La Corte federale di giustizia (BGH) ha emesso una decisione di primo piano in relazione a un incidente di vasta portata sulla protezione dei dati di Facebook: Anche la semplice perdita di controllo sui dati personali può costituire un danno morale ai sensi dell'art. 82 (1) del GDPR. Quali conseguenze ha la sentenza.
Ecco in cosa consiste lo scraping di Facebook
La decisione della Corte federale di giustizia (VI ZR 10/24) riguarda non solo le richieste di risarcimento danni, ma anche le richieste di provvedimenti dichiarativi e ingiuntivi derivanti da un incidente di protezione dei dati. Il caso, in cui i dati di circa 533 milioni di utenti di Facebook sono stati rubati all'inizio di aprile 2021 attraverso il cosiddetto "scraping", è di notevole importanza a causa della crescente diffusione di dati personali nello spazio digitale.
Il convenuto, gestore del social network Facebook, ha permesso agli utenti di rendere il proprio profilo rintracciabile tramite il numero di telefono. Questa funzione di ricerca di amici è stata utilizzata abusivamente da terzi sconosciuti attraverso la funzione di importazione dei contatti. Gli sconosciuti hanno utilizzato sequenze di numeri di telefono casuali per assegnare ai numeri di telefono dati dell'utente accessibili al pubblico (come nome, sesso e datore di lavoro). In questo modo hanno avuto accesso a una grande quantità di dati personali.
I dati del ricorrente, tra cui il suo ID utente, il nome, il luogo di lavoro e il sesso, sono stati collegati anche al suo numero di telefono e quindi resi accessibili a un gruppo incontrollato di persone.
Il querelante ha quindi intentato una causa e ha chiesto danni morali per perdita di controllo e disagi. L'attore ha inoltre richiesto una sentenza dichiarativa di responsabilità di Facebook per i futuri danni materiali e immateriali, nonché un'ingiunzione contro l'elaborazione dei dati e il rimborso delle spese legali pre-processuali.
Perdita del controllo dei dati: le corti inferiori non sono d'accordo
Il Tribunale regionale di Bonn aveva inizialmente riconosciuto all'attore una richiesta di risarcimento danni pari a 250 euro, in quanto Facebook aveva adottato, a suo avviso, misure di sicurezza inadeguate. In appello, tuttavia, il Tribunale superiore di Colonia (OLG) ha respinto la richiesta di risarcimento nella sua interezza. L'OLG ha sostenuto che la mera perdita di controllo non è sufficiente a giustificare un danno morale ai sensi dell'articolo 82, paragrafo 1, del GDPR. Inoltre, il ricorrente non aveva subito alcun danno psicologico oltre alla perdita di controllo.
Con ordinanza del 31 ottobre 2024, il BGH ha stabilito che il procedimento è un'ordinanza di rinvio. All'udienza dell'11 novembre 2024, il BGH è giunto a una conclusione differenziata e si è pronunciato in parte a favore del ricorrente.
La Corte di giustizia federale si pronuncia contro Facebook
- Richiesta di risarcimento per danni immateriali In seguito alla decisione del BGH, il Tribunale regionale superiore di Colonia ha valutato in modo errato la questione dei danni. Secondo la giurisprudenza della Corte di giustizia europea (CGUE), la semplice perdita a breve termine del controllo sui dati personali può già costituire un danno morale ai sensi dell'articolo 82, paragrafo 1, del GDPR. Non sono necessari né uno specifico uso improprio dei dati né ulteriori conseguenze negative dimostrabili. Questa interpretazione è degna di nota, in quanto sottolinea il diritto dell'interessato alla protezione ai sensi del GDPR e chiarisce che il danno morale non richiede necessariamente un onere maggiore o più duraturo per l'interessato. Piuttosto, la perdita della sovranità dei dati è già riconosciuta come una circostanza avversa che può giustificare una richiesta di risarcimento.
