È prassi comune, se non regola assoluta, che i siti web di aziende commerciali, ma anche di associazioni e organizzazioni, contengano i tasti che permettono di dare il like su tutti i social media più diffusi: da Facebook a Instagram ecc... In questa maniera il visitatore da un lato gratifica l’azienda con il proprio apprezzamento, dall’altro comunica a tutto il "popolo dei social" la sua preferenza in materia di alimenti, auto, abbigliamento, ma promuove anche i suoi blogger preferiti, associazioni politiche, gruppi e così via. Si tratta dell’uso, entrato nella quotidianità, dei social plug-ins, strumenti usati e messi a disposizione dai gestori di siti web per permettere all’utente di condividere direttamente la propria esperienza sui social, ma utili anche ad aumentare la visibilità di un sito Web: essi aiutano a ottimizzare la pubblicità dei prodotti, rendendoli più visibili sui social media e, inoltre, forniscono più traffico, feedback e statistiche sugli utenti. 

Con il pulsante "Mi piace" Facebook, ad esempio, memorizza i cookie sul computer dell'utente: ciò permette di trasferire automaticamente i dati personali dell'utente su Facebook perché il browser stabilisce una connessione con i server del social network. Il titolare del sito Web raccoglie e invia anche dati (ad es. Indirizzi IP) di utenti senza profilo Facebook. Gli indirizzi IP vengono memorizzati utilizzando i cookie e vengono utilizzati per creare profili anonimi. 

Tutto ciò è stato oggetto di valutazione dalla Corte di Giustizia Europea, la quale ha posto in evidenza come il semplice fare click sull’icona di Facebook o di Instragram, trasmetta dati personali ai due social o altri che siano inseriti sul sito. Ovviamente, perlomeno nel caso di specie, la trasmissione dei dati avveniva senza che venisse fornita agli utenti una adeguata informativa in merito al trattamento sia sul sito stesso, sia dopo che il dato era entrato nella disponibilità del social. Interessante come nello stesso provvedimento, la Corte abbia ritenuto ammissibile il reclamo da parte di un’associazione a tutela dei consumatori, reclamo presentato prima della definitiva entrata in vigore del GDPR. 

Nel merito del suo provvedimento, la Corte Europea ha ritenuto che la società tedesca destinataria del provvedimento non possa essere considerata direttamente responsabile delle forme di trattamento del dato eseguite dal gestore del social, ma viceversa è possibile individuare una forma di responsabilità, eventualmente in concorso con il social stesso, nella fase di raccolta e trasmissione, considerato come non possa essere esclusa la possibilità che le due aziende determinino congiuntamente motivi e finalità. È del resto emerso, ma ciò è quantomeno logico e connaturato agli scopi dell’azienda, che l’inserimento del tasto “Like” che rimanda direttamente a Facebook consenta di ottimizzare la pubblicità per i suoi prodotti, rendendoli più visibili sul social. L’inserimento pertanto di questa possibilità sul sito, indica come l’azienda abbia espresso il consenso, quantomeno implicitamente, alla raccolta e alla comunicazione mediante trasmissione dei dati personali dei visitatori del suo sito. Operazione economica eseguita senza una preventiva richiesta di consenso al trattamento, indicando magari l’uso che ne potrebbe fare il destinatario una volta comunicato il like. E’ sufficiente questo per determinare, ad esempio, anche solo una profilazione a fini pubblicitari e ben sappiamo che i tempi perché gli algoritmi si attivino e concludano le loro ricerche e veicolazioni, sono a dir poco minimali.

Due quindi i punti fermi stabiliti dalla Corte, e che dovranno essere tenuti presente non solo dalle aziende nella predisposizione di siti, ma anche dai web maker e dai responsabili della sicurezza. Da un lato il gestore o proprietario di un sito Internet è tenuto a ottenere il consenso preventivo soltanto per operazioni di cui è eventualmente (cor)responsabile, vale a dire la raccolta e trasmissione. Dall’altro, nelle fasi successive, sia il titolare che raccoglie il dato, sia il destinatario dello stesso, dovranno utilizzarli, e sempre previa informativa, per perseguire, con la raccolta e la trasmissione dei dati personali, un interesse legittimo affinché tali operazioni siano giustificate.

Si tratta di un problema non da poco per le aziende, ma anche di un richiamo ad una maggiore cautela ed attenzione agli operatori della sicurezza ma anche, in primis, ai web maker.