Corte di giustizia dell'Unione Europea
Seconda Sezione
Sentenza 29 luglio 2019

«Rinvio pregiudiziale - Tutela delle persone fisiche con riguardo al trattamento dei dati personali - Direttiva 95/46/CE - Articolo 2, lettera d) - Nozione di "responsabile del trattamento" - Gestore di un sito Internet che ha incorporato in quest'ultimo un plug-in social che consente la comunicazione dei dati personali del visitatore di tale sito al fornitore del suddetto plug-in - Articolo 7, lettera f) - Legittimazione del trattamento dei dati - Considerazione dell'interesse del gestore del sito Internet o di quello del fornitore del plug-in social - Articolo 2, lettera h), e articolo 7, lettera a) - Consenso della persona interessata - Articolo 10 - Informazione della persona interessata - Normativa nazionale che consente alle associazioni per la tutela degli interessi dei consumatori di agire in giudizio».

Nella causa C-40/17, avente ad oggetto la domanda di pronuncia pregiudiziale proposta alla Corte, ai sensi dell'articolo 267 TFUE, dall'Oberlandesgericht Düsseldorf (Tribunale superiore del Land, Düsseldorf, Germania), con decisione del 19 gennaio 2017, pervenuta in cancelleria il 26 gennaio 2017, nel procedimento Fashion ID GmbH & Co. KG contro Verbraucherzentrale NRW eV, con l'intervento di: Facebook Ireland Ltd, Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen.

[...]

1. La domanda di pronuncia pregiudiziale verte sull'interpretazione degli articoli 2, 7, 10, da 22 a 24 della direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (GU 1995, L 281, pag. 31).

2. Tale domanda è stata presentata nell'ambito di una controversia tra la Fashion ID GmbH & Co. KG e la Verbraucherzentrale NRW eV in ordine all'inserimento, da parte della Fashion ID, di un plug-in social della Facebook Ireland Ltd nel proprio sito internet.

Contesto normativo

Diritto dell'Unione

3. La direttiva 95/46 è stata abrogata e sostituita, a decorrere dal 25 maggio 2018, dal regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (GU 2016, L 119, pag. 1). Tuttavia, tenuto conto della data cui risalgono i fatti oggetto della controversia di cui al procedimento principale, a detta controversia si applica la direttiva summenzionata.

4. Il considerando 10 della direttiva 95/46 così recita:

«[C]onsiderando che le legislazioni nazionali relative al trattamento dei dati personali hanno lo scopo di garantire il rispetto dei diritti e delle libertà fondamentali, in particolare del diritto alla vita privata, riconosciuto anche dall'articolo 8 della Convenzione europea per la salvaguardia dei diritti dell'uomo e delle libertà fondamentali[, firmata a Roma il 4 novembre 1950,] e dai principi generali del diritto [dell'Unione]; che pertanto il ravvicinamento di dette legislazioni non deve avere per effetto un indebolimento della tutela da esse assicurata ma deve anzi mirare a garantire un elevato grado di tutela [nell'Unione]».

5. L'articolo 1 della direttiva 95/46 prevede quanto segue:

«1. Gli Stati membri garantiscono, conformemente alle disposizioni della presente direttiva, la tutela dei diritti e delle libertà fondamentali delle persone fisiche e particolarmente del diritto alla vita privata, con riguardo al trattamento dei dati personali.

2. Gli Stati membri non possono restringere o vietare la libera circolazione dei dati personali tra Stati membri, per motivi connessi alla tutela garantita a norma del paragrafo 1».

6. L'articolo 2 della direttiva in parola così dispone:

«Ai fini della presente direttiva si intende per:

a) "dati personali": qualsiasi informazione concernente una persona fisica identificata o identificabile ("persona interessata"); si considera identificabile la persona che può essere identificata, direttamente o indirettamente, in particolare mediante riferimento ad un numero di identificazione o ad uno o più elementi specifici caratteristici della sua identità fisica, fisiologica, psichica, economica, culturale o sociale;

b) "trattamento di dati personali" ("trattamento"): qualsiasi operazione o insieme di operazioni compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali, come la raccolta, la registrazione, l'organizzazione, la conservazione, l'elaborazione o la modifica, l'estrazione, la consultazione, l'impiego, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, nonché il congelamento, la cancellazione o la distruzione;

(...)

d) "responsabile del trattamento": la persona fisica o giuridica, l'autorità pubblica, il servizio o qualsiasi altro organismo che, da solo o insieme ad altri, determina le finalità e gli strumenti del trattamento di dati personali. Quando le finalità e i mezzi del trattamento sono determinati da disposizioni legislative o regolamentari nazionali o [dell'Unione], il responsabile del trattamento o i criteri specifici per la sua designazione possono essere fissati dal diritto nazionale o [dell'Unione];

(...)

f) "terzi": la persona fisica o giuridica, l'autorità pubblica, il servizio o qualsiasi altro organismo che non sia la persona interessata, il responsabile del trattamento, l'incaricato del trattamento e le persone autorizzate all'elaborazione dei dati sotto la loro autorità diretta;

g) "destinatario": la persona fisica o giuridica, l'autorità pubblica, il servizio o qualsiasi altro organismo che riceve comunicazione di dati, che si tratti o meno di un terzo. Tuttavia, le autorità che possono ricevere comunicazione di dati nell'ambito di una missione d'inchiesta specifica non sono considerate destinatari;

h) "consenso della persona interessata": qualsiasi manifestazione di volontà libera, specifica e informata con la quale la persona interessata accetta che i dati personali che la riguardano siano oggetto di un trattamento».

7. L'articolo 7 della direttiva summenzionata è così formulato:

«Gli Stati membri dispongono che il trattamento di dati personali può essere effettuato soltanto quando:

a) la persona interessata ha manifestato il proprio consenso in maniera inequivocabile, oppure

(...)

f) è necessario per il perseguimento dell'interesse legittimo del responsabile del trattamento oppure del o dei terzi cui vengono comunicati i dati, a condizione che non prevalgano l'interesse o i diritti e le libertà fondamentali della persona interessata, che richiedono tutela ai sensi dell'articolo 1, paragrafo 1».

8. Ai sensi dell'articolo 10 della medesima direttiva, intitolato «Informazione in caso di raccolta dei dati presso la persona interessata»:

«Gli Stati membri dispongono che il responsabile del trattamento, o il suo rappresentante, debba fornire alla persona presso la quale effettua la raccolta dei dati che la riguardano almeno le informazioni elencate qui di seguito, a meno che tale persona ne sia già informata:

a) l'identità del responsabile del trattamento ed eventualmente del suo rappresentante;

b) le finalità del trattamento cui sono destinati i dati;

c) ulteriori informazioni riguardanti quanto segue:

- i destinatari o le categorie di destinatari dei dati,

- se rispondere alle domande è obbligatorio o volontario, nonché le possibili conseguenze di una mancata risposta,

- se esistono diritti di accesso ai dati e di rettifica in merito ai dati che la riguardano

nella misura in cui, in considerazione delle specifiche circostanze in cui i dati vengono raccolti, tali informazioni siano necessarie per effettuare un trattamento leale nei confronti della persona interessata».

9. L'articolo 22 della direttiva 95/46 è così formulato:

«Fatti salvi ricorsi amministrativi che possono essere promossi, segnatamente dinanzi all'autorità di controllo di cui all'articolo 28, prima che sia adita l'autorità giudiziaria, gli Stati membri stabiliscono che chiunque possa disporre di un ricorso giurisdizionale in caso di violazione dei diritti garantitigli dalle disposizioni nazionali applicabili al trattamento in questione».

10. L'articolo 23 di tale direttiva stabilisce quanto segue:

«1. Gli Stati membri dispongono che chiunque subisca un danno cagionato da un trattamento illecito o da qualsiasi altro atto incompatibile con le disposizioni nazionali di attuazione della presente direttiva abbia il diritto di ottenere il risarcimento del pregiudizio subito dal responsabile del trattamento.

2. Il responsabile del trattamento può essere esonerato in tutto o in parte da tale responsabilità se prova che l'evento dannoso non gli è imputabile».

11. Il successivo articolo 24 prevede quanto segue:

«Gli Stati membri adottano le misure appropriate per garantire la piena applicazione delle disposizioni della presente direttiva e in particolare stabiliscono le sanzioni da applicare in caso di violazione delle disposizioni di attuazione della presente direttiva».

