/46 ed è applicabile dal 25 maggio 2018, autorizza espressamente, all’articolo 80, paragrafo 2, della stessa, gli Stati membri a consentire alle associazioni di tutela dei consumatori di proporre o difendere un procedimento giudiziario contro una persona che è presumibilmente responsabile di una violazione delle leggi a tutela dei dati personali non significa che gli Stati membri non possano concedere loro tale diritto ai sensi della direttiva 95/46, ma conferma, piuttosto, che l’interpretazione di tale direttiva nella la presente sentenza riflette la volontà del legislatore dell’Unione.

63 Alla luce di tutte le risultanze sopra esposte, la risposta alla prima questione è che gli artt. 22-24 della direttiva 95/46 devono essere interpretati nel senso che non osta alla normativa nazionale che consente alle associazioni di tutela dei consumatori di avviare o difendere procedimenti giudiziari contro una persona presumibilmente responsabile di una violazione della protezione dei dati personali.

La seconda domanda

64 Con la sua seconda questione, il giudice del rinvio chiede, in sostanza, se l’operatore di un sito Web, come Fashion ID, che incorpori su tale sito Web un plug-in sociale che induca il browser di un visitatore di quel sito Web a richiedere contenuti al fornitore di tale plug-in e, a tal fine, trasmettere a tale fornitore i dati personali del visitatore possono essere considerati responsabili del trattamento ai sensi dell’articolo 2, lettera d), della direttiva 95/46, nonostante l’operatore non sia in grado di influenzare di conseguenza il trattamento dei dati trasmessi a quel fornitore.

65 A tale proposito, si deve rilevare che, conformemente allo scopo perseguito dalla direttiva 95/46, vale a dire garantire un elevato livello di protezione dei diritti e delle libertà fondamentali delle persone fisiche, in particolare il loro diritto alla privacy, nel rispetto al trattamento dei dati personali, l’articolo 2, lettera d), di detta direttiva definisce il concetto di “responsabile del trattamento” in senso lato come persona fisica o giuridica, autorità pubblica, agenzia o qualsiasi altro organismo che, da solo o congiuntamente con altri, determina gli scopi e i mezzi di il trattamento di dati personali (v., in tal senso, sentenza del 5 giugno 2018, Wirtschaftsakademie Schleswig-Holstein, C 210/16, EU: C: 2018: 388, punti 26 e 27).

66 Come precedentemente affermato dalla Corte, l’obiettivo di tale disposizione è garantire, attraverso un’ampia definizione del concetto di “responsabile del trattamento”, una protezione efficace e completa delle persone interessate (sentenze del 13 maggio 2014, Google Spagna e Google, C 131 / 12, EU: C: 2014: 317, paragrafo 34, e del 5 giugno 2018, Wirtschaftsakademie Schleswig-Holstein, C 210/16, EU: C: 2018: 388, punto 28).

67 Inoltre, poiché, come espressamente previsto dall’articolo 2, lettera d), della direttiva 95/46, il concetto di “responsabile del trattamento” si riferisce all’entità che “da sola o congiuntamente ad altri” determina le finalità e le modalità del trattamento dei dati personali, che il concetto non si riferisce necessariamente a una singola entità e può riguardare diversi attori che prendono parte a tale trattamento, ciascuno dei quali è quindi soggetto alle disposizioni applicabili in materia di protezione dei dati (cfr., in tal senso, sentenze del 5 giugno 2018, Wirtschaftsakademie Schleswig- Holstein, C 210/16, EU: C: 2018: 388, punto 29, e del 10 luglio 2018, Jehovan todistajat, C 25/17, EU: C: 2018: 551, punto 65).

68 Il Tribunale ha anche dichiarato che una persona fisica o giuridica che esercita influenza sul trattamento dei dati personali, per i propri scopi e che partecipa, di conseguenza, alla determinazione delle finalità e dei mezzi di tale trattamento, può essere considerata come controllore ai sensi dell’articolo 2, lettera d), della direttiva 95/46 (sentenza del 10 luglio 2018, Jehovan todistajat, C 25/17, EU: C: 2018: 551, punto 68).

