Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

REGOLAMENTAZIONE

Facebook a scuola, i nodi privacy dopo la sentenza della Corte di Giustizia UE

La Corte di Giustizia europea attribuisce alla società e all’amministratore di pagina la “contitolarità” del trattamento dati. Ma l’impostazione rischia di entrare in rotta di collisione con le disposizioni GDPR. Ostacolando il raggiungimento dell’accountability

13 Set 2019
Graziano Garrisi

Privacy Consultant e Responsabile della Protezione dei Dati, Responsabile Gruppo di ricerca «Privacy e Data Protection» del MODiCT, socio fondatore dello spin-off “Liquid Law”

Roberta Rizzi

esperta in diritto delle nuove tecnologie, Data Protection Officer e collaboratrice dello spin-off “Liquid Law”


La scuola digitale sceglie sempre più spesso la comunicazione, anche istituzionale, attraverso una pagina social dedicata. Ma in questo caso l’attribuzione della titolarità dei dati personali può avere conseguenze di difficile gestione. Ecco un’analisi delle ipotesi in campo e perché il tema potrebbe essere potenzialmente riesaminato dall’authority di riferimento.

Le sfide del digitale impongono alle scuole innovazione nella didattica, informatizzazione amministrativa e una comunicazione istituzionale al passo coi tempi. Se alcuni istituti scolastici si limitano ad adempiere agli obblighi di legge attraverso il proprio portale web, sempre più numerosi sono quelli che sfruttano le potenzialità dei social network per veicolare la missione formativa e arrivare più facilmente agli interessati. Come configurare, sotto un profilo privacy, i rapporti tra la scuola e il social network nella gestione del trattamento dei dati degli utenti? Analizziamo la questione alla luce dei più recenti indirizzi giurisprudenziali in materia.

Che succede se la scuola va su Facebook

Facebook mette a disposizione degli utenti la possibilità di creare una Pagina con la quale interagire con gli iscritti alla piattaforma e veicolare differenti contenuti. Esistono Pagine a scopo commerciale, utilizzate da aziende o brand; Pagine dedicate a Community di persone che condividono un interesse o una passione; Pagine “vetrina” per enti pubblici che puntano ad arrivare velocemente ad un ampio numero di utilizzatori. Nella versione italiana del noto Social Network, tra le diverse tipologie di Pagine dedicate all’universo istruzione, compare la categoria “scuola” con le varie articolazioni per ordine e grado.

Attraverso Facebook l’Amministratore della Pagina può raccogliere diverse tipologie di dati personali degli utenti, da quelli immediatamente visibili quali il nome utente, le immagini caricate e i commenti pubblici, a quelli di tipo statistico.

I dati di tipo statistico vengono raccolti attraverso la funzione “Insights di Facebook”, con lo scopo di aiutare l’Amministratore a comprendere il tipo di azioni che gli utenti effettuano sulla Pagina e includono dati come, tra gli altri, il numero di visualizzazioni della Pagina o di determinati post, i nuovi “mi piace” e quelli rimossi, le volte in cui la Pagina è stata consigliata o condivisa, la creazione di link esterni che riportano alla Pagina.

Non solo: gli Insights consentono all’Amministratore della Pagina Facebook di conoscere anche dati demografici concernenti il suo pubblico destinatario quali tendenze in materia di età, sesso, informazioni sullo stile di vita e sugli interessi di detto pubblico.

Tutti questi dati vengono raccolti attraverso i cookies, marcatori contenenti ciascuno un codice utente unico, salvati da Facebook sul dispositivo utilizzato durante la navigazione. In linea generale gli Insights della Pagina sono impostati in modo da mostrare tendenze di alto livello senza l’identificazione diretta degli interessati, la quale è però talvolta possibile associando più informazioni relative al medesimo utente.

La funzione Insights è messa a disposizione gratuitamente dal Social Network secondo condizioni d’uso non modificabili.