12. L'articolo 28 della medesima direttiva così dispone:

«1. Ogni Stato membro dispone che una o più autorità pubbliche siano incaricate di sorvegliare, nel suo territorio, l'applicazione delle disposizioni di attuazione della presente direttiva, adottate dagli Stati membri.

Tali autorità sono pienamente indipendenti nell'esercizio delle funzioni loro attribuite.

(...)

3. Ogni autorità di controllo dispone in particolare:

(...)

- del potere di promuovere azioni giudiziarie in caso di violazione delle disposizioni nazionali di attuazione della presente direttiva ovvero di adire per dette violazioni le autorità giudiziarie.

(...)

4. Qualsiasi persona, o associazione che la rappresenti, può presentare a un'autorità di controllo una domanda relativa alla tutela dei suoi diritti e libertà con riguardo al trattamento di dati personali. La persona interessata viene informata del seguito dato alla sua domanda.

(...)».

13. L'articolo 5, paragrafo 3, della direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (direttiva relativa alla vita privata e alle comunicazioni elettroniche) (GU 2002, L 201, pag. 37), come modificata dalla direttiva 2009/136/CE del Parlamento europeo e del Consiglio, del 25 novembre 2009 (GU 2009, L 337, pag. 11) (in prosieguo: la «direttiva 2002/58»), prevede quanto segue:

«Gli Stati membri assicurano che l'archiviazione di informazioni oppure l'accesso a informazioni già archiviate nell'apparecchiatura terminale di un abbonato o di un utente sia consentito unicamente a condizione che l'abbonato o l'utente in questione abbia espresso preliminarmente il proprio consenso, dopo essere stato informato in modo chiaro e completo, a norma della direttiva [95/46], tra l'altro sugli scopi del trattamento. Ciò non vieta l'eventuale archiviazione tecnica o l'accesso al solo fine di effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell'informazione esplicitamente richiesto dall'abbonato o dall'utente a erogare tale servizio».

14. L'articolo 1, paragrafo 1, della direttiva 2009/22/CE del Parlamento europeo e del Consiglio, del 23 aprile 2009, relativa a provvedimenti inibitori a tutela degli interessi dei consumatori (GU 2009, L 110, pag. 30), come modificata dal regolamento (UE) n. 524/2013 del Parlamento europeo e del Consiglio, del 21 maggio 2013 (GU 2013, L 165, pag. 1) (in prosieguo: la «direttiva 2009/22»), stabilisce quanto segue:

«La presente direttiva ha per oggetto il ravvicinamento delle disposizioni legislative, regolamentari e amministrative degli Stati membri relative ai provvedimenti inibitori di cui all'articolo 2, volti a tutelare gli interessi collettivi dei consumatori contemplati negli atti dell'Unione elencati nell'allegato I, onde garantire il corretto funzionamento del mercato interno».

15. L'articolo 2 di detta direttiva prevede quanto segue:

«1. Gli Stati membri designano gli organi giurisdizionali o le autorità amministrative competenti a deliberare su ricorsi o azioni proposti dagli enti legittimati ai sensi dell'articolo 3, onde:

a) ordinare con la debita sollecitudine e, se del caso, con procedimento d'urgenza, la cessazione o l'interdizione di qualsiasi violazione;

(...)».

16. L'articolo 7 della suddetta direttiva così dispone:

«La presente direttiva non osta al mantenimento in vigore o all'adozione da parte degli Stati membri di norme che conferiscano sul piano nazionale una più ampia legittimazione ad agire agli enti abilitati nonché a qualsiasi altro interessato».

17. L'articolo 80 del regolamento 2016/679 è formulato nei seguenti termini:

«1. L'interessato ha il diritto di dare mandato a un organismo, un'organizzazione o un'associazione senza scopo di lucro, che siano debitamente costituiti secondo il diritto di uno Stato membro, i cui obiettivi statutari siano di pubblico interesse e che siano attivi nel settore della protezione dei diritti e delle libertà degli interessati con riguardo alla protezione dei dati personali, di proporre il reclamo per suo conto e di esercitare per suo conto i diritti di cui agli articoli 77, 78 e 79 nonché, se previsto dal diritto degli Stati membri, il diritto di ottenere il risarcimento di cui all'articolo 82.

2. Gli Stati membri possono prevedere che un organismo, organizzazione o associazione di cui al paragrafo 1 del presente articolo, indipendentemente dal mandato conferito dall'interessato, abbia il diritto di proporre, in tale Stato membro, un reclamo all'autorità di controllo competente, e di esercitare i diritti di cui agli articoli 78 e 79, qualora ritenga che i diritti di cui un interessato gode a norma del presente regolamento siano stati violati in seguito al trattamento».

Diritto tedesco

18. L'articolo 3, paragrafo 1, del Gesetz gegen den unlauteren Wettbewerb (legge contro la concorrenza sleale), nella versione applicabile alla controversia oggetto del procedimento principale (in prosieguo: l'«UWG») enuncia quanto segue:

«Le pratiche commerciali sleali sono illecite».

19. L'articolo 3a dell'UWG è così formulato:

«Commette un atto di concorrenza sleale chiunque violi una disposizione di legge destinata, tra l'altro, a regolamentare il comportamento sul mercato nell'interesse dei suoi operatori, quando la violazione sia di natura tale da ledere in modo sensibile gli interessi dei consumatori, degli altri operatori del mercato o dei concorrenti».

20. L'articolo 8 dell'UWG stabilisce quanto segue:

«(1) Ogni pratica commerciale illecita ai sensi dell'articolo 3 o dell'articolo 7 può dar luogo a un'ingiunzione di cessazione e, nell'ipotesi di rischio di recidiva, a inibitoria. Il diritto di ottenere un provvedimento inibitorio sorge non appena sussista il rischio di violazione degli articoli 3 o 7.

(...)

(3) Legittimati ad agire ai sensi del paragrafo 1 sono:

(...)

3. gli enti legittimati previa prova di iscrizione nel relativo elenco ai sensi dell'articolo 4 dell'Unterlassungsklagegesetz [(legge in materia di azione inibitoria)] o nell'elenco della Commissione europea di cui all'articolo 4, paragrafo 3, della direttiva [2009/22];

(...)».

21. L'articolo 2 della legge in materia di azione inibitoria prevede quanto segue:

«(1) Chiunque violi disposizioni volte a tutelare i consumatori (legge sulla tutela dei consumatori), con modalità diverse dall'applicazione o dalla raccomandazione di condizioni generali, può essere soggetto a un'ingiunzione di cessazione e a inibitoria nell'interesse della tutela dei consumatori. (...)

(2) Ai fini della presente disposizione, per leggi sulla tutela dei consumatori, si intendono in particolare:

(...)

11. le disposizioni che disciplinano l'ammissibilità

a) della raccolta dei dati personali di un consumatore da parte di un'impresa oppure

b) del trattamento o dell'utilizzo di dati personali di un consumatore raccolti da un'impresa,

qualora i dati siano raccolti, trattati o utilizzati per fini pubblicitari, per ricerche di mercato e sondaggi, gestione di un'agenzia di informazioni, realizzazione di profili personali o profili utente, qualsiasi altro commercio di dati o per scopi commerciali analoghi».

22. L'articolo 12, paragrafo 1, del Telemediengesetz (legge sui media elettronici; in prosieguo: il «TMG») è così formulato:

«Il fornitore di servizi può raccogliere e utilizzare dati personali ai fini della messa a disposizione di servizi di telecomunicazione solo nella misura consentita dalla presente legge o da altra norma espressamente riguardante i servizi di telecomunicazione, oppure qualora l'utente vi abbia prestato consenso».

23. L'articolo 13, paragrafo 1, del TMG così recita:

«Il fornitore di servizi è tenuto, all'inizio della sessione, ad informare l'utente in forma generalmente comprensibile in merito alla tipologia, alla portata e agli obiettivi della raccolta e dell'utilizzo dei dati personali nonché del trattamento dei suoi dati in Stati non rientranti nell'ambito di applicazione della direttiva [95/46], salvo che una tale informativa abbia già avuto luogo. In caso di procedura automatizzata che consenta una successiva identificazione dell'utente e predisponga una raccolta o un utilizzo di dati personali, l'utente deve essere informato all'inizio della procedura. L'utente deve poter aver accesso in ogni momento al contenuto dell'informativa».