69 Inoltre, la responsabilità congiunta di più attori per lo stesso trattamento, ai sensi di tale disposizione, non impone a ciascuno di essi di avere accesso ai dati personali in questione (v., In tal senso, sentenze del 5 giugno 2018, Wirtschaftsakademie Schleswig-Holstein, C 210/16, EU: C: 2018: 388, punto 38 e del 10 luglio 2018, Jehovan todistajat, C 25/17, EU: C: 2018: 551, punto 69).

70 Ciò premesso, poiché l’obiettivo dell’art. 2, lett. D), della direttiva 95/46 è garantire, attraverso un’ampia definizione della nozione di “responsabile del trattamento”, la protezione effettiva e globale delle persone interessate, l’esistenza di responsabilità solidale non implica necessariamente la pari responsabilità dei vari operatori coinvolti nel trattamento dei dati personali. Al contrario, tali operatori possono essere coinvolti in diverse fasi di tale trattamento di dati personali e in diversa misura, con la conseguenza che il livello di responsabilità di ciascuno di essi deve essere valutato in relazione a tutte le circostanze rilevanti del caso specifico ( v., in tal senso, sentenza del 10 luglio 2018, Jehovan todistajat, C 25/17, EU: C: 2018: 551, punto 66).

71 A tale proposito, si deve rilevare, in primo luogo, che l’articolo 2, lettera b), della direttiva 95/46 definisce il “trattamento di dati personali” come “qualsiasi operazione o insieme di operazioni eseguite su dati personali, indipendentemente dal fatto che mezzi automatici, quali raccolta, registrazione, organizzazione, archiviazione, adattamento o alterazione, recupero, consultazione, uso, divulgazione mediante trasmissione, diffusione o altrimenti messa a disposizione, allineamento o combinazione, blocco, cancellazione o distruzione “.

72 Da tale definizione risulta che il trattamento di dati personali può consistere in una o più operazioni, ciascuna delle quali si riferisce a una delle diverse fasi che il trattamento di dati personali può comportare.

73 In secondo luogo, dalla definizione della nozione di “responsabile del trattamento” di cui all’art. 2, lett. D), della direttiva 95/46 risulta che, come rilevato al punto 65 supra, in cui diversi operatori determinano congiuntamente le finalità e le modalità del trattamento dei dati personali dati, partecipano a tale elaborazione come responsabili del trattamento.

74 Pertanto, come rilevato dall’avvocato generale, in sostanza, al paragrafo 101 delle sue conclusioni, sembra che una persona fisica o giuridica possa essere un responsabile del trattamento ai sensi dell’articolo 2, lettera d), della direttiva 95/46, congiuntamente ad altri solo per operazioni che comportano il trattamento di dati personali per i quali determina congiuntamente le finalità e i mezzi. Al contrario, e fatta salva qualsiasi responsabilità civile prevista dalla legislazione nazionale a tale riguardo, tale persona fisica o giuridica non può essere considerata un responsabile del trattamento, ai sensi di tale disposizione, nel contesto di operazioni che precedono o sono successive a la catena globale del trattamento per la quale quella persona non determina né le finalità né i mezzi.

75 Nella fattispecie, fatti salvi gli accertamenti che spetta al giudice del rinvio effettuare, dai documenti dinanzi alla Corte emerge che, incorporando sul suo sito web il pulsante “Mi piace” di Facebook, sembra che Fashion ID l’abbia fatto possibile per Facebook Irlanda ottenere dati personali dei visitatori del proprio sito Web e che tale possibilità si attivi non appena il visitatore consulta tale sito Web, indipendentemente dal fatto che il visitatore sia o meno membro del social network Facebook, abbia fatto clic su Facebook Pulsante “Mi piace” o è a conoscenza di tale operazione.

76 Alla luce di tali informazioni, si deve rilevare che le operazioni che comportano il trattamento di dati personali per i quali Fashion ID è in grado di determinare, congiuntamente a Facebook Irlanda, le finalità e i mezzi sono, ai fini della definizione di il concetto di “trattamento di dati personali” nell’articolo 2, lettera b), della direttiva 95/46, la raccolta e la divulgazione mediante la trasmissione dei dati personali dei visitatori al suo sito web. Al contrario, alla luce di tali informazioni, all’inizio sembra impossibile che Fashion ID determini gli scopi e i mezzi delle operazioni successive che comportano il trattamento di dati personali effettuato da Facebook Irlanda dopo la loro trasmissione a quest’ultimo, il che significa che Fashion L’ID non può essere considerato un responsabile del trattamento di tali operazioni ai sensi dell’articolo 2, lettera d).

