La Corte Federale di Giustizia (BGH) ha preso una decisione importante in relazione a un incidente di vasta portata sulla protezione dei dati di Facebook: Anche la semplice perdita di controllo su Dati personali può costituire un danno non patrimoniale ai sensi dell'art. 82, comma 1 GDPR mostrare. Le conseguenze della sentenza.
Ecco in cosa consiste lo scraping di Facebook
La decisione della Corte federale di giustizia (VI ZR 10/24) riguarda non solo le richieste di risarcimento danni, ma anche le richieste di provvedimenti dichiarativi e ingiuntivi derivanti da un incidente di protezione dei dati. Il caso, in cui i dati di circa 533 milioni di utenti di Facebook sono stati rubati all'inizio di aprile 2021 attraverso il cosiddetto "scraping", è di notevole importanza a causa della crescente diffusione di dati personali nello spazio digitale.
Il convenuto, gestore del social network Facebook, ha permesso agli utenti di rendere il proprio profilo rintracciabile tramite il numero di telefono. Questa funzione di ricerca di amici è stata utilizzata in modo improprio da terzi sconosciuti attraverso la funzione di importazione dei contatti. Gli sconosciuti hanno utilizzato sequenze di numeri di telefono casuali per assegnare ai numeri di telefono dati dell'utente accessibili al pubblico (come nome, sesso e datore di lavoro). In questo modo hanno avuto accesso a una grande quantità di dati personali.
I dati del ricorrente, tra cui il suo ID utente, il nome, il luogo di lavoro e il sesso, sono stati collegati anche al suo numero di telefono e quindi resi accessibili a un gruppo incontrollato di persone.
Il querelante ha quindi intentato una causa e ha chiesto danni morali per perdita di controllo e disagi. L'attore ha inoltre richiesto una sentenza dichiarativa di responsabilità di Facebook per i futuri danni materiali e immateriali, nonché un'ingiunzione contro l'elaborazione dei dati e il rimborso delle spese legali pre-processuali.
Perdita del controllo dei dati: le corti inferiori non sono d'accordo
Il Tribunale regionale di Bonn aveva inizialmente riconosciuto all'attore una richiesta di risarcimento danni pari a 250 euro, in quanto Facebook aveva adottato, a suo avviso, misure di sicurezza inadeguate. In appello, tuttavia, il Tribunale superiore di Colonia (OLG) ha respinto la richiesta di risarcimento nella sua interezza. L'OLG ha sostenuto che la mera perdita di controllo non è sufficiente a costituire un danno morale ai sensi dell'articolo 82, paragrafo 1, del Codice Civile. GDPR essere giustificato. Inoltre, il ricorrente non ha subito alcun danno psicologico oltre alla perdita di controllo.
Con ordinanza del 31 ottobre 2024, il BGH ha stabilito che il procedimento è un'ordinanza di rinvio. All'udienza dell'11 novembre 2024, il BGH è giunto a una conclusione differenziata e si è pronunciato in parte a favore del ricorrente.