24. L'articolo 15, paragrafo 1, del TMG prevede quanto segue:

«Il fornitore di servizi può raccogliere e utilizzare i dati personali di un utente solo nella misura in cui ciò sia necessario per rendere possibile la fruizione di servizi di telecomunicazione e per fatturarla (dati di utenza). Costituiscono dati di utenza, in particolare:

1. gli elementi per l'identificazione dell'utente,

2. le informazioni su inizio e termine, nonché sulla durata della rispettiva fruizione e

3. le indicazioni sui servizi di telecomunicazione fruiti dall'utente».

Procedimento principale e questioni pregiudiziali

25. La Fashion ID, impresa di abbigliamento di moda online, ha inserito nel proprio sito Internet il plug-in social «Mi piace» del social network Facebook (in prosieguo: il «pulsante "Mi piace" di Facebook»).

26. Dalla decisione di rinvio risulta che una caratteristica precipua di Internet è quella di consentire al browser del visitatore di un sito Internet di presentare contenuti di diverse fonti. Così, a titolo di esempio, in un sito Internet si può creare il collegamento a foto, video, attualità, nonché al pulsante «Mi piace» di Facebook oggetto della presente fattispecie, contenuti questi che saranno presenti su tale sito. Se il gestore di un sito Internet desidera inserire tali contenuti esterni, include in detto sito un collegamento al contenuto esterno. Quando il browser del visitatore del medesimo sito apre tale collegamento, esso richiama il contenuto esterno e lo inserisce, nella posizione desiderata, nella presentazione del sito. A tal fine, il browser comunica al server del fornitore esterno l'indirizzo IP del computer di detto visitatore, nonché i dati tecnici del browser, affinché il server possa stabilire in quale formato il contenuto debba essere inviato a tale indirizzo. Il browser trasmette inoltre informazioni sul contenuto richiesto. Il gestore di un sito Internet che propone un contenuto esterno inserendolo in tale sito non può verificare i dati che il browser trasmette e nemmeno l'impiego che ne fa il fornitore esterno, in particolare, se decida di archiviarli e di utilizzarli.

27. Per quanto riguarda, in particolare, il pulsante «Mi piace» di Facebook, dalla decisione di rinvio sembra emergere che, quando un visitatore consulta il sito Internet della Fashion ID, taluni dati personali di tale visitatore, a motivo del fatto che su tale sito è presente detto pulsante, sono trasmessi alla Facebook Ireland. Risulta che tale trasmissione avviene senza che il suddetto visitatore ne sia consapevole e indipendentemente dal fatto che egli sia iscritto al social network Facebook o che abbia cliccato sul pulsante « Mi piace» di Facebook.

28. La Verbraucherzentrale NRW, associazione di pubblica utilità per la tutela degli interessi dei consumatori, contesta alla Fashion ID di aver trasmesso alla Facebook Ireland dati personali appartenenti ai visitatori del suo sito Internet, da un lato, senza il consenso di questi ultimi e, dall'altro, in violazione degli obblighi di informazione previsti dalle disposizioni relative alla protezione dei dati personali.

29. La Verbraucherzentrale NRW ha proposto un'azione inibitoria dinanzi al Landgericht Düsseldorf (Tribunale del Land, Düsseldorf, Germania) nei confronti della Fashion ID affinché quest'ultima mettesse fine a tale pratica.

30. Con decisione del 9 marzo 2016 il Landgericht Düsseldorf (Tribunale del Land, Düsseldorf) ha parzialmente accolto le domande della Verbraucherzentrale NRW, dopo aver riconosciuto a quest'ultima la legittimazione ad agire ai sensi dell'articolo 8, paragrafo 3, punto 3, dell'UWG.

31. La Fashion ID ha interposto appello avverso tale decisione dinanzi all'Oberlandesgericht Düsseldorf (Tribunale superiore del Land, Düsseldorf, Germania), giudice del rinvio. La Facebook Ireland è intervenuta, in sede di appello, a sostegno della Fashion ID. Dal canto suo, la Verbraucherzentrale NRW ha proposto appello incidentale diretto a estendere la condanna della Fashion ID pronunciata in primo grado.

32. Dinanzi al giudice del rinvio, la Fashion ID sostiene che la decisione del Landgericht Düsseldorf (Tribunale del Land, Düsseldorf) non è conforme alla direttiva 95/46.

33. Da un lato, la Fashion ID sostiene che gli articoli da 22 a 24 di detta direttiva prevedono mezzi di ricorso unicamente a favore delle persone interessate dal trattamento dei dati personali e delle autorità di controllo competenti. Di conseguenza, l'azione giudiziaria proposta dalla Verbrauzentrale NRW sarebbe irricevibile in quanto tale associazione non è legittimata ad agire in giudizio nell'ambito della direttiva 95/46.

34. D'altro lato, la Fashion ID ritiene che il Landgericht Düsseldorf (Tribunale del Land, Düsseldorf) abbia erroneamente dichiarato che essa era responsabile del trattamento, ai sensi dell'articolo 2, lettera d), della direttiva 95/46, dal momento che la stessa non ha alcuna influenza sui dati trasmessi dal browser del visitatore del suo sito Internet né sulla questione se e, eventualmente, in che modo la Facebook Ireland li utilizzerà.

35. Il giudice del rinvio, innanzitutto, nutre dubbi quanto alla questione se la direttiva 95/46 autorizzi associazioni di pubblica utilità ad agire in giudizio al fine di difendere gli interessi dei soggetti lesi. Esso è del parere che l'articolo 24 di tale direttiva non impedisca alle associazioni di agire in giudizio, in quanto, ai sensi di tale articolo, gli Stati membri adottano le «misure appropriate» per garantire la piena applicazione della succitata direttiva. Il giudice del rinvio ritiene infatti che una normativa nazionale che consente alle associazioni di intentare azioni giudiziarie nell'interesse dei consumatori possa costituire una siffatta misura appropriata.

36. Detto giudice rileva, a tal riguardo, che l'articolo 80, paragrafo 2, del regolamento 2016/679, che ha abrogato e sostituito la direttiva 95/46, autorizza espressamente l'azione giudiziaria di una tale associazione, il che deporrebbe nel senso di una conferma che quest'ultima direttiva non ostava ad una siffatta azione.

37. Esso si chiede peraltro se il gestore di un sito Internet, come la Fashion ID, che inserisce in tale sito un plug-in social che consente la raccolta di dati personali, possa essere considerato responsabile del trattamento, ai sensi dell'articolo 2, lettera d), della direttiva 95/46, sebbene quest'ultimo non abbia alcuna influenza sul trattamento dei dati trasmessi al fornitore di detto plug-in. Il giudice del rinvio rinvia a tal proposito alla causa che ha dato luogo alla sentenza del 5 giugno 2018, Wirtschaftsakademie Schleswig-Holstein (C-210/16, EU:C:2018:388), vertente su una questione analoga.

38. In subordine, nel caso in cui la Fashion ID non debba essere considerata responsabile del trattamento, il giudice del rinvio si chiede se tale direttiva disciplini esaustivamente detta nozione, nel senso che essa osta a una normativa nazionale che preveda la responsabilità civile per fatto di un terzo in caso di violazione dei diritti alla protezione dei dati. Il giudice del rinvio afferma infatti che sarebbe possibile considerare la responsabilità della Fashion ID su tale base del diritto nazionale, in quanto «perturbatore» («Störer»).

39. Se la Fashion ID dovesse essere considerata responsabile del trattamento o rispondesse, perlomeno, in quanto «perturbatore», di eventuali violazioni arrecate dalla Facebook Ireland alla protezione dei dati, il giudice del rinvio si chiede se il trattamento dei dati personali di cui trattasi nel procedimento principale sia lecito e se l'obbligo di informare la persona interessata in forza dell'articolo 10 della direttiva 95/46 gravasse sulla Fashion ID o sulla Facebook Ireland.

40. Pertanto, da un lato, tenuto conto delle condizioni di liceità del trattamento dei dati, quali previste all'articolo 7, lettera f), della direttiva 95/46, il giudice del rinvio si chiede se, in una situazione come quella di cui trattasi nel procedimento principale, occorra prendere in considerazione l'interesse legittimo del gestore del sito Internet o quello del fornitore del plug-in social.

