SENTENZA DELLA CORTE (Grande Sezione)

5 giugno 2018 (*)

«Rinvio pregiudiziale – Direttiva 95/46/CE – Dati personali – Tutela delle persone fisiche riguardo al trattamento di tali dati – Provvedimento diretto a disattivare una pagina Facebook (fanpage) che consente di raccogliere ed elaborare determinati dati collegati ai visitatori di tale pagina – Articolo 2, lettera d) – Responsabile del trattamento di dati personali – Articolo 4 – Diritto nazionale applicabile – Articolo 28 – Autorità nazionali di controllo – Poteri d’intervento di tali autorità»

Nella causa C‑210/16,

avente ad oggetto la domanda di pronuncia pregiudiziale proposta alla Corte, ai sensi dell’articolo 267 TFUE, dal Bundesverwaltungsgericht (Corte amministrativa federale, Germania), con decisione del 25 febbraio 2016, pervenuta in cancelleria il 14 aprile 2016, nel procedimento

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein

contro

Wirtschaftsakademie Schleswig-Holstein GmbH,

con l’intervento di:

Facebook Ireland Ltd,

Vertreter des Bundesinteresses beim Bundesverwaltungsgericht,

LA CORTE (Grande Sezione),

composta da K. Lenaerts, presidente, A. Tizzano (relatore), vicepresidente, M. Ilešič, L. Bay Larsen, T. von Danwitz, A. Rosas, J. Malenovský ed E. Levits, presidenti di sezione, E. Juhász, A. Borg Barthet, F. Biltgen, K. Jürimäe, C. Lycourgos, M. Vilaras ed E. Regan, giudici,

avvocato generale: Y. Bot

cancelliere: C. Strömholm, amministratore

vista la fase scritta del procedimento e in seguito all’udienza del 27 giugno 2017,

considerate le osservazioni presentate:

–        per l’Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein, da U. Karpenstein e M. Kottmann, Rechtsanwälte;

–        per la Wirtschaftsakademie Schleswig-Holstein GmbH, da C. Wolff, Rechtsanwalt;

–        per la Facebook Ireland Ltd, da C. Eggers, H.-G. Kamann, M. Braun, Rechtsanwälte, e da I. Perego, avvocato;

–        per il governo tedesco, da J. Möller, in qualità di agente;

–        per il governo belga, da L. Van den Broeck, C. Pochet, P. Cottin e J.‑C. Halleux, in qualità di agenti;

–        per il governo ceco, da M. Smolek, J. Vláčil e L. Březinová, in qualità di agenti;

–        per l’Irlanda, da M. Browne, L. Williams, E. Creedon, G. Gilmore e A. Joyce, in qualità di agenti;

–        per il governo italiano, da G. Palmieri, in qualità di agente, assistita da P. Gentili, avvocato dello Stato;

–        per il governo dei Paesi Bassi, da C.S. Schillemans e M. K. Bulterman, in qualità di agenti;

–        per il governo finlandese, da J. Heliskoski, in qualità di agente;

–        per la Commissione europea, da H. Krämer e D. Nardi, in qualità di agenti,

sentite le conclusioni dell’avvocato generale, presentate all’udienza del 24 ottobre 2017,

ha pronunciato la seguente

Sentenza

1        La domanda di pronuncia pregiudiziale verte sull’interpretazione della direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (GU 1995, L 281, pag. 31).

2        Tale domanda è stata presentata nell’ambito di una controversia tra, da un lato, l’Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein (autorità di vigilanza regionale indipendente per la protezione dei dati dello Schleswig-Holstein) (in prosieguo: l’«ULD») e, dall’altro, la Wirtschaftsakademie Schleswig-Holstein GmbH, società di diritto privato specializzata nel settore della formazione (in prosieguo: la «Wirtschaftsakademie»), in merito alla legittimità di un provvedimento emesso dall’ULD con cui si intima alla Wirtschaftsakademie di disattivare una fanpage presente sul sito del social network Facebook (in prosieguo: «Facebook»).

 Contesto normativo

 Diritto dell’Unione

3        I considerando 10, 18, 19 e 26 della direttiva 95/46 così dispongono:

«(10)      considerando che le legislazioni nazionali relative al trattamento dei dati personali hanno lo scopo di garantire il rispetto dei diritti e delle libertà fondamentali, in particolare del diritto alla vita privata, riconosciuto anche dall’articolo 8 della Convenzione europea per la salvaguardia dei diritti dell’uomo e delle libertà fondamentali e dai principi generali del diritto [dell’Unione]; che pertanto il ravvicinamento di dette legislazioni non deve avere per effetto un indebolimento della tutela da esse assicurata ma deve anzi mirare a garantire un elevato grado di tutela nel[l’Unione];

(...)

(18)      considerando che, onde evitare che una persona venga privata della tutela cui ha diritto in forza della presente direttiva, è necessario che qualsiasi trattamento di dati personali effettuato nel[l’Unione] rispetti la legislazione di uno degli Stati membri; che, a questo proposito, è opportuno assoggettare i trattamenti effettuati da una persona che opera sotto l’autorità del responsabile del trattamento stabilito in uno Stato membro alla legge di tale Stato;

(19)      considerando che lo stabilimento nel territorio di uno Stato membro implica l’esercizio effettivo e reale dell’attività mediante un’organizzazione stabile; che la forma giuridica di siffatto stabilimento, si tratti di una semplice succursale o di una filiale dotata di personalità giuridica, non è il fattore determinante a questo riguardo; che quando un unico responsabile del trattamento è stabilito nel territorio di diversi Stati membri, in particolare per mezzo di filiali, esso deve assicurare, segnatamente per evitare che le disposizioni vengano eluse, che ognuno degli stabilimenti adempia gli obblighi previsti dalla legge nazionale applicabile alle attività di ciascuno di essi;

(…)

(26)      considerando che i principi della tutela si devono applicare ad ogni informazione concernente una persona identificata o identificabile; che, per determinare se una persona è identificabile, è opportuno prendere in considerazione l’insieme dei mezzi che possono essere ragionevolmente utilizzati dal responsabile del trattamento o da altri per identificare detta persona; che i principi della tutela non si applicano a dati resi anonimi in modo tale che la persona interessata non è più identificabile; (...)».

4        L’articolo 1 della direttiva 95/46, intitolato «Oggetto della direttiva», prevede quanto segue:

«1.      Gli Stati membri garantiscono, conformemente alle disposizioni della presente direttiva, la tutela dei diritti e delle libertà fondamentali delle persone fisiche e particolarmente del diritto alla vita privata, con riguardo al trattamento dei dati personali.

2.      Gli Stati membri non possono restringere o vietare la libera circolazione dei dati personali tra Stati membri, per motivi connessi alla tutela garantita a norma del paragrafo 1».

5        L’articolo 2 di tale direttiva, intitolato «Definizioni», è così formulato:

«Ai fini della presente direttiva si intende per:

(…)

b)      “trattamento di dati personali” (“trattamento”): qualsiasi operazione o insieme di operazioni compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali, come la raccolta, la registrazione, l’organizzazione, la conservazione, l’elaborazione o la modifica, l’estrazione, la consultazione, l’impiego, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, nonché il congelamento, la cancellazione o la distruzione;

(...)

d)      “responsabile del trattamento”: la persona fisica o giuridica, l’autorità pubblica, il servizio o qualsiasi altro organismo che, da solo o insieme ad altri, determina le finalità e gli strumenti del trattamento di dati personali. Quando le finalità e i mezzi del trattamento sono determinati da disposizioni legislative o regolamentari nazionali o [dell’Unione], il responsabile del trattamento o i criteri specifici per [la] sua designazione possono essere fissati dal diritto nazionale o [dell’Unione];

e)      “incaricato del trattamento”: la persona fisica o giuridica, l’autorità pubblica, il servizio o qualsiasi altro organismo che elabora dati personali per conto del responsabile del trattamento;

f)      “terzi”: la persona fisica o giuridica, l’autorità pubblica, il servizio o qualsiasi altro organismo che non sia la persona interessata, il responsabile del trattamento, l’incaricato del trattamento e le persone autorizzate all’elaborazione dei dati sotto la loro autorità diretta;

(...)».