77 Per quanto riguarda i mezzi utilizzati ai fini della raccolta e della divulgazione mediante la trasmissione di determinati dati personali dei visitatori al proprio sito Web, dal paragrafo 75 supra risulta che Fashion ID sembra aver incorporato nel suo sito Web il pulsante “Mi piace” di Facebook messo a disposizione degli operatori di siti Web da Facebook Irlanda pur essendo pienamente consapevole del fatto che funge da strumento per la raccolta e la divulgazione mediante la trasmissione dei dati personali dei visitatori a quel sito Web, indipendentemente dal fatto che i visitatori siano o meno membri del social network Facebook.

78 Inoltre, incorporando quel social plugin sul suo sito Web, Fashion ID esercita un’influenza decisiva sulla raccolta e la trasmissione dei dati personali dei visitatori di quel sito Web al fornitore di quel plug-in, Facebook Ireland, che non si sarebbe verificato senza quel plug-in .

79 In tali circostanze, e fatte salve le indagini che spetta al giudice del rinvio svolgere a tale riguardo, si deve concludere che Facebook Ireland e Fashion ID determinano congiuntamente i mezzi all’origine delle operazioni che coinvolgono la raccolta e la divulgazione da parte di trasmissione dei dati personali dei visitatori al sito Web di Fashion ID.

80 Per quanto riguarda le finalità di tali operazioni che comportano il trattamento di dati personali, sembra che l’inclusione di Fashion ID del pulsante “Mi piace” di Facebook sul suo sito Web gli consenta di ottimizzare la pubblicità dei suoi prodotti rendendoli più visibili sul social network Facebook quando un visitatore del suo sito Web fa clic su quel pulsante. Il motivo per cui Fashion ID sembra aver acconsentito, almeno implicitamente, alla raccolta e alla divulgazione mediante la trasmissione dei dati personali dei visitatori al suo sito Web incorporando un tale plug-in su tale sito Web al fine di beneficiare del vantaggio commerciale che consiste nell’aumentare pubblicità per i suoi beni; tali operazioni di trattamento vengono eseguite nell’interesse economico sia di Fashion ID sia di Facebook Ireland, per le quali il fatto che possa utilizzare tali dati per i propri scopi commerciali è la considerazione a vantaggio di Fashion ID.

81 In tali circostanze, si può concludere, fatte salve le indagini che spetta al giudice del rinvio, che Fashion ID e Facebook Ireland stabiliscano congiuntamente le finalità delle operazioni che comportano la raccolta e la divulgazione mediante la trasmissione dei dati personali in questione nella causa principale.

82 Inoltre, come risulta dalla giurisprudenza menzionata al punto 69 supra, il fatto che l’operatore di un sito Web, come Fashion ID, non abbia esso stesso accesso ai dati personali raccolti e trasmessi al fornitore del social il plug-in con il quale determina congiuntamente i mezzi e le finalità del trattamento dei dati personali non preclude che siano responsabili del trattamento ai sensi dell’articolo 2, lettera d), della direttiva 95/46.

83 Inoltre, va sottolineato che un sito Web, come quello di Fashion ID, è visitato sia da coloro che sono membri del social network Facebook, e che quindi hanno un account su quel social network, sia da coloro che non ne hanno uno. In quest’ultimo caso, la responsabilità dell’operatore di un sito Web, come Fashion ID, per il trattamento dei dati personali di tali soggetti sembra essere ancora maggiore, in quanto la semplice consultazione di tale sito Web con il pulsante “Mi piace” di Facebook sembra innescare il trattamento dei loro dati personali da parte di Facebook Irlanda (vedi, in tal senso. sentenza del 5 giugno 2018, Wirtschaftsakademie Schleswig-Holstein, C 210/16, EU: C: 2018: 388, punto 41).