La Corte di giustizia federale si pronuncia contro Facebook
- Richiesta di risarcimento per danni immateriali
Secondo la decisione del BGH, il Tribunale regionale superiore di Colonia ha valutato in modo errato la questione dei danni. Secondo la giurisprudenza della Corte di giustizia europea (CGUE), anche la semplice e temporanea perdita di controllo su un'autovettura non può essere considerata un danno. Dati personali danno morale ai sensi dell'art. 82 comma 1 GDPR rappresentare. Non sono richiesti né uno specifico uso improprio dei dati né ulteriori conseguenze negative dimostrabili. La sola perdita di controllo può quindi già essere sufficiente a giustificare una richiesta di risarcimento danni. GDPR sottolinea e chiarisce che il danno immateriale non richiede necessariamente un onere maggiore o più duraturo per la parte interessata. Piuttosto, la perdita della sovranità dei dati è già riconosciuta come una circostanza dannosa che può giustificare una richiesta di risarcimento. - Valutazione del danno
Il BGH ha rinviato il caso alla Corte d'appello per quanto riguarda l'ammontare dei danni, ma ha fornito indicazioni sulla valutazione dei danni. Ha chiarito che un risarcimento per la perdita di controllo dell'ordine di circa 100 euro potrebbe essere adeguato. Si fa riferimento alla Sezione 287 del Codice di procedura civile tedesco (ZPO), secondo cui il tribunale è libero di valutare l'ammontare dei danni se non ci sono indicazioni concrete per una cifra esatta. - Determinazione dell'obbligo di risarcimento per danni futuri
L'attore ha anche chiesto una dichiarazione di responsabilità per danni futuri. L'OLG aveva negato tale richiesta perché non vi era alcun interesse a una sentenza dichiarativa. Il BGH non è stato d'accordo e ha sottolineato che la possibilità di danni futuri dovuti alla perdita di dati e al continuo rischio di uso improprio era certamente data. L'interesse del ricorrente a una sentenza dichiarativa è stato quindi confermato. - Provvedimento ingiuntivo e diritto all'informazione
Il querelante ha anche chiesto che venga ordinato a Facebook di astenersi dal pubblicare il suo numero di telefono senza il suo consenso. Consenso di continuare a utilizzarlo. Il BGH ha ritenuto questo provvedimento ingiuntivo sufficientemente specifico e ha affermato la necessità di tutela legale del ricorrente. Il ricorso è stato accolto sotto questo aspetto.
Tuttavia, il ricorso è stato respinto per quanto riguarda le ulteriori richieste di provvedimenti ingiuntivi e informazioni. Il BGH ha confermato l'opinione dell'OLG secondo cui le richieste del ricorrente erano infondate a questo riguardo.
Principio di minimizzazione dei dati e consenso
Per il nuovo processo, la Corte di giustizia federale fornisce alla Corte d'appello indicazioni sull'esame delle impostazioni predefinite di Facebook. Essa sottolinea che l'impostazione predefinita, secondo la quale il numero di telefono è visibile pubblicamente per impostazione predefinita, potrebbe non essere conforme al principio della minimizzazione dei dati. Inoltre, la Corte d'appello dovrà esaminare se il querelante sia stato effettivamente autorizzato a Elaborazione dei propri dati.
Questi riferimenti chiariscono i requisiti che il BGH pone al sociale. Reti per quanto riguarda la progettazione delle impostazioni predefinite. Il GDPR L'art. 25 "Protezione dei dati per impostazione predefinita" prevede che vengano trattati solo i dati necessari per il rispettivo scopo. Fornitori come Facebook sono quindi obbligati a progettare le impostazioni predefinite delle loro piattaforme in modo favorevole alla protezione dei dati e a garantire un consenso informato. Consenso degli utenti.
Suggerimento di lettura: La Corte di giustizia europea interpreta il "legittimo interesse" ai sensi dell'art. 6 par. 1 lett. f GDPR
Ecco le conseguenze della sentenza del BGH sullo scraping di Facebook
La decisione della Corte federale di giustizia rafforza in modo significativo le richieste di risarcimento danni non materiali delle persone colpite da violazioni della protezione dei dati. Riconoscendo come danno la mera perdita di controllo, non è necessario dimostrare specifiche conseguenze psicologiche o materiali. Questo approccio è in linea con la giurisprudenza della Corte di giustizia europea, che sottolinea la protezione della sovranità dei dati. È prevedibile che questa sentenza avrà un impatto significativo sulla prassi delle aziende che trattano grandi quantità di dati personali.
La sentenza chiarisce inoltre che anche i danni futuri derivanti da violazioni della protezione dei dati possono essere coperti dalla richiesta di risarcimento, il che è particolarmente rilevante alla luce della continua digitalizzazione e messa in rete dei dati personali. Le aziende devono adattare le loro strategie di protezione dei dati e Elaborazione e l'archiviazione dei dati personali in modo particolarmente restrittivo, al fine di prevenire richieste di risarcimento danni in futuro.
Fonte: Sentenza del VI Senato civile del 18 novembre 2024 - VI ZR 10/24 -
German 
English 
Italian 
French