Chiunque utilizza Facebook dovrebbe conoscere il concetto di “pagine fan”, quella particolare tipologia di pagina che ci permette di rimanere collegati ed interagire con ciò che condividono personaggi famosi, marchi, aziende, associazioni, ma anche pagine satiriche e realtà di vario genere.

Con l’introduzione del GDPR, la nuova normativa entrata in vigore a fine maggio che regola le questioni di privacy in Europa, arriva una novità per chi amministra questa tipologia di pagine, sia per lavoro che per diletto.

Come si è arrivati a questa sentenza

Una recente sentenza di inizio giugno della Corte Europea ha infatti decretato che gli amministratori delle pagine su Facebook sono anche responsabili della protezione dei dati personali dei visitatori, alleggerendo di fatto la responsabilità del social network.

Tutto è nato da una controversia intercorsa con una fan page tedesca che utilizzava Facebook per archiviare i cookie e raccogliere i dati sui visitatori. Quando l’autorità di protezione dei dati tedesca ha ordinato all’amministratore della fan page di disattivarla perché i visitatori non erano informati sulla raccolta dei propri dati personali, l’azienda titolare della pagina ha provato a scaricare il problema su Facebook, affermando che era quest’ultimo, proprietario della piattaforma, responsabile del trattamento dei dati.

Ed è qui che è arrivata la novità: il tribunale europeo, infatti, ha invece stabilito che l’amministratore di una fan page non è esonerato, pur utilizzando una piattaforma terza, dall’adempiere i suoi obblighi in materia di protezione dei dati personali ed è corresponsabile, insieme a Facebook, del trattamento dei dati personali di chi interagisce con quella pagina, rispondendo di conseguenza di eventuali violazioni.

Quali sono i dati che lasciamo sulle pagine Facebook

Gli amministratori delle fan page hanno la possibilità, attraverso un pannello di controllo, di accedere a quelli che tecnicamente si chiamano “Insights“, una serie di dati aggregati statistici sull’andamento e sulle interazioni che gli utenti hanno con la pagina.

I dati di Facebook Insight vengono raccolti attraverso cookies che vengono salvati sui nostri computer, smartphone, tablet, sia che siamo iscritti al social network, sia che interagiamo con la pagina da visitatori esterni non iscritti, e che rimangono attivi per due anni. Ad ogni utente, infatti, è associato un codice unico che viene comunicato al momento della nostra interazione con una pagina. Questo permette di raccogliere ed elaborare i dati sui comportamenti e preferenze, non solo strettamente legate al profilo Facebook, senza però chiedere agli utenti il consenso per questa raccolta di dati.

Durante la creazione e la gestione di una fan page l’amministratore può impostare dei parametri in base al pubblico a cui si rivolge e definire degli obiettivi di gestione o di promozione delle sue attività. Questo influisce sul trattamento dei dati personali ai fini della creazione di statistiche sulle visite alla fan page. Chi gestisce la pagina può quindi, tramite filtri, definire i criteri su cui costruire le statistiche e perfino designare le categorie di persone i cui dati personali potranno essere utilizzati da Facebook.

I dati a cui un amministratore di una pagina Facebook può accedere possono essere quelli relativi alle tendenze in materia di età, sesso, situazione sentimentale e professionale, informazioni sullo stile di vita, sugli interessi. E ancora, informazioni sugli acquisti, il comportamento di acquisto online dei visitatori della sua pagina, le categorie di prodotti o di servizi di loro maggiore interesse. Non sono esclusi da questa raccolta i dati territoriali che consentono all’amministratore della fan page di stabilire dove andare ad offrire informazioni maggiormente mirate, come ad esempio su dove organizzare eventi o avviare promozioni speciali.

Queste statistiche sono trasmesse da Facebook all’amministratore in maniera anonima, ma ciò che dice la sentenza della Corte Europea è che questo non toglie che l’amministratore, attraverso la possibilità di impostazione dei parametri per la definizione del suo pubblico, partecipi alla determinazione delle finalità e degli strumenti del trattamento dei dati personali dei visitatori della fan page e debba quindi rispondere del trattamento di tali dati.

Questo a maggior ragione perché una fan page può essere visitata anche da persone che non utilizzano Facebook e questa azione fa scattare automaticamente il trattamento dei loro dati personali.

Cosa deve fare chi amministra una fan page su Facebook

Con la sentenza è arrivata anche la precisazione che l’esistenza di corresponsabilità non si traduce necessariamente in una responsabilità equivalente dei diversi operatori nel trattamento dati, perché essi possono essere coinvolti in fasi diverse del trattamento e a diversi livelli. Per questo, il grado di responsabilità viene valutato tenendo conto di tutte le circostanze rilevanti nel caso esaminato.

Essendo conseguenza di un impianto legislativo nuovo, che ancora in molti casi si sta cercando di capire come vada attuato, come era prevedibile la sentenza non chiarisce come gli amministratori delle pagine Facebook debbano operativamente comportarsi e quali azioni debbano intraprendere per rendere le loro pagine “privacy-friendly”.

La speranza è allora che Facebook, in seguito a questa sentenza, possa sviluppare a breve strumenti di attuazione chiari sia per gli amministratori che per gli utenti.