84 Di conseguenza, sembra che Fashion ID possa essere considerato un responsabile del trattamento ai sensi dell’articolo 2, lettera d), della direttiva 95/46, congiuntamente a Facebook Irlanda, in relazione alle operazioni di raccolta e divulgazione mediante trasmissione di dati personali dati dei visitatori del suo sito Web.

85 Alla luce dei risultati di cui sopra, la risposta alla seconda domanda è che l’operatore di un sito Web, come Fashion ID, che incorpora su quel sito Web un plug-in sociale che induce il browser di un visitatore di quel sito Web a richiedere contenuti dal fornitore di tale plugin e, a tal fine, trasmettere a tale fornitore i dati personali del visitatore possono essere considerati responsabili del trattamento ai sensi dell’articolo 2, lettera d), della direttiva 95/46. Tale responsabilità è tuttavia limitata al funzionamento o all’insieme delle operazioni che comportano il trattamento di dati personali per i quali determina effettivamente le finalità e i mezzi, vale a dire, la raccolta e la divulgazione mediante trasmissione dei dati in questione.

La terza domanda

86 Alla luce della risposta fornita alla seconda questione, non è necessario rispondere alla terza questione.

La quarta domanda

87 Con la sua quarta questione, il giudice del rinvio chiede, in sostanza, se, in una situazione come quella di cui trattasi nella causa principale, in cui l’operatore di un sito web incorpora su tale sito un plug-in sociale che induca il browser di un visitatore a tale sito Web per richiedere contenuti al fornitore di tale plug-in e, a tal fine, per trasmettere a tale fornitore i dati personali del visitatore, è opportuno, ai fini dell’applicazione dell’articolo 7, lettera f), della direttiva 95/46, prendere in considerazione un interesse legittimo perseguito da tale operatore o un interesse legittimo perseguito da tale fornitore.

88 In via preliminare, si deve rilevare che, secondo la Commissione, tale questione è irrilevante ai fini della risoluzione della controversia nella causa principale, poiché il consenso non è stato ottenuto dalle persone interessate come richiesto dall’articolo 5, paragrafo 3 della direttiva 2002/58.

89 A tale proposito, si deve rilevare che l’articolo 5, paragrafo 3, della direttiva 2002/58 prevede che gli Stati membri assicurino che la memorizzazione delle informazioni o il loro accesso alle informazioni già memorizzate nell’apparecchiatura terminale di un l’abbonato o l’utente è autorizzato solo a condizione che l’abbonato o l’utente in questione abbia prestato il proprio consenso, avendo ricevuto informazioni chiare e complete, in conformità con la Direttiva 95/46, tra l’altro, sulle finalità del trattamento.

90 Spetta al giudice del rinvio verificare se, in una situazione come quella di cui trattasi nella causa principale, il fornitore di un plug-in sociale, come Facebook Irlanda, ottenga l’accesso, come sostenuto dalla Commissione, dall’operatore di il sito Web alle informazioni archiviate nell’apparecchiatura terminale, ai sensi dell’articolo 5, paragrafo 3, della direttiva 2002/58, di un visitatore di tale sito Web.

91 In tali circostanze, e poiché il giudice del rinvio sembra aver concluso che, nella fattispecie, i dati trasmessi a Facebook Irlanda sono dati personali, ai sensi della direttiva 95/46, che, inoltre, non si limitano necessariamente all’informazione immagazzinato nelle apparecchiature terminali, che spetta a tale giudice confermare, le opinioni della Commissione non sono sufficienti a rimettere in discussione la pertinenza della quarta questione pregiudiziale per la risoluzione della controversia nella causa principale, che riguarda il trattamento potenzialmente lecito della i dati di cui trattasi nella causa principale, come rilevato dall’avvocato generale al paragrafo 115 delle sue conclusioni.

92 Di conseguenza, è necessario esaminare quali interessi legittimi debbano essere presi in considerazione ai fini dell’applicazione dell’articolo 7, lettera f), di tale direttiva al trattamento di tali dati.