41. Dall'altro lato, detto giudice si chiede a chi incombano gli obblighi di ottenere il consenso e di informare le persone interessate dal trattamento dei dati personali in una situazione come quella oggetto del procedimento principale. Il giudice del rinvio ritiene che la questione dell'individuazione del soggetto cui incombe l'obbligo di informare le persone interessate, quale previsto all'articolo 10 della direttiva 95/46, presenti un'importanza particolare, in quanto qualsiasi inserimento di contenuti esterni su un sito Internet dà luogo, in linea di principio, a un trattamento di dati personali, la cui portata e finalità sono tuttavia conosciute da colui che effettua l'inserimento di tali contenuti, ossia il gestore del sito Internet in questione. Quest'ultimo non sarebbe in grado, pertanto, di fornire l'informazione dovuta, nella misura in cui fosse tenuto a farlo, con la conseguenza che far gravare su tale gestore l'obbligo di informare la persona interessata implicherebbe, di fatto, un divieto di inserimento di contenuti esterni.

42. Ciò premesso, l'Oberlandesgericht Düsseldorf (Tribunale superiore del Land, Düsseldorf) ha deciso di sospendere il procedimento e di sottoporre alla Corte le seguenti questioni pregiudiziali:

«1) Se la normativa di cui agli articoli 22, 23 e 24 della direttiva [95/46] osti a una disciplina nazionale che, accanto ai poteri di intervento delle autorità di protezione dei dati e ai mezzi di ricorso riconosciuti all'interessato, riconosca ad associazioni senza scopo di lucro che si occupino della tutela degli interessi dei consumatori la facoltà di agire, in caso di violazione, nei confronti dell'autore della medesima.

In caso di risposta negativa alla prima questione:

2) Se, in un caso come quello in esame, in cui un soggetto inserisca nella propria pagina Internet un codice di programma in forza del quale il browser dell'utente richiami contenuti di un terzo trasferendo in tal modo dati personali a terzi, il soggetto autore dell'inserimento sia il "responsabile del trattamento" ai sensi dell'articolo 2, lettera d), della direttiva [95/46], qualora egli non sia in grado di incidere su detta operazione di trattamento dei dati.

3) In caso di risposta negativa alla seconda questione: se l'articolo 2, lettera d), della direttiva [95/46] debba essere interpretato nel senso che disciplini la responsabilità in termini esaustivi, ostando alla proposizione di un'azione civile nei confronti di un terzo che, pur non essendo il "responsabile del trattamento", abbia dato origine all'operazione di trattamento dei dati senza peraltro incidervi.

4) In un caso come quello in esame, quale sia l'"interesse legittimo" che deve essere tenuto in considerazione nel contemperamento da effettuare a norma dell'articolo 7, lettera f), della direttiva [95/46]. Se si tratti dell'interesse all'inserimento di contenuti di terzi o dell'interesse del terzo.

5) Quale sia il soggetto cui debba essere espresso, in un caso come quello in esame, il consenso richiesto agli articoli 7, lettera a), e 2, lettera h), della direttiva [95/46].

6) Se l'obbligo di informazione di cui all'articolo 10 della direttiva [95/46] riguardi, in una situazione come quella in esame, anche il gestore di una pagina Internet che abbia inserito il contenuto di un terzo dando così luogo al trattamento di dati personali da parte dei terzi».

Sulle questioni pregiudiziali

Sulla prima questione

43. Con la sua prima questione, il giudice del rinvio chiede, in sostanza, se gli articoli da 22 a 24 della direttiva 95/46 debbano essere interpretati nel senso che ostano a una normativa nazionale che consente alle associazioni per la tutela degli interessi dei consumatori di agire in giudizio contro il presunto autore di una lesione della protezione dei dati personali.

44. In via preliminare, occorre ricordare che, conformemente all'articolo 22 della direttiva 95/46, gli Stati membri stabiliscono che chiunque possa disporre di un ricorso giurisdizionale in caso di violazione dei diritti garantitigli dalle disposizioni nazionali applicabili al trattamento in questione.

45. L'articolo 28, paragrafo 3, terzo comma, della direttiva 95/46 prevede che un'autorità di controllo, incaricata, conformemente all'articolo 28, paragrafo 1, di tale direttiva, di sorvegliare, nel territorio dello Stato membro interessato, l'applicazione delle disposizioni di attuazione di quest'ultima, adottate dal medesimo Stato, dispone in particolare del potere di promuovere azioni giudiziarie in caso di violazione delle disposizioni nazionali di attuazione della summenzionata direttiva ovvero di adire per dette violazioni le autorità giudiziarie.

46. Quanto all'articolo 28, paragrafo 4, della direttiva 95/46, esso prevede che un'associazione che rappresenti una persona interessata, ai sensi dell'articolo 2, lettera a), di detta direttiva, possa presentare a un'autorità di controllo una domanda relativa alla tutela dei suoi diritti e libertà con riguardo al trattamento di dati personali.

47. Tuttavia, nessuna disposizione della direttiva in parola impone agli Stati membri l'obbligo di prevedere - né li autorizza espressamente a prevedere - nel loro diritto nazionale, la possibilità per un'associazione di rappresentare in giudizio una tale persona o di promuovere di propria iniziativa un'azione giudiziaria contro il presunto autore di una lesione della protezione dei dati personali.

48. Non ne consegue, tuttavia, che la direttiva 95/46 osta a una normativa nazionale che consente alle associazioni per la tutela degli interessi dei consumatori di agire in giudizio contro il presunto autore di una siffatta lesione.

49. Infatti, ai sensi dell'articolo 288, terzo comma, TFUE, gli Stati membri sono obbligati, nell'attuare una direttiva, a garantirne la piena efficacia, pur disponendo di un ampio margine discrezionale per quanto riguarda la scelta delle modalità e dei mezzi destinati a garantirne l'attuazione. Tale libertà nulla toglie all'obbligo, per ciascuno degli Stati membri destinatari, di adottare tutti i provvedimenti necessari a garantire la piena efficacia della direttiva in questione, conformemente all'obiettivo che essa persegue (sentenze del 6 ottobre 2010, Base e a., C-389/08, EU:C:2010:584, punti 24 e 25, nonché del 22 febbraio 2018, Porras Guisado, C-103/16, EU:C:2018:99, punto 57).

50. A tale riguardo, occorre ricordare che uno degli obiettivi sottesi alla direttiva 95/46 è quello di garantire una tutela efficace e completa delle libertà e dei diritti fondamentali delle persone fisiche, in particolare del diritto alla vita privata, con riguardo al trattamento dei dati personali (v., in tal senso, sentenze del 13 maggio 2014, Google Spain e Google, C-131/12, EU:C:2014:317, punto 53, nonché del 27 settembre 2017, Puškár, C-73/16, EU:C:2017:725, punto 38). Il suo considerando 10 precisa che il ravvicinamento delle legislazioni nazionali applicabili in materia non deve avere per effetto un indebolimento della tutela da esse assicurata ma deve anzi mirare a garantire un elevato grado di tutela nell'Unione (sentenze del 6 novembre 2003, Lindqvist, C-101/01, EU:C:2003:596, punto 95; del 16 dicembre 2008, Huber, C-524/06, EU:C:2008:724, punto 50, e del 24 novembre 2011, Asociación Nacional de Establecimientos Financieros de Crédito, C-468/10 e C-469/10, EU:C:2011:777, punto 28).

51. Orbene, il fatto che uno Stato membro preveda nella propria normativa nazionale la possibilità per un'associazione per la tutela degli interessi dei consumatori di promuovere un'azione giudiziaria contro il presunto autore di una lesione della protezione dei dati personali non è assolutamente tale da nuocere agli obiettivi della stessa ma contribuisce, al contrario, alla realizzazione di detti obiettivi.

52. La Fashion ID e la Facebook Ireland sostengono tuttavia che, dal momento che la direttiva 95/46 ha operato un'armonizzazione completa delle disposizioni nazionali relative alla protezione dei dati, ogni azione giudiziaria non espressamente prevista da quest'ultima sarebbe esclusa. Orbene, gli articoli 22, 23 e 28 della direttiva 95/46 si limiterebbero a prevedere l'azione delle persone interessate e quella delle autorità di controllo della protezione dei dati.

