In quella che per il web si può tranquillamente definire "l'era di Facebook", pressoché ogni sito ha un pulsante Mi piace con il quale si può esprimere il proprio apprezzamento per un contenuto, apprezzamento che viene poi conteggiato sulla pagina Facebook del sito stesso.

Sembra una funzione del tutto innocua e che non può creare problemi, ma secondo la Corte di Giustizia dell'Unione Europea ci sono invece importanti risvolti per la privacy.

Con una recente sentenza, la Corte ha deciso che «Il gestore di un sito Internet corredato del pulsante «Mi piace» di Facebook può essere congiuntamente responsabile con Facebook della raccolta e della trasmissione dei dati personali dei visitatori del suo sito».

Sullo stesso tema:

IA: ChatGPT, i plugin e la responsabilità

Privacy, Facebook minaccia di lasciare l'Europa

Facebook, i dati di mezzo miliardo di utenti accessibili pubblicamente

Eliminare in massa i post, invece degli account, nei social

Anche se è Facebook a fornire il codice del pulsante ed è ancora Facebook che alla fine gestisce i dati, il gestore del sito che ospita il pulsante viene considerato corresponsabile del trattamento: pertanto, se qualcosa va storto, può incorrere in conseguenze anche serie.

Alla sentenza si è arrivati quando un'associazione tedesca di consumatori, la Verbraucherzentrale NRW, ha attaccato l'impresa di abbigliamento Fashion ID.

Oggetto del contendere era proprio il pulsante Mi piace presente sul sito di Fashion ID tramite il quale, secondo l'associazione, venivano trasmessi a Facebook i dati personali dei visitatori «da un lato, senza il consenso di questi ultimi e, dall'altro, in violazione degli obblighi d'informazione previsti dalle disposizioni relative alla protezione dei dati personali».

Non solo: «Risulta» - spiega la Corte - «che tale trasmissione avviene senza che il visitatore di cui trattasi ne sia consapevole e indipendentemente dal fatto che egli sia iscritto al social network Facebook o che abbia cliccato sul pulsante "Mi piace"».

Insomma, la questione in realtà è più complicata della semplice presenza del pulsante Mi piace: a quanto pare sul sito mancava l'informativa sulla privacy che il GDPR rende obbligatoria da un anno a questa parte, e c'è anche la questione della trasmissione di dati indipendentemente dal clic sul pulsante.

Per gli utenti (in quanto viola la loro privacy) e per i gestori (in quanto impone loro responsabilità finora ignote) è proprio quest'ultimo il punto più importante: se il pulsante Mi piace invia dati automaticamente, al solo caricarsi della pagina che lo contiene, è necessario provvedere affinché si ottenga preventivamente il consenso da parte dei visitatori.

Oppure - e sarebbe più semplice e sensato - Facebook potrebbe creare dei plugin che si attivano solo se si interagisce con loro, e non di nascosto.

In ogni caso, per i proprietari dei siti appare ora un nuovo obbligo, seppure temperato da alcune precisazioni: la Corte riconosce che, dopo che i dati sono stati trasmessi a Facebook, il sito di partenza non ha più alcuna responsabilità.

D'altra parte, «la Fashion ID» (e, come lei, i siti che contengono i plugin del social network) «può essere considerata responsabile, congiuntamente con la Facebook Ireland, delle operazioni di raccolta e di comunicazione mediante trasmissione dei dati di cui trattasi, dal momento che si può concludere che la Fashion ID e la Facebook Ireland ne determinano, congiuntamente, i motivi e le finalità».

Commentando la vicenda, Facebook ha fatto sapere che studierà la sentenza e farà in modo che i suoi plugin non ledano i diritti degli utenti, preservando al tempo stesso le funzionalità care ai siti, ossia ottenere visibilità sulla piazza più frequentata del web.