6        L’articolo 4 della direttiva in parola, intitolato «Diritto nazionale applicabile», al suo paragrafo 1, così recita:

«Ciascuno Stato membro applica le disposizioni nazionali adottate per l’attuazione della presente direttiva al trattamento di dati personali:

a)      effettuato nel contesto delle attività di uno stabilimento del responsabile del trattamento nel territorio dello Stato membro; qualora uno stesso responsabile del trattamento sia stabilito nel territorio di più Stati membri, esso deve adottare le misure necessarie per assicurare l’osservanza, da parte di ciascuno di detti stabilimenti, degli obblighi stabiliti dal diritto nazionale applicabile;

b)      il cui responsabile non è stabilito nel territorio dello Stato membro, ma in un luogo in cui si applica la sua legislazione nazionale, a norma del diritto internazionale pubblico;

c)      il cui responsabile, non stabilito nel territorio del[l’Unione], ricorre, ai fini del trattamento di dati personali, a strumenti, automatizzati o non automatizzati, situati nel territorio di detto Stato membro, a meno che questi non siano utilizzati ai soli fini di transito nel territorio del[l’Unione]».

7        L’articolo 17 della direttiva 95/46, intitolato «Sicurezza dei trattamenti», ai paragrafi 1 e 2, così dispone:

«1.      Gli Stati membri dispongono che il responsabile del trattamento deve attuare misure tecniche ed organizzative appropriate al fine di garantire la protezione dei dati personali dalla distruzione accidentale o illecita, dalla perdita accidentale o dall’alterazione, dalla diffusione o dall’accesso non autorizzati, segnatamente quando il trattamento comporta trasmissioni di dati all’interno di una rete, o da qualsiasi altra forma illecita di trattamento di dati personali.

Tali misure devono garantire, tenuto conto delle attuali conoscenze in materia e dei costi dell’applicazione, un livello di sicurezza appropriato rispetto ai rischi presentati dal trattamento e alla natura dei dati da proteggere.

2.      Gli Stati membri dispongono che il responsabile del trattamento, quando quest’ultimo sia eseguito per suo conto, deve scegliere un incaricato del trattamento che presenti garanzie sufficienti in merito alle misure di sicurezza tecnica e di organizzazione dei trattamenti da effettuare e deve assicurarsi del rispetto di tali misure».

8        L’articolo 24 di tale direttiva, intitolato «Sanzioni», prevede quanto segue:

«Gli Stati membri adottano le misure appropriate per garantire la piena applicazione delle disposizioni della presente direttiva e in particolare stabiliscono le sanzioni da applicare in caso di violazione delle disposizioni di attuazione della presente direttiva».

9        L’articolo 28 della direttiva di cui trattasi, intitolato «Autorità di controllo», è così formulato:

«1.      Ogni Stato membro dispone che una o più autorità pubbliche siano incaricate di sorvegliare, nel suo territorio, l’applicazione delle disposizioni di attuazione della presente direttiva, adottate dagli Stati membri.

Tali autorità sono pienamente indipendenti nell’esercizio delle funzioni loro attribuite.

2.      Ciascuno Stato membro dispone che le autorità di controllo siano consultate al momento dell’elaborazione delle misure regolamentari o amministrative relative alla tutela dei diritti e delle libertà della persona con riguardo al trattamento dei dati personali.

3.      Ogni autorità di controllo dispone in particolare:

–        di poteri investigativi, come il diritto di accesso ai dati oggetto di trattamento e di raccolta di qualsiasi informazione necessaria all’esercizio della sua funzione di controllo;

–        di poteri effettivi d’intervento, come quello di formulare pareri prima dell’avvio di trattamenti, conformemente all’articolo 20, e di dar loro adeguata pubblicità o quello di ordinare il congelamento, la cancellazione o la distruzione dei dati, oppure di vietare a titolo provvisorio o definitivo un trattamento, ovvero quello di rivolgere un avvertimento o un monito al responsabile del trattamento o quello di adire i Parlamenti o altre istituzioni politiche nazionali;

–        del potere di promuovere azioni giudiziarie in caso di violazione delle disposizioni nazionali di attuazione della presente direttiva ovvero di adire per dette violazioni le autorità giudiziarie.

È possibile un ricorso giurisdizionale avverso le decisioni dell’autorità di controllo recanti pregiudizio.

(...)

6.      Ciascuna autorità di controllo, indipendentemente dalla legge nazionale applicabile al trattamento in questione, è competente per esercitare, nel territorio del suo Stato membro, i poteri attribuitile a norma del paragrafo 3. Ciascuna autorità può essere invitata ad esercitare i suoi poteri su domanda dell’autorità di un altro Stato membro.

Le autorità di controllo collaborano tra loro nella misura necessaria allo svolgimento dei propri compiti, in particolare scambiandosi ogni informazione utile.

(...)».

 Diritto tedesco

10      L’articolo 3, paragrafo 7, del Bundesdatenschutzgesetz (legge tedesca sulla protezione dei dati), nella versione applicabile ai fatti di cui al procedimento principale (in prosieguo: il «BDSG»), è così formulato:

«Per organismo responsabile si intende qualsiasi persona o qualsiasi organismo che raccoglie, elabora o utilizza dati personali per suo conto o attraverso terzi su incarico».

11      L’articolo 11 del BDSG, intitolato «Raccolta, trattamento o utilizzo dei dati personali attraverso terzi su incarico», è redatto come segue:

«(1)      Se dati personali sono raccolti, elaborati o utilizzati attraverso organismi terzi su incarico, il responsabile del trattamento su incarico è responsabile del rispetto delle disposizioni della presente legge e di altre disposizioni relative alla tutela dei dati. (...)

(2)      L’incaricato del trattamento deve essere rigorosamente scelto tenendo conto in particolare dell’adeguatezza delle misure tecniche e organizzative da esso adottate. Il trattamento su incarico necessita della forma scritta, fermo restando che occorre in particolare determinare in dettaglio: (...)

il responsabile del trattamento e del trattamento su incarico deve accertarsi del rispetto delle misure tecniche e organizzative adottate dall’incaricato del trattamento prima dell’inizio del trattamento dei dati e successivamente in maniera regolare. Il risultato deve essere registrato.

(...)».

12      L’articolo 38, paragrafo 5, del BDSG, così dispone:

«Al fine di garantire il rispetto della presente legge e delle altre disposizioni in materia di protezione dei dati, l’autorità di vigilanza può ordinare misure dirette a porre rimedio alle violazioni accertate nella raccolta, nel trattamento o nell’impiego di dati personali o a inadempimenti tecnici o organizzativi. In caso di violazioni o inadempimenti gravi, segnatamente qualora questi ultimi costituiscano un rischio particolare di pregiudizio al diritto alla vita privata, essa può vietare la raccolta, il trattamento o l’impiego, addirittura il ricorso a determinate procedure, qualora non sia posto rimedio in tempo utile alle violazioni o agli inadempimenti, in violazione del provvedimento di cui al primo periodo e nonostante l’irrogazione di una penalità. Essa può chiedere la revoca del responsabile della protezione dei dati, ove questi non disponga delle competenze e dell’affidabilità necessarie per svolgere le sue mansioni».