93 Al riguardo, si deve rilevare anzitutto che, secondo le disposizioni del capo II della direttiva 95/46, intitolato “Norme generali sulla liceità del trattamento dei dati personali”, fatte salve le deroghe consentite ai sensi dell’articolo 13 di tale direttiva, tutto il trattamento dei dati personali deve rispettare, tra l’altro, uno dei criteri per rendere legittimo il trattamento dei dati elencato all’articolo 7 di tale direttiva (v., in tal senso, sentenze del 13 maggio 2014, Google Spagna e Google, C 131/12, EU: C: 2014: 317, paragrafo 71, e del 1o ottobre 2015, Bara e a., C 201/14, EU: C: 2015: 638, punto 30).

94 Ai sensi dell’articolo 7, lettera f), della direttiva 95/46, la cui interpretazione è richiesta dal giudice del rinvio, i dati personali possono essere trattati se il trattamento è necessario ai fini degli interessi legittimi perseguiti dal responsabile del trattamento o dal terzo o le parti a cui i dati sono comunicati, salvo nel caso in cui tali interessi siano sostituiti dagli interessi o dai diritti e dalle libertà fondamentali dell’interessato che richiedono protezione ai sensi dell’articolo 1, paragrafo 1, della direttiva 95/46.

95 L’articolo 7, lettera f), di detta direttiva stabilisce quindi tre condizioni cumulative per il trattamento dei dati personali in modo lecito, vale a dire, in primo luogo, il perseguimento di un interesse legittimo da parte del titolare del trattamento o da parte di terzi o soggetti ai quali i dati sono divulgati; in secondo luogo, la necessità di trattare i dati personali ai fini degli interessi legittimi perseguiti; e in terzo luogo, la condizione che i diritti e le libertà fondamentali dell’interessato i cui dati richiedono protezione non abbiano la precedenza (sentenza del 4 maggio 2017, Rīgas satiksme, C 13/16, EU: C: 2017: 336, punto 28).

96 Dato che, alla luce della risposta alla seconda questione, sembra che, in una situazione come quella di cui trattasi nella causa principale, l’operatore di un sito Web che incorpora su tale sito un plug-in sociale che provochi il browser di un il visitatore di quel sito Web per richiedere contenuti al fornitore di quel plugin e, a tal fine, per trasmettere a quel fornitore i dati personali del visitatore possono essere considerati responsabili del trattamento, congiuntamente a quel fornitore, per le operazioni che comportano il trattamento di i dati personali dei visitatori del proprio sito Web sotto forma di raccolta e diffusione tramite trasmissione, è necessario che ciascuno di tali responsabili del trattamento persegua un interesse legittimo, ai sensi dell’articolo 7, lettera f), della direttiva 95/46, attraverso tali trattamenti operazioni per giustificare tali operazioni al riguardo.

97 Alla luce delle considerazioni che precedono, la risposta alla quarta questione è che, in una situazione come quella di cui trattasi nella causa principale, in cui l’operatore di un sito Web incorpora su tale sito un plug-in sociale che provoca il browser di un visitatore di quel sito Web per richiedere contenuti al fornitore di quel plugin e, a tal fine, trasmettere a quel fornitore dati personali del visitatore, è necessario che tale operatore e quel fornitore perseguano ciascuno un interesse legittimo, ai sensi dell’articolo 7 f) della direttiva 95/46, attraverso tali operazioni di trattamento al fine di giustificare tali operazioni a tale riguardo.

La quinta e la sesta domanda

98 Con la sua quinta e sesta questione, che è opportuno esaminare congiuntamente, il giudice del rinvio desidera in primo luogo sapere se gli artt. 2, lett. H), e 7, lett. A), della direttiva 95/46 debbano essere interpretati nel senso che , in una situazione come quella di cui trattasi nella causa principale, in cui l’operatore di un sito Web incorpora su tale sito un social plugin che fa sì che il browser di un visitatore di quel sito web richieda contenuti al fornitore di quel plug-in e, a quello fine, per trasmettere a quel fornitore i dati personali del visitatore, il consenso di cui a tali disposizioni deve essere ottenuto da tale operatore o da tale fornitore e, in secondo luogo, se l’articolo 10 di tale direttiva debba essere interpretato nel senso che, in tale situazione, l’obbligo di informazione previsto da tale disposizione incombe a tale operatore.