Scuola e social, le condizioni d’uso di Facebook

L’Amministratore della Pagina, nel momento stesso in cui sceglie di crearla, accetta con un clic le “Condizioni d’uso, la Normativa sui dati e gli Standard della Community” del Social Network. Queste ultime includono altresì il rispetto del GDPR e della normativa italiana sulla protezione dei dati personali, qualora si rientri nel campo di applicazione dei medesimi. In particolare, l’Amministratore della Pagina accetta l’Appendice sugli Insights (https://www.facebook.com/legal/terms/page_controller_addendum) ove si legge, relativamente al trattamento dei dati statistici raccolti tramite la funzione Insights, che: “Si applica quanto segue nell’ambito del trattamento a responsabilità congiunta:

  • Facebook Ireland Limited (“Facebook Ireland”) e l’utente sono congiuntamente i titolari del trattamento dei Dati statistici. La presente Appendice per Insights della Pagina statuisce le relative responsabilità di Facebook Ireland e dell’utente nell’ambito del trattamento dei Dati statistici.
  • Facebook Ireland accetta di assumersi la responsabilità principale ai sensi del GDPR per il trattamento dei Dati statistici e di rispettare tutti gli obblighi previsti dal GDPR nell’ambito del trattamento dei Dati statistici (compresi, a titolo esemplificativo e non esaustivo, gli articoli 12 e 13 del GDPR, gli articoli dal 15 al 22 del GDPR e gli articoli dal 32 al 34 del GDPR). Inoltre, Facebook Ireland renderà disponibili gli elementi essenziali della presente Appendice per Insights della Pagina ai soggetti interessati.
  • L’utente deve assicurarsi di disporre di una base legale per il trattamento dei Dati statistici ai sensi del GDPR, di identificare il titolare del trattamento dei dati della Pagina e di rispettare qualsiasi ulteriore obbligo legale applicabile.
  • L’utente accetta che solo Facebook Ireland possa prendere e implementare decisioni sul trattamento dei Dati statistici. Facebook Ireland decide a propria esclusiva discrezione come rispettare le obbligazioni previste nella presente Appendice per Insights della Pagina. L’utente accetta che Facebook Ireland sia la sede principale nell’Unione europea per il trattamento dei Dati statistici per tutti i titolari del trattamento dei dati e riconosce che l’autorità di controllo capofila per il trattamento in questione è l’Irish Data Protection Commission.
  • Facebook Ireland rimane l’unico responsabile del trattamento dei dati personali collegati a Insights della Pagina diversi da quelli previsti nell’ambito della presente Appendice per Insights della Pagina. La presente Appendice per Insights della Pagina non concede all’utente alcun diritto di richiedere la divulgazione dei dati personali degli utenti di Facebook trattati in relazione ai Prodotti Facebook, compresa la funzione Insights della Pagina fornita all’utente.
  • Se viene contattato da soggetti interessati o autorità di controllo ai sensi del GDPR in merito al trattamento dei Dati statistici e delle obbligazioni assunte da Facebook Ireland nell’ambito della presente Appendice per Insights della Pagina (ciascuna una “Richiesta”), l’utente ci comunicherà tempestivamente tutte le informazioni pertinenti entro massimo sette giorni di calendario. A tale scopo, l’utente può inviare questo modulo. Facebook Ireland risponderà alle Richieste in conformità con i propri obblighi ai sensi della presente Appendice per Insights della Pagina. L’utente accetta di adoperarsi per quanto ragionevole in modo tempestivo per cooperare con Facebook nel fornire risposta a tali Richieste. L’utente non è autorizzato ad agire o rispondere per conto di Facebook Ireland.
  • Se accede o usa una Pagina per scopi aziendali o commerciali (compreso, a titolo esemplificativo e non esaustivo, per la gestione di una Pagina per un’azienda), l’utente accetta che eventuali reclami, cause legali o contestazioni sollevate nei confronti di Facebook derivanti o relativi alla presente Appendice per Insights della Pagina siano risolti esclusivamente dinnanzi ai tribunali d’Irlanda. L’utente accetta di sottoporsi in modo irrevocabile alla giurisdizione dei tribunali irlandesi per la risoluzione di eventuali reclami e accetta che le leggi irlandesi disciplineranno la presente Appendice per Insights della Pagina.
  • Potremmo dover aggiornare periodicamente la presente Appendice per Insights della Pagina; pertanto, invitiamo l’utente a consultarla regolarmente per eventuali aggiornamenti. L’accesso o l’uso continuato delle Pagine dopo un avviso di aggiornamento della presente Appendice per Insights della Pagina ne comporta l’accettazione della vincolatività. In caso di mancata accettazione della versione aggiornata dell’Appendice per Insights della Pagina, invitiamo l’utente a cessare tutti gli usi delle Pagine. Per i consumatori con residenza abituale in uno Stato membro dell’Unione europea, solo la sezione 4.1 delle Condizioni d’uso di Facebook viene applicata agli aggiornamenti della presente Appendice per Insights della Pagina.
  • Se parte della presente Appendice per Insights della Pagina dovesse dimostrarsi inattuabile, la restante parte resterà valida e continuerà ad avere effetto. La mancata applicazione di qualsiasi parte della presente Appendice per Insights della Pagina non costituisce in alcun modo una rinuncia. Qualsiasi modifica o rinuncia alle presenti Condizioni deve essere presentata per iscritto e sottoscritta da noi.
  • I termini “dati personali, “soggetti interessati” e “titolare del trattamento dei dati” presenti in questa Appendice per Insights della Pagina hanno i significati indicati nel GDPR.