13      L’articolo 12 del Telemediengesetz (legge tedesca sui servizi di telecomunicazione), del 26 febbraio 2007 (BGBl. 2007 I, pag. 179; in prosieguo: il «TMG»), è così formulato:

«(1)      Il fornitore di servizi può raccogliere e utilizzare dati personali ai fini della messa a disposizione di servizi di telecomunicazione solo nella misura in cui lo permetta la presente legge o un’altra norma, riguardante espressamente i servizi di telecomunicazione oppure se l’utente vi abbia prestato consenso.

(...)

(3)      Ove non sia diversamente stabilito, le norme rispettivamente vigenti per la tutela dei dati personali trovano applicazione anche nel caso in cui i dati non costituiscano oggetto di trattamento automatizzato».

 Procedimento principale e questioni pregiudiziali

14      La Wirtschaftsakademie offre servizi di formazione attraverso una fanpage presente su Facebook.

15      Le fanpage sono account utenti che possono essere attivate su Facebook da singole persone o imprese. Per farlo, l’autore della fanpage, dopo essersi registrato su Facebook, può utilizzare la piattaforma da quest’ultimo amministrata per presentarsi agli utenti di detto social network nonché alle persone che visitano la fanpage e diffondere comunicazioni di ogni tipo sul mercato dei media e del pubblico. Gli amministratori delle fanpage possono ottenere dati statistici anonimi riguardanti i visitatori di tali pagine servendosi di una funzione denominata Facebook Insights, messa a loro disposizione gratuitamente da Facebook secondo condizioni d’uso non modificabili. Tali dati sono raccolti grazie a marcatori (in prosieguo: i «cookie») contenenti ciascuno un codice utente unico, attivi per due anni e salvati da Facebook sul disco fisso del computer o su qualsiasi altro supporto dei visitatori della fanpage. Il codice utente, che può essere associato ai dati di collegamento degli utenti registrati su Facebook, è raccolto ed elaborato al momento dell’accesso alle fanpage. A tal riguardo, dalla decisione di rinvio emerge che né la Wirtschaftsakademie né la Facebook Ireland Ltd hanno menzionato l’operazione di conservazione e il funzionamento di tale cookie o il trattamento successivo dei dati, quanto meno durante il periodo rilevante per il procedimento principale.

16      Con decisione del 3 novembre 2011 (in prosieguo: la «decisione impugnata») l’ULD, in qualità di autorità di controllo, ai sensi dell’articolo 28 della direttiva 95/46, incaricata di sorvegliare l’applicazione nel territorio del Land Schleswig-Holstein (Germania) delle disposizioni adottate dalla Repubblica federale di Germania in attuazione di tale direttiva, ordinava alla Wirtschaftsakademie, conformemente all’articolo 38, paragrafo 5, primo periodo, del BDSG, la disattivazione della fanpage da essa creata su Facebook all’indirizzo www.facebook.com/wirtschaftsakademie, prevedendo una penalità in caso di mancato adempimento entro il termine prescritto, per il fatto che né la Wirtschaftsakademie né Facebook informavano i visitatori della fanpage del fatto che quest’ultimo raccoglieva, mediante cookie, informazioni personali che li riguardavano e che essi elaboravano successivamente tali informazioni. Avverso tale decisione, la Wirtschaftsakademie presentava reclamo negando, essenzialmente, di essere responsabile, alla luce della normativa applicabile in materia di protezione dei dati, del trattamento dei dati realizzato da Facebook e dei cookie da quest’ultimo installati.

17      Con decisione del 16 dicembre 2011 l’ULD respingeva tale reclamo, affermando che la responsabilità della Wirtschaftsakademie, quale fornitore di servizi, scaturiva dagli articoli 3, paragrafo 3, punto 4, e 12, paragrafo 1, del TMG, in combinato disposto con l’articolo 3, paragrafo 7, del BDSG. L’ULD precisava che, avendo creato la propria fanpage, la Wirtschaftsakademie forniva un contributo attivo e volontario alla raccolta, da parte di Facebook, di dati personali riguardanti i visitatori di tale fanpage, dati di cui essa beneficiava mediante statistiche messe a disposizione da quest’ultimo.

18      Avverso tale decisione, la Wirtschaftsakademie proponeva ricorso dinanzi al Verwaltungsgericht (Tribunale amministrativo, Germania), affermando che il trattamento dei dati personali realizzato da Facebook non poteva esserle imputato e negando inoltre di aver incaricato Facebook di effettuare, ai sensi dell’articolo 11 del BDSG, un trattamento dei dati soggetto al suo controllo o rientrante nella sua sfera di influenza. La Wirtschaftsakademie ne deduceva che l’ULD avrebbe dovuto agire direttamente contro Facebook invece di adottare contro di essa la decisione impugnata.

19      Con sentenza del 9 ottobre 2013 il Verwaltungsgericht (Tribunale amministrativo) annullava la decisione impugnata sulla base del rilievo che, sostanzialmente, poiché l’amministratore di una fanpage su Facebook non costituisce un organismo responsabile ai sensi dell’articolo 3, paragrafo 7, del BDSG, la Wirtschaftsakademie non poteva essere destinataria di una misura adottata a norma dell’articolo 38, paragrafo 5, del BDSG.

20      L’Oberverwaltungsgericht (Tribunale amministrativo superiore del Land, Germania) respingeva in quanto infondato l’appello presentato dall’ULD avverso tale sentenza. Tale giudice riteneva essenzialmente che il divieto di trattamento dei dati sancito nella decisione impugnata fosse illegittimo nella misura in cui l’articolo 38, paragrafo 5, secondo periodo, del BDSG prevede un processo graduale la cui prima fase permette unicamente di adottare misure volte a sanare violazioni accertate in sede di trattamento dei dati. Un divieto immediato di trattamento di dati sarebbe ipotizzabile solamente ove un processo di trattamento di dati sia illecito nella sua globalità e a condizione che solo la sospensione di detto processo permetta di porvi rimedio. Orbene, a giudizio dell’Oberverwaltungsgericht (Tribunale amministrativo superiore del Land), ciò non si sarebbe verificato nel caso di specie poiché Facebook avrebbe potuto far cessare le violazioni dedotte dall’ULD.

21      L’Oberverwaltungsgericht (Tribunale amministrativo superiore del Land) aggiungeva che la decisione impugnata era illegittima anche per il fatto che un provvedimento a norma dell’articolo 38, paragrafo 5, del BDSG può essere pronunciato solo nei confronti dell’organismo responsabile, ai sensi dell’articolo 3, paragrafo 7, del BDSG, e, per quanto riguarda i dati raccolti da Facebook, tale organismo non sarebbe la Wirtschaftsakademie. Infatti, solo Facebook deciderebbe della finalità e degli strumenti relativi alla raccolta e al trattamento dei dati personali utilizzati nell’ambito della funzione Facebook Insights, mentre la Wirtschaftsakademie, dal canto suo, riceverebbe solo informazioni statistiche rese anonime.

22      L’ULD proponeva ricorso per cassazione (Revision) dinanzi al Bundesverwaltungsgericht (Corte amministrativa federale, Germania), deducendo, fra i vari argomenti, la violazione dell’articolo 38, paragrafo 5, del BDSG nonché diversi errori procedurali inficianti la decisione del giudice d’appello. Essa ritiene che la violazione commessa dalla Wirtschaftsakademie consista nel fatto che quest’ultima ha affidato la realizzazione, l’hosting e la manutenzione di un sito Internet a un fornitore inadatto in quanto irrispettoso della normativa applicabile in materia di protezione dei dati, nello specifico la Facebook Ireland. Il provvedimento, che intima alla Wirtschaftsakademie, mediante la decisione impugnata, di effettuare la disattivazione della sua fanpage sarebbe diretto a porre rimedio a tale violazione, poiché gli vieterebbe di continuare a utilizzare l’infrastruttura di Facebook come base tecnica del suo sito Internet.

