Nella sentenza nella causa C-40/17 La Fashion ID, la Corte dell’UE rileva, in primo luogo, che il gestore di un sito Internet che presenta un pulsante “Mi piace” di Facebook può essere un controller congiuntamente a Facebook.

Per contro, il gestore non è responsabile del trattamento successivo di tali dati effettuato esclusivamente da Facebook

Quando un visitatore consulta il sito Internet corredato del pulsante «Mi piace», taluni dati personali di tale visitatore sono trasmessi alla Facebook. Risulta che tale trasmissione avviene senza che il visitatore di cui trattasi ne sia consapevole e indipendentemente dal fatto che egli sia iscritto al social network Facebook o che abbia cliccato sul pulsante «Mi piace».

La Corte sottolinea che il gestore di un sito Internet corredato del pulsante «Mi piace», quale (cor)responsabile di talune operazioni di trattamento di dati dei visitatori del suo sito, come la raccolta dei dati e la loro trasmissione alla Facebook, deve fornire, al momento della raccolta, talune informazioni a tali visitatori. Ad esempio, la sua identità e le finalità del trattamento.

Il gestore di un sito Internet corredato del plug-in social è tenuto a ottenere tale consenso preventivamente (soltanto) per le operazioni di cui è (cor)responsabile, vale a dire la raccolta e della trasmissione.

Per quanto riguarda i casi in cui il trattamento dei dati sia necessario alla realizzazione di un interesse legittimo, la Corte decide che ciascuno dei cor(responsabili) del trattamento, vale a dire il gestore del sito Internet e il fornitore del plug-in social, deve perseguire, con la raccolta e la trasmissione dei dati personali, un interesse legittimo affinché tali operazioni siano giustificate per quanto lo riguarda.

Nella sentenza nella causa C-210/16, la Corte ha statuito che l’amministratore di una fanpage su Facebook deve essere considerato responsabile, assieme alla Facebook, del trattamento dei dati dei visitatori della sua pagina.