Scraping su Facebook e perdita del controllo dei dati: il BGH riconosce il risarcimento del danno

Massima

La sentenza del Bundesgerichtshof ribadisce il principio secondo cui il controllo sui dati personali rappresenta un diritto fondamentale protetto dal GDPR: pertanto, anche una perdita limitata di tale controllo, se derivante da una violazione normativa, può configurare un danno risarcibile, senza che sia necessario dimostrare ulteriori pregiudizi.

Il caso

Il ricorrente aveva citato Meta Platforms Ireland Ltd, quale gestore del social network Facebook. All'inizio di aprile 2021, dati relativi a circa 533 milioni di utenti di Facebook provenienti da 106 Paesi erano stati diffusi pubblicamente su Internet. Terzi sconosciuti avevano sfruttato una vulnerabilità nelle impostazioni di visibilità del profilo, che permetteva di individuare gli utenti tramite il loro numero di telefono. Attraverso la funzione di importazione contatti che era disponibile su Facebook, inserendo una vasta quantità di sequenze numeriche casuali, questi terzi erano riusciti ad associare i numeri di telefono ai profili corrispondenti e ad accedere ai dati pubblici relativi a tali profili (utilizzando una tecnica conosciuta come scraping).

Il ricorrente era risultato una delle vittime di quello che può essere considerato a tutti gli effetti come un attacco informatico ed infatti, tra i dati compromessi figuravano informazioni personali dello stesso, quali ID utente, nome, cognome, luogo di lavoro e sesso, associati al suo numero di telefono. Il ricorrente aveva, pertanto, accusato la convenuta di non aver adottato adeguate misure di sicurezza per prevenire l'uso improprio della funzione di importazione contatti ed aveva richiesto un risarcimento per i danni immateriali subiti, derivanti dal disagio e dal controllo perso sui suoi dati personali. Inoltre, il ricorrente aveva richiesto altresì che la convenuta rendesse una dichiarazione della responsabilità per eventuali danni futuri, un’ingiunzione per cessare l’uso improprio del numero di telefono e l'accesso alle informazioni detenute dalla convenuta.

Il tribunale di primo grado aveva parzialmente accolto le richieste del ricorrente, riconoscendogli un risarcimento di € 250 ai sensi dell’articolo 82, paragrafo 1, del GDPR, ma aveva respinto le altre istanze. In appello, il tribunale superiore aveva, lato suo, respinto integralmente la causa, ritenendo che la mera perdita di controllo sui dati non fosse sufficiente a configurare un danno immateriale risarcibile e che il ricorrente non avesse dimostrato in modo adeguato ulteriori conseguenze psicologiche o comunque negative subite.

Il 31 ottobre 2024, il Bundesgerichtshof (BGH) ha deciso di esaminare il caso come procedura di decisione guida.

La questione

La questione in esame è la seguente: la mera perdita di controllo sui dati può essere sufficiente, da sola, a configurare un danno immateriale risarcibile?

Le soluzioni giuridiche

La decisione del Bundesgerichtshof (BGH) si distingue per il riconoscimento della risarcibilità del danno immateriale derivante dalla perdita del controllo sui dati personali, stabilendo un importante principio di tutela nell’ambito del Regolamento Generale sulla Protezione dei Dati. La Corte ha sancito che tale perdita, causata da una violazione del GDPR, può configurare un danno risarcibile anche in assenza di ulteriori conseguenze materiali o di un utilizzo illecito concreto dei dati. Questa impostazione rafforza il diritto degli individui alla protezione dei propri dati personali, riconosciuto come diritto fondamentale dall'ordinamento europeo.

Il BGH nella sua sentenza ha altresì evidenziato che la condotta di Meta, nella configurazione delle impostazioni di visibilità predefinite e nella gestione della funzione di importazione dei contatti, non rispettava il principio di minimizzazione. Inoltre, la Corte ha sottolineato la necessità di valutare se il consenso fornito dall'utente fosse valido, trasparente e conforme ai requisiti normativi, considerando che le informazioni fornite al momento della raccolta dei dati non risultavano sufficientemente chiare.