23      Analogamente all’Oberverwaltungsgericht (Tribunale amministrativo superiore del Land), il Bundesverwaltungsgericht (Corte amministrativa federale, Germania) è del parere che la Wirtschaftsakademie non possa essere considerata essa stessa responsabile del trattamento di dati, ai sensi dell’articolo 3, paragrafo 7, del BDSG o dell’articolo 2, lettera d), della direttiva 95/46. Tale ultimo giudice ritiene, tuttavia, che, in linea di principio, tale nozione debba essere interpretata in modo estensivo nell’interesse di una tutela efficace del diritto alla vita privata, come la Corte avrebbe dichiarato nella sua recente giurisprudenza in materia. Esso nutre, inoltre, dubbi in merito ai poteri di cui dispone nella fattispecie l’ULD nei confronti della Facebook Germany, tenuto conto del fatto che il responsabile della raccolta e del trattamento dei dati personali all’interno del gruppo Facebook è, a livello dell’Unione, la Facebook Ireland. Infine, esso si interroga sull’impatto, ai fini dell’esercizio dei poteri d’intervento dell’ULD, delle valutazioni effettuate dall’autorità di controllo in cui rientra la Facebook Ireland, in merito alla liceità del trattamento dei dati personali in oggetto.

24      In tale contesto, il Bundesverwaltungsgericht (Corte amministrativa federale) ha deciso di sospendere il procedimento e di sottoporre alla Corte le seguenti questioni pregiudiziali:

«1)      Se l’articolo 2, lettera d), della direttiva [95/46] debba essere interpretato nel senso che esso disciplina la responsabilità per violazioni delle disposizioni sulla protezione dei dati personali in modo tassativo e completo o se, nell’ambito delle “misure appropriate” ai sensi dell’articolo 24 [di detta] direttiva (…) e dei “poteri effettivi di intervento” ai sensi dell’articolo 28, paragrafo 3, secondo trattino, della medesima (…), rimanga spazio – nei rapporti tra fornitori di informazioni su più livelli – per una responsabilità in capo a un organismo che non è responsabile del trattamento dei dati ai sensi dell’articolo 2, lettera d), della [suddetta direttiva], rispetto alla scelta di un amministratore per la sua offerta informativa.

2)      Se dall’obbligo che incombe agli Stati membri, ai sensi dell’articolo 17, paragrafo 2, della direttiva [95/46] (…), di disporre, in sede di trattamento dei dati su incarico, che il responsabile del trattamento deve scegliere un “incaricato del trattamento che presenti garanzie sufficienti in merito alle misure di sicurezza tecnica e di organizzazione dei trattamenti da effettuare” si possa dedurre a contrario che, nel caso di rapporti di utilizzo di altra natura, non collegati a un trattamento dei dati su incarico ai sensi dell’articolo 2, lettera e), [di detta] direttiva (…), non sussiste alcun obbligo di scelta diligente e un tale obbligo non può essere fondato neppure sulla normativa nazionale.

3)      Se, nel caso di una società controllante stabilita al di fuori dell’Unione europea e avente filiali giuridicamente indipendenti (controllate) in diversi Stati membri, l’autorità di vigilanza di uno Stato membro (nel caso di specie, la Germania) possa esercitare – ai sensi degli articoli 4 e 28, paragrafo 6, della direttiva [95/46] (…) – i poteri ad essa trasferiti a norma dell’articolo 28, paragrafo 3, della medesima (…) nei confronti di una filiale posta sul suo territorio, anche quando tale filiale è competente soltanto per la promozione e la vendita di pubblicità ed altre misure di marketing dirette agli abitanti di detto Stato membro, mentre la filiale (controllata) con sede in un diverso Stato membro (nella fattispecie, l’Irlanda) ha, in base alla ripartizione dei compiti interna al gruppo, competenza esclusiva quanto alla raccolta e al trattamento dei dati personali in tutto il territorio dell’Unione europea e quindi anche nell’altro Stato membro (nella fattispecie, la Germania), se – di fatto – la decisione in merito al trattamento dei dati è assunta dalla controllante.

4)      Se gli articoli 4, paragrafo 1, e 28, paragrafo 3, della direttiva [95/46] debbano essere interpretati nel senso che quando il responsabile del trattamento ha una filiale nel territorio di uno Stato membro (nella fattispecie, l’Irlanda) ed esiste un’altra filiale giuridicamente autonoma nel territorio di un altro Stato membro (nella fattispecie, la Germania), competente segnatamente per la vendita di spazi pubblicitari e la cui attività si rivolge agli abitanti di detto Stato, l’autorità di controllo competente in detto altro Stato membro (nella fattispecie, la Germania) può adottare misure o provvedimenti diretti all’attuazione della normativa sulla protezione dei dati personali anche nei confronti della filiale (nella fattispecie, in Germania) che, in base alla ripartizione dei compiti e delle responsabilità interna al gruppo, non è responsabile del trattamento, o se tali misure e provvedimenti possano essere adottati soltanto dall’autorità di controllo dello Stato membro (nella fattispecie, l’Irlanda) sul cui territorio ha la propria sede l’organismo responsabile a livello interno al gruppo.

5)      Se gli articoli 4, paragrafo 1, lettera a), e 28, paragrafi 3 e 6, della direttiva [95/46] debbano essere interpretati nel senso che quando le autorità di controllo di uno Stato membro (nella fattispecie, della Germania) agiscono nei confronti di un soggetto o di un organismo attivo sul loro territorio ai sensi dell’articolo 28, paragrafo 3, [di tale direttiva] in ragione della scelta non diligente di un terzo coinvolto nel processo di trattamento dei dati (nella fattispecie, Facebook), poiché detto terzo violerebbe la normativa sulla protezione dei dati, l’autorità di controllo che interviene (nella fattispecie, la Germania) è vincolata alla valutazione compiuta, sotto il profilo della normativa sulla protezione dei dati, dall’autorità di controllo dell’altro Stato membro in cui il terzo responsabile del trattamento dei dati ha la sua filiale (nella fattispecie, in Irlanda), nel senso che essa non può compiere alcuna valutazione giuridica discordante, o se l’autorità di controllo che interviene (nella fattispecie, la Germania) possa valutare in modo autonomo preliminarmente alla propria azione la legittimità del trattamento dei dati compiuto da un terzo stabilito in un altro Stato membro (nella fattispecie, l’Irlanda).

6)      Nell’ipotesi in cui l’autorità di vigilanza che interviene (nella fattispecie, la Germania) possa procedere a un esame autonomo: se l’articolo 28, paragrafo 6, secondo periodo, della direttiva [95/46] debba essere interpretato nel senso che la suddetta autorità di vigilanza può esercitare i poteri effettivi di intervento ad essa trasferiti in base all’articolo 28, paragrafo 3, [di detta] direttiva (…) nei confronti di un soggetto o di un organismo stabilito sul suo territorio a titolo di corresponsabilità nelle violazioni della normativa sulla protezione dei dati personali commesse da un terzo stabilito in un altro Stato membro a condizione che abbia previamente richiesto all’autorità di vigilanza di detto altro Stato membro (nella fattispecie, l’Irlanda) di esercitare i suoi poteri».

 Sulle questioni pregiudiziali

 Sulla prima e sulla seconda questione

25      Con la sua prima e seconda questione, che occorre esaminare congiuntamente, il giudice del rinvio mira, in sostanza, a chiarire se l’articolo 2, lettera d), l’articolo 17, paragrafo 2, l’articolo 24 e l’articolo 28, paragrafo 3, secondo trattino, della direttiva 95/46 debbano essere interpretati nel senso che essi consentono di dichiarare la responsabilità di un organismo, in qualità di amministratore di una fanpage presente su un social network, in caso di violazione delle norme relative alla tutela dei dati personali, a motivo della scelta di essersi avvalso di tale social network per diffondere la propria offerta d’informazioni.

