Il 07.12.2020 (notificato il 28.12.2020), il Tribunale Regionale Superiore (Oberlandesgericht Wien, OLG) ha emesso la sua sentenza nel procedimento di appello Schrems contro Facebook Ireland Ltd. (GZ 11 R 153 / 20f, 154 / 20b).¹ Confermando la decisione del Tribunale regionale per le questioni civili (Landesgericht für Zivilrechtssachen), ha affermato che la piattaforma di social media aveva il dovere di fornire al querelante il pieno accesso ai dati in suo possesso, imponendo così alla società di pagare un risarcimento di 500 euro (articolo 82 GDPR).

Tuttavia, ha anche concluso che l'atto del trattamento dei dati non richiede che la piattaforma ottenga un consenso inequivocabile e separato dai suoi utenti ai sensi della normativa UE sulla protezione dei dati (articolo 6(1)(a) GDPR), ma che tale diritto di utilizzo dei dati è intrinsecamente concesso a Facebook in virtù dei suoi termini e condizioni contrattuali.

La decisione è incentrata su una serie di reclami giuridici e dà luogo a tre questioni distinte che sono evidenziate di seguito.

Assegnazione dei ruoli delle parti in base alla legge sulla protezione dei dati

Il querelante

• Secondo il querelante, l'utente della piattaforma è considerato il responsabile o "controllore" (articolo 4(7) GDPR) per quanto riguarda le applicazioni di dati gestite da lui stesso per i suoi scopi personali;
• L'imputato per contratto agisce come "processore" impedendogli di eseguire qualsiasi applicazione di dati senza o contrariamente alle istruzioni della querelante;
• Non è stato concluso un contratto che soddisfi i requisiti dell'articolo 28(3) GDPR, sebbene il querelante abbia diritto a tale accordo.

Imputato

• Il convenuto deve essere considerato come l'unica parte responsabile nei confronti della querelante, che non ha interesse a ottenere un provvedimento dichiarativo.

OLG (pp 21-23)

• Il semplice utilizzo di una piattaforma di rete sociale non rende di per sé un utente corresponsabile del trattamento dei dati personali effettuato da questa rete;
• Una differenziazione va fatta per quanto riguarda le pagine fan, per le quali il gestore di tale pagina contribuisce al trattamento dei dati personali dei visitatori, rendendolo un responsabile del trattamento (CGCE C-210/16, Unabhängiges Landeszentrum für Datenschutz Schleswig Holstein, esp. para. 35, 36 e 41).
• Un utente di Facebook è quindi solo un corresponsabile per quanto riguarda i dati personali di terzi (articolo 4(7) GDPR) e solo un soggetto interessato in relazione ai propri dati personali.

Consenso efficace al trattamento dei dati personali

Il querelante

• Il consenso alle condizioni d'uso della piattaforma di social media e alle relative linee guida sull'uso dei dati non dà luogo a un consenso effettivo ai sensi degli articoli 6(1) e 7 del GDPR;
• Contrariamente alle disposizioni del GDPR, entrate in vigore a partire dal 25.05.2018, i contratti di diritto civile regolati dalla precedente legge sulla protezione dei dati non prevedevano requisiti espliciti di "consenso";
• Integrando il consenso preventivo nei termini e condizioni della società prima dell'entrata in vigore del GDPR, gli utenti sono stati inavvertitamente costretti in un nuovo contratto, che ha permesso alla piattaforma di eludere gli standard di protezione dei dati più severi secondo le attuali disposizioni del GDPR;
• Come tale, nessun consenso effettivo ai sensi del GDPR era stato dato dal querelante per quanto riguarda il trattamento dei dati intrapreso dal convenuto.

Imputato

• Il trattamento dei dati effettuato dalla piattaforma era in linea con le disposizioni dell'articolo 6, paragrafo 1, lettera b) del GDPR, poiché costituisce una parte necessaria dell'esecuzione del contratto.

