Il Tribunale regionale per le questioni civili di Vienna ha raggiunto un verdetto nel processo sulla protezione dei dati tra l'attivista Max Schrems e la piattaforma di social media Facebook. La sentenza fa seguito alle udienze tenutesi nella capitale austriaca all'inizio di quest'anno, che hanno visto la direttrice europea della privacy di Facebook, Ceilia Alvarez, confrontarsi su questioni centrali:

• La capacità della società di ottenere il consenso dei suoi utenti;
• La sua conformità con le richieste di dati da parte di coloro che sono attivi sul sito della rete; e
• Chiarimento della terminologia "cancellazione dei dati" e del suo significato nella pratica.

La sentenza emessa il 30 giugno 2020 stabilisce che, sebbene Facebook sia tenuta a pagare un risarcimento di 500 euro per aver violato i suoi obblighi di divulgazione dei dati personali della Querelante, si ritiene che il servizio di networking abbia agito in modo contrattualmente o legalmente complice per quanto riguarda il trattamento dei dati della Querelante.

La sentenza

Le seguenti questioni legali sono degne di nota:

-Elaborazione dei dati in conformità con il regolamento generale sulla protezione dei dati (GDPR)

• La Corte ha stabilito che l'art. 2 GDPR non si applica al trattamento dei dati personali alla luce delle attività private o familiari.
• Si dice che il querelante abbia stipulato un contratto ("accordo di trattamento dei dati") con Facebook quando ha creato un account privato.
• Il suo uso personale della piattaforma lo ha fatto cadere al di fuori dell'ambito del GDPR.
• Il trattamento dei dati era quindi condotto in conformità con il GDPR e avrebbe continuato ad essere ammissibile fino a quando il querelante non avrebbe cancellato il suo account. Solo allora il contratto tra le parti sarebbe stato risolto.

Termini e condizioni

• La Corte ha inoltre affermato che una richiesta di provvedimento ingiuntivo richiede che l'atto in questione non solo sia vietato, ma che ci sia anche un rischio esistente di ripetizione di tale atto illegale, cioè che il convenuto abbia già violato la norma legalmente stabilita.
• Nel caso in questione, il querelante poteva acconsentire al trattamento dei suoi dati personali. Accettando le condizioni del convenuto, aveva accettato volontariamente i suoi termini.
• Il modello economico del convenuto si basa sulla generazione di entrate attraverso pubblicità su misura e contenuti commerciali. Per offrire il suo servizio gratuitamente al pubblico, le entrate sono generate dal trattamento dei dati degli utenti da vendere agli inserzionisti, che possono utilizzarli per scopi pubblicitari mirati.
• Impegnarsi nell'uso della piattaforma fa sì che gli utenti accettino consapevolmente contenuti commerciali, la cui natura personalizzata è basata su gusti, preferenze, interessi individuali - dati che quindi fanno parte delle condizioni d'uso.
• Poiché la pubblicità personalizzata costituisce una componente essenziale del servizio offerto e risulta dalle condizioni d'uso specifiche che sono rese parte del contratto, il convenuto aveva il compito di specificare lo scopo del contratto, che l'attore ha accettato volentieri.

Dati sensibili

• Secondo la Corte, una violazione dell'art. 9 GDPR non è emersa dai fatti accertati.
• Per quanto riguarda i dati sensibili sugli interessi politici o l'orientamento sessuale, la Corte ha affermato che un interesse per un partito politico o per lo stesso sesso non riflette necessariamente l'affiliazione dell'imputato a una particolare opinione politica o implica un orientamento sessuale. Inoltre, poiché quest'ultimo era stato reso pubblico dal querelante, il GDPR non era stato violato.
• Con il semplice trattamento dei dati, la Corte non ha potuto trovare alcuna operazione illegale da parte del convenuto di cui potesse essere ritenuto responsabile.

Danni

• 15 Il GDPR stabilisce che il convenuto ha l'obbligo di fornire informazioni su tutti i dati personali a intervalli appropriati che il convenuto ritiene rilevanti per l'utente.
• Violando il suo dovere, la querelante non ha avuto una visione d'insieme sufficiente di tutti i dati conservati.
• La sua perdita di controllo e l'incertezza associata gli danno diritto a una richiesta di risarcimento danni e al rilascio di tutti i dati richiesti.

Commento

Questa sentenza offre un resoconto dettagliato sul modo in cui Facebook crea i profili degli utenti, in particolare attingendo alla storia delle pagine visitate e alle informazioni ottenute dai collegamenti con gli amici o con utenti "simili". Tuttavia, non riconosce la sensibilità di tali dati. Mentre il rilascio obbligatorio dei dati della querelante rende molto probabile un appello da parte di Facebook, il sig. Schrems ha già espresso l'intenzione di presentare un'istanza in tal senso entro le prossime quattro settimane. Si spera che portare il caso davanti a una Corte Superiore, fornisca maggiore chiarezza sulla legalità delle attività di Facebook e sulla sua (non) conformità con il GDPR. Come già avvenuto in casi precedenti, ciò potrebbe anche rendere possibile il deferimento di diverse questioni alla Corte di Giustizia Europea.

Originariamente pubblicato il 08 luglio 2020

Il contenuto di questo articolo intende fornire una guida generale all'argomento. Si consiglia di richiedere una consulenza specialistica sulle vostre circostanze specifiche.