26      Per rispondere a tali questioni, occorre ricordare che, come risulta dal suo articolo 1, paragrafo 1, e dal suo considerando 10, la direttiva 95/46 è volta a garantire un elevato grado di tutela delle libertà e dei diritti fondamentali delle persone fisiche, in particolare della loro vita privata, riguardo al trattamento dei dati personali (sentenza dell’11 dicembre 2014, Ryneš, C‑212/13, EU:C:2014:2428, punto 27 e giurisprudenza ivi citata).

27      Conformemente a tale obiettivo, l’articolo 2, lettera d), di tale direttiva definisce in modo ampio la nozione di «responsabile del trattamento» inteso come la persona fisica o giuridica, l’autorità pubblica, il servizio o qualsiasi altro organismo che, da solo o insieme ad altri, determina le finalità e gli strumenti del trattamento di dati personali.

28      Infatti, come è già stato giudicato dalla Corte, la finalità di tale disposizione è di garantire, mediante un’ampia definizione della nozione di «responsabile», una tutela efficace e completa degli interessati (sentenza del 13 maggio 2014, Google Spain e Google, C‑131/12, EU:C:2014:317, punto 34).

29      Inoltre, dal momento che, così come prevede espressamente l’articolo 2, lettera d), della direttiva 95/46, la nozione di «responsabile del trattamento» riguarda l’organismo che, «da solo o insieme ad altri», determina le finalità e gli strumenti del trattamento di dati personali, tale nozione non rinvia necessariamente a un unico organismo e può riguardare vari attori che partecipano a tale trattamento, ciascuno dei quali sarà quindi soggetto alle disposizioni applicabili in materia di protezione dei dati.

30      Nel caso di specie, la Facebook Inc. e, per quanto riguarda l’Unione, la Facebook Ireland devono essere considerate coloro che determinano, in via principale, le finalità e gli strumenti del trattamento dei dati personali degli utenti di Facebook nonché delle persone che hanno visitato la fanpage presente su Facebook e rientrano pertanto nella nozione di «responsabile del trattamento», ai sensi dell’articolo 2, lettera d), della direttiva 95/46, fatto di cui non si dubita nella presente causa.

31      Ciò premesso, e al fine di rispondere alle questioni sollevate, si deve esaminare se e in che misura l’amministratore di una fanpage presente su Facebook, come la Wirtschaftsakademie, contribuisca, nell’ambito di tale fanpage, a determinare, assieme con la Facebook Ireland e la Facebook Inc., le finalità e gli strumenti del trattamento dei dati personali dei visitatori della suddetta fanpage e possa, quindi, anch’essa essere considerata quale «responsabile del trattamento», ai sensi dell’articolo 2, lettera d), della direttiva 95/46.

32      A tal riguardo, risulta che qualsiasi persona che desideri creare una fanpage su Facebook stipula con la Facebook Ireland un contratto specifico relativo all’apertura di una siffatta pagina e aderisce, a tale titolo, alle condizioni di utilizzo di tale pagina, inclusa la politica ad essa relativa in materia di cookie, cosa che spetta al giudice nazionale verificare.

33      Come emerge dal fascicolo presentato alla Corte, i trattamenti di dati di cui al procedimento principale sono effettuati essenzialmente attraverso il posizionamento, da parte di Facebook, sul computer o su ogni altro dispositivo delle persone che hanno visitato la fanpage, di cookie usati per memorizzare informazioni nei browser web e che, se non eliminati, restano attivi per due anni. Da esso emerge altresì che, in pratica, Facebook riceve, registra ed elabora le informazioni memorizzate nei cookie in particolare quando una persona visita «servizi Facebook, servizi forniti da altri membri delle Aziende di Facebook e servizi forniti da altre aziende che usano i servizi Facebook». Inoltre, altri soggetti, quali i partner di Facebook o anche terzi «possono usare i cookie sui servizi di Facebook per [fornire servizi direttamente a tale social network] e alle aziende che fanno pubblicità su Facebook».

34      Tali trattamenti di dati personali mirano segnatamente, da un lato, a consentire a Facebook di migliorare il proprio sistema di pubblicità che esso diffonde attraverso il suo network e, dall’altro, a consentire all’amministratore della fanpage di ottenere statistiche stabilite da Facebook a partire dalle visite di tale pagina, a fini di gestione della promozione della propria attività, consentendogli di conoscere, ad esempio, il profilo dei visitatori che apprezzano la sua fanpage o che utilizzano le sue applicazioni, affinché esso possa proporre loro un contenuto più pertinente e sviluppare funzionalità che possano interessarli in maggior misura.

35      Orbene, il mero fatto di utilizzare un social network quale Facebook non rende un utilizzatore di Facebook corresponsabile di un trattamento di dati personali effettuato da tale network; occorre, invece, rilevare che l’amministratore di una fanpage presente su Facebook, mediante la creazione di una siffatta pagina, offre a Facebook la possibilità di posizionare cookie sul computer o su qualsiasi altro dispositivo della persona che ha visitato la sua fanpage, indipendentemente dal fatto che tale persona possieda o meno un profilo Facebook.

36      In tale contesto, dalle indicazioni presentate alla Corte emerge che la creazione di una fanpage su Facebook implica da parte del suo amministratore un’azione d’impostazione dei parametri in base, segnatamente, al suo pubblico destinatario nonché agli obiettivi di gestione o di promozione delle sue attività, che influisce sul trattamento di dati personali ai fini della creazione di statistiche stabilite a partire dalle visite della fanpage. Tale amministratore può, tramite filtri messi a disposizione da Facebook, definire i criteri a partire dai quali si devono stabilire tali statistiche e designare perfino le categorie di persone i cui dati personali saranno oggetto di utilizzo da parte di Facebook. Di conseguenza, l’amministratore di una fanpage presente su Facebook contribuisce al trattamento dei dati personali dei visitatori della sua pagina.

37      In particolare, l’amministratore della fanpage può chiedere di ricevere – e, quindi, chiedere che siano trattati – dati demografici concernenti il suo pubblico destinatario, in particolare tendenze in materia di età, sesso, situazione sentimentale e professionale, informazioni sullo stile di vita e sugli interessi di detto pubblico, nonché informazioni sugli acquisti e il comportamento di acquisto online dei visitatori della sua pagina, le categorie di prodotti o di servizi di loro maggiore interesse, come pure dati territoriali che consentono all’amministratore della fanpage di stabilire dove avviare promozioni speciali o organizzare eventi e, in generale, di offrire informazioni maggiormente mirate.

38      Se è vero che le statistiche sull’utenza stabilite da Facebook sono unicamente trasmesse all’amministratore della fanpage in forma anonima, ciò non toglie che la realizzazione di tali statistiche si fonda sulla raccolta preliminare, mediante cookie installati da Facebook sul computer o su ogni altro dispositivo delle persone che hanno visitato tale pagina, e sul trattamento dei dati personali di tali visitatori a siffatti fini statistici. In ogni caso, la direttiva 95/46 non impone che, qualora vi sia una responsabilità congiunta di più operatori per un medesimo trattamento, ciascuno abbia accesso ai dati personali interessati.