53. Tale argomento non può tuttavia essere accolto

54. È vero che la direttiva 95/46 conduce ad un'armonizzazione delle legislazioni nazionali relative alla protezione dei dati personali che, in linea di principio, è completa (v., in tal senso, sentenze del 24 novembre 2011, Asociación Nacional de Establecimientos Financieros de Crédito, C-468/10 e C-469/10, EU:C:2011:777, punto 29, e del 7 novembre 2013, IPI, C-473/12, EU:C:2013:715, punto 31).

55. La Corte ha infatti dichiarato che l'articolo 7 della suddetta direttiva prevede un elenco esaustivo e tassativo dei casi in cui il trattamento dei dati personali può essere considerato lecito, e che gli Stati membri non possono né aggiungere a tale articoli nuovi principi relativi alla legittimazione del trattamento dei dati personali né prevedere requisiti supplementari che vengano a modificare la portata di uno dei sei principi previsti da detto articolo (sentenze del 24 novembre 2011, Asociación Nacional de Establecimientos Financieros de Crédito, C-468/10 e C-469/10, EU:C:2011:777, punti 30 e 32, nonché del 19 ottobre 2016, Breyer, C-582/14, EU:C:2016:779, punto 57).

56. La Corte, tuttavia, ha altresì precisato che la direttiva 95/46 contiene norme relativamente generali, visto che deve applicarsi a un gran numero di situazioni molto diverse. Tali norme sono caratterizzate da una certa elasticità e lasciano in numerosi casi agli Stati membri il compito di decidere dei dettagli o di scegliere tra più opzioni, di modo che gli Stati membri dispongono sotto molti aspetti di un margine di manovra al fine di trasporre la suddetta direttiva (v., in tal senso, sentenze del 6 novembre 2003, Lindqvist, C-101/01, EU:C:2003:596, punti 83, 84 e 97, nonché del 24 novembre 2011, Asociación Nacional de Establecimientos Financieros de Crédito, C-468/10 e C-469/10, EU:C:2011:777, punto 35).

57. Ciò vale per gli articoli da 22 a 24 della direttiva 95/46, i quali, come rilevato dall'avvocato generale al paragrafo 42 delle sue conclusioni, sono redatti in termini generali e non operano un'armonizzazione esaustiva delle disposizioni nazionali relative ai ricorsi giurisdizionali che possono essere proposti nei confronti del presunto autore di una lesione della protezione dei dati personali (v., per analogia, sentenza del 26 ottobre 2017, I, C-195/16, EU:C:2017:815, punti 57 e 58).

58. In particolare, se è pur vero che l'articolo 22 di tale direttiva obbliga gli Stati membri a prevedere che chiunque possa disporre di un ricorso giurisdizionale in caso di violazione dei diritti garantitigli dalle disposizioni nazionali applicabili al trattamento di dati personali in questione, detta direttiva non contiene tuttavia alcuna disposizione che disciplini specificamente le condizioni alle quali tale ricorso può essere proposto (v., in tal senso, sentenza del 27 settembre 2017, Puškár, C-73/16, EU:C:2017:725, punti 54 e 55).

59. Inoltre, l'articolo 24 della direttiva 95/46 dispone che gli Stati membri adottano le «misure appropriate» per garantire la piena applicazione delle disposizioni di tale direttiva, senza definire siffatte misure. Orbene, il fatto di prevedere la possibilità per un'associazione per la tutela degli interessi dei consumatori di promuovere un'azione giudiziaria contro il presunto autore di una lesione alla protezione dei dati personali risulta poter costituire una misura appropriata, ai sensi di tale disposizione, la quale, come rilevato al punto 51 della presente sentenza, contribuisce alla realizzazione degli obiettivi di detta direttiva, conformemente alla giurisprudenza della Corte (v., a tal riguardo, sentenza del 6 novembre 2003, Lindqvist, C-101/01, EU:C:2003:596, punto 97).

60. Peraltro, contrariamente a quanto sostiene la Fashion ID, il fatto che uno Stato membro preveda una siffatta possibilità nella sua normativa nazionale non risulta tale da pregiudicare l'indipendenza con cui le autorità di controllo devono esercitare le funzioni loro attribuite conformemente ai requisiti dell'articolo 28 della direttiva 95/46, in quanto tale possibilità non può incidere né sulla libertà di decisione di tali autorità di controllo, né sulla loro libertà d'azione.

61. Inoltre, se è pur vero che la direttiva 95/46 non rientra tra gli atti elencati nell'allegato I della direttiva 2009/22, ciò non toglie che, ai sensi dell'articolo 7 di quest'ultima direttiva, la stessa non ha operato un'armonizzazione esaustiva a tal riguardo.

62. Infine, il fatto che il regolamento 2016/679, che ha abrogato e sostituito la direttiva 95/46 e che si applica dal 25 maggio 2018, autorizzi espressamente, all'articolo 80, paragrafo 2, gli Stati membri a consentire alle associazioni per la tutela degli interessi dei consumatori di agire in giudizio contro il presunto autore di una lesione della protezione dei dati personali non implica affatto che gli Stati membri non potessero conferire loro tale diritto nella vigenza della direttiva 95/46, ma conferma, al contrario, che l'interpretazione di quest'ultima accolta nella presente sentenza riflette la volontà del legislatore dell'Unione.

63. Alla luce dell'insieme delle considerazioni che precedono, occorre rispondere alla prima questione dichiarando che gli articoli da 22 a 24 della direttiva 95/46 devono essere interpretati nel senso che non ostano a una normativa nazionale che consente alle associazioni per la tutela degli interessi dei consumatori di agire in giudizio contro il presunto autore di una lesione della protezione dei dati personali.

Sulla seconda questione

64. Con la sua seconda questione, il giudice del rinvio chiede, in sostanza, se il gestore di un sito Internet, come la Fashion ID, il quale inserisce in detto sito un plug-in social che consente al browser del visitatore del medesimo sito di richiamare contenuti del fornitore del plug-in in parola e di trasferire in tal modo a detto fornitore dati personali del visitatore, possa essere considerato responsabile del trattamento, ai sensi dell'articolo 2, lettera d), della direttiva 95/46, sebbene tale gestore non abbia alcuna influenza sul trattamento dei dati così trasferiti a detto fornitore.

65. A tal riguardo, occorre ricordare che, conformemente all'obiettivo perseguito dalla direttiva 95/46 consistente nel garantire un elevato grado di tutela dei diritti e delle libertà fondamentali delle persone fisiche e particolarmente del diritto alla vita privata, con riguardo al trattamento dei dati personali, l'articolo 2, lettera d), di tale direttiva definisce in modo ampio la nozione di «responsabile del trattamento» come riferita alla persona fisica o giuridica, all'autorità pubblica, al servizio o a qualsiasi altro organismo che, da solo o insieme ad altri, determina le finalità e gli strumenti del trattamento di dati personali (v., in tal senso, sentenza del 5 giugno 2018, Wirtschaftsakademie Schleswig-Holstein, C-210/16, EU:C:2018:388, punti 26 e 27).

66. Infatti, come già dichiarato dalla Corte, l'obiettivo di tale disposizione è quello di garantire, mediante un'ampia definizione della nozione di «responsabile», una tutela efficace e completa delle persone interessate (sentenze del 13 maggio 2014, Google Spain e Google, C-131/12, EU:C:2014:317, punto 34, e del 5 giugno 2018, Wirtschaftsakademie Schleswig-Holstein, C-210/16, EU:C:2018:388, punto 28).

67. Inoltre, dal momento che, così come prevede espressamente l'articolo 2, lettera d), della direttiva 95/46, la nozione di «responsabile del trattamento» riguarda l'organismo che, «da solo o insieme ad altri», determina le finalità e gli strumenti del trattamento di dati personali, tale nozione non rinvia necessariamente a un organismo unico e può riguardare più soggetti che partecipano a tale trattamento, ognuno dei quali è quindi assoggettato alle disposizioni applicabili in materia di protezione dei dati (v., in tal senso, sentenze del 5 giugno 2018, Wirtschaftsakademie Schleswig-Holstein, C-210/16, EU:C:2018:388, punto 29, e del 10 luglio 2018, Jehovan todistajat, C-25/17, EU:C:2018:551, punto 65).

68. La Corte ha inoltre dichiarato che può essere considerata responsabile del trattamento, ai sensi dell'articolo 2, lettera d), della direttiva 95/46, una persona fisica o giuridica che, a scopi che le sono propri, influisca sul trattamento di dati personali e partecipi pertanto alla determinazione delle finalità e degli strumenti di tale trattamento (sentenza del 10 luglio 2018, Jehovan todistajat, C-25/17, EU:C:2018:551, punto 68).