OLG (pp 23-24)

• Il GDPR consente diverse basi per il trattamento dei dati personali, tra l'altro, se necessario per l'esecuzione di un contratto di cui l'interessato è parte (articolo 6(1)(b) GDPR);
• La necessità è determinata caso per caso, tenendo conto dello scopo contrattuale e degli obblighi derivanti dal contenuto del contratto;
• L'essenza del modello di business di Facebook e il suo scopo contrattuale si concentrano su:
  • Per l'utente: accesso alla piattaforma di comunicazione personalizzata;
  • Per la piattaforma: rendere disponibile l'accesso senza costi aggiuntivi;
• Come tale, la società che gestisce la piattaforma può ricorrere ad altre fonti di finanziamento, ad esempio la pubblicità personalizzata per l'utente specifico;
• Il trattamento dei dati personali degli utenti dimostra un pilastro portante fondamentale dell'accordo tra piattaforma e utente, poiché è il fondamento che permette di adattare la pubblicità agli interessi del singolo utente;
• La componente di necessità rispetto al trattamento dei dati è stabilita nel fatto che l'utilizzo di tali informazioni modella l'esperienza individualizzata degli utenti da un lato, mentre costituisce anche un canale finanziario attraverso il quale la piattaforma ottiene il suo profitto.

Richiesta di fornitura di informazioni

Il querelante

• Una richiesta di informazioni era stata presentata, ma non aveva ancora ricevuto risposta in conformità con l'articolo 15 GDPR;
• Rendere le informazioni sull'uso e il trattamento dei dati (personali) solo parzialmente disponibili non è conforme ai doveri legali del convenuto;
• L'incertezza sul trattamento dei dati ha indotto uno stress emotivo che dà diritto al querelante a un danno morale di 500 euro.

Imputato

• L'imputato non era venuto meno al suo dovere;
• Nessuna affermazione conclusiva riguardante la richiesta di risarcimento danni era stata fatta dal querelante.

OLG (24-29)

• Facebook non aveva concesso ai suoi utenti l'accesso ai dati nei loro strumenti di accesso, il che dà al querelante un diritto di azione radicato nell'articolo 15 (1) GDPR;
• Il querelante ha diritto a informazioni relative a:
  • I dati personali trattati da Facebook e le loro finalità (articolo 15(1)(a) GDPR);
  • A chi vengono comunicati i rispettivi dati personali, cioè (categorie) di destinatari (articolo 15(1)(b) GDPR);
  • L'origine dei dati se non raccolti dall'attore (articolo 15(1)(g) GDPR);
• L'importo di 500 euro riflette la minore entità del disagio sofferto dal querelante e si dimostra giustificato.

Commento

In linea con le affermazioni della querelante, l'Agenzia europea per la protezione dei dati ha precedentemente vietato espressamente il trattamento di categorie speciali di dati personali a meno che non venga fornito il consenso esplicito o tale trattamento sia necessario per motivi di notevole interesse pubblico (articolo 9(2)(g) GDPR). Anche se le clausole contrattuali sull'uso dei dati potrebbero ancora essere utilizzate per il trasferimento dei dati, non sarebbero sufficienti a sostituire la necessità di fornire tale consenso.²

Mentre un diritto di appello alla Corte Suprema austriaca è stato concesso dall'OLG, si prevede che le questioni legali sollevate saranno nuovamente portate davanti alla Corte di giustizia dell'Unione europea a tempo debito.

Note a piè di pagina

1 Sentenza disponibile in tedesco via: https://noyb.eu/sites/default/files/2020-12/BVI-209_geschw%C3%A4rzt.pdf.

2 Olbrechts, A. (2020) "Europäischer Datenschutzausschuss - 34. Plenartagung: Schrems II, Wechselspiel Zwischen PSD2 Und DSGVO, Schreiben an MdEP Ďuriš Nicholsonová Zu Den Themen Ermittlung Von Kontaktpersonen, Interoperabilität Von Apps Und Datenschutz-Folgenabschätzungen." Europäischer Datenschutzausschuss - Comitato europeo per la protezione dei dati. Disponibile presso: edpb.europa.eu/news/news/2020/european-data-protection-board-thirty-fourth-plenary-session-schrems-ii-interplay_de [consultato il 05.02.2021].

Il contenuto di questo articolo intende fornire una guida generale all'argomento. Si consiglia di richiedere una consulenza specialistica sulle vostre circostanze specifiche.