39      In tale contesto, si deve ritenere che l’amministratore di una fanpage presente su Facebook, quale la Wirtschaftsakademie, partecipa, attraverso la propria azione d’impostazione dei parametri, in funzione, segnatamente, del suo pubblico destinatario nonché di obiettivi di gestione o promozione delle sue attività, alla determinazione delle finalità e degli strumenti del trattamento dei dati personali dei visitatori della sua fanpage. Pertanto, tale amministratore deve essere, nella fattispecie, qualificato come responsabile di tale trattamento, all’interno dell’Unione, assieme alla Facebook Ireland, ai sensi dell’articolo 2, lettera d), della direttiva 95/46.

40      Infatti, la circostanza che un amministratore di una fanpage utilizzi la piattaforma realizzata da Facebook per beneficiare dei servizi a essa collegati non può esonerarlo dal rispetto degli obblighi ad esso incombenti in materia di protezione dei dati personali.

41      Inoltre, è importante sottolineare che le fanpage presenti su Facebook possono essere visitate anche da persone che non sono utilizzatori di Facebook e che quindi non dispongono di un account utente su tale social network. In tal caso, la responsabilità dell’amministratore della fanpage relativamente al trattamento dei dati personali di tali persone appare ancor più importante, poiché la mera consultazione della fanpage da parte di visitatori fa scattare automaticamente il trattamento dei loro dati personali.

42      Ciò premesso, il riconoscimento di una responsabilità congiunta del gestore del social network e dell’amministratore di una fanpage presente su tale network in relazione al trattamento dei dati personali dei visitatori di tale fanpage contribuisce a garantire una più completa tutela dei diritti di cui godono le persone che visitano una fanpage, conformemente alle prescrizioni della direttiva 95/46.

43      Tuttavia, si deve precisare, come rilevato dall’avvocato generale ai paragrafi 75 e 76 delle sue conclusioni, che l’esistenza di una corresponsabilità non si traduce necessariamente in una responsabilità equivalente dei diversi operatori nell’ambito di un trattamento di dati personali. Al contrario, tali operatori possono essere coinvolti in fasi diverse di tale trattamento e a diversi livelli, di modo che il grado di responsabilità di ciascuno di essi deve essere valutato tenendo conto di tutte le circostanze rilevanti del caso di specie.

44      Alla luce delle considerazioni che precedono, si deve rispondere alla prima e alla seconda questione dichiarando che l’articolo 2, lettera d), della direttiva 95/46 deve essere interpretato nel senso che la nozione di «responsabile del trattamento», ai sensi di tale disposizione, include l’amministratore di una fanpage presente su un social network.

 Sulla terza e quarta questione

45      Con la sua terza e quarta questione, che occorre esaminare congiuntamente, il giudice del rinvio si chiede, in sostanza, se gli articoli 4 e 28 della direttiva 95/46 debbano essere interpretati nel senso che, qualora un’impresa stabilita al di fuori dell’Unione disponga di varie filiali in diversi Stati membri, l’autorità di controllo di uno Stato membro è autorizzata a esercitare i poteri che le conferisce l’articolo 28, paragrafo 3, di tale direttiva, nei confronti di una filiale situata nel territorio di tale Stato membro anche se, in base alla ripartizione delle funzioni all’interno del gruppo, da un lato, tale filiale è competente solamente per la vendita di spazi pubblicitari e per altre attività di marketing nel territorio di detto Stato membro e, dall’altro, la responsabilità esclusiva per la raccolta e per il trattamento dei dati personali grava, per l’intero territorio dell’Unione, su una filiale situata in un altro Stato membro, o se spetti all’autorità di controllo di tale ultimo Stato membro esercitare detti poteri nei confronti della seconda filiale.

46      L’ULD e il governo italiano esprimono dubbi in merito alla ricevibilità di tali questioni in quanto esse sarebbero irrilevanti per la soluzione della controversia di cui al procedimento principale. Infatti, la decisione impugnata avrebbe come destinataria la Wirtschaftsakademie e non riguarderebbe quindi né la Facebook Inc. né nessun’altra filiale stabilita nel territorio dell’Unione.

47      A questo proposito, occorre rammentare che, nell’ambito della cooperazione tra la Corte e i giudici nazionali istituita dall’articolo 267 TFUE, spetta esclusivamente al giudice nazionale, cui è stata sottoposta la controversia e che deve assumersi la responsabilità dell’emananda decisione giurisdizionale, valutare, alla luce delle particolari circostanze di ciascuna causa, sia la necessità di una pronuncia pregiudiziale per essere in grado di emettere la propria sentenza, sia la rilevanza delle questioni che esso sottopone alla Corte. Di conseguenza, se le questioni sollevate dal giudice nazionale riguardano l’interpretazione del diritto dell’Unione, la Corte, in via di principio, è tenuta a statuire (sentenza del 6 settembre 2016, Petruhhin, C‑182/15, EU:C:2016:630, punto 19 e giurisprudenza ivi citata).

48      Nel caso di specie, occorre evidenziare che il giudice del rinvio afferma che una risposta della Corte alla terza e alla quarta questione pregiudiziale è necessaria perché lo stesso possa pronunciarsi sulla controversia di cui al procedimento principale. Esso spiega infatti che, nel caso in cui si constatasse, alla luce di tale risposta, che l’ULD avrebbe potuto porre rimedio alle asserite violazioni del diritto alla protezione dei dati personali agendo nei confronti della Facebook Germany, una siffatta circostanza potrebbe dimostrare l’esistenza di un errore di valutazione che inficia la decisione impugnata, nella parte in cui essa sarebbe stata adottata erroneamente nei confronti della Wirtschaftsakademie.

49      Alla luce di ciò, la terza e la quarta questione sono ricevibili.

50      Per rispondere a tali questioni, occorre rammentare in via preliminare che, ai sensi dell’articolo 28, paragrafi 1 e 3, della direttiva 95/46, ciascuna autorità di controllo esercita tutti i poteri che le sono stati conferiti dal diritto nazionale nel territorio dello Stato membro cui appartiene, per assicurare in tale territorio il rispetto delle norme in materia di protezione dei dati (v., in tal senso, sentenza del 1º ottobre 2015, Weltimmo, C‑230/14, EU:C:2015:639, punto 51).

51      La questione relativa a quale diritto nazionale si applichi ai trattamenti dei dati personali è disciplinata dall’articolo 4 della direttiva 95/46. Ai sensi del paragrafo 1, lettera a), di tale articolo ciascuno Stato membro applica le disposizioni nazionali che esso adotta per l’attuazione della presente direttiva al trattamento di dati personali effettuato nel contesto delle attività di uno stabilimento del responsabile del trattamento nel territorio di tale Stato membro. Detta disposizione precisa che, qualora uno stesso responsabile del trattamento sia stabilito nel territorio di più Stati membri, esso deve adottare le misure necessarie per assicurare l’osservanza, da parte di ciascuno di detti stabilimenti, degli obblighi stabiliti dal diritto nazionale applicabile.

52      Discende così dal combinato disposto di tale norma e dell’articolo 28, paragrafi 1 e 3, della direttiva 95/46 che, quando il diritto nazionale dello Stato membro dell’autorità di controllo è applicabile ai sensi dell’articolo 4, paragrafo 1, lettera a), di quest’ultima, per il fatto che il trattamento in oggetto è effettuato nell’ambito delle attività di uno stabilimento del responsabile del trattamento nel territorio di detto Stato membro, tale autorità di controllo può esercitare tutti i poteri che tale diritto le conferisce nei confronti di detto stabilimento, e ciò indipendentemente dal fatto che il responsabile del trattamento disponga di stabilimenti anche in altri Stati membri.