99 Come risulta dalla risposta alla seconda domanda, l’operatore di un sito Web che incorpora su quel sito Web un plug-in sociale che induce il browser di un visitatore di quel sito Web a richiedere contenuti dal fornitore di quel plug-in e, a tal fine, a trasmettere a quel fornitore i dati personali del visitatore può essere considerato un responsabile del trattamento, ai sensi dell’articolo 2, lettera d), della direttiva 95/46, nonostante tale responsabilità si limiti al funzionamento o all’insieme delle operazioni che comportano il trattamento di dati personali rispetto al quale determina effettivamente gli scopi e i mezzi.

100 Sembra quindi che i doveri che possono incombere a tale responsabile del trattamento ai sensi della direttiva 95/46, come l’obbligo di ottenere il consenso dell’interessato ai sensi degli articoli 2, lettera h) e 7, lettera a), di detta direttiva e l’obbligo di informare ai sensi dell’articolo 10 della stessa, deve riguardare il funzionamento o l’insieme delle operazioni che comportano il trattamento di dati personali rispetto ai quali determina effettivamente le finalità e i mezzi.

101 Nel caso di specie, mentre l’operatore di un sito Web che incorpora in tale sito Web un plug-in sociale che fa sì che il browser di un visitatore di quel sito Web richieda contenuti al fornitore di quel plug-in e, a tal fine, trasmetta a quel provider il i dati personali del visitatore possono essere considerati responsabili del trattamento, congiuntamente a tale fornitore, in relazione alle operazioni che implicano la raccolta e la divulgazione mediante la trasmissione dei dati personali di quel visitatore, il suo dovere di ottenere il consenso dell’interessato ai sensi degli articoli 2 (h) e 7 (a) della direttiva 95/46 e il suo obbligo di informazione ai sensi dell’articolo 10 di detta direttiva riguardano solo tali operazioni. Al contrario, tali doveri non coprono le operazioni che comportano il trattamento di dati personali in altre fasi che si verificano prima o dopo quelle operazioni che comportano, a seconda dei casi, il trattamento dei dati personali in questione.

102 Per quanto riguarda il consenso di cui agli articoli 2, lettera h), e 7, lettera a), della direttiva 95/46, sembra che tale consenso debba essere prestato prima della raccolta e della divulgazione mediante la trasmissione dei dati dell’interessato. In tali circostanze, spetta al gestore del sito Web, piuttosto che al fornitore del social plugin, ottenere tale consenso, poiché è il fatto che il visitatore consulta quel sito Web che avvia il trattamento dei dati personali. Come rilevato dall’avvocato generale al paragrafo 132 delle sue conclusioni, non sarebbe in linea con una protezione efficiente e tempestiva dei diritti dell’interessato se il consenso fosse concesso solo al responsabile congiunto che è coinvolto successivamente, vale a dire il fornitore di tale plugin. Tuttavia, il consenso che deve essere dato all’operatore riguarda solo l’operazione o l’insieme delle operazioni che comportano il trattamento di dati personali rispetto ai quali l’operatore determina effettivamente le finalità e i mezzi.

103 Lo stesso vale per l’obbligo di informazione previsto dall’art. 10 della direttiva 95/46.

104 A tale proposito, dal tenore di tale disposizione risulta che il responsabile del trattamento o il suo rappresentante deve fornire, come minimo, le informazioni indicate in tale disposizione all’interessato i cui dati vengono raccolti. Sembra quindi che tali informazioni debbano essere fornite immediatamente dal responsabile del trattamento, vale a dire quando i dati vengono raccolti (v., In tal senso, sentenze del 7 maggio 2009, Rijkeboer, C 553/07, EU: C: 2009: 293, paragrafo 68, e del 7 novembre 2013, IPI, C 473/12, EU: C: 2013: 715, paragrafo 23).

105 Ne consegue che, in una situazione come quella di cui trattasi nella causa principale, l’obbligo di informazione ai sensi dell’articolo 10 della direttiva 95/46 incombe anche al gestore del sito Web, ma le informazioni che quest’ultima deve fornire al l’interessato deve riferirsi esclusivamente al funzionamento o all’insieme delle operazioni che comportano il trattamento di dati personali rispetto ai quali l’operatore determina effettivamente le finalità e i mezzi.