69. Peraltro, la responsabilità congiunta di vari soggetti per un medesimo trattamento, ai sensi di tale disposizione, non presuppone che ciascuno di essi abbia accesso ai dati personali di cui trattasi (v., in tal senso, sentenze del 5 giugno 2018, Wirtschaftsakademie Schleswig-Holstein, C-210/16, EU:C:2018:388, punto 38, e del 10 luglio 2018, Jehovan todistajat, C-25/17, EU:C:2018:551, punto 69).

70. Ciò posto, poiché l'obiettivo dell'articolo 2, lettera d), della direttiva 95/46 è quello di garantire, mediante un'ampia definizione della nozione di «responsabile», una tutela efficace e completa delle persone interessate, l'esistenza di una responsabilità congiunta non implica necessariamente una responsabilità equivalente, per un medesimo trattamento di dati personali, dei diversi soggetti che vi partecipano. Al contrario, tali soggetti possono essere coinvolti in fasi diverse di tale trattamento e a diversi livelli, di modo che il grado di responsabilità di ciascuno di essi deve essere valutato tenendo conto di tutte le circostanze rilevanti del caso di specie (v., in tal senso, sentenza del 10 luglio 2018, Jehovan todistajat, C-25/17, EU:C:2018:551, punto 66).

71. A questo proposito occorre rilevare, da un lato, che l'articolo 2, lettera b), della direttiva 95/46 definisce il «trattamento di dati personali» come «qualsiasi operazione o insieme di operazioni compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali, come la raccolta, la registrazione, l'organizzazione, la conservazione, l'elaborazione o la modifica, l'estrazione, la consultazione, l'impiego, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, nonché il congelamento, la cancellazione o la distruzione».

72. Da tale definizione emerge che un trattamento di dati personali può essere costituito da una o più operazioni, ciascuna delle quali riguarda una delle diverse fasi nelle quali si può articolare un trattamento di dati personali.

73. D'altro lato, dalla definizione della nozione di «responsabile del trattamento», di cui all'articolo 2, lettera d), della direttiva 95/46, come ricordata al punto 65 della presente sentenza, discende che, quando più soggetti determinano congiuntamente le finalità e gli strumenti di un trattamento di dati personali, essi contribuiscono, in quanto responsabili, a tale trattamento.

74. Ne consegue, come rilevato, in sostanza, dall'avvocato generale al paragrafo 101 delle sue conclusioni, che una persona fisica o giuridica risulta poter essere responsabile, ai sensi dell'articolo 2, lettera d), della direttiva 95/46, insieme ad altri, soltanto delle operazioni di trattamento di dati personali di cui essa determina congiuntamente le finalità e gli strumenti. Per contro, e fatta salva un'eventuale responsabilità civile prevista dal diritto nazionale a tal riguardo, tale persona fisica o giuridica non può essere considerata responsabile, ai sensi di detta disposizione, delle operazioni anteriori o successive della catena di trattamento di cui essa non determina né le finalità né gli strumenti.

75. Nel caso di specie, fatti salvi gli accertamenti che spetta al giudice del rinvio effettuare, dal fascicolo di cui dispone la Corte risulta che, avendo inserito sul suo sito Internet il pulsante «Mi piace» di Facebook, la Fashion ID sembra aver offerto la possibilità alla Facebook Ireland di ottenere dati personali dei visitatori del proprio sito Internet, possibilità concretizzatasi sin dal momento della consultazione di tale sito, e ciò indipendentemente dal fatto che tali visitatori siano iscritti al social network Facebook o che abbiano cliccato sul pulsante « Mi piace» di Facebook o, ancora, che siano a conoscenza di una tale operazione.

76. Tenuto conto di tali informazioni, occorre constatare che le operazioni di trattamento di dati personali di cui la Fashion ID, congiuntamente con la Facebook Ireland, può determinare le finalità e gli strumenti sono, alla luce della definizione della nozione di «trattamento di dati personali» di cui all'articolo 2, lettera b), della direttiva 95/46, la raccolta e la comunicazione mediante trasmissione dei dati personali dei visitatori del suo sito Internet. Per contro, alla luce di dette informazioni, risulta escluso, a prima vista, che la Fashion ID determini le finalità e gli strumenti delle successive operazioni di trattamento di dati personali, effettuate dalla Facebook Ireland dopo la loro trasmissione a quest'ultima, cosicché la Fashion ID non può essere considerata responsabile di tali operazioni, ai sensi del summenzionato articolo 2, lettera d).

77. Per quanto riguarda gli strumenti utilizzati ai fini della raccolta e della comunicazione mediante trasmissione di taluni dati personali dei visitatori del suo sito Internet, dal punto 75 della presente sentenza emerge che la Fashion ID sembra aver inserito sul suo sito Internet il pulsante « Mi piace» di Facebook messo a disposizione dei gestori di siti Internet da parte della Facebook Ireland, pur essendo consapevole del fatto che lo stesso serve da strumento di raccolta e di trasmissione di dati personali dei visitatori di tale sito, indipendentemente dal fatto che essi siano o meno iscritti al social network Facebook.

78. Inserendo un siffatto plug -in social sul suo sito Internet, la Fashion ID influenza, peraltro, in modo determinante la raccolta e la trasmissione dei dati personali dei visitatori di tale sito a vantaggio del fornitore di detto plug-in, nella specie la Facebook Ireland; raccolta e trasmissione che, se detto plug-in non fosse inserito, non avrebbero luogo.

79. In tali circostanze e fatti salvi gli accertamenti al riguardo che spetta al giudice del rinvio effettuare, si deve ritenere che la Facebook Ireland e la Fashion ID determinino congiuntamente gli strumenti all'origine delle operazioni di raccolta e di comunicazione mediante trasmissione dei dati personali dei visitatori del sito Internet della Fashion ID.

80. Quanto alle finalità delle suddette operazioni di trattamento di dati personali, sembra che l'inserimento da parte della Fashion ID del pulsante «Mi piace» di Facebook nel suo sito Internet le consenta di ottimizzare la pubblicità per i suoi prodotti rendendoli più visibili sul social network Facebook quando un visitatore del suo sito Internet clicca su detto pulsante. È al fine di poter beneficiare di tale vantaggio commerciale, consistente in una siffatta maggiore pubblicità per i suoi prodotti, che la Fashion ID, inserendo un simile pulsante nel suo sito Internet, sembra aver espresso il consenso, quantomeno implicitamente, alla raccolta e alla comunicazione mediante trasmissione dei dati personali dei visitatori del suo sito, operazioni di trattamento effettuate nell'interesse economico tanto della Fashion ID quanto della Facebook Ireland, per la quale il fatto di poter disporre di tali dati ai propri fini commerciali costituisce la contropartita del vantaggio offerto alla Fashion ID.

81. In tali circostanze, si può ritenere, fatti salvi gli accertamenti che spetta al giudice del rinvio effettuare, che la Fashion ID e la Facebook Ireland determinino, congiuntamente, le finalità delle operazioni di raccolta e di comunicazione mediante trasmissione dei dati personali di cui trattasi nel procedimento principale.

82. Inoltre, come risulta dalla giurisprudenza ricordata al punto 69 della presente sentenza, la circostanza che il gestore di un sito Internet, come la Fashion ID, non abbia esso stesso accesso ai dati personali raccolti e trasmessi al fornitore del plug-in social con il quale determina, congiuntamente, gli strumenti e le finalità del trattamento dei dati personali non osta a che lo stesso possa presentare la qualità di responsabile del trattamento, ai sensi dell'articolo 2, lettera d), della direttiva 95/46.

83. Del resto, è importante sottolineare che un sito Internet, come quello della Fashion ID, è visitato sia da persone che sono iscritte al social network Facebook e che hanno quindi un account in quest'ultimo quanto da coloro che non ne dispongono. In quest'ultimo caso, la responsabilità del gestore di un sito Internet, come la Fashion ID, con riguardo al trattamento dei dati personali di tali persone, appare ancora più importante, poiché la semplice consultazione di un sito del genere, che comprende il pulsante «Mi piace» di Facebook, risulta avviare il trattamento dei loro dati personali da parte della Facebook Ireland (v., in tal senso, sentenza del 5 giugno 2018, Wirtschaftsakademie Schleswig-Holstein, C-210/16, EU:C:2018:388, punto 41).