53      Così, per determinare se un’autorità di controllo sia autorizzata, in circostanze come quelle di cui al procedimento principale, a esercitare, nei confronti di uno stabilimento ubicato sul territorio dello Stato membro cui essa appartiene, i poteri che le sono conferiti dal diritto nazionale, si deve verificare se le due condizioni previste dall’articolo 4, paragrafo 1, lettera a), della direttiva 95/46 siano soddisfatte, ossia, da un lato, se si tratti di uno «stabilimento del responsabile del trattamento», ai sensi di tale disposizione, e, dall’altro, se il trattamento in parola sia effettuato «nel contesto delle attività» di tale stabilimento, ai sensi della medesima disposizione.

54      Per quanto attiene, in primo luogo, alla condizione secondo cui il responsabile del trattamento di dati personali deve disporre di uno stabilimento nel territorio dello Stato membro dell’autorità di controllo interessata, occorre rammentare che, secondo il considerando 19 della direttiva 95/46, lo stabilimento nel territorio di uno Stato membro implica l’esercizio effettivo e reale di un’attività mediante un’organizzazione stabile e che la forma giuridica di siffatto stabilimento, si tratti di una semplice succursale o di una filiale dotata di personalità giuridica, non è il fattore determinante (sentenza del 1º ottobre 2015, Weltimmo, C‑230/14, EU:C:2015:639, punto 28 e giurisprudenza ivi citata).

55      Nel caso di specie, è pacifico che la Facebook Inc., in quanto responsabile del trattamento di dati personali, assieme alla Facebook Ireland, dispone di una filiale stabile in Germania, ossia la Facebook Germany, situata ad Amburgo, e che quest’ultima società esercita realmente ed effettivamente alcune attività in detto Stato membro. Di conseguenza, essa costituisce uno stabilimento, ai sensi dell’articolo 4, paragrafo 1, lettera a), della direttiva 95/46.

56      Per quanto riguarda, in secondo luogo, la condizione in base alla quale il trattamento di dati personali deve essere effettuato «nel contesto delle attività» dello stabilimento interessato, si deve rammentare, innanzitutto, che, tenuto conto dell’obiettivo perseguito dalla direttiva 95/46, consistente nel garantire una tutela efficace e completa delle libertà e dei diritti fondamentali delle persone fisiche, segnatamente del diritto alla vita privata, riguardo al trattamento dei dati personali, l’espressione «nel contesto delle attività di uno stabilimento» non può essere interpretata restrittivamente (sentenza del 1º ottobre 2015, Weltimmo, C‑230/14, EU:C:2015:639, punto 25 e giurisprudenza ivi citata).

57      Occorre poi sottolineare che l’articolo 4, paragrafo 1, lettera a), della direttiva 95/46 non esige che un siffatto trattamento sia effettuato «dallo» stesso stabilimento interessato, bensì soltanto che venga effettuato «nel contesto delle attività» di quest’ultimo (sentenza del 13 maggio 2014, Google Spain e Google, C‑131/12, EU:C:2014:317, punto 52).

58      Nel caso di specie, dalla decisione di rinvio e dalle osservazioni scritte depositate dalla Facebook Ireland emerge che la Facebook Germany è incaricata della promozione e della vendita di spazi pubblicitari e svolge attività destinate ai residenti in Germania.

59      Come è stato rammentato ai punti 33 e 34 della presente sentenza, il trattamento di dati personali di cui al procedimento principale, effettuato dalla Facebook Inc. congiuntamente alla Facebook Ireland e consistente nella raccolta di siffatti dati mediante cookie installati sui computer o su ogni altro dispositivo dei visitatori delle fanpage presenti su Facebook, ha come obiettivo segnatamente di consentire a tale social network di migliorare il proprio sistema pubblicitario al fine di individuare meglio le comunicazioni che esso diffonde.

60      Orbene, come rilevato dall’avvocato generale al paragrafo 94 delle sue conclusioni, dato che, da un lato, un social network, come Facebook, trae una parte considerevole delle sue entrate segnatamente dalla pubblicità diffusa sulle pagine web che gli utenti creano e a cui essi accedono e, dall’altro, che la filiale di Facebook ubicata in Germania è destinata a garantire, in tale Stato membro, la promozione e la vendita di spazi pubblicitari che servono a rendere redditizi i servizi offerti da Facebook, le attività di tale filiale devono essere ritenute inscindibilmente connesse al trattamento di dati personali del procedimento principale, di cui la Facebook Inc. è il responsabile assieme alla Facebook Ireland. Di conseguenza, un siffatto trattamento deve essere considerato come effettuato nel contesto delle attività di uno stabilimento del responsabile del trattamento, ai sensi dell’articolo 4, paragrafo 1, lettera a), della direttiva 95/46 (v., in tal senso, sentenza del 13 maggio 2014, Google Spain e Google, C‑131/12, EU:C:2014:317, punti 55 e 56).

61      Ne consegue che, poiché, ai sensi dell’articolo 4, paragrafo 1, lettera a), della direttiva 95/46, il diritto tedesco era applicabile al trattamento dei dati personali di cui al procedimento principale, l’autorità di controllo tedesca era competente, conformemente all’articolo 28, paragrafo 1, di tale direttiva, ad applicare a detto trattamento la normativa tedesca.

62      Di conseguenza, tale autorità di controllo era competente a garantire, nel territorio tedesco, il rispetto delle disposizioni in materia di protezione dei dati personali per esercitare, nei confronti della Facebook Germany, tutti i poteri di cui essa dispone in forza delle disposizioni nazionali di attuazione dell’articolo 28, paragrafo 3, della direttiva 95/46.

63      Occorre precisare altresì che la circostanza, evidenziata dal giudice del rinvio nella sua terza questione, secondo cui le strategie decisionali in merito alla raccolta e al trattamento di dati personali relativi a persone residenti nel territorio dell’Unione sono adottate da una società controllante stabilita in uno Stato terzo, come, nella fattispecie, la Facebook Inc., non è tale da mettere in discussione la competenza dell’autorità di controllo sottoposta al diritto di uno Stato membro con riferimento a uno stabilimento, ubicato nel territorio di tale medesimo Stato, del responsabile del trattamento dei suddetti dati.

64      Tenuto conto di quanto precede, si deve rispondere alla terza e alla quarta questione dichiarando che gli articoli 4 e 28 della direttiva 95/46 devono essere interpretati nel senso che, qualora un’impresa stabilita al di fuori dell’Unione disponga di varie filiali in diversi Stati membri, l’autorità di controllo di uno Stato membro è autorizzata a esercitare i poteri che le conferisce l’articolo 28, paragrafo 3, di tale direttiva nei confronti di una filiale di detta impresa situata nel territorio di tale Stato membro anche se, in base alla ripartizione delle funzioni all’interno del gruppo, da un lato, tale filiale è competente solamente per la vendita di spazi pubblicitari e per altre attività di marketing sul territorio di detto Stato membro e, dall’altro, la responsabilità esclusiva per la raccolta e per il trattamento dei dati personali grava, per l’intero territorio dell’Unione, su una filiale situata in un altro Stato membro.

 Sulla quinta e sesta questione

65      Con la sua quinta e sesta questione, che occorre esaminare congiuntamente, il giudice del rinvio chiede, in sostanza, se l’articolo 4, paragrafo 1, lettera a), e l’articolo 28, paragrafi 3 e 6, della direttiva 95/46 debbano essere interpretati nel senso che, qualora l’autorità di controllo di uno Stato membro intenda esercitare, nei confronti di un organismo stabilito nel territorio di tale Stato membro, i poteri d’intervento di cui all’articolo 28, paragrafo 3, di tale direttiva a motivo di violazioni delle disposizioni relative alla protezione dei dati personali, commesse da un terzo responsabile del trattamento di tali dati che ha la propria sede in un altro Stato membro, tale autorità di controllo è competente a valutare, in modo autonomo rispetto all’autorità di controllo di quest’ultimo Stato membro, la liceità di un siffatto trattamento di dati e può esercitare i suoi poteri d’intervento nei confronti dell’organismo stabilito sul proprio territorio senza previamente richiedere l’intervento dell’autorità di controllo dell’altro Stato membro.