Titolarità del trattamento: a chi spetta?

Nell’Appendice, dunque, si parla di “titolarità congiunta” tra Facebook Ireland e l’Amministratore della Pagina nel trattamento dei dati degli utenti che avviene tramite la funzione Insights.

Come noto, ai sensi dell’art. 4 punto 7, il titolare del trattamento è “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali”.

Si parla invece di contitolarità nel trattamento dei dati, quando, ai sensi dell’art. 26 co.1 “due o più titolari del trattamento determinano congiuntamente le finalità e i mezzi del trattamento”.

Il GDPR richiede ai contitolari di redigere un accordo interno, nel quale siano determinate in modo trasparente le rispettive responsabilità in merito all’osservanza degli obblighi normativi. In particolare l’accordo deve precisare:

  • le responsabilità in materia di esercizio dei diritti degli interessati;
  • a chi spettano gli obblighi informativi ex artt. 13-14 GDPR;
  • i rispettivi ruoli e i rapporti dei contitolari con gli interessati.

Il contenuto essenziale dell’accordo è messo a disposizione dell’interessato.

Infine, ai sensi dell’art. 26, co.3 del GDPR, l’interessato può esercitare i propri diritti nei confronti di e contro ciascun titolare del trattamento.

Scuola e Facebook, cosa dice la Corte di Giustizia UE 

Sul tema delle Pagine Facebook, e in particolare della titolarità dei dati trattati attraverso la funzione Insights del Social Network, è intervenuta la Corte di Giustizia dell’Unione Europea (Corte di giustizia dell’Unione europea, 5 giugno 2018, causa C-210/16, Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein c. Wirtschaftsakademie Schleswig-Holstein GmbH) con una sentenza che ha fatto discutere in dottrina.

In sintesi, si discuteva della circostanza che né l’Amministratore di una Pagina di un’associazione (la Wirtschaftsakademie) né Facebook esplicitassero nell’Informativa sul trattamento dei dati che attraverso la Pagina stessa venivano raccolti dati di tipo statistico. A causa della omissione dell’obbligo informativo, l’Autorità privacy regionale tedesca competente aveva ordinato la rimozione della Pagina, individuando nell’Amministratore il titolare del trattamento dei dati degli utenti. Quest’ultimo ricorreva all’Autorità Amministrativa, sulla base della propria impossibilità di modificare le condizioni d’uso del Social Network, la quale accoglieva il ricorso e annullava la sanzione del Garante regionale.

Sentenza confermata in appello e rimessa poi, in ultimo grado, alla Corte di Giustizia UE che ha capovolto le decisioni dei giudici amministrativi. Secondo la Corte, “l’amministratore di una pagina svolgerebbe «un’azione d’impostazione dei parametri in base, segnatamente, al suo pubblico destinatario nonché agli obiettivi di gestione o di promozione delle sue attività, che influisce sul trattamento di dati personali ai fini della creazione di statistiche stabilite a partire dalle visite della fanpage» e, al contempo, l’amministratore della pagina «può, tramite filtri messi a disposizione da Facebook, definire i criteri a partire dai quali si devono stabilire tali statistiche e designare perfino le categorie di persone i cui dati personali saranno oggetto di utilizzo da parte di Facebook».