- Valutazione del danno Il BGH ha rinviato il procedimento alla Corte d'appello per quanto riguarda l'ammontare dei danni, ma ha fornito indicazioni sulla valutazione dei danni. Ha chiarito che un risarcimento per la perdita di controllo dell'ordine di circa 100 euro potrebbe essere adeguato. Si fa riferimento alla sezione 287 del Codice di procedura civile tedesco (ZPO), secondo cui il tribunale è libero di valutare l'ammontare dei danni se non ci sono indicazioni concrete per una cifra esatta.
- Determinazione dell'obbligo di risarcimento dei danni futuri L'attore ha anche chiesto una dichiarazione di responsabilità per danni futuri. L'OLG aveva negato tale richiesta perché non vi era alcun interesse a una sentenza dichiarativa. Il BGH non è stato d'accordo e ha sottolineato che la possibilità di danni futuri dovuti alla perdita di dati e al continuo rischio di uso improprio era certamente presente. L'interesse del ricorrente a una sentenza dichiarativa è stato quindi confermato.
- Provvedimento ingiuntivo e diritto all'informazione Il querelante ha anche chiesto di ordinare a Facebook di astenersi dal continuare a utilizzare il suo numero di telefono senza il suo consenso. Il BGH ha ritenuto questo provvedimento ingiuntivo sufficientemente specifico e ha affermato la necessità di tutela legale del ricorrente. Il ricorso è stato accolto in questo senso. Tuttavia, il ricorso è stato respinto per quanto riguarda l'ulteriore richiesta di provvedimenti ingiuntivi e informazioni. Il BGH ha confermato l'opinione dell'OLG secondo cui le richieste del ricorrente erano infondate sotto questo aspetto.
Principio di minimizzazione dei dati e consenso
Per il nuovo processo, la Corte di giustizia federale fornisce alla Corte d'appello indicazioni sull'esame delle impostazioni predefinite di Facebook. Essa sottolinea che l'impostazione predefinita, secondo la quale il numero di telefono è visibile pubblicamente per impostazione predefinita, potrebbe non essere conforme al principio della minimizzazione dei dati. Inoltre, la Corte d'appello dovrà esaminare se il ricorrente ha effettivamente acconsentito al trattamento dei suoi dati.
Queste informazioni chiariscono i requisiti che la Corte federale di giustizia pone ai social network per quanto riguarda la progettazione delle impostazioni predefinite. All'articolo 25 "Protezione dei dati per impostazione predefinita", il GDPR richiede che vengano trattati solo i dati necessari per il rispettivo scopo. Fornitori come Facebook sono quindi obbligati a progettare le impostazioni predefinite delle loro piattaforme in modo favorevole alla protezione dei dati e a garantire che gli utenti diano il loro consenso informato.
Suggerimento di lettura: La Corte di giustizia europea interpreta il "legittimo interesse" ai sensi dell'art. 6 par. 1 lett. f GDPR
Ecco le conseguenze della sentenza del BGH sullo scraping di Facebook
La decisione della Corte federale di giustizia rafforza in modo significativo le richieste di risarcimento danni non materiali delle persone colpite da violazioni della protezione dei dati. Riconoscendo come danno la mera perdita di controllo, non è necessario dimostrare specifiche conseguenze psicologiche o materiali. Questo approccio è in linea con la giurisprudenza della Corte di giustizia europea, che sottolinea la protezione della sovranità dei dati. È prevedibile che questa sentenza avrà un impatto significativo sulla prassi delle aziende che trattano grandi quantità di dati personali.
La sentenza chiarisce inoltre che anche i danni futuri derivanti da violazioni della protezione dei dati possono essere coperti dalla richiesta di risarcimento, il che è particolarmente rilevante alla luce della continua digitalizzazione e messa in rete dei dati personali. Le aziende devono adattare le loro strategie di protezione dei dati e gestire l'elaborazione e l'archiviazione dei dati personali in modo particolarmente restrittivo, al fine di evitare richieste di risarcimento danni in futuro.
Fonte: Sentenza del VI Senato civile del 18 novembre 2024 - VI ZR 10/24 -