66      Al fine di rispondere a tali questioni, si deve rammentare, come emerge dalla risposta fornita alla prima e alla seconda questione pregiudiziale, che l’articolo 2, lettera d), della direttiva 95/46 deve essere interpretato nel senso che esso consente, in circostanze come quelle di cui al procedimento principale, di riconoscere la responsabilità di un organismo, quale la Wirtschaftsakademie, in qualità di amministratore di una fanpage presente su Facebook, in caso di violazione delle disposizioni relative alla tutela dei dati personali.

67      Ne consegue che, ai sensi dell’articolo 4, paragrafo 1, lettera a), nonché dell’articolo 28, paragrafi 1 e 3, della direttiva 95/46, l’autorità di controllo dello Stato membro sul cui territorio è stabilito tale organismo è competente ad applicare il suo diritto nazionale e, pertanto, a esercitare, nei confronti di detto organismo, tutti i poteri che le sono conferiti da tale diritto nazionale, conformemente all’articolo 28, paragrafo 3, della direttiva in parola.

68      Come previsto dall’articolo 28, paragrafo 1, secondo comma, di tale direttiva, le autorità di controllo incaricate di sorvegliare l’applicazione, nel territorio degli Stati membri cui appartengono, delle disposizioni adottate da questi ultimi in attuazione della medesima direttiva, sono pienamente indipendenti nell’esercizio delle funzioni loro attribuite. Tale prescrizione risulta altresì dal diritto primario dell’Unione, segnatamente dall’articolo 8, paragrafo 3, della Carta dei diritti fondamentali dell’Unione europea e dall’articolo 16, paragrafo 2, TFUE (v., in tal senso, sentenza del 6 ottobre 2015, Schrems, C‑362/14, EU:C:2015:650, punto 40).

69      Inoltre, benché, ai sensi dell’articolo 28, paragrafo 6, secondo comma, della direttiva 95/46, le autorità di controllo collaborino tra loro nella misura necessaria allo svolgimento dei propri compiti, in particolare scambiandosi ogni informazione utile, tale medesima direttiva non prevede nessun criterio di priorità che disciplini l’intervento delle autorità di controllo le une rispetto alle altre né prevede l’obbligo per l’autorità di controllo di uno Stato membro di conformarsi alla posizione espressa, eventualmente, dall’autorità di controllo di un altro Stato membro.

70      Pertanto, nulla impone a un’autorità di controllo la cui competenza è riconosciuta dal suo diritto nazionale di far propria la soluzione adottata da un’altra autorità di controllo in una situazione analoga.

71      A tal riguardo, va ricordato che, poiché le autorità nazionali di controllo sono incaricate, ai sensi dell’articolo 8, paragrafo 3, della Carta dei diritti fondamentali e dell’articolo 28 della direttiva 95/46, di sorvegliare il rispetto delle norme dell’Unione relative alla tutela delle persone fisiche riguardo al trattamento dei dati personali, a ognuna di esse è quindi attribuita la competenza a verificare se un trattamento di dati personali nel territorio dello Stato membro cui appartiene rispetti gli obblighi fissati dalla direttiva 95/46 (v., in tal senso, sentenza del 6 ottobre 2015, Schrems, C‑362/14, EU:C:2015:650, punto 47).

72      Poiché l’articolo 28 della direttiva 95/46 si applica, per sua stessa natura, a ogni trattamento di dati personali, anche in presenza di una decisione di un’autorità di controllo di un altro Stato membro, un’autorità di controllo, investita da parte di un soggetto di una domanda relativa alla tutela dei propri diritti e libertà relativamente al trattamento di dati personali che la riguardano, deve valutare in piena indipendenza se il trattamento di tali dati rispetti gli obblighi stabiliti dalla presente direttiva (v., in tal senso, sentenza del 6 ottobre 2015, Schrems, C‑362/14, EU:C:2015:650, punto 57).

73      Ne consegue che, nel caso di specie, in base al sistema stabilito dalla direttiva 95/46, l’ULD era autorizzata a valutare, in maniera autonoma rispetto alle valutazioni effettuate dall’autorità di vigilanza irlandese, la liceità del trattamento di dati di cui al procedimento principale.

74      Di conseguenza, occorre rispondere alla quinta e alla sesta questione dichiarando che l’articolo 4, paragrafo 1, lettera a), e l’articolo 28, paragrafi 3 e 6, della direttiva 95/46 devono essere interpretati nel senso che, qualora l’autorità di controllo di uno Stato membro intenda esercitare, nei confronti di un organismo stabilito sul territorio di tale Stato membro, i poteri d’intervento di cui all’articolo 28, paragrafo 3, di tale direttiva a motivo di violazioni delle disposizioni relative alla protezione dei dati personali, commesse da un terzo responsabile del trattamento di tali dati che ha la propria sede in un altro Stato membro, tale autorità di controllo è competente a valutare, in modo autonomo rispetto all’autorità di controllo di quest’ultimo Stato membro, la liceità di un siffatto trattamento di dati e può esercitare i suoi poteri d’intervento nei confronti dell’organismo stabilito sul proprio territorio senza previamente richiedere l’intervento dell’autorità di controllo dell’altro Stato membro.

 Sulle spese

75      Nei confronti delle parti nel procedimento principale la presente causa costituisce un incidente sollevato dinanzi al giudice nazionale, cui spetta quindi statuire sulle spese. Le spese sostenute da altri soggetti per presentare osservazioni alla Corte non possono dar luogo a rifusione.

Per questi motivi, la Corte (Grande Sezione) dichiara:

1)      L’articolo 2, lettera d), della direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, deve essere interpretato nel senso che la nozione di «responsabile del trattamento», ai sensi di tale disposizione, include l’amministratore di una fanpage presente su un social network.

2)      Gli articoli 4 e 28 della direttiva 95/46 devono essere interpretati nel senso che, qualora un’impresa stabilita al di fuori dell’Unione europea disponga di varie filiali in diversi Stati membri, l’autorità di controllo di uno Stato membro è autorizzata a esercitare i poteri che le conferisce l’articolo 28, paragrafo 3, di tale direttiva nei confronti di una filiale di detta impresa situata sul territorio di tale Stato membro anche se, in base alla ripartizione delle funzioni all’interno del gruppo, da un lato, tale filiale è competente solamente per la vendita di spazi pubblicitari e per altre attività di marketing sul territorio di detto Stato membro e, dall’altro, la responsabilità esclusiva per la raccolta e per il trattamento dei dati personali grava, per l’intero territorio dell’Unione europea, su una filiale situata in un altro Stato membro.

3)      L’articolo 4, paragrafo 1, lettera a), e l’articolo 28, paragrafi 3 e 6, della direttiva 95/46 devono essere interpretati nel senso che, qualora l’autorità di controllo di uno Stato membro intenda esercitare, nei confronti di un organismo stabilito sul territorio di tale Stato membro, i poteri d’intervento di cui all’articolo 28, paragrafo 3, di tale direttiva a motivo di violazioni delle disposizioni relative alla protezione dei dati personali, commesse da un terzo responsabile del trattamento di tali dati che ha la propria sede in un altro Stato membro, tale autorità di controllo è competente a valutare, in modo autonomo rispetto all’autorità di controllo di quest’ultimo Stato membro, la liceità di un siffatto trattamento di dati e può esercitare i suoi poteri d’intervento nei confronti dell’organismo stabilito sul proprio territorio senza previamente richiedere l’intervento dell’autorità di controllo dell’altro Stato membro.

Firme


*      Lingua processuale: il tedesco.