Il Tribunale di Lussemburgo ha condannato la Commissione UE a risarcire i danni a un visitatore del suo website della Conferenza sul futuro dell’Europa a causa del trasferimento di dati personali negli USA tramite il collegamento ipertestuale “connettersi con Facebook” visualizzato sulla pagina web di EU. La Commissione avrebbe originato le condizioni che consentono di trasmettere l’indirizzo IP dell’interessato a Meta Platforms. Per approfondimenti si consiglia: Formulario commentato della privacy
Indice
1. Le doglianze: il link a Facebook dalla Commissione UE
Un cittadino tedesco ha lamentato la violazione, a opera della Commissione UE, del diritto alla protezione dei suoi dati personali in occasione della consultazione da parte sua, nel 2021 e nel 2022, del website della Conferenza sul futuro dell’Europa, gestito dalla Commissione medesima. L’utente si era registrato tramite tale website per l’evento “GoGreen” impiegando il servizio di autenticazione EU Login della Commissione e optando per l’accesso mediante il proprio account Facebook. L’interessato, innanzi al Tribunale di Lussemburgo, ha ritenuto che, in occasione delle sue consultazioni di tale sito Internet, alcuni dati personali a esso appartenenti sarebbero stati trasferiti verso destinatari stabiliti negli Stati Uniti, in particolare il suo indirizzo IP, nonché informazioni sul suo browser e sul suo terminale. In effetti, da un lato, questi dati sarebbero stati trasferiti alla società americana Amazon Web Services, quale gestore della rete di diffusione di contenuti denominata Amazon CloudFront, che sarebbe utilizzata dal website in parola, all’altro lato, quando si è registrato all’evento utilizzando l’account Facebook, questi dati sarebbero stati trasferiti alla company americana Meta Platforms Inc. Per approfondimenti si consiglia: Formulario commentato della privacy
Formulario commentato della privacy
Aggiornata alle recenti determinazioni del Garante, l’opera tratta gli aspetti sostanziali e le questioni procedurali legati al trattamento dei dati personali e a tutte le attività connesse. La normativa di riferimento viene commentata e analizzata, con un taglio che rende il volume un valido strumento pratico per il Professionista che si occupa di privacy. L’analisi delle ricadute operative della normativa è integrata dalle specifiche formule correlate; questa combinazione costituisce il valore aggiunto dell’opera che ben può aspirare a diventare un riferimento per gli operatori del settore. Giuseppe Cassano Direttore del Dipartimento di Scienze Giuridiche della European School of Economics della sede di Roma e Milano, ha insegnato Istituzioni di Diritto Privato nell’Università Luiss di Roma. Avvocato cassazionista. Studioso dei diritti della persona, del diritto di famiglia, della responsabilità civile e del diritto di Internet, ha pubblicato oltre trecento contributi in tema, fra volumi, trattati, voci enciclopediche, note e saggi. Enzo Maria Tripodi attualmente all’Ufficio legale e al Servizio DPO di Unioncamere, è un giurista specializzato nella disciplina della distribuzione commerciale, nella contrattualistica d’impresa, nel diritto delle nuove tecnologie e della privacy, nonché nelle tematiche attinenti la tutela dei consumatori. È stato docente della LUISS Business School e Professore a contratto di Diritto Privato presso la facoltà di Economia della Luiss-Guido Carli. Ha insegnato in numerosi Master post laurea ed è autore di oltre quaranta monografie con le più importanti case editrici. Cristian Ercolano Partner presso Theorema Srl – Consulenti di direzione, con sede a Roma; giurista con circa 20 anni di esperienza nell’applicazione della normativa in materia di protezione dei dati personali e più in generale sui temi della compliance e sostenibilità. Ricopre incarichi di Responsabile della Protezione dei Dati, Organismo di Vigilanza e Organismo Indipendente di Valutazione della performance presso realtà private e pubbliche. Autore di numerosi contributi per trattati, opere collettanee e riviste specialistiche sia tradizionali che digitali, svolge continuativamente attività didattica, di divulgazione ed orientamento nelle materie di competenza.
