L’indirizzo IP dell’utente è un dato personale
Negli ultimi anni si è diffusa sul web la pratica,da parte delle aziende, di inserire all’interno dei loro siti web il pulsante “Like” di Facebook. Ogni volta che l'utente accede al sito web e clicca sul pulsante, le informazioni relative al suo indirizzo IP e alla stringa del browser vengono inviate direttamente a Facebook. La Corte di Giustizia ha dichiarato che anche l’indirizzo IP è considerato dato personale e da qui nasce il problema, poichè questo trasferimento di dati avviene in modo automatico mediante l’accesso al sito web, senza che l’utente clicchi materialmente il pulsante “Like” e indipendentemente dal fatto che quest'ultimo abbia o meno un account Facebook.

Responsabilità o corresponsabilità
E’ ormai prassi che i siti web inseriscano contenuti di terze parti al loro interno, quindi diventa fondamentale che si chiarisca se le società titolari dei siti web stessi debbano essere considerate responsabili (o corresponsabili assieme a Facebook) per qualunque trattamento successivo alla raccolta effettuata tramite il sito stesso in relazione ai dati personali. La più recente giurisprudenza della Corte di Giustizia UE ha dichiarato che corresponsabile del trattamento dei dati deve essere considerato il soggetto che rende possibile la loro raccolta e trasferimento, pertanto le società gestrici di tali siti web devono essere considerate corresponsabili del trattamento. La corresponsabilità tuttavia rischia di essere troppo ampia, perché nulla impedirebbe di includere all’interno di tale nozione anche gli utenti di Facebook che, creando un proprio account, forniscono parametri riguardo al modo in cui dovrà essere strutturato e riguardo le informazioni che preferiscono ricevere. In quest’ottica, la responsabilità delle società dovrebbe essere limitata alla fase del trattamento a cui concretamente partecipano, ovvero alla raccolta dei dati (indirizzi IP degli utenti) effettuata tramite i siti web che gestiscono. Tale responsabilità non potrebbe così estendersi ad eventuali fasi successive del trattamento dei dati, fuori dal controllo delle società stesse.

L'interessato poi dovrà prestare/negare il proprio consenso a tali società gestrici del sito web e non a Facebook, in quanto il trattamento dei suoi dati personali ha inizio nel momento in cui il sito web raccoglie il suo indirizzo IP. Si precisa infatti che, sia il consenso sia l’obbligo di informazione, devono essere forniti dalla società prima che i dati dell'interessato siano raccolti e trasferiti. Teniamo sempre presente che l’attività di profilazione effettuata in tal senso ha particolare rilievo in tema di privacy in quanto consiste in operazioni che possono mettere a rischio i diritti dell'interessato, soprattutto laddove viene effettuata con meccanismi semi-automatizzati o automatizzati che classificano i soggetti sulla base dei loro dati personali raccolti in categorie generali e predefinite.

Cookie e profilazione
In Italia la situazione era già stata disciplinata dall’Autorità Garante con il Provvedimento dell’8 Maggio 2014, dedicato specificatamente alla “Individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie”. Con questo Provvedimento il Garante aveva dettato le attività che le società gestrici dei siti web devono porre in essere per tutelare i dati personali e i diritti del'interessato chiarendo che, quando vengono utilizzati dei cookie per finalità di profilazione e marketing, si rende necessario inserire sul sito web un apposito banner che compaia tempestivamente e che sia ben visibile, per riportare agli utenti le seguenti informazioni:

1. specificare se il sito web utilizza cookie di profilazione finalizzati all’invio all’utente di messaggi pubblicitari mirati;
2. indicare se il sito web prevede l’utilizzo di cookie di “terze parti”;
3. rinviare l’utente, tramite link, a più approfondite informazioni sull’uso dei cookie rendendo possibile all’utente di dare/negare il consenso alla loro installazione;
4. indicare all’utente che proseguendo nella navigazione il suo consenso all’uso dei cookie sarà ritenuto implicito.

Ai sensi dell'art. 4 del GDPR “il Titolare del Trattamento deve informare l’interessato in modo chiaro, completo ed esaustivo per renderlo effettivamente consapevole del trattamento che verrà effettuato con i suoi dati, e il consenso dell’utente (sempre necessario quando si effettua profilazione) deve essere sempre espresso e realizzarsi con una “manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato”. Ne segue che, in caso di cookie di profilazione su siti web, non è più lecito considerare il consenso dell’utente implicitamente fornito con la prosecuzione della navigazione dello stesso all’interno del sito web. L’utente deve sempre essere previamente informato mediante banner sull’utilizzo di cookie di profilazione, a prescindere se siano di prima parte o di terze parti (come nel caso di Facebook), nonchè rilasciare esplicitamente il proprio consenso a tale trattamento dei propri dati personali.