106 Alla luce di quanto precede, la risposta alla quinta e alla sesta questione è che gli artt. 2, lett. H), e 7, lett. A), della direttiva 95/46 devono essere interpretati nel senso che, in una situazione come quella di cui la causa principale, in cui l’operatore di un sito Web incorpora su tale sito un social plugin che fa sì che il browser di un visitatore di quel sito web richieda contenuti al fornitore di quel plug-in e, a tal fine, trasmetta a tale fornitore dati personali di il visitatore, il consenso di cui a tali disposizioni deve essere ottenuto da tale operatore solo per quanto riguarda l’operazione o l’insieme delle operazioni che comportano il trattamento di dati personali per i quali tale operatore determina le finalità e i mezzi. Inoltre, l’articolo 10 di detta direttiva deve essere interpretato nel senso che, in tale situazione, l’obbligo di informazione previsto da tale disposizione incombe anche a tale operatore, ma è necessario che le informazioni che quest’ultima deve fornire all’interessato solo per l’operazione o l’insieme di operazioni che comportano il trattamento di dati personali per i quali tale operatore determina effettivamente le finalità e i mezzi.

Costi

107 Dato che il presente procedimento costituisce, per le parti nella causa principale, un procedimento pendente dinanzi al giudice nazionale, la decisione relativa alle spese spetta a tale giudice. Le spese sostenute per presentare osservazioni alla Corte, diverse dalle spese di tali parti, non sono recuperabili.

Per questi motivi,

la Corte (Seconda Sezione) dichiara:

  1. Gli articoli da 22 a 24 della direttiva 95/46 / CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali e alla libera circolazione di tali dati devono essere interpretati come non osta a una normativa nazionale che consenta alle associazioni per la tutela dei consumatori di avviare o difendere procedimenti legali contro una persona presumibilmente responsabile di una violazione della protezione dei dati personali.
  2. Il gestore di un sito Web, come Fashion ID GmbH & Co. KG, che incorpora in quel sito Web un plug-in sociale che induce il browser di un visitatore di quel sito Web a richiedere contenuti dal fornitore di quel plug-in e, a tal fine, la trasmissione a tale fornitore di dati personali del visitatore può essere considerata un responsabile del trattamento ai sensi dell’articolo 2, lettera d), della direttiva 95/46. Tale responsabilità è tuttavia limitata al funzionamento o all’insieme delle operazioni che comportano il trattamento di dati personali per i quali determina effettivamente le finalità e i mezzi, vale a dire, la raccolta e la divulgazione mediante trasmissione dei dati in questione.
  3. In una situazione come quella di cui trattasi nella causa principale, in cui l’operatore di un sito Web incorpora su tale sito Web un plug-in sociale che induce il browser di un visitatore di quel sito Web a richiedere contenuti dal fornitore di tale plug-in e, a a tal fine, per trasmettere a tale fornitore i dati personali del visitatore, è necessario che tale operatore e quel fornitore perseguano ciascuno un interesse legittimo, ai sensi dell’articolo 7, lettera f), della direttiva 95/46, attraverso tali trattamenti per affinché tali operazioni siano giustificate al riguardo.
  4. Gli artt. 2, lett. H), e 7, lett. A), della direttiva 95/46 devono essere interpretati nel senso che, in una situazione come quella di cui al procedimento principale, in cui il gestore di un sito web inserisce in tale sito un plug-in che induce il browser di un visitatore di quel sito Web a richiedere contenuti dal fornitore di quel plug-in e, a tal fine, a trasmettere a tale fornitore i dati personali del visitatore, il consenso di cui a tali disposizioni deve essere ottenuto solo da tale operatore per quanto riguarda l’operazione o l’insieme delle operazioni che comportano il trattamento di dati personali per i quali tale operatore determina le finalità e i mezzi. Inoltre, l’articolo 10 di detta direttiva deve essere interpretato nel senso che, in tale situazione, l’obbligo di informazione previsto da tale disposizione incombe anche a tale operatore, ma è necessario che le informazioni che quest’ultima deve fornire all’interessato solo per l’operazione o l’insieme di operazioni che comportano il trattamento di dati personali per i quali tale operatore determina effettivamente le finalità e i mezzi.