Nella causa T-354/22 (Bindl/Commissione), il Tribunale dell'Unione europea (Tribunale) ha condannato la Commissione europea al risarcimento dei danni. La Commissione europea aveva trasferito i dati personali di un visitatore di un sito web da essa gestito a Facebook negli Stati Uniti.
Dati personali trasferiti negli USA
Nel 2021 e nel 2022, il ricorrente, originario della Germania, aveva visitato il sito web della Conferenza sul futuro dell'Europa gestita dalla Commissione europea. Si era registrato all'evento "GoGreen" tramite questo sito web. Ha utilizzato l'opzione di autenticazione "Accedi con Facebook" tramite il servizio "EU Login".
Di conseguenza, i dati personali, tra cui l'indirizzo IP e le informazioni sul browser e sul dispositivo, sono stati trasmessi alla società statunitense Meta Platforms Inc. L'azienda è la società madre di Facebook.
Il ricorrente sosteneva che negli Stati Uniti non era garantito un livello adeguato di protezione dei dati e che vi era il rischio di accesso da parte dei servizi di sicurezza e di intelligence statunitensi. Tra le altre cose, ha chiesto un risarcimento di 400 euro per i danni morali causatigli dal trasferimento dei dati.
Suggerimento di lettura: L'EDSA esamina il quadro sulla privacy dei dati UE-USA: Deve essere migliorato
400 euro di risarcimento per danni morali
Il tribunale ha respinto diverse domande del ricorrente. Tra queste, la domanda di annullamento dei trasferimenti di dati e la domanda di dichiarazione che la Commissione non ha agito in relazione a una richiesta di informazioni. Anche l'azione di risarcimento danni in relazione ai trasferimenti tramite il servizio "Amazon CloudFront" è stata respinta. I dati erano rimasti nell'UE o erano stati trasferiti negli USA a causa di impostazioni tecniche effettuate dal ricorrente stesso.
È stata invece accolta la richiesta di risarcimento dei danni dovuti alla trasmissione dell'indirizzo IP a Facebook tramite la funzione "Accedi con Facebook". Il tribunale ha ritenuto che, fornendo questo collegamento ipertestuale, la Commissione avesse creato le condizioni per il trasferimento di dati personali a un Paese terzo senza fornire garanzie adeguate come le clausole contrattuali standard. All'epoca (30 marzo 2022), non esisteva una decisione di adeguatezza per gli Stati Uniti.
La Commissione è stata ritenuta responsabile di una "violazione sufficientemente grave" di una disposizione di legge volta a conferire diritti alle persone. Il tribunale ha anche riconosciuto il danno morale subito dal ricorrente, che si trovava in una situazione poco chiara riguardo al trattamento dei suoi dati. Esisteva inoltre un nesso causale diretto tra la violazione e il danno subito. La Commissione è stata quindi condannata a pagare al ricorrente un risarcimento di 400 euro.
Questa sentenza chiarisce i requisiti rigorosi che il Regolamento generale sulla protezione dei dati e il Regolamento (UE) 2018/1725 pongono al trasferimento di dati verso Paesi terzi. Le istituzioni e gli organismi dell'Unione devono garantire che siano in atto adeguate salvaguardie per garantire i diritti degli interessati. Il caso sottolinea inoltre le possibilità giuridiche per gli interessati di far valere diritti derivanti dalla responsabilità extracontrattuale dell'Unione.
Fonte: Sentenza della Corte di giustizia europea T-354/22 (Bindl/Commissione) dell'8.01.2024.