Siamo sicuri che "mi piace"?

by Kanzlei Thomas


Uno strumento di marketing virale estremamente efficace e per giunta gratuito che molti gestori di online shop amano integrare nel proprio negozio è il plugin di Facebook "mi piace", attraverso il quale un utente può esprimere tale giudizio condividendolo con tutti i propri contatti su Facebook.

Una recentissima pronuncia del tribunale di Düsseldorf (09. marzo 2016, r.g. 12 O 151/15) ha esaminato nel dettaglio il funzionamento del suddetto plugin, giungendo alla conclusione che esso si presta ad essere utilizzato in maniera tale da violare la normativa sulla protezione dei dati personali.

Gli aspetti tecnici

Il problema nasce dal fatto che quando il plugin in questione è integrato in un sito terzo di norma, già all'atto di accedere alla pagina in cui è integrato, esso acquisisce automaticamente dati personali, in particolare l'indirizzo IP dell'utente e l'informazione relativa al sito visitato (cioè quello in cui il plugin è ospitato). Tale acquisizione avviene direttamente da parte di Facebook, senza coinvolgimento del gestore del sito "ospitante". E' vero che l'indirizzo IP di norma è dinamico, sicché non è possibile risalire all'utente persona fisica in maniera diretta (indirittamente peraltro invece sì). Tuttavia Facebook in tal modo acquisisce dati relativi ad un proprio utente che è in grado di identificare direttamente dal momento che per esprimere il "like" bisogna effettuare (o aver già effettuato) il login.

Non si salva nemmeno chi non ha un account su FB

Il suddetto funzionamento tecnico permette a Facebook di acquisire dati personali anche di utenti che non siano registrati sul loro account nel momento in cui visitano il sito ospitante, o addirittura che non abbiano alcun account su Facebook. Infatti quando l'utente carica la pagina terza che ospita il plugin di Facebook, quest'ultimo salva un cookie permantente sul terminale dell'utente, sicché se questi in seguito effettua il login al proprio account oppure apre un nuovo account, Facebook è sempre in grado di mettere in collegamento i due dati e trarne conclusioni in merito, ad esempio, alle preferenze dell'utente.

Rischi

Ai sensi del novellato art. 3a della legge tedesca sulla concorrenza sleale (UWG), commette un atto di concorrenza sleale chiunque agisca in violazione di una norma preposta alla tutela dei consumatori, degli altri soggetti attivi sul mercato o del corretto funzionamento del mercato stesso. Legittimati ad agire sono, oltre alle associazioni di categoria, anche i concorrenti stessi, i quali dispongono in tal modo di un'ottima arma per mettere in difficoltà la concorrenza.  Inoltre, a partire da ottobre 2016, anche per le violazioni della normativa sulla protezione dei dati personali saranno legittimate ad agire le associazioni di categoria (in particolare le associazioni dei consumatori). A tali rimedi "civilistici" si aggiungono poi tutti i poteri sanzionatori amministrativi e penali delle rispettive autorità competenti.

Possibile soluzione pratica

Come ovviare al problema? La soluzione suggerita obiter dal tribunale di Düsseldorf è di applicare una soluzione a "doppio click". All'atto di accedere alla pagina che ospita il plugin, lo stesso non dovrebbe essere ancora attivo. Con un primo click sull'area del plugin l'utente dovrebbe ricevere informazioni dettagliate sul funzionamento dello stesso e sui dati personali acquisiti e trasmessi. Solo se a questo punto l'utente procedesse a un secondo click il plugin verrebbe attivato.

Per esaminare un'applicazione pratica della suddetta soluzione si può far riferimento all'online store della catena tedesca "Peek & Cloppenburg". Nell'angolo inferiore destro della pagina iniziale si trova un riquadro intitolato "Gefällt mir" (mi piace). Solo cliccando su "Social media aktivieren" l'utente esprime il consenso all'attivazione del plugin di Facebook.

Non c'è soluzione a prova di bomba

Resta comunque da sottolineare che tale soluzione, attualmente generalmente accettata tra gli altri anche dall'autorità per la protezione dei dati personali della Baviera resta tutt'altro che certa. Il nodo fondamentale risiede nella necessità di un consenso informato. Quando l'utente accede ad un sito in cui è integrato il plugin di Facebook con la soluzione a doppio click ha sì la possibilità di (non) esprimere il proprio consenso, ma sulla base di informazioni necessariamente vaghe ed insoddisfacenti dal momento che nessuno è in grado di indicare con precisione quale utilizzo venga fatto dei suoi dati da parte di Facebook. Se, come nel caso oggetto della decisione del tribunale di Düsseldorf, il sito ospitante non è in alcun modo coinvolto nella trasmissione di dati dall'utente a Facebook, l'unica soluzione ipotizzabile dovrebbe essere quella di informare l'utente in maniera chiarissima ed evidente circa la completa estraneità e terzietà del plugin di Facebook rispetto alla pagina ospitante, in modo da poter rinviare l'utente alla dichiarazione sul trattamento dei dati personali di Facebook stesso. Tuttavia ciò richiederebbe un'interpretazione estremamente restrittiva delle definizioni di "acquisizione di dati" e di "responsabile" accolte all'art. 3 c. 3 e 7 della legge federale sulla protezione dei dati (Bundesdatenschutzgesetz) - il che non è probabile, data l'attuale tendenza della giurisprudenza ad una estrema responsabilizzazione in tema di trattamento di dati personali.

Insomma, l'unica soluzione attualmente sicura è non usare del tutto il plugin.