84. Di conseguenza, risulta che la Fashion ID può essere considerata responsabile, ai sensi dell'articolo 2, lettera d), della direttiva 95/46, congiuntamente con la Facebook Ireland, delle operazioni di raccolta e di comunicazione mediante trasmissione dei dati personali dei visitatori del suo sito Internet.

85. Alla luce dell'insieme delle considerazioni sin qui svolte, occorre rispondere alla seconda questione dichiarando che il gestore di un sito Internet, come la Fashion ID, il quale inserisce in detto sito un plug-in social che consente al browser del visitatore del medesimo sito di richiamare contenuti del fornitore del plug-in in parola e di trasferire in tal modo a detto fornitore dati personali del visitatore, può essere considerato responsabile del trattamento, ai sensi dell'articolo 2, lettera d), della direttiva 95/46. Tale responsabilità è tuttavia limitata all'operazione o all'insieme delle operazioni di trattamento dei dati personali di cui determina effettivamente le finalità e gli strumenti, vale a dire la raccolta e la comunicazione mediante trasmissione dei dati di cui trattasi.

Sulla terza questione

86. Tenuto conto della risposta fornita alla seconda questione, non occorre rispondere alla terza questione.

Sulla quarta questione

87. Con la sua quarta questione, il giudice del rinvio chiede, in sostanza, se, in una situazione come quella di cui trattasi nel procedimento principale, in cui il gestore di un sito Internet inserisce in detto sito un plug-in social che consente al browser del visitatore del medesimo sito di richiamare contenuti del fornitore del plug-in in parola e di trasferire in tal modo a detto fornitore dati personali del visitatore, occorra prendere in considerazione, ai fini dell'applicazione dell'articolo 7, lettera f), della direttiva 95/46, l'interesse legittimo perseguito da tale gestore o l'interesse legittimo perseguito dal suddetto fornitore.

88. In via preliminare, occorre rilevare che, secondo la Commissione, tale questione non è pertinente ai fini della soluzione della controversia oggetto del procedimento principale, in quanto non è stato ottenuto il consenso delle persone interessate, richiesto dall'articolo 5, paragrafo 3, della direttiva 2002/58.

89. A tal riguardo, occorre constatare che l'articolo 5, paragrafo 3, di quest'ultima direttiva prevede che gli Stati membri assicurano che l'archiviazione di informazioni oppure l'accesso a informazioni già archiviate nell'apparecchiatura terminale di un abbonato o di un utente sia consentito unicamente a condizione che l'abbonato o l'utente in questione abbia espresso preliminarmente il proprio consenso, dopo essere stato informato in modo chiaro e completo, a norma della direttiva 95/46, tra l'altro, sugli scopi del trattamento.

90. Spetta al giudice del rinvio verificare se, in una situazione come quella di cui trattasi nel procedimento principale, il fornitore di un plug-in social, come la Facebook Ireland, abbia accesso, come sostiene la Commissione, a informazioni archiviate nell'apparecchiatura terminale, ai sensi dell'articolo 5, paragrafo 3, della direttiva 2002/58, di coloro che visitano il sito Internet del gestore di tale sito.

91. In siffatte circostanze, e dato che il giudice del rinvio sembra ritenere che, nel caso di specie, i dati trasmessi alla Facebook Ireland costituiscano dati personali, ai sensi della direttiva 95/46, che peraltro non si limitano necessariamente a informazioni archiviate nell'apparecchiatura terminale (circostanza che lo stesso è tenuto a confermare), le considerazioni della Commissione non consentono di rimettere in discussione la rilevanza, ai fini della soluzione della controversia oggetto del procedimento principale, della quarta questione pregiudiziale, attinente alla natura eventualmente lecita del trattamento dei dati di cui trattasi nel procedimento principale, come ha altresì rilevato l'avvocato generale al paragrafo 115 delle sue conclusioni.

92. Di conseguenza, occorre esaminare la questione relativa a quale interesse legittimo debba essere preso in considerazione, ai fini dell'applicazione dell'articolo 7, lettera f), di tale direttiva al trattamento di tali dati.

93. A tal riguardo, occorre anzitutto ricordare che, secondo le disposizioni del capo II della direttiva 95/46, intitolato «Condizioni generali di liceità dei trattamenti di dati personali», fatte salve le deroghe ammesse ai sensi dell'articolo 13 di tale direttiva, qualsiasi trattamento di dati personali deve, in particolare, rispondere ad uno dei principi legittimanti un trattamento dati enumerati all'articolo 7 della direttiva succitata (v., in tal senso, sentenze del 13 maggio 2014, Google Spain e Google, C-131/12, EU:C:2014:317, punto 71, nonché del 1° ottobre 2015, Bara e a., C-201/14, EU:C:2015:638, punto 30).

94. Ai sensi dell'articolo 7, lettera f), della direttiva 95/46, del quale il giudice del rinvio chiede l'interpretazione, il trattamento di dati personali è legittimo se è necessario per il perseguimento dell'interesse legittimo del responsabile del trattamento oppure del o dei terzi cui vengono comunicati i dati, a condizione che non prevalgano l'interesse o i diritti e le libertà fondamentali della persona interessata, che richiedono tutela ai sensi dell'articolo 1, paragrafo 1, della direttiva 95/46.

95. Il suddetto articolo 7, lettera f), prevede dunque tre condizioni cumulative affinché un trattamento di dati personali sia lecito, vale a dire, in primo luogo, il perseguimento dell'interesse legittimo del responsabile del trattamento oppure del o dei terzi cui vengono comunicati i dati; in secondo luogo, la necessità del trattamento dei dati personali per il perseguimento dell'interesse legittimo e, in terzo luogo, la condizione che non prevalgano i diritti e le libertà fondamentali della persona interessata dalla tutela dei dati (sentenza del 4 maggio 2017, Rīgas satiksme, C-13/16, EU:C:2017:336, punto 28).

96. Nei limiti in cui, alla luce della risposta fornita alla seconda questione, risulta che, in una situazione come quella di cui trattasi nel procedimento principale, il gestore di un sito Internet il quale inserisce in detto sito un plug-in social atto a consentire al browser del visitatore del medesimo sito di richiamare contenuti del fornitore del plug-in in parola e di trasferire in tal modo a detto fornitore dati personali del visitatore, può essere considerato responsabile, congiuntamente con tale fornitore, delle operazioni di trattamento dei dati personali dei visitatori del suo sito Internet costituite dalla raccolta e dalla comunicazione mediante trasmissione, è necessario che ciascuno di tali responsabili persegua, con le operazioni di trattamento succitate, un interesse legittimo, ai sensi dell'articolo 7, lettera f), della direttiva 95/46, al fine di poter addurre una giustificazione per dette operazioni.

97. Alla luce delle considerazioni sin qui svolte, occorre rispondere alla quarta questione dichiarando che, in una situazione come quella di cui trattasi nel procedimento principale, in cui il gestore di un sito Internet inserisce in detto sito un plug-in social che consente al browser del visitatore del medesimo sito di richiamare contenuti del fornitore del plug-in in parola e di trasferire in tal modo a detto fornitore dati personali del visitatore, è necessario che detto gestore e detto fornitore perseguano ciascuno, con le operazioni di trattamento succitate, un interesse legittimo, ai sensi dell'articolo 7, lettera f), della direttiva 95/46, al fine di poter addurre una giustificazione per dette operazioni.

Sulle questioni quinta e sesta

98. Con la quinta e la sesta questione, che occorre esaminare congiuntamente, il giudice del rinvio intende sapere, in sostanza, da un lato, se l'articolo 2, lettera h), e l'articolo 7, lettera a), della direttiva 95/46 debbano essere interpretati nel senso che, in una situazione come quella di cui al procedimento principale, in cui il gestore di un sito Internet inserisce in detto sito un plug-in social che consente al browser del visitatore del medesimo sito di richiamare contenuti del fornitore del plug-in in parola e di trasferire in tal modo a detto fornitore dati personali del succitato visitatore, il consenso di cui a tali disposizioni deve essere ottenuto da detto gestore o da tale fornitore e, dall'altro, se l'articolo 10 della direttiva summenzionata debba essere interpretato nel senso che, in una situazione siffatta, l'obbligo di informazione previsto da tale disposizione grava su detto gestore.