Quindi, conclude la Corte, “l’amministratore di una fanpage presente su Facebook contribuisce al trattamento dei dati personali dei visitatori della sua pagina”, con la precisazione che “l’esistenza di una corresponsabilità non si traduce necessariamente in una responsabilità equivalente dei diversi operatori nell’ambito di un trattamento di dati personali. Al contrario, tali operatori possono essere coinvolti in fasi diverse di tale trattamento e a diversi livelli, di modo che il grado di responsabilità di ciascuno di essi deve essere valutato tenendo conto di tutte le circostanze rilevanti del caso di specie”.

Contitolarità fra scuola e Facebook: funziona?

In conclusione, Facebook, in linea con la citata sentenza della CGUE, individua una fattispecie di contitolarità nel trattamento dei dati degli Insights.

A parere degli scriventi, tuttavia, questa impostazione presenta alcune criticità evidenti. In primo luogo, la contitolarità è una situazione nella quale decisioni vengono prese congiuntamente dai due o più soggetti coinvolti, ove invece nel caso di specie le scelte di massima sul trattamento dei dati sono nell’esclusiva area di azione del Social Network (come espressamente detto nell’Appendice sugli Insights precedentemente citata).

In secondo luogo, l’Accordo di contitolarità richiesto dal GDPR si riduce ad una mera accettazione passiva e obbligatoria (se si vuole utilizzare la funzione) delle condizioni unilateralmente predisposte da Facebook, da cui ne deriva una totale assenza della “doverosa” attività di negoziazione che dovrebbe animare un qualsiasi accordo di contitolarità.

Facebook, inoltre, si ritroverebbe a dover gestire un gran numero di accordi di contitolarità standardizzati (fatti col copia-incolla) e, pertanto, poco funzionali alle diverse attività di trattamento perseguite dai vari e diversi soggetti (pubblici o privati) che utilizzeranno i suoi servizi.

Per quanto evidenziato, pertanto, appare non conforme al dettato normativo (o quantomeno difficilmente applicabile) l’inquadramento della fattispecie descritta nell’ambito della contitolarità.

Più correttamente si dovrebbe invece classificarla come titolarità autonoma (magari preceduta da accordi sulla protezione dei dati tra soggetti autonomi), ove Facebook tratta i dati raccolti tramite Insights secondo propri mezzi e finalità, mentre l’Amministratore della pagina della scuola, nel caso di studio, per proprie finalità (istituzionali) e scegliendo solo alcune impostazioni dei mezzi che il Social Network gli mette a disposizione. Si ricorda, inoltre, che la base giuridica che rende legittimo il trattamento di un ente pubblico non può che essere l’interesse pubblico o una norma di legge o di regolamento, come ribadito dal nuovo articolo 2-ter del D.Lgs. 196/2003 (basi giuridiche queste evidentemente molto lontane dall’attività di un social network quale Facebook e difficilmente conciliabili all’interno di un accordo di contitolarità).

Tuttavia, non è la prima volta che alle scuole viene imposta questa scelta interpretativa nel solco della contitolarità, in quanto tempo fa lo stesso MIUR (con argomentazioni di dubbia attendibilità) si era auto-dichiarata contitolare relativamente ad alcuni trattamenti che le Scuole avrebbero dovuto inserire nel proprio Registro delle Attività di trattamento[1]; peccato, però, che nessun accordo di contitolarità fosse stato sottoposto alle singole scuole da parte del ministero, restando di fatto un mero tentativo di regolamentare (in maniera un po’ rocambolesca) alcune attività di trattamento nei vari rapporti intercorrenti tra soggetti pubblici.

Si spera, pertanto, che l’Autorità di controllo italiana possa fornire lumi in merito o che venga disapplicato – nei fatti – l’attuale assetto organizzativo (introdotto dalla sentenza sopra richiamata) al fine di non incorrere in situazioni che obbligheranno le scuole ad aderire a inutili documenti formali, che avranno il solo effetto di ostacolare inevitabilmente il raggiungimento della tanto agognata “accountability”.

  1. Si veda in proposito la Nota prot. MIUR n. 563 del 22/05/2018 e le richiamate linee guida “Registro delle attività di trattamento per le Istituzioni Scolastiche – Nota metodologica” dell’agosto 2018
@RIPRODUZIONE RISERVATA

Articolo 1 di 3