A cura di Giuseppe Cassano, Enzo Maria Tripodi, Cristian Ercolano | Maggioli Editore 2022
60.80 €
2. La richiesta del risarcimento
Il cittadino tedesco ha ritenuto che gli Stati Uniti non hanno un livello di protezione adeguato, e tali trasferimenti avrebbero dato luogo a un rischio di accesso ai suoi dati da parte dei servizi americani di sicurezza e di intelligence e, al contempo, la Commissione non avrebbe menzionato alcuna delle garanzie idonee a giustificare tali trasferimenti. Egli ha richiesto, quindi, a detto titolo, il versamento di 400 euro quale risarcimento del danno morale che avrebbe subito a causa dei trasferimenti controversi, al contempo chiedendo l’annullamento dei trasferimenti dei dati personali, come anche di constatare che la Commissione si è illegittimamente astenuta dal prendere posizione su una richiesta di informazioni e di condannare la Commissione a versargli un importo di 800 euro a titolo di risarcimento del danno morale che avrebbe subito a causa della violazione del diritto di accesso alle informazioni.
3. Le domande rigettate
Il Tribunale ha rigettato la domanda di annullamento poiché irricevibile, decidendo che non vi è più luogo a statuire, respingendo anche la domanda di risarcimento fondata sulla violazione del diritto di accesso alle informazioni, ritenendo che difetti il danno morale lamentato. Quanto alla domanda di risarcimento fondata sui trasferimenti di dati controversi, il Tribunale l’ha rigettata per i trasferimenti di dati attraverso Amazon CloudFront e concludendo che, durante una delle connessioni contestate, i dati non sono stati trasferiti negli Stati Uniti ma, in base al principio di prossimità, a un server situato a Monaco, in Germania. In base al contratto tra la Commissione e il gestore di Amazon CloudFront, la società lussemburghese Amazon Web Services doveva garantire che i dati rimanessero a riposo e in transito in Europa. Per quanto riguarda un’altra connessione, è stato l’interessato a far sì che venisse inviata, tramite il meccanismo di instradamento di Amazon CloudFront, verso server negli Stati Uniti. A causa di un aggiustamento tecnico, questi era apparentemente localizzato negli Stati Uniti. Per contro, circa l’iscrizione dell’interessato all’evento “GoGreen”, il Tribunale ha ritenuto che la Commissione abbia creato, tramite il collegamento ipertestuale “connettersi con Facebook” visualizzato sulla webpage di EU Login, le condizioni che consentono di trasmettere l’indirizzo IP dell’interessato a Facebook.
Potrebbero interessarti anche:
4. La responsabilità extracontrattuale
Tale indirizzo IP costituisce un dato personale che, attraverso il collegamento ipertestuale, è stato trasmesso a Meta Platforms, e il trasferimento è stato imputato alla Commissione. Orbene, al momento del trasferimento, cioè il 30 marzo 2022, non esisteva alcuna decisione della Commissione che constatasse che gli Stati Uniti garantivano un livello adeguato di protezione dei dati personali dei cittadini dell’UE. Inoltre, la Commissione non ha dimostrato, o anche solo dedotto, l’esistenza di clausola standard di protezione dei dati o di una clausola contrattuale. La visualizzazione del collegamento ipertestuale “connettersi con Facebook” sul sito Internet di EU Login risultava meramente disciplinata dalle condizioni generali della piattaforma Facebook. La Commissione non ha quindi rispettato le condizioni poste dal diritto dell’Unione per il trasferimento, da parte di un’istituzione, di un organismo o di un organismo dell’Unione, di dati personali verso un paese terzo. Il Tribunale afferma che la Commissione è incorsa in una violazione sufficientemente qualificata di una norma di diritto preordinata a conferire diritti ai singoli. L’interessato ha subito un danno morale, poiché si è trovato in una situazione di incertezza riguardo al trattamento dei suoi dati personali, in particolare del suo indirizzo IP. Inoltre, sussiste un nesso causale sufficientemente diretto tra la violazione nella quale è incorsa la Commissione e il danno morale subito dall’interessato. Essendo soddisfatte le condizioni per il sorgere della responsabilità extracontrattuale dell’Unione, il Tribunale l’8 gennaio 2025 (Sentenza nella causa T-354/22, Bindl/Commissione) ha quindi condannato la Commissione a versare al cittadino tedesco la somma di 400 euro.
Scrivi un commento
Accedi per poter inserire un commento