Autori
Il Tribunale regionale di Vienna per le questioni civili ha emesso un verdetto nel processo sulla protezione dei dati tra l'attivista Max Schrems e la piattaforma di social media Facebook. La sentenza fa seguito alle udienze tenutesi nella capitale austriaca all'inizio dell'anno, che hanno visto il direttore europeo per la privacy di Facebook, Ceilia Alvarez, affrontare domande incentrate su:
- La capacità della società di ottenere il consenso dei propri utenti;
- la sua conformità alle richieste di dati da parte di chi è attivo sul sito di networking; e
- chiarimento della terminologia "cancellazione dei dati" e del suo significato nella pratica.
La sentenza, emessa il 30 giugno 2020, stabilisce che sebbene Facebook sia tenuto a pagare un risarcimento di 500 euro per aver violato i suoi obblighi di informativa sull'uso dei dati personali del querelante, si ritiene che il servizio di rete abbia agito in modo contrattualmente o legalmente complice per quanto riguarda il trattamento dei dati del querelante.
La sentenza
Vale la pena sottolineare le seguenti questioni giuridiche:
Trattamento dei dati ai sensi del Regolamento generale sulla protezione dei dati (GDPR)
- La Corte ha stabilito che l'art. 2 del GDPR non si applica al trattamento dei dati personali alla luce delle attività private o familiari.
- Il querelante avrebbe stipulato un contratto ("accordo di trattamento dei dati") con Facebook quando ha creato un account privato.
- Il suo uso personale della piattaforma lo ha portato a non rientrare nell'ambito del GDPR.
- Il trattamento dei dati è stato quindi condotto in conformità al GDPR e continuerà a essere consentito finché l'attore non cancellerà il suo account. Solo allora il contratto tra le parti sarebbe stato risolto.
Termini e condizioni
- La Corte ha inoltre affermato che una richiesta di provvedimento ingiuntivo richiede non solo che l'atto in questione sia vietato, ma anche che esista un rischio di ripetizione di tale atto illegale, vale a dire che il convenuto abbia già violato la norma legalmente stabilita.
- Nel caso in questione, il ricorrente poteva acconsentire al trattamento dei suoi dati personali. Accettando le condizioni del convenuto, ha accettato volontariamente i termini.
- Il modello economico del convenuto si basa sulla generazione di entrate attraverso pubblicità su misura e contenuti commerciali. Per offrire il proprio servizio gratuitamente al pubblico, il reddito è generato dall'elaborazione dei dati degli utenti da vendere agli inserzionisti, che possono utilizzarli per scopi pubblicitari mirati.
- L'utilizzo della piattaforma comporta per gli utenti l'accettazione consapevole di contenuti commerciali, la cui personalizzazione si basa su gusti, preferenze e interessi individuali - dati che fanno quindi parte delle condizioni d'uso.
- Poiché la pubblicità personalizzata costituisce una componente essenziale del servizio offerto e deriva dalle specifiche condizioni d'uso che fanno parte del contratto, il convenuto aveva il compito di specificare l'oggetto del contratto, che l'attore ha accettato di buon grado.
Dati sensibili
- Secondo la Corte, la violazione dell'art. 9 GDPR non è stata causata dal fatto che il convenuto abbia fornito dati sensibili. 9 GDPR non è emersa dai fatti accertati.
- Per quanto riguarda i dati sensibili sugli interessi politici o sull'orientamento sessuale, la Corte ha ritenuto che l'interesse per un partito politico o per lo stesso sesso non rifletta necessariamente l'affiliazione del convenuto a una particolare opinione politica o implichi un orientamento sessuale. Inoltre, poiché quest'ultimo era stato reso pubblicamente noto dall'attore, il GDPR non era stato violato.
- Il Tribunale non ha potuto riscontrare alcuna operazione illegale da parte del convenuto, per la quale possa essere ritenuto responsabile, per il semplice fatto di aver trattato i dati.
I danni
- 15 Il GDPR stabilisce che il convenuto ha l'obbligo di fornire informazioni su tutti i dati personali a intervalli appropriati che il convenuto ritiene rilevanti per l'utente.
- Violando il suo obbligo, l'attore non ha ricevuto una panoramica sufficiente su tutti i dati memorizzati.
- La perdita di controllo e l'incertezza che ne consegue lo autorizzano a richiedere un risarcimento danni e il rilascio di tutti i dati richiesti.
Commento
Questa sentenza offre un resoconto dettagliato sul modo in cui Facebook crea i profili degli utenti, in particolare attingendo alla cronologia delle pagine visitate e alle informazioni ottenute dalle connessioni con gli amici o gli utenti "simili". Tuttavia, non riconosce la sensibilità di tali dati. Sebbene il rilascio obbligatorio dei dati del querelante renda altamente probabile un ricorso da parte di Facebook, il signor Schrems ha già espresso l'intenzione di presentare un'azione legale in tal senso entro le prossime quattro settimane. Si spera che portare il caso davanti a una Corte Superiore possa fornire maggiore chiarezza sulla legalità delle attività di Facebook e sulla sua (non) conformità al GDPR. Come già avvenuto in precedenti casi, ciò potrebbe anche rendere possibile il rinvio di diverse questioni alla Corte di giustizia europea.
Risorse
Pubblicato originariamente il 08 luglio 2020
Il contenuto di questo articolo intende fornire una guida generale all'argomento. È necessario richiedere una consulenza specialistica in merito alla propria situazione specifica.