Il giudizio del BGH si inserisce in un contesto giurisprudenziale in cui la Corte di Giustizia dell’Unione Europea (CGUE) ha già affrontato la questione del danno immateriale legato alla violazione dei dati personali. La CGUE, infatti, ha chiarito che il GDPR mira non solo a prevenire danni materiali, ma anche a tutelare i diritti immateriali degli individui, inclusi il controllo sui propri dati e la protezione della privacy. In casi precedenti, come nelle cause Österreichische Post (C-300/21) e PS GbR (C-590/22), la CGUE ha riconosciuto che la perdita del controllo sui dati personali può rappresentare una lesione autonoma, sufficiente per configurare un diritto al risarcimento, senza necessità di dimostrare un derivante danno economico diretto o grave.

L’orientamento espresso dal BGH è quindi coerente con la giurisprudenza europea maggioritaria, che tende a riconoscere il danno immateriale come un elemento centrale della protezione dei dati personali. Tuttavia, la decisione contrasta con alcune pronunce di merito di tribunali inferiori, che avevano negato il risarcimento in assenza di prove concrete di danni psicologici o materiali, considerandolo insufficiente rispetto agli standard richiesti. Questo approccio più restrittivo è stato adottato, ad esempio, dal Tribunale d’Appello del caso in esame (Oberlandesgericht Köln), che aveva respinto le richieste del ricorrente basandosi su una valutazione più rigorosa dell’onere della prova.

Il Bundesgerichtshof, rinviando il caso al tribunale d’appello per ulteriori accertamenti, ha offerto anche indicazioni sulla quantificazione del danno, suggerendo una valutazione proporzionata che tenga conto del controllo perso. Sul punto, infatti, la Corte ha, inoltre, indicato che anche un risarcimento simbolico, come quello di €100, potrebbe essere adeguato in assenza di conseguenze più gravi. Diversamente, la quantificazione del danno è da ponderarsi in correlazione alle conseguenze subite.

Osservazioni

La decisione della Corte Federale di Giustizia rappresenta un passo fondamentale nell’evoluzione della tutela dei diritti legati alla protezione dei dati personali, rafforzando in modo significativo le richieste di risarcimento per danni immateriali delle persone colpite da violazione dei propri dati personali. Riconoscendo la mera perdita di controllo sui dati come un danno risarcibile, la Corte elimina la necessità di dimostrare conseguenze psicologiche o materiali specifiche direttamente connesse alla stessa perdita di controllo. Questo approccio, come già rilevato poco sopra, è pienamente in linea con la giurisprudenza della Corte di Giustizia dell’Unione Europea, che sottolinea la centralità del diritto alla sovranità sui propri dati personali, consolidandolo come un aspetto essenziale della dignità e dell’autonomia individuale.

Al contempo, la sentenza amplia il perimetro della responsabilità delle aziende, chiarendo che anche i danni futuri derivanti da violazioni della protezione dei dati possono essere oggetto di risarcimento. In un contesto di crescente digitalizzazione e interconnessione dei dati personali, questo orientamento impone alle imprese di rivedere le proprie strategie di trattamento e conservazione dei dati, adottando adeguate misure per prevenire future responsabilità. Tuttavia, questa apertura normativa solleva interrogativi pratici, soprattutto in merito alla quantificazione del danno immateriale e all’onere probatorio richiesto al ricorrente.

La decisione del Bundesgerichtshof si pone quindi in un contesto che richiede un equilibrio delicato tra la necessità di garantire un’effettiva tutela dei diritti degli individui e l’obiettivo di evitare risarcimenti non proporzionati o strumentalizzazioni. Essa lascia tuttavia aperte importanti questioni interpretative che potrebbero richiedere ulteriori chiarimenti giurisprudenziali, confermando al contempo che la perdita del controllo sui dati personali non è solo una questione tecnica, ma una lesione giuridica che richiede un intervento ed una tutela effettivi.