99. Come risulta dalla risposta fornita alla seconda questione, il gestore di un sito Internet, il quale inserisce in detto sito un plug-in social che consente al browser del visitatore del medesimo sito di richiamare contenuti del fornitore del plug-in in parola e di trasferire in tal modo a detto fornitore dati personali del succitato visitatore, può essere considerato responsabile del trattamento, ai sensi dell'articolo 2, lettera d), della direttiva 95/46 ma tale responsabilità è tuttavia limitata all'operazione o all'insieme delle operazioni di trattamento dei dati personali di cui determina effettivamente le finalità e gli strumenti.

100. Risulta quindi che gli obblighi che possono incombere, conformemente alla direttiva 95/46, a tale responsabile del trattamento, quali l'obbligo di ottenere il consenso della persona interessata di cui all'articolo 2, lettera h), e all'articolo 7, lettera a), di tale direttiva, nonché l'obbligo di informazione previsto dall'articolo 10 della stessa, devono riguardare l'operazione o l'insieme delle operazioni di trattamento dei dati personali di cui determina effettivamente le finalità e gli strumenti.

101. Nel caso di specie, se il gestore di un sito Internet, il quale inserisce in tale sito un plug-in social che consente al browser del visitatore del medesimo sito di richiamare contenuti del fornitore del plug-in in parola e di trasferire in tal modo a detto fornitore dati personali di detto visitatore, può essere considerato responsabile, congiuntamente con tale fornitore, delle operazioni di raccolta e di comunicazione mediante trasmissione dei dati personali di tale visitatore, il suo obbligo di raccogliere il consenso della persona interessata di cui all'articolo 2, lettera h), e all'articolo 7, lettera a), della direttiva 95/46, nonché il suo obbligo di informazione di cui all'articolo 10 della stessa riguardano soltanto tali operazioni. Per contro, tali obblighi non si estendono alle operazioni di trattamento dei dati personali riguardanti le altre fasi, anteriori o posteriori alle operazioni citate, inerenti, se del caso, al trattamento di dati personali in questione.

102. Per quanto riguarda il consenso di cui all'articolo 2, lettera h), e all'articolo 7, lettera a), della direttiva 95/46, risulta che quest'ultimo deve essere espresso prima della raccolta e della comunicazione mediante trasmissione dei dati della persona interessata. In tali circostanze, spetta al gestore del sito Internet, e non al fornitore del plug-in social, ottenere tale consenso, giacché è il fatto che un visitatore consulti tale sito Internet che attiva il processo di trattamento dei dati personali. Infatti, come ha rilevato l'avvocato generale al paragrafo 132 delle sue conclusioni, non sarebbe conforme a una tutela efficace e tempestiva dei diritti della persona interessata il fatto che il consenso sia prestato unicamente al corresponsabile del trattamento che interviene successivamente, ossia al fornitore di detto plug-in. Il consenso che deve essere prestato al gestore riguarda tuttavia unicamente l'operazione o l'insieme delle operazioni di trattamento dei dati personali di cui detto gestore determina effettivamente le finalità e gli strumenti.

103. Lo stesso vale per quanto riguarda l'obbligo di informazione previsto all'articolo 10 della direttiva 95/46.

104. Dal tenore letterale di tale disposizione emerge che il responsabile del trattamento o il suo rappresentante deve fornire almeno le informazioni previste da tale disposizione alla persona presso la quale raccoglie i dati. Risulta quindi che tale informazione deve essere fornita dal responsabile del trattamento immediatamente, ossia al momento della raccolta dei dati (v., in tal senso, sentenze del 7 maggio 2009, Rijkeboer, C-553/07, EU:C:2009:293, punto 68, e del 7 novembre 2013, IPI, C-473/12, EU:C:2013:715, punto 23).

105. Ne consegue che, in una situazione come quella di cui al procedimento principale, l'obbligo di informazione previsto dall'articolo 10 della direttiva 95/46 incombe anche al gestore del sito Internet; l'informazione che quest'ultimo deve fornire alla persona interessata deve tuttavia riguardare soltanto l'operazione o l'insieme delle operazioni di trattamento dei dati personali di cui detto gestore determina effettivamente le finalità e gli strumenti.

106. Alla luce delle considerazioni che precedono, occorre rispondere alle questioni quinta e sesta dichiarando che l'articolo 2, lettera h), e l'articolo 7, lettera a), della direttiva 95/46 devono essere interpretati nel senso che, in una situazione come quella di cui trattasi nel procedimento principale, in cui il gestore di un sito Internet inserisce in detto sito un plug-in social che consente al browser del visitatore del medesimo sito di richiamare contenuti del fornitore del plug-in in parola e di trasferire in tal modo a detto fornitore dati personali del visitatore, il consenso previsto in tali disposizioni deve essere ottenuto da detto gestore unicamente per quanto riguarda l'operazione o l'insieme delle operazioni di trattamento dei dati personali di cui il gestore determina le finalità e gli strumenti. Inoltre, l'articolo 10 di tale direttiva deve essere interpretato nel senso che, in una situazione del genere, l'obbligo di informazione previsto da tale disposizione incombe anche a detto gestore; l'informazione che quest'ultimo deve fornire alla persona interessata deve tuttavia riguardare soltanto l'operazione o l'insieme delle operazioni di trattamento dei dati personali di cui esso determina le finalità e gli strumenti.

Sulle spese

107. Nei confronti delle parti nel procedimento principale la presente causa costituisce un incidente sollevato dinanzi al giudice nazionale, cui spetta quindi statuire sulle spese. Le spese sostenute da altri soggetti per presentare osservazioni alla Corte non possono dar luogo a rifusione.

P.Q.M.
la Corte (Seconda Sezione) dichiara:

1) Gli articoli da 22 a 24 della direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, devono essere interpretati nel senso che non ostano a una normativa nazionale che consente alle associazioni per la tutela degli interessi dei consumatori di agire in giudizio contro il presunto autore di una lesione della protezione dei dati personali.

2) Il gestore di un sito Internet, come la Fashion ID GmbH & Co. KG, il quale inserisce in detto sito un plug-in social che consente al browser del visitatore del medesimo sito di richiamare contenuti del fornitore del plug-in in parola e di trasferire in tal modo a detto fornitore dati personali del visitatore, può essere considerato responsabile del trattamento, ai sensi dell'articolo 2, lettera d), della direttiva 95/46. Tale responsabilità è tuttavia limitata all'operazione o all'insieme delle operazioni di trattamento dei dati personali di cui determina effettivamente le finalità e gli strumenti, vale a dire la raccolta e la comunicazione mediante trasmissione dei dati di cui trattasi.

3) In una situazione come quella di cui trattasi nel procedimento principale, in cui il gestore di un sito Internet inserisce in detto sito un plug-in social che consente al browser del visitatore del medesimo sito di richiamare contenuti del fornitore del plug-in in parola e di trasferire in tal modo a detto fornitore dati personali del visitatore, è necessario che detto gestore e detto fornitore perseguano ciascuno, con le operazioni di trattamento succitate, un interesse legittimo, ai sensi dell'articolo 7, lettera f), della direttiva 95/46, al fine di poter addurre una giustificazione per dette operazioni.

4) L'articolo 2, lettera h), e l'articolo 7, lettera a), della direttiva 95/46 devono essere interpretati nel senso che, in una situazione come quella di cui trattasi nel procedimento principale, in cui il gestore di un sito Internet inserisce in detto sito un plug-in social che consente al browser del visitatore del medesimo sito di richiamare contenuti del fornitore del plug-in in parola e di trasferire in tal modo a detto fornitore dati personali del visitatore, il consenso previsto in tali disposizioni deve essere ottenuto da detto gestore unicamente per quanto riguarda l'operazione o l'insieme delle operazioni di trattamento dei dati personali di cui il gestore determina le finalità e gli strumenti. Inoltre, l'articolo 10 di tale direttiva deve essere interpretato nel senso che, in una situazione del genere, l'obbligo di informazione previsto da tale disposizione incombe anche a detto gestore; l'informazione che quest'ultimo deve fornire alla persona interessata deve tuttavia riguardare soltanto l'operazione o l'insieme delle operazioni di trattamento dei dati personali di cui esso determina le finalità e gli strumenti.

A. Di Majo

Codice civile

Giuffrè, 2024

F. Caringella

Codice amministrativo

Dike Giuridica, 2024

P. Dubolino, F. Costa

Codice civile

